返回博客
5 分钟阅读privacygdprcompliancetracking

Cookie 法不再只关乎 Cookie:第 5(3) 条现在涵盖什么

EDPB 指南 2/2023 将 ePrivacy 同意规则扩展至像素、URL 追踪和仅 IP 识别。最近的 CNIL 和 Garante 裁决证实了技术中立的解读。这里是对开发者的影响。

"Cookie 法"这一说法一直是误称。ePrivacy 指令的第 5(3) 条从未使用过 cookie 这个词——它讨论的是"在订户或用户的终端设备中存储信息,或获取已经存储的信息"。二十年来,监管机构主要将该条文应用于 cookie,是因为 cookie 一直是占主导地位的存储机制。这个时代已经结束。

2024 年 10 月,欧洲数据保护委员会最终发布了关于第 5(3) 条技术范围的指南 2/2023。该指南是技术中立的,明确涵盖追踪像素、基于 URL 的追踪、仅 IP 追踪和唯一标识符。2026 年 4 月,法国 CNIL 和意大利 Garante 将该框架转化为关于电子邮件像素追踪的有约束力的国家指南。方向是明确的:如果某项技术让服务器能够从访客设备读取可识别的信号,无论是否回写任何内容,都需要同意。

"获取访问权限"现在意味着什么

第 5(3) 条建立在两个操作性概念之上:存储获取访问权限。大多数现有合规工作只将存储视为触发点——如果你不设置 cookie,就假定无需同意。该指南拒绝这种解读。

当服务器主动指示设备发回值时,就构成获取访问权限。一个追踪像素触发一个请求,其查询字符串携带标识符。嵌入在新闻邮件中的唯一 URL 解析出收件人。当 IP 地址被用于在会话间跟踪同一设备时也属于访问——该值源自设备的网络堆栈,并在每次请求中发送。

重要的是机制,而不是持久化格式。服务器端数据库中存储的指纹与浏览器中存储的 cookie 等同对待。

为什么这重写了分析工具图景

许多以隐私为重点的分析工具将自己标榜为无 cookie,却仍依赖该指南现在已涵盖的模式:

  • 服务器端 cookie 和 CHIPS 式分区标识符。 将 cookie 移到分区上下文或第一方服务器端存储并不改变访问问题。如果同一标识符跨访问到达分析服务器,那仍然是访问。
  • 从 IP 派生的访客 ID。 哈希 IP 并将其用作跨天稳定标识符的工具正在访问源自设备的信息。EDPB 的建议明确:这需要同意,除非控制者能证明该 IP 并非源自用户的终端设备。
  • 基于像素的打开和查看追踪。 CNIL 的第 2026-042 号决定(2026 年 4 月 14 日)和 Garante 的 2026 年 4 月 17 日指南要求在邮件发送之前为单独的邮件打开追踪获取明确、单独的同意。

共同的模式是在访问、会话或消息间留存的稳定标识符。无论存储层是什么,它都会产生与 cookie 相同的监管风险。

合规收集的技术测试

该指南留下一条狭窄通道:服务器存储的值无法跨时间解析回特定设备的聚合信号。发送到收集端点的请求携带的值分为三类:

1. Transport-layer values (IP, User-Agent) the server cannot avoid receiving
2. Contextual values (path, referrer domain, country derived from IP)
3. Derived values the server chooses to produce and store

第 1 类在 TCP/HTTP 中不可避免。问题在于第 3 类的样子。如果派生值是持久标识符——即使经过哈希、即使加盐——也属于访问。如果派生值在有界窗口内重置且不能跨窗口关联,EDPB 的分析将其视为聚合数据。

Monoid 的每日访客哈希正是针对这一测试而设计的:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

IP 和 User-Agent 仅在内存中用于计算哈希,然后被丢弃。日期输入意味着同一访客明天会产生不同的哈希——根据设计就没有跨天的标识符可访问。在单日内,哈希用于对访客去重以进行聚合计数;跨天,没有任何对手或监管机构可重建的内容。

收集端点上重要的请求头

两个 HTTP 头承载第一方边缘收集器上的大部分隐私表面,应被有意识地设置。

Referrer-Policy: strict-origin-when-cross-origin 是现代 Chrome 的默认设置,在跨域请求中仅发送 origin。避免使用 unsafe-urlno-referrer-when-downgrade——两者都会不必要地泄露路径信息。

Permissions-Policy 应明确拒绝分析追踪器不需要的功能:

Permissions-Policy: geolocation=(), microphone=(), camera=(),
  payment=(), usb=(), interest-cohort=()

无法请求位置、音频或设备传感器的追踪器,不会被共享页面的被攻破的第三方脚本胁迫去这样做。

开发者本季度应审计的事项

三个问题推进审计:

  1. 分析服务器存储的任何值是否允许它在 25 小时窗口内识别同一访客?如果是,该部署现在可能需要第 5(3) 条同意。
  2. 像素和 URL 标识符是否在交易性或营销邮件中使用?根据 CNIL 和 Garante 的指南,单独的打开追踪在邮件发送前需要单独、明确的同意。
  3. 收集端点是否设置了严格的 Referrer-Policy 和默认拒绝的 Permissions-Policy

"Cookie 横幅"问题是更基础问题的下游:数据模型是否会产生跨会话标识符。当答案是否时,整个第 5(3) 条机制——同意、撤回、处理记录——都不会启动,因为该法规的技术触发器从未被拉动。