有时你会看到人们说这样的话:
使用仅用于该网站的 cookie 来跟踪网站上的状态是可以的。你不需要征求同意。——rrwo
或者:
您不需要允许创建 cookie 的 cookie 横幅。仅当您将它们用于跟踪之类的事情时才需要它们。- y4mi
例如,“只要您正确设计您的网站并且不滥用存储空间,您就不需要向您的欧洲访问者征求许可。”虽然我不再在这个领域工作,也不是律师,也不想给你法律建议,但如果你阅读了法规,这种解释就完全不成立了。
Cookie 横幅是对 2002 年ePrivacy 指令(全文、 指南)的回应。虽然 ePrivacy Directive 可能很快被(非常相似的) ePrivacy Regulation取代,但它仍然是现行规则。它要求您在将信息存储在访问者的计算机(cookie、localStorage 等)上之前征得访问者的同意,除非这种行为是“为提供订阅者或用户明确要求的信息社会服务所必需的”[1]。这不是“为了”,甚至不是“为了”,而是“为了”是“绝对必要的”。这是相当坚定的!
这不包括,例如,使用 cookie 进行基本的单站点分析 ( 4.3 ),您希望找出用户在您的站点上卡住的位置或填充“查看此产品的用户最终购买了此其他产品”盒子。尽管这些信息可以帮助您为未来的访问者(可能包括这个访问者)改进您的网站,但现在为该用户提供服务并不是“绝对必要的”。
如果用户将商品放入他们的购物车,您可以设置一个 cookie,因为这是您尊重他们的请求的方式,但它仍然非常严格( 2.3 ):
商家可以将 cookie 设置为在浏览器会话结束后或未来几个小时内持续存在,以考虑到用户可能不小心关闭浏览器并有合理期望恢复当他在接下来的几分钟内返回商家的网站时,他的购物篮。
跨天维护购物车并不是“绝对必要的”,因此需要明确的同意。尽管这是用户可能期望的有用的东西:如果我把东西放在我的购物车里,不要结账,然后第二天回来,如果网站忘记了我的选择,我会很沮丧!
同样,假设您有“语言”下拉菜单或“暗模式”复选框”。除非您已使用“使用 cookie”( 3.6 )之类的文本明确标记 UI 控件,否则您无法保留此设置以供将来访问。
这样做的总体效果是,大多数网站将不符合 ePrivacy 标准,除非它们 (a) 获得用户的 cookie 同意或 (b) 聘请律师审查他们在 ePrivacy 环境中所做的每件事,并谨慎行事更改以将所有内容保持在“严格必要”的严格范围内。我们看到这么多饼干横幅并不奇怪!
[1] 从技术上讲,如果“仅出于在电子通信网络中进行传输的目的,并且只要信息的存储时间不超过传输和流量管理所需的时间,并且在存储期间,保密性得到保证”。但是“严格必要”的标准几乎涵盖了实践中的所有内容。