2025年9月1日,法国 CNIL 对 SHEIN 爱尔兰子公司开出 1.5 亿欧元 Cookie 罚单。本文拆解四项违规:未经同意即植入广告 Cookie、拒绝按钮缺失、第三方身份未披露、点击“全部拒绝”后仍继续放置 Cookie,并说明为何合规不能只看 GDPR。
Oracle 同意设立 1.15 亿美元的基金,以和解关于其非法收集、使用用户数据的指控。
韩国金融监督院查明 Kakao Pay 在未取得用户同意的情况下,将用户个人信息从韩国跨境传输至中国的支付宝公司,此举或违反韩国《信用信息利用和保护法》。
隐私合规散布在日常业务的具体场景里:网站 Cookie 的 opt-in/opt-out 同意机制、App 权限与敏感数据、IoT 设备的多端通信、第三方服务引入的风险协议,以及数据跨境传输。本文面向出海企业逐一说明这五类常见场景各自的合规要点与易被忽视的风险。
出海隐私合规可拆成四步闭环:全面检测当前合规状况并做法规适配、针对合规差距开展风险治理、准备合规自证材料、保持持续的合规运营。本文面向出海企业说明每一步的具体动作,包括对外披露政策、Cookie 同意管理、认证咨询,以及新产品的隐私设计评估。
欧洲数据保护委员会(EDPB)已就大型在线平台运营的“同意或付费”模型发布了关于行为广告的指南。
Kaamel 提供了一种Cookie同意解决方案,以帮助公司符合Google的标准,包括扫描和分类cookies,开发和集成Cookie同意横幅,以及同意管理。
在线服务平台引入了“同意或付费”模型,让用户选择同意收集数据进行广告或选择付费的无广告服务。欧洲数据保护当局正在检查其影响,并向EDPB寻求指导。
2024 年 1 月,Meta 拟支付 5100 万美元和解加拿大隐私集体诉讼。Facebook「赞助故事」广告计划在 2011–2014 年间未经知情同意使用用户姓名、照片和邮箱,约 430 万人受影响。本文以加拿大 PIPEDA 的有效同意三要件解析本案。
为应对 2024 年 3 月施行的欧盟 DMA,Google 要求所有向欧盟投放广告的客户部署 Consent Mode,并接入同意管理平台(CMP)以获取有效同意。本文说明 Consent Mode 的运作方式、基础与高级实现的区别,以及广告主扫描 Cookie、部署同意横幅的落地步骤。
2023 年 11 月 30 日,欧洲消费者组织 BEUC 联合 19 家成员向消费者保护机构(CPC)投诉 Meta 的「付费或同意」模式:要求 Facebook、Instagram 用户要么同意广告数据处理、要么付费去广告,并评估其是否违反 GDPR 的自愿、知情、区分性同意要求。
Meta 在 EDPB 全 EEA 禁令后推出“付费去广告、否则接受行为广告”的订阅模式,挪威、丹麦数据保护局质疑其是否违反 GDPR 的自由同意原则。本文梳理 EDPB 禁令始末、爱尔兰 DPC 的执法角色,以及“付费或同意”模式为何触碰同意有效性的红线。
2023年10月20日,比利时数据保护局发布 Cookie 检查清单,明确除严格必要外须先取得自由、具体、知情、明确的同意。本文提炼功能性 Cookie 的免同意豁免、禁用 Cookie 墙与欺骗性设计、分层告知与便捷撤回同意等可直接落地的合规要点。
2023 年 7 月,法国 CNIL 在谷歌为搜索与 YouTube 的法国用户增设“全部拒绝”按钮后,解除 2021 年的 Cookie 禁令。本文回顾 1.5 亿欧元罚款的由来、ePrivacy 指令第 5(3) 条的同意要求,以及 CNIL 认定违规的三个维度与后续跟踪。
2022年5月,Twitter 因把用户为多因素认证提供的电话、邮箱挪作定向广告,向 FTC 支付1.5亿美元和解,逾1.4亿用户受影响。本文拆解定向广告的欧美监管口径(含 Amazon 7 亿欧元、Google 5000 万欧元 GDPR 罚单),给出信息透明、有效同意、可撤回退出三条合规红线。
暗黑模式(Dark Pattern)用误导性界面诱导用户交出数据或放弃退出权。本文按 FTC 2022年9月《暗黑模式报告》分类,结合 TransUnion、LinkedIn、Airbnb 案例,梳理 GDPR、CCPA/CPRA 如何约束欺骗性同意与退出设计。