了解 cookie 法规和实施有效的同意管理解决方案对每个网站来说都至关重要。本指南探讨了欧洲和美国法规之间的差异，分析了 Google 同意模式的工作原理，并比较了主要的同意管理解决方案。

‍

Cookie 法和同意管理：2025 年的更新

了解 cookie 法规和实施有效的同意管理解决方案对每个网站来说都至关重要。本指南探讨了欧洲和美国法规之间的差异，分析了谷歌同意模式的工作原理，并比较了主要的同意管理解决方案以及 2025 年的最新更新。

‍

欧洲立法：《个人信息保护条例》和《电子隐私指令

在欧洲，个人数据和网络隐私的保护主要受两项立法的制约：

一般数据保护条例》（GDPR）

GDPR 于 2018 年生效，对个人数据的处理提出了严格要求，并确立了基本原则：

• 合法性和透明度：所有处理都必须有有效的法律依据
• 数据最小化：只收集必要的数据
• 安全：确保采取适当的保护措施

为了收集和处理个人数据（包括 cookie 等在线标识符），必须有有效的法律依据，如您的明确同意、合法利益或合同义务。

‍

违反 GDPR 可导致极高的处罚，最高可达公司全球营业额的 4%。

电子隐私指令

电子隐私指令》（2002/58/EC，2009 年修订）特别关注电子通信中的隐私问题，包括 Cookie 和跟踪技术的使用。

指令》第 5(3)条规定，在用户的设备上存储或访问信息之前，必须事先征得用户的同意，但也有例外情况（如严格必要的技术 cookies）。

实际上，这意味着欧洲网站必须

• 明确告知用户使用 cookie 的目的
• 在设置非必要的 cookie 之前，征得自由、具体和知情的同意
• 允许用户随时拒绝和修改首选项

欧洲隐私管理机构积极制裁违规行为：例如，法国 CNIL 在 2020 年至 2022 年期间对谷歌和亚马逊在未经有效同意的情况下存放跟踪 Cookie 的行为处以罚款。

‍

2025 年更新

2024 年 3 月，欧盟《数字市场法案》（DMA）生效，进一步收紧了对大型技术平台的同意要求，对 cookie 和跟踪管理产生了重大影响。这促使谷歌等公司更新其同意管理解决方案。

‍

2025 年 2 月，欧盟委员会正式撤回了新的《电子隐私条例》提案，保留了现行指令。这意味着 Cookie 的同意要求将保持不变，仍然具有约束力，并在欧洲范围内严格执行。

‍

2024 年 3 月，欧洲法院就 IAB TCF 案件做出了一项重要裁决，对《透明与同意框架》的实施产生了重要影响，各公司仍在消化吸收。

‍

美国法规：CCPA、CPRA 和各州的发展情况

美国与欧盟不同，没有与 GDPR 类似的联邦隐私法。监管发生在州和部门层面，近年来有了重大发展。

CCPA（《加州消费者隐私法》）和 CPRA（《加州隐私权法）

2020 年生效的 CCPA 得到了 CPRA（2023 年生效）的加强，使其更加接近欧洲模式。

CPRA 已经

• 除 "出售 "数据外，还引入了 "共享 "数据的概念
• 赋予消费者选择拒绝的权利，甚至拒绝为跨语境广告目的共享其个人数据
• 定义一类敏感个人信息，并赋予其限制使用的专门权利
• 扩大了现有权利，并设立了一个专门机构，即加州隐私保护机构 (CPPA)

2025 年更新

2023 年至 2025 年期间，美国的隐私格局经历了快速演变：

截至 2025 年 1 月，美国已有多达 20 个州制定了全面的数据隐私法，其中 8 项新法律将于 2025 年生效。这意味着约 40% 的美国消费者现在享有数字隐私权。然而，监管分散给企业带来了巨大挑战，企业必须在往往相似但不完全相同的要求之间游刃有余。

‍

加利福尼亚州仍处于前列，2024-2025 年，CPPA 尤为活跃。该机构发布了几项重大处罚，包括在 2024 年对一家云软件公司处以 675 万美元的罚款。该机构还发布了关于网络安全、风险评估和自动决策技术（ADMT）的新法规提案，公开征求公众意见的时间截止到 2025 年 6 月。

‍

在 cookie 管理方面最相关的进展中，加利福尼亚州扩大了 "敏感个人信息 "的定义，将 "神经数据"（通过测量神经系统活动生成的信息）包括在内，并明确指出个人信息还包括数字和抽象格式，如人工智能生成的信息。

‍

特拉华州通过了一项隐私法，与其他法律不同的是，该法没有将非营利组织和学术机构排除在其覆盖范围之外，从而大大拓宽了该法的适用范围。

‍

与欧盟不同，美国的模式仍主要基于选择退出而非事先同意。因此，为欧盟用户提供服务的美国网站必须为这些用户采用符合 GDPR 的横幅广告，而对于美国用户，网站只需显示通知和选择退出链接，而无需事先阻止 Cookie。

‍

IAB TCF：透明度与共识框架

欧洲互动广告局 (IAB) 制定了 "透明与同意框架"(TCF) 作为行业标准，以帮助公司管理用户同意，遵守 GDPR 和 ePrivacy 指令，尤其是与数字广告相关的规定。

TCF 开发和版本

TCF 已经经历了多次迭代：

• TCF v1.1：2018 年 4 月推出
• TCF v2.0：2019 年 8 月推出
• TCF v2.1：2020 年 8 月推出，与欧盟法院的 Planet49 裁决保持一致
• TCF v2.2：根据与比利时数据保护局（DPA）商定的行动计划，于 2023 年 5 月启动，2023 年 11 月实施

TCF v2.2：主要变更

TCF v2.2 引入了重要变更：

1. 取消将合法利益作为广告和内容定制的法律依据。对于目的 3、4、5 和 6（创建个性化广告档案、选择个性化广告、创建个性化内容档案和选择个性化内容），现在只允许明确同意。
2. 更方便用户的说明取代了有关目的和功能的法律信息，使与用户的沟通更清晰、更方便。
3. 供应商信息的标准化和扩展，包括收集的数据类别、保留期限和合法权益应用指南。
4. 对出版商的要求更加严格，他们必须披露已在第一级 CMP 中使用的供应商和谷歌广告技术提供商的总数。
5. 改进执行机制，采用新的审计流程和有区别的执行程序。

TCF v2.3：最新进展

2025 年 4 月，IAB 技术实验室和 IAB 欧洲分部将 TCF v2.3 技术规范公开征求公众意见，征求意见期至 2025 年 5 月 19 日。更新的目的是在不清楚是否已向用户披露数据的特定情况下，为供应商提供更清晰的信息，这在供应商打算基于合法利益为特殊目的处理数据时尤为重要。

TCF v2.3 的时间表包括

• 2025 年 5 月底：最终确定技术规格
• 2026 年 2 月 1 日： 所有《议定书》缔约方和供应商更新其实施以支持 v2.3 的截止日期

谷歌 "同意模式"：何为 "同意模式 "及其工作原理

为了帮助网站和广告商尊重用户的同意选择，谷歌推出了 "同意模式"（Consent Mode），这是一种根据用户的同意状态调节谷歌标签行为的技术解决方案。

谷歌同意模式 V2

2023 年 11 月，谷歌推出了同意模式 V2，规定使用谷歌服务并收集欧洲经济区（EEA）用户数据的网站必须在 2024 年 3 月前实施。这一更新是专门为与欧盟《数字市场法》（DMA）保持一致而设计的。

除原有参数外，同意模式 V2 还引入了两个新参数：

• ad_storage和analytics_storage（现有）：控制广告和分析 cookie 的存储
• ad_user_data（新）：管理同意将个人数据用于广告目的的权限
• ad_personalisation（新）：管理同意将数据用于个性化再营销的权限

与 ad_storage 和 analytics_storage 不同，这些新参数不会影响网站本身的标签行为，而是发送给谷歌服务的附加参数，用于指示如何使用用户数据。

实施方法

谷歌同意模式 V2 有两种实施模式：

1. 基本同意模式：在用户与 "同意 "横幅互动之前，谷歌标签会被完全屏蔽。如果用户不同意，则不会收集任何信息。
2. 高级同意模式：在用户与横幅互动之前加载 Google 标签。如果用户不同意，标签将在有限模式下工作，发送 "匿名 pings"（不含用户标识符），谷歌将利用这些信息对结果进行统计建模。

值得注意的是，一些隐私专家对高级模式是否符合数据保护法规提出了质疑，因为 "ping "可能代表未经同意而处理的个人数据。

对营销和分析的影响

如果没有谷歌同意模式，广告平台就无法获取欧洲经济区新用户的数据，从而大大限制了收集受众数据、衡量广告活动效果和实施有针对性的广告策略的能力。

‍

有了同意模式 V2，网站可以通过尊重同意偏好的先进建模技术，在用户未同意使用 cookie 的情况下继续收集基本分析数据。

‍

‍

同意管理解决方案（CMP）

为了遵守所有这些规定，网站使用同意管理平台 (CMP)，该平台提供了获得用户同意的横幅和界面，以及尊重这些选择的机制。

国际生物伦理委员会在《议定书》/《公约》缔约方会议中的作用

IAB 在通过 TCF 框架认证 CMP 方面发挥着关键作用。通过 IAB TCF v2.2 认证的 CMP 必须：

1. 显示有关数据处理目的的明确信息
2. 收集用于不同目的的细粒度同意书
3. 使用户能够轻松更改自己的偏好
4. 安全存储同意书（TC 字符串）
5. 以标准化 TCF 格式将这些偏好传达给所有供应商

2023-2024 年，谷歌对希望在欧盟和英国支持谷歌广告的 CMP 提出了具体的认证要求，主要要求是符合 IAB TCF 的最新规定。通过谷歌认证的 CMP 可以使用谷歌广告产品，并被列入官方名单。

2025 年前主要 CMP 解决方案的比较

芬丝特（Finsweet Cookie Consent）

该解决方案特别针对使用 Webflow 构建的网站，完全支持 IAB TCF v2.2 和 Google Consent Mode v2。

优势

• 免费（基本版）
• 完全图形定制（横幅直接内置在 Webflow 设计器中）
• 面向 Webflow 用户的无代码方法

缺点

• 需要专业技术知识才能正确实施
• 免费版本仅涵盖 GDPR 的基本内容
• 需要订阅才能使用 Google 同意模式 v2 等高级功能。

适合人群：使用 Webflow 的开发人员或机构，他们需要完全控制和定制设计。

Cookie 是

即插即用解决方案已更新为支持 IAB TCF v2.2 和 Google Consent Mode v2，现已获得 Google CMP 合作伙伴金牌认证。

优势

• 易于使用（只需复制/粘贴代码）
• 自动扫描网站 cookie
• 定期更新以符合法规要求
• 支持对 Google 同意模式 v2 的实施进行故障排除

缺点

• 定制选项有限
• 循环订阅模式
• 对于要求较高的品牌来说，可能过于简单

适用于：小型网站或希望快速上手的业主。

Iubenda Cookie 解决方案

Iubenda 是一家意大利公司，提供一整套合规工具，并已全面更新以支持 IAB TCF v2.2 和 Google Consent Mode v2。

优势

• 一体化解决方案（包括多语言隐私和 cookie 政策生成器）
• 通过 IAB TCF v2.2 认证
• 同意模式 V2 的谷歌合作伙伴
• 保存每次审计的同意记录
• 支持用户地理定位和欧盟/美国差异化管理

缺点

• 服务费（根据所使用的服务制定年度计划）
• 对于非常小的场地来说，它的尺寸可能过大
• 对于 Webflow 用户来说，它不像 Finsweet 那样是 "本地 "的

适用于：寻求专业、全面解决方案的企业，只需最少的维护。

Cookiebot （Usercentrics CMP）

最早流行的 SaaS CMP 解决方案之一，现已成为 Usercentrics 平台的一部分。

优势

• Cookie 合规自动化
• 定期扫描跟踪器和 Cookie，自动对其进行分类
• 生成更新的动态 cookie 政策
• 通过 TCF v2.2 认证，与 Google 同意模式 v2 兼容
• 多辖区合规支持（欧盟和美国）

缺点

• 免费商业模式，成本随流量增长而增长
• 适度的横幅定制
• 不能像 Finsweet 一样完全从头开始绘制

适用于：中型网站和希望将 cookie 管理委托给自动化系统的公司。

UniConsent

新兴的 CMP 提供与 Google Consent Mode V2 和 IAB TCF v2.2 集成的完整解决方案。

优势

• 与两种 Google 同意模式 V2（基本和高级）轻松集成
• 支持 IAB TCF v2.2 合规性
• 使用 Google Analytics 4 (GA4) 简化配置
• 用于同意管理的直观仪表板

缺点

• 与其他解决方案相比，品牌知名度较低
• 提供范围较小的文件

理想对象：正在寻找侧重于与 Google 同意模式 V2 集成的解决方案的公司。

企业解决方案

对于大型跨国组织，有 OneTrust、TrustArc、Didomi、Usercentrics、Osano 等企业级 CMP。

优势

• 与业务系统（客户关系管理系统等）深度集成
• 高级定制
• 多渠道同意管理（网络、移动应用程序、联网电视）
• cookie 之外的合规形式（处理利益相关者的要求、影响评估）
• 全球支持多辖区合规性

缺点

• 高预算
• 复杂的实施
• 需要专业建议

适用于：具有全球业务和复杂共识管理需求的大型公司。

结论

要适应 cookie/隐私法规，既需要对不同法规有法律上的了解，也需要实施适当的技术解决方案。

‍

欧洲实行严格的事先同意制度，而美国则实行有透明度义务的 "选择退出 "制度，尽管各州的法律正逐步向更严格的标准发展，向欧洲模式靠拢。

‍

谷歌同意模式 V2 和 IAB TCF v2.2/v2.3 等工具有助于缩小营销与隐私之间的差距，使网站在使用分析和广告服务的同时遵守 cookie 法律。

‍

同意管理平台的选择取决于网站规模、可用技术资源、预算和跨国合规需求等因素。重要的是，要让用户真正控制自己的数据，让网站透明运行并遵守适用法律。

‍

在欧洲和美国运营的公司需要继续驾驭复杂多变的监管环境，根据不同的司法管辖区调整其同意管理解决方案。

‍

关于 cookie 立法和同意管理的常见问题

欧洲和美国 cookie 法律的主要区别是什么？

在欧洲（GDPR 和 ePrivacy 指令），选择接受模式占主导地位：在使用非必要 cookies 之前必须获得用户的明确同意。相比之下，在美国（CCPA/CPRA 和其他州的法律），选择退出模式占主导地位：在用户明确表示反对之前，可以使用 cookies，而且公司必须提供明确的退出出售/共享数据的方式。

‍

在欧洲，哪些 cookie 无需用户同意即可使用？

在欧洲，只有 "严格必要的"（或 "技术性的"）cookie 才能在未经同意的情况下使用。这包括网站运行所必需的 Cookie，如用于身份验证、电子商务购物车中的项目存储或网站安全的 Cookie。

‍

什么是 Google 同意模式 V2，为什么它很重要？

谷歌同意模式 V2 是一个向谷歌传达用户同意选择的界面。它引入了四个同意参数（ad_storage、analytics_storage、ad_user_data、ad_personalisation）来管理 Google 标签的行为。它之所以重要，是因为它允许网站在营销绩效衡量和隐私合规性之间取得平衡，而且从 2024 年 3 月起，在欧洲使用谷歌服务的网站必须使用该模式。

‍

如何为我的站点选择最合适的 CMP 解决方案？

选择取决于几个因素：网站规模和流量、可用预算、内部技术专长、网站构建平台（如 Webflow、WordPress）以及具体的合规要求。同样重要的是，要检查 CMP 是否通过了 IAB TCF v2.2 认证并支持 Google 同意模式 V2，尤其是在使用 Google 广告服务的情况下。

‍

不使用营销或分析 cookie 的网站是否也需要 cookie 横幅？

在欧洲，从技术上讲是的。即使网站只使用必要的 cookie，仍有必要告知用户使用了哪些 cookie。不过，在这种情况下，没有必要征求同意，因此可以将横幅简化为无需互动的信息通知。

‍

不遵守 cookie 法规会受到什么处罚？

在欧洲，违反 GDPR 可导致最高达全球年营业额 4% 或 2,000 万欧元的处罚，以金额较高者为准。在加利福尼亚州，违反 CCPA/CPRA 可导致民事处罚，每次无意违规最高罚款 2,500 美元，每次故意违规最高罚款 7,500 美元，还可能导致消费者诉讼。监管机构在执法方面更加积极，近年来已开出多张巨额罚单。

‍

谷歌同意模式 V2 是否取代了 cookie 横幅？

不，谷歌同意模式 V2 不会取代横幅 cookie，而是与之协同工作。仍然需要一个系统来收集用户同意（CMP），然后将偏好传达给谷歌同意模式，以规范标签行为。

‍

如何为同时拥有欧洲和美国用户的网站管理同意书？

最好的解决办法是实施一个系统，识别用户的地理位置，并显示相应的界面：欧洲用户显示 "选择加入 "横幅，美国用户显示 "选择退出 "通知。最先进的 CMP 都具有这种地理定位功能。

‍

什么是 IAB TCF，为什么它很重要？

IAB 透明度与同意框架 (TCF) 是一项行业标准，可帮助公司管理用户同意，遵守 GDPR 和 ePrivacy 指令，尤其是在数字广告方面。它为出版商、广告商和广告技术提供商之间收集、存储和共享用户同意偏好提供了一个标准化机制。最新版本 TCF v2.2 旨在提高透明度和问责制，是根据数据保护机构的指导意见开发的。

‍

TCF v2.3 有哪些主要新功能？

TCF v2.3 目前正在公开征求意见，截止日期为 2025 年 5 月，其目的是在不清楚是否已向用户披露数据的特定情况下，为供应商提供更清晰的说明。当供应商打算基于合法利益为特殊目的处理数据时，这种区分尤为重要。技术规范预计将于 2025 年 5 月底定稿，实施期限为 2026 年 2 月 1 日。

‍

资料来源

1. IAB Europe (2025).TCF v2.3 公开征求意见"。IAB 技术实验室。https://iabtechlab.com/tcf-v2-3-is-open-for-public-comment/
2. 欧洲 IAB（2025 年）。"TCF 2.2 发布！你需要知道的一切"。https://iabeurope.eu/tcf-2-2-launches-all-you-need-to-know/
3. IAB Europe (2025)。"TCF 支持资源"。https://iabeurope.eu/tcf-supporting-resources/
4. 谷歌（2025 年）。欧洲经济区 (EEA) 流量同意模式更新"。谷歌标签管理器帮助。https://support.google.com/tagmanager/answer/13695607
5. Termly (2025)。"什么是谷歌同意模式 v2？"。https://termly.io/resources/articles/what-is-google-consent-mode-v2/。
6. Cookieyes (2024)。"什么是 Google 同意模式 V2？如何实施？"。https://www.cookieyes.com/blog/google-consent-mode-v2/.
7. CookieFirst (2024)。"谷歌同意模式 V2 解读"。https://cookiefirst.com/google-consent-mode-v2-released/
8. 彭博法律（2025 年）。"哪些州有消费者数据隐私法？"。https://pro.bloomberglaw.com/insights/privacy/state-privacy-legislation-tracker/.
9. IAPP (2025)。"美国各州隐私立法跟踪"。https://iapp.org/resources/article/us-state-privacy-legislation-tracker/
10. 加州隐私保护局 (2025)。"关于 CCPA 更新、网络安全审计、风险评估、自动决策技术 (ADMT) 和保险公司的法规提案。"https://cppa.ca.gov/regulations/ccpa_updates.html
11. White & Case LLP (2025)。"数据隐私更新"。https://www.whitecase.com/insight-alert/data-privacy-update-2025
12. 加州律师协会 (2025)。"2025 年的州隐私法--值得期待》。https://calawyers.org/privacy-law/state-privacy-law-in-2025-what-to-expect/。