The Digital Omnibus Wants to Exempt First-Party Analytics From Consent

2025 年 11 月 19 日，欧盟委员会发布了 Digital Omnibus，这一提案重写了 cookie 与跟踪同意规则的归属。对开发者而言，最关键的内容埋在一条草案条文里：第一方、聚合、仅内部使用的受众测量将完全不再需要同意。

这项豁免描述的并非某种未来工具。它描述的是无 cookie 分析一直以来运行的数据模型。

提案实际上移动了什么

如今，在读取或写入用户设备前必须征求许可的义务，源自 ePrivacy 指令的 第 5 条第 3 款——这是 cookie 横幅的法律根源。Digital Omnibus 把这条规则从 ePrivacy 中抽出，通过新设的 第 88a 条 并入 GDPR。

实际效果是单一规制。在处理个人数据之处，ePrivacy 同意不再适用，仅由 GDPR 管辖。委员会将其定位为对重叠规则体系的简化，依据是一年多以来各方关于横幅疲劳的反馈。

这是委员会的提案，而非法律。它在发布当天进入普通立法程序，现转交欧洲议会与理事会，在约束任何人之前，文本仍可能发生实质性变化。

第 88a 条仍将同意作为访问设备的默认要求，随后列出狭窄的例外。在严格必要的传输与安全之外，它新增了一项对分析至关重要的例外：为生成 聚合受众测量数据 而存储或访问信息，前提是提供方 仅为其自身在线服务及自身内部使用 而为之。

法律分析对该豁免所附条件趋于一致：

措辞刻意收紧。阅读过草案的评论者指出，它似乎排除任何跨多个服务、客户或平台进行测量的工具——也就是大多数广告技术测量。该豁免奖励的是一种特定架构，而非某一类供应商。

把这份清单对照隐私优先跟踪器的构建方式，重叠几乎是完全的。没有可共享的标识符，因为访客身份是一个每日单向哈希——SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)——不可逆，且每晚消失。

visitor_hash = SHA-256( IP | UA | SALT_SECRET | "2026-06-08" )

原始 IP 与 User-Agent 仅在内存中用于计算该哈希；数据库存储的是哈希，而非原始值。不存在跨站图谱，因为明天没有任何东西可供关联。留存有界——超过两年的页面浏览会被清除——而数据在构造上即为聚合：计数、时长、粗粒度设备类型、来自 edge 的国家。

/collect 信标携带的是时序与页面元数据，而非某个人。这正是草案所突出的「聚合受众测量、仅内部使用」。

配套条款 第 88b 条 从另一端应对同意疲劳。它要求拒绝与反对能够通过 自动化、机器可读的信号 表达，并要求浏览器与操作系统提供方（小企业除外）支持相关基础设施。

这与 Global Privacy Control 在美国各州法中已推动的方向一致：把决策从上千个横幅转移到网站必须尊重的单一设备级设置。一个不设置 cookie、不构建画像的工具在此几乎无需尊重什么——没有需要门控的存储，也没有需要保存的同意记录。

Digital Omnibus 中尚无任何内容可被强制执行，且其时间表在任何最终文本之后会跨越分阶段的适用期。但方向已定，它青睐唯一一种设计：以第一方采集聚合统计、不共享任何数据、不识别任何人、并短期留存。

如果你的分析已达到这一门槛，这项改革便是顺风——是法律向架构靠拢，而非架构追赶法律。如果尚未达到，最廉价的合规路径不是更好的横幅，而是采集更少。