电商 GDPR Cookie 同意指南

本指南将 GDPR 与 UK GDPR 的 Cookie 同意要求转化为电商落地步骤。仅供运营参考，务必与隐私顾问确认。

法律依据

同意 vs 合法利益

需要同意的场景

示例

说明

• Analytics、广告再营销、跨站追踪。
• 同意 ID + 时间戳必须在脚本执行前记录。

合法利益场景

示例

说明

• 订单确认、欺诈防护、系统安全。
• 需准备 Legitimate Interest Assessment，并提供退出渠道。

UK GDPR 差异

分离存证

控制

要点

• ICO 要求 UK 同意单独存储。
• 多语言站点需在 UK 页面提供英文政策。

数据存储

控制

要点

• 优先使用 EEA/UK 数据中心。
• 若跨境传输，准备 SCC/DPA。

Banner 模式

设计模式

明示 opt-in

结构

说明

• “接受全部 / 拒绝全部 / 管理偏好” 三按钮。
• 提供按类别的切换。

情境化文案

结构

说明

• 解释为何需要记录（VAT、客服等）。
• 链接到隐私政策与 EU compliance FAQ。

Cookie 分类

Do Not Track 与 GPC

浏览器信号

DNT

实现

步骤

• 侦测 navigator.doNotTrack === "1"，默认拒绝。
• 在 CMP 导出报告中记录逻辑。

Global Privacy Control

实现

步骤

• 在 Next.js middleware 解析 Sec-GPC，预设为拒绝。
• 提供管理面板便于用户重新授权。

SSR 注意事项

Hydration

步骤

说明

• 在服务端等待 CMP 状态后再注入脚本。
• 为不同语言缓存 Banner，避免显示错语言。

Edge vs Node

步骤

说明

• Edge 环境中减少复杂逻辑，可通过 flag 控制。
• 在调第三方 API 前清理所有非必要 Cookie。

实施要点

Shopify

必做

清单

项目

• 启用 Customer Privacy API，阻断自定义脚本。
• 用 Flow/Webhook 记录 DSAR。

建议

清单

项目

• 把 consent ID 同步到 CRM。
• 针对 EU/RoW 使用地理定位脚本差异化加载。

WooCommerce

必做

清单

项目

• 使用 Complianz/Cookiebot 等带自动阻断的插件。
• 将同意写入数据库或日志表。

建议

清单

项目

• 多站点环境需分站记录同意。
• DSAR 记录同步到 Helpdesk。

自建 Next.js

必做

清单

项目

• 在 middleware 中检查 Cookie/标头，决定是否渲染脚本。
• CMP Context consented === true 前拒绝执行第三方脚本。

建议

清单

项目

• 基于 NEXT_LOCALE 提供本地化 Banner。
• 将 DSAR 事件流向安全/审计系统。

监控

每日

Banner QA

负责人

清单

• 检查 PC/移动/多语言显示是否正常。
• 验证“拒绝”确实阻断 Analytics。

DSAR 队列

负责人

清单

• 监控 SLA，确保 30 天内回复。
• 记录处理方式（导出/删除）。

每周

政策同步

负责人

清单

• 若包装/DSA 信息更新，及时调整隐私政策。
• 与财务共享，以便发票引用最新政策。

CMP 审计

负责人

清单

• 对比 CMP Log 与服务器日志，排查偏差。
• 向合规小组汇报关键指标。

Ready to check your obligations? Run the Readiness Check → 检查同意流程