本文導讀

第　壹　章

Cookie 的四大分類

從必要到行銷的不同合規要求

4類

Cookie 分類

必要 Cookie / 功能 / 統計分析 / 行銷追蹤,各有不同合規要求

3套

國際法律標準

我國個資法 + 歐盟 ePrivacy 指令 + GDPR

2025

第三方 Cookie 退場

Google Chrome 計畫 2025 年起停止支援第三方 Cookie

TYPE I

必要 Cookie

網站運作必須(購物車、登入狀態)。多數法律允許不需同意,但需告知。

TYPE II

功能 Cookie

記住偏好(語言、字級)。建議告知,部分法律要求同意。

TYPE III

統計分析 Cookie

Google Analytics 等流量分析。GDPR 嚴格要求事前同意,我國較寬鬆但建議告知。

TYPE IV

行銷追蹤 Cookie

廣告平台、再行銷追蹤。法律要求最嚴格的事前明確同意。

第　貳　章

三大法律的同意要求對照

從寬鬆到嚴格

第　參　章

Cookie 之外的追蹤技術

指紋、廣告 ID、像素、跨網域

TECH I

設備指紋 Fingerprinting

透過瀏覽器設定、字型、解析度等組合識別設備。比 Cookie 更難規避,法律監管追上中。

TECH II

行動裝置 IDFA / GAID

iOS 與 Android 的廣告 ID。Apple 已限制(ATT 框架),Google 正逐步減少。

TECH III

追蹤像素

網頁中嵌入的小圖,記錄使用者行為。常用於 Email 與廣告平台追蹤。

TECH IV

跨網域追蹤

透過多個網站的 ID 拼接重建使用者完整數位足跡。是當代隱私最大威脅。

第　肆　章

結語 · 下一篇:個資保護委員會

Q.　我的網站要怎麼處理 Cookie 同意?

A.　三大原則:第一,事前告知(網站首次造訪即顯示 Cookie 通知);第二,分項同意(必要/分析/行銷各別選項);第三,易於撤回(同意管理機制)。實務工具:OneTrust、Cookiebot、Termly 等專業平台,自動處理多語言、地理區別、版本紀錄。建議:服務歐盟用戶務必使用,僅服務台灣用戶可採簡化版。

Q.　用 Google Analytics 需要使用者同意嗎?

A.　視適用法律。歐盟 GDPR + ePrivacy:嚴格要求事前明確同意(預設不勾選)。我國個資法:較寬鬆,告知即可,但建議仍提供拒絕選項。實務:若有歐盟流量,務必使用 GA4 + Consent Mode + 事前同意機制;僅服務台灣的網站,可採告知 + 拒絕機制。

Q.　第三方 Cookie 要被淘汰了,對行銷有什麼影響?

A.　重大影響。Apple Safari 已封鎖第三方 Cookie,Google Chrome 計畫 2025 年起逐步淘汰。對廣告產業:第一,跨網域追蹤大幅困難;第二,再行銷效率下降;第三,需轉向第一方資料(Direct Customer Data)、情境廣告(Context-based)、聯合學習(Federated Learning)等替代技術。建議業者提早佈局。

Q.　設備指紋追蹤合法嗎?

A.　灰色地帶。我國個資法未明文,但若指紋足以識別個別使用者,應視為個資處理,需符合一般要件(告知、合法基礎)。GDPR 與歐盟主管機關採嚴格立場:設備指紋屬個資,需明確同意。建議業者:第一,優先採用使用者主動同意的識別方式;第二,使用指紋追蹤須事前告知並獲同意;第三,定期評估法律動態。

Q.　我的 App 用了 Facebook SDK,有合規風險嗎?

A.　有。Facebook SDK 等第三方 SDK 會將使用者資料傳至 Meta 用於行為廣告。合規重點:第一,事前明確告知(在隱私政策說明 SDK 使用、資料流向、Meta 處理);第二,取得使用者同意(尤其是行銷追蹤);第三,iOS ATT 框架配合(Apple 要求請求追蹤許可);第四,Meta 資料處理協議(數據共享協議)。建議由律師全面評估 SDK 合規。