EDPB 2026 年的执法目标就是你的隐私声明

两年来，代价高昂的 GDPR 问题一直在转移。监管机构最初审查的是你是否具备合法依据，接着审查的是你是否按时删除了数据。2026 年 3 月 19 日，欧洲数据保护委员会（EDPB）把下一轮审查瞄准了第三个目标：你的隐私声明是否如实说明了你所收集的内容。

2026 年协同执法行动审查什么

EDPB 的协同执法框架（CEF）每年会在整个欧盟范围内推进一个共同主题。2025 年的行动审查的是删除权。2026 年的行动——这是第五次——审查的是 GDPR 第 12、13 和 14 条所规定的透明度与告知义务。

共有二十五家数据保护机构参与其中。它们的公告在方法上毫不含糊：参与的 DPA "将很快联系欧洲各行业的控制者，无论是通过执法行动还是通过事实调查"。调查结果会在 2026 年下半年汇总成一份综合的 EDPB 报告，并在"国家和欧盟两个层面进行针对性的后续跟进"。

这不是指南，而是一次协同的取证要求——要求证明你网站上的那份文件与你数据库里的数据一致。

第 13 条到底要求你披露什么

知情权不是靠一句"我们重视您的隐私"就能满足的。第 13 条——适用于你直接从访客处收集数据的情形——逐项列出了声明在收集发生那一刻必须说明的内容：

• 控制者的身份与联系方式。
• 处理的目的以及每个目的对应的法律依据。
• 数据的接收方或接收方类别。
• 向第三国的任何传输及其保障措施。
• 保留期限，或用于确定保留期限的标准。
• 数据主体的各项权利：访问、更正、删除、限制、反对、可携带。
• 是否存在自动化决策（包括画像），以及关于所涉逻辑的有意义信息。

每一个条款都对应着你技术栈里的一个事实。只有当每一项披露都属实时，声明才算准确。这恰恰是事实调查所核查的——不是声明是否存在，而是声明是否描述了现实。

为什么监控式分析会让声明变得脆弱

把一个典型的分析集成对照上面这份清单，需要披露的内容就会成倍增加。带有跨站标识符的行为标签意味着你有要点名的接收方——供应商、它的广告合作伙伴、它的度量网络。它通常还意味着有一笔要申报并提供保障的第三国传输。一个能跟踪访客数月的稳定标识符就是画像，这又把自动化决策条款牵扯进来。保留期限则取决于供应商的默认设置，而你现在必须知道它并如实写明。

这其中的每一项都是一句可能写错的话。一旦供应商新增了一个子处理者、更换了一个区域或延长了保留期限，声明就会失准——而你往往无从知晓。在透明度审查之下，一份低报接收方或保留期限的声明不是笔误，而正是 CEF 旨在揭露的违规。

简短的声明才是站得住脚的声明

通过透明度审查最省钱的办法，就是没多少东西可披露。这是数据模型的属性，而不是文案撰写的属性。

无 Cookie 的追踪器能把第 13 条声明里的分析部分压缩成寥寥几句实话。没有第三方接收方，因为没有任何东西被共享。没有画像，因为没有任何标识符会持续存在。访客身份是在 edge 内存中计算出的单向每日 hash：

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

原始 IP 和 User-Agent 只用于计算该摘要，绝不会被写入；D1 存储的是这个 hash，而非其输入。由于日期是输入之一，hash 会在每天午夜轮换，因此根本没有跨会话画像需要描述。保留期限是一个硬性的、可明确陈述的边界——pageview 在 730 天后被清除——而不是一个你还得去查的供应商默认值。

由此产生的披露之所以简短，是因为处理本身就很少。它写道：我们统计聚合的 pageview，在 edge 上推导出国家和粗粒度的设备类型，不与任何人共享，不构建任何画像，数据最多保留两年。每一个条款都可以对照 schema 加以验证。

同一行动的第 30 条另一半

面向访客的透明度（第 12 至 14 条）有一个内部的孪生体：第 30 条的处理活动记录，也就是监管机构最先索要的那份文件。它必须列出目的、接收方、传输和保留——与对外声明完全相同的事实，只不过是从控制者一侧来看。

当两者不一致时，这道缝隙就是审查结论。一个不存储任何个人标识符、不共享任何内容的技术栈，能让两份文件保持一致，因为两边几乎都没有什么可记录的。

隐私声明是关于你数据模型的一项承诺。2026 年的这轮审查核查的就是这项承诺是否属实。风险最低的承诺，是那种你不必费心就能信守的承诺——因为你压根没收集那个原本还得去解释的东西。

来源

• EDPB 启动 2026 年针对透明度与告知义务的协同执法行动
• 协同执法框架：EDPB 选定 2026 年主题
• GDPR 第 13 条——从数据主体处收集个人数据时应提供的信息
• GDPR 第 30 条——处理活动记录
• ICO——知情权