现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)
Cookie合规与用户追踪
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:个人信息保护 | 算法合规 | 数据处理合法性基础
核心法条
- 《个人信息保护法》第 4 条:Cookie 属于"与可识别的自然人有关的各种信息",构成个人信息 [现行有效]
- 《个人信息保护法》第 13 条:Cookie 收集须有合法性基础,通常应取得用户同意 [现行有效]
- 《个人信息保护法》第 14 条:同意应当由个人在充分知情的前提下自愿、明确作出 [现行有效]
- 《个人信息保护法》第 24 条:利用个人信息进行自动化决策(包括用户画像、个性化推荐),应保证透明度和公平性,不得实行不合理差别待遇 [现行有效]
- 《个人信息保护法》第 15 条:个人有权随时撤回同意,撤回后处理者应当停止处理 [现行有效]
- 《网络安全法》第 41 条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则 [现行有效]
- 《常见类型移动互联网应用程序必要个人信息范围规定》(2021 年 5 月 1 日起施行):App 收集个人信息的必要范围 [现行有效]
- GDPR 第 5 条、第 7 条:欧盟 Cookie 合规参考——同意须自由、具体、知情且可撤回
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》施行 | 现行有效 |
| 2021-09-01 | 《数据安全法》施行 | 现行有效 |
| 2021-11-01 | 《个人信息保护法》施行 | 现行有效 |
一、Cookie 的法律定性
1.1 Cookie 属于个人信息
《个人信息保护法》第 4 条对"个人信息"的定义涵盖了 Cookie:
"个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。"
Cookie 通过设备标识符、浏览行为等数据,能够关联到特定自然人,属于"可识别信息"范畴。
1.2 Cookie 的分类
| 类型 | 用途 | 法律风险等级 |
|---|---|---|
| 必要 Cookie | 维持网站基本功能(登录、购物车) | 低,通常可基于"合同必需"合法性基础 |
| 功能性 Cookie | 提升用户体验(语言偏好、字体设置) | 中,需告知并征得同意 |
| 分析 Cookie | 统计分析(用户量、页面访问率) | 中高,需征得同意 |
| 广告 Cookie | 跨站追踪、精准投放、再营销 | 高,需单独同意,跨境传输另有要求 |
1.3 追踪技术扩展
除传统 Cookie 外,以下技术也受到相同法律规制:
- 本地存储(LocalStorage/SessionStorage)
- 设备指纹(Device Fingerprinting):基于浏览器特征、设备属性生成唯一标识符
- 像素标签/信标(Web Beacon/Pixel Tag):嵌入网页的图片,用于追踪访问行为
- SDK(软件开发包):App 内嵌的第三方追踪代码
- 跨设备追踪:关联同一用户在不同设备间的行为数据
二、Cookie 收集的合法性基础
2.1 知情-同意核心规则
《个保法》第 14 条要求同意必须满足以下条件:
- 充分知情:用户应被清楚告知哪些 Cookie 被使用、目的、数据保留时间、第三方的访问范围等
- 自愿明确:用户须通过主动行为(如点击"接受"、勾选复选框)作出同意
- 禁止预勾选:默认勾选的 Cookie 同意框不产生法律效力
- 分类同意:应允许用户对不同类型的 Cookie 分别作出选择
2.2 "不跟踪"(Do Not Track)选项
《个人信息保护法》第 15 条规定个人有权撤回同意。在 Cookie 场景中,实务上要求:
- 提供便捷的"拒绝/管理 Cookie"入口
- 撤回同意的操作应当与作出同意一样简便
- 不得以用户拒绝非必要 Cookie 为由限制基本服务
2.3 第三方 Cookie 的特别要求
当 Cookie 涉及向第三方提供个人信息时(如广告联盟、分析工具):
- 单独同意(《个保法》第 23 条):需明确告知接收方身份和用途
- 合同约束:与第三方签订数据处理协议,明确安全保护责任
- 跨境传输:境外第三方的情况适用数据出境合规要求(见数据出境合规)
三、用户追踪与画像的合规边界
3.1 用户画像的法律约束
《个人信息保护法》第 24 条确立了自动化决策的基本规则:
- 利用个人信息进行自动化决策,应当保证决策的透明度和结果的公平性、公正性
- 不得对个人在交易价格等交易条件上实行不合理的差别待遇("大数据杀熟"禁止)
- 通过自动化决策向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项
- 个人有权要求解释说明,并有权拒绝自动化决策
3.2 个性化推荐的合规要求
根据第 24 条第 2 款,个性化推荐服务必须:
- 提供关闭个性化推荐的选项("退出按钮")
- 不得通过算法歧视进行价格歧视等不合理差别对待
- 推送内容应当合法合规(不得利用算法推荐违法和不良信息,参照算法合规)
3.3 跨站追踪的合规挑战
- 跨站 Cookie:通过嵌入第三方元素(如广告、社交按钮)在多个网站间追踪用户
- 指纹追踪:利用浏览器和设备特征生成唯一标识符
- App 内 SDK 追踪:第三方 SDK 收集设备信息、位置、通讯录等
司法和监管趋势:
- App 非法收集个人信息(含 SDK)已被多部委联合专项整治
- "最小必要"原则适用于所有追踪数据采集场景
四、移动端 App 跟踪合规
4.1 App 权限与 Cookie 追踪的交叠
App 场景下,追踪不仅通过 Cookie,更大量通过设备权限实现:
| 权限类型 | 对应追踪行为 | 合规要求 |
|---|---|---|
| 位置权限 | 持续 GPS 追踪用户行踪 | 敏感个人信息(《个保法》第 28 条) |
| 通讯录权限 | 采集社交关系数据 | 敏感个人信息,单独同意 |
| 设备权限 | IMEI、MAC 地址等设备标识符 | 构成个人信息,需告知 |
| 相册/存储 | 扫描本地文件信息 | 须与服务功能直接相关 |
4.2 App 隐私政策与 Cookie 声明
App 应当在隐私政策中单独说明:
- 使用的各类 Cookie/SDK 的类型和目的
- 第三方服务提供商的身份和数据保护机制
- 用户管理 Cookie 的方法
- 数据保留期限
4.3 iOS 和 Android 生态要求
- iOS ATT 框架:App 须征得用户许可后方可跨 App/网站追踪
- Android Privacy Sandbox:逐步替代第三方 Cookie,对开发者提出新的合规要求
- 工信部通报:持续对违规 App(含违规 SDK 追踪)进行通报和下架
五、企业 Cookie 合规实务指南
5.1 合规检查清单
- Cookie 盘点:识别网站/App 使用的所有 Cookie 和追踪技术
- 分类标记:按必要/功能/分析/广告分类
- 同意管理器(CMP):部署 Cookie 同意管理平台,确保分类选择和随时撤回
- 隐私政策更新:专门章节说明 Cookie 使用情况
- 第三方协议:与广告联盟、分析工具等签订数据处理协议
- 日志管理:保存用户同意记录至少 5 年
- 持续监控:定期审计 Cookie 使用情况,更新同意选项
5.2 典型违法风险
| 风险类型 | 表现 | 法律依据 |
|---|---|---|
| 未征得同意 | 直接投放跟踪 Cookie 而无用户授权 | 《个保法》第 13-15 条 |
| 预勾选同意 | Cookie 同意框默认勾选 | 《个保法》第 14 条 |
| 无法拒绝 | 不接受追踪 Cookie 即无法使用网站 | 《个保法》第 16 条 |
| 超范围追踪 | 以"改善体验"为由超目的追踪 | 《数安法》第 8 条 |
| 跨境传输未合规 | 追踪数据传输至境外服务器 | 《个保法》第 38-40 条 |
5.3 行业监管动态
- 网信办等部委联合 App 违法违规收集使用个人信息专项治理
- 工信部对 App 违规收集用户信息行为的通报机制
- 欧盟 ePrivacy Regulation 趋势:可能进一步提高 Cookie 同意标准,影响面向欧盟市场的中国企业
知识库原始资料索引
法律法规
- 中华人民共和国个人信息保护法/_个人信息保护法_适用要点解读.md)
- 常见类型移动互联网应用程序必要个人信息范围规定
学术研究
- 最高法:审理人脸识别技术处理个人信息相关民事案件的司法解释
- 杨立新,赵鑫:利用个人信息自动化决策的知情同意规则及保障
- 邵山:个人信息保护法告知同意规则的实务疑难问题
地方指引与实务
- 企业数据合规指引(上海市杨浦区)
- 滴滴因违法收集个人信息下架
- 2024年数据保护领域值得关注的10大趋势
- 润物细无声的数据合规法律问题(海泰视点)