首先简要介绍下Cookies合规的要点。

当我们谈论Cookies合规时，一般默认带入的是欧盟标准。欧盟对于Cookies的规制主要是通过e-Privacy Directive实施的。该指令全称为Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector，于2002年生效，对于企业最显性的影响分别是Cookies（第5条）和直接营销（第13条）两个部分。关于直接营销合规已经在你可能不知道的 | 欧盟直接营销合规写过了。

Cookies合规简单说来就是：当企业拟在用户终端设备上放置Cookies或其他信息存储的小型文本时，应当事先告知用户并取得其同意；仅在涉及网站运行所必需的严格必要类Cookies时，可以免于征得同意。实践中，通常通过弹窗等方式实现告知与同意。

需要特别说明两个点：

• e-Privacy Directive并不是“Cookie 专法”，而是针对在终端设备上存取信息的所有技术，包括但不限于URL and pixel tracking，Local processing，Tracking based on IP only，Intermittent and mediated loT reporting，Unique Identifier（我怕技术术语翻译歧义，就直接写英文了）

• e-Privacy Directive也不是只针对电脑端，而是对所有联网（指公共通信网络）终端设备，包括手机、网联汽车、智能眼镜等。

本文主要还是想写一些实践中常见的迷思，下面才是正文：

理解二者关系主要注意两个点：首先，e-Privacy Directive管个人数据和非个人数据，而GDPR只管个人数据；其次，二者关注的环节不同——e-Privacy Directive 规范的是对用户终端设备进行存取信息的行为，而 GDPR 规范的是对相关数据的处理。类比医疗检测：前者管“探头伸进去”的动作，后者管“对探测物的分析”。因此，在大多数场景（我甚至想象不到反例）二者是并行、交叉适用。

在用户终端置入 Cookie 和通过置入的cookie 收集到的数据是两个不一样的处理活动，所以合法性才要分开考虑。他们的合法性基础可以是同一个，但并非绝对。

Cookies按照功能可以分为必要类、分析类、功能类、广告类、性能类（这个分法不是绝对的）。

必要类cookies是指如果没有这个cookies，网站就无法正常运转。例如，消费者将产品加入购物车再去结算中心，此时就需要用user-inputs cookies（session ID）来记录所选商品，如果没有这个cookies那购物车功能就无法运作了。

分析类Cookies主要指用于统计网站或应用使用情况的Cookies；功能类Cookies主要用于记忆用户的偏好或设置，提高使用体验，例如记住语言选择；广告类Cookies是为了精准营销而对用户行为进行（跨网站）追踪的Cookies，例如跟踪广告点击效果等（有时候分析类和广告类Cookies会合在一起讨论）；性能类Cookies主要是为了提升网站性能，例如监测网站加载速度、崩溃报告等。

不同类型的Cookies可用的合法性基础也不一样。我们已经比较熟悉的是，GDPR规定了六种合法性基础：同意、合同、法定义务、重大利益、公共利益，和正当利益；而e-Privacy Directive只有两种：同意或严格必要。

鉴于e-Privacy Directive只有两个合法性基础，而GDPR有六个合法性基础，当二者同时适用时，需要取交集——只能以同意或严格必要为合法性基础。换言之，只有严格必要类Cookies无需取得用户同意！（这个点最近在法国被略略突破了——CNIL发布了一份分析类Cookies如何被豁免同意的指南https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience，考虑到企业在做合规时需要就上不就下，法国特例我们按下不表）

还是用购物车举例，电商网站上设置user-inputs cookies是严格必要，处理购物车数据是履行合同所必需，二者的逻辑本质是一致的，均无需用户同意。但如果在结算界面电商平台根据购物车内容展示千人千面的“顺带买一件”营销，这个行为就无法被“严格必要”所支持，而是需要单独寻求合法性基础。

e-Privacy Directive第5（3）条规定了严格必要类Cookies的定义：

• 通过电子通信网络传输数据，例如用于服务器连接用的load-balancing cookies；或

• 提供用户请求的服务，例如第2问举例的为了记录购物车内容的user-inputs cookies——它的目的是记录用户发起的请求/输入。此外身份验证cookies和安全cookies也都属于此类cookies。

由于严格必要类Cookies无需取得用户同意，因此准确识别严格必要类Cookies对于合规实践很重要。

而除了严格必要类cookies，还有分析类、功能类、广告类、性能类Cookies。这些Cookies都只能基于用户同意设置，所以出现分类偏差影响也不大。另外这个网站可以用于参考某个cookie的具体分类：https://cookiesearch.org/。

首先需要明确的是，只要存在Cookies，无论是何种类型，均需要告知。告知的动作通常是通过一个弹窗式的Cookie Notice实现的（也就是说即使是只埋入严格必要类Cookies也需要有弹窗告知）。

但具体需要告知的内容，其实e-Privacy Directive并没有做详细列举，而是在法条中援引了GDPR的规定。另外结合Planet 49判例，我理解需要告知以下内容：

• 控制者（网站运营方）身份

• 放置Cookies的目的

• 第三方是否可以访问这些Cookies

• Cookies的类型

• Cookies的存储期限

• 用户设置Cookies偏好（同意、拒绝）的方式

Cookies本身就是有生命周期的。Sessioin Cookies（会话类Cookies，例如购物车、登录状态等——巧了，都是严格必要类Cookies）会在用户关闭浏览器窗口后立刻过期；与之对应的是Persistent Cookies，这类Cookies的持续时间从几分钟到几年不等，可以在创建Cookies时设置。

问“Cookies的有效期”本质是在问设Cookies的合法性基础要多久一更新，或者说弹窗要多久一弹？e-Privacy Directive本身没有对cookies在终端设备上的存储时限做上下限规定，但可以肯定的是，使用Cookies的合法性基础也不是一劳永逸的。如果是严格必要类cookies，可能会随着技术变迁而被抛弃或者更新，此时需要重新评估其分类是否准确；而如果是基于用户同意设置的cookies，则会定期失效。换言之，Cookies设置还是需要定期重新获取同意。

至于周期，各成员国的水位线并不相同。执法大户CNIL 和DPC（爱尔兰数据保护机构）都是建议以6个月为上限。因此，为简化合规操作，通常可统一采用 6 个月作为重新获取同意的周期。

话不能这么说。Cookies或是其他类似技术，放在数据法部门本身还是一种数据处理活动，受到《数据安全法》《个人信息保护法》等的约束。

之所以有一种“中国不管”的印象，我理解是执法侧重的不同。欧洲人网站用的多，被Cookies跟踪的情况更多，所以才会有专门立法规制；而在中国，移动端App使用更广泛，常见的SDK在功能上与Cookies类似，所以监管落脚到App合规时，就会通过单独同意弹窗、设备权限申请、以及“双清单”机制等来重点管控SDK的合规。

理论上不行。e-Privacy Directive需要转换为成员国国内法才能生效，且成员国有在该指令之上的调整空间，因此导致各国国内法对于cookies相关的细节规定有所区别，可以看看这个网站：https://complianz.io/rules-for-collecting-cookie-consent-per-country-comparison/

但实践中，一个出海欧盟的中企很难一步到位做到国别层面的Cookies合规。我更加建议用法国和英国的标准来划定水位线。推荐法国是因为它是欧盟内最最最热衷于Cookies监管的成员国（没有之一），有层出不穷的建议和案例：

• Cookies指南：https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/lignes-directrices-modificatives-et-recommandation

• Cookies Wall（=不同意Cookies就付费）评估标准：https://www.cnil.fr/fr/cookie-walls-la-cnil-publie-des-premiers-criteres-devaluation

但法国人的文件不给英文版，所以也可以看看英国。ICO建了Cookies专题，指南清晰容查：https://ico.org.uk/for-organisations/direct-marketing-and-privacy-and-electronic-communications/guide-to-pecr/cookies-and-similar-technologies/。另外ICO网站自身的Cookies Notice界面也很漂亮，可以抄答案。