你的網站需要 Cookie 同意視窗嗎?一篇搞懂 GDPR 與合規實作
一早打開某個國外品牌的官網,畫面底部浮出一條橫幅:「我們使用 Cookie 來改善您的瀏覽體驗,請選擇接受或管理您的偏好設定。」
你沒多想,按了「全部接受」,繼續滑網頁。根據統計,全球大約有 25% 的人跟你做了一樣的事,另外將近 69% 的人連看都不看,直接把那條橫幅關掉。
但回到你自己公司的網站——需要裝這個東西嗎?不裝會不會被罰?裝了又要注意什麼?
這篇文章幫你一次搞清楚:Cookie 同意視窗背後的法規叫什麼、跟台灣企業有什麼關係、以及如果要做,最少要做到哪些事。(先說結論:基本合規不花大錢,一個免費外掛就能處理大半。)
🍪 Cookie 到底是什麼?為什麼網站要「問你」
Cookie 就是網站存在你瀏覽器裡的一小段資料。它幫網站「記住你」:你的登入狀態、購物車裡放了什麼、你偏好的語言設定。沒有 Cookie,你每次重新整理頁面就得重新登入一次。
不過 Cookie 不只有這種「服務你」的用途。依照功能不同,Cookie 大致分成四類:
- 必要性 Cookie:讓網站能正常運作(登入、購物車),這種不用問你就能用
- 功能性 Cookie:記住你的偏好設定(語言、深色模式)
- 分析 Cookie:追蹤你在網站上的行為,像 Google Analytics 就靠這個運作
- 行銷 Cookie:追蹤你的瀏覽紀錄,讓廣告商可以在別的網站上對你投放廣告
後面三種都涉及追蹤你的行為,所以法律規定:網站在啟用這些 Cookie 之前,必須先問過你。這個「問你」的動作,就是你在各大網站上看到的 Cookie 同意視窗。
問題是,根據 2025 年一項針對超過 25 萬個網站的研究,有 43% 的網站根本沒在等你同意,就直接把追蹤 Cookie 塞進你的瀏覽器了。
那規範這件事的法律到底是什麼?就是接下來要談的 GDPR。
📜 GDPR 是什麼?三分鐘搞懂來龍去脈
GDPR 的全名是 General Data Protection Regulation(一般資料保護規則),2018 年 5 月在歐盟正式上路。它的誕生背景其實不複雜:歐盟原本有一套 1995 年的舊法,但 28 個成員國各自解讀、各自立法,搞出了 28 套不同的規則。加上 Facebook、Google 這些科技巨頭大量蒐集使用者資料,資料外洩事件越來越頻繁,歐盟決定用「一套統一的法規」解決這個亂象。從起草到通過花了四年,再給企業兩年緩衝期,最終在 2018 年正式施行。
GDPR 對企業的影響可以歸結成三件事:蒐集資料之前要告訴使用者、要經過同意、使用者隨時可以要求刪除。違反的罰款上限是 2,000 萬歐元(約 7 億台幣)或全球年營收的 4%,看哪個高就罰哪個。
這條法規還有個關鍵特性:不管你的公司在哪裡,只要你主動向歐盟居民提供商品或服務、或是追蹤他們的行為,就適用 GDPR。 舉例來說,如果你的網站提供歐洲語言版本、接受歐元付款、或是投放歐洲地區的廣告,你就可能需要遵守。單純有少量歐盟自然流量的話,風險相對較低,但只要你裝了 Google Analytics 或 Facebook Pixel,這些工具會自動對所有訪客設置追蹤 Cookie,包括來自歐盟的訪客——這就進入了灰色地帶。
截至 2026 年 1 月,GDPR 施行不到八年,累計罰款總額已經超過 71 億歐元。這不是一條「放著嚇人」的法律,它是真的在罰。
💰 不合規的代價有多高?看幾個真實案例
你可能覺得:被罰的都是 Meta、Google 這種巨頭,跟我有什麼關係?
確實,GDPR 歷來前十大罰款幾乎都是大型科技公司。但有幾個跟 Cookie 直接相關的案例,值得每個經營網站的人留意:
| 企業 | 罰款金額 | 年份 | 原因 |
| SHEIN | €1.5 億 | 2025 | Cookie 在使用者同意前就被安裝,「拒絕全部」按鈕無法正常運作 |
| €9,000 萬 | 2021 | YouTube 上沒有提供簡易的 Cookie 拒絕機制 | |
| €6,000 萬 | 2021 | Cookie 的拒絕機制不夠方便 | |
| Google Ireland | €6,000 萬 | 2021 | Cookie 拒絕選項不足 |
注意看 SHEIN 的案例。它被罰不是因為什麼複雜的資安漏洞,而是兩個看起來很基本的問題:Cookie 太早放了(還沒問就裝),以及「拒絕」按鈕壞掉了。這兩件事加起來,1.5 億歐元。
Google 的案例也一樣直白——不是不讓人拒絕 Cookie,而是拒絕的選項藏得太深、不夠明顯。光是這樣就被罰了 9,000 萬歐元。
這些案例傳達的訊息很清楚:Cookie 合規不只是「有沒有裝那個橫幅」的問題,而是橫幅的設計、按鈕的功能、Cookie 啟動的時機,每一個細節都可能踩雷。
🇹🇼 台灣企業到底需不需要做?
先講結論:看你的網站服務對象是誰。
如果你的客戶全部在台灣,目前台灣的個資法並沒有針對 Cookie 的專門規範,所以法律上沒有強制要求你裝 Cookie 同意視窗。
但如果你有主動經營歐洲市場(提供歐盟語言版本、接受歐元、投放歐洲廣告),那你就需要認真看待 GDPR。即使只是有自然流量,只要你裝了 GA4 或 Facebook Pixel,這些工具會自動對所有訪客設置追蹤 Cookie。想確認你的狀況?打開 GA4 報表,看「使用者 > 客層詳細資料 > 國家/地區」,如果有歐盟國家的流量,就值得認真考慮合規。
台灣個資法跟 GDPR 的幾個關鍵差異:
| 比較項目 | GDPR(歐盟) | 台灣個資法 |
| Cookie 規範 | 嚴格要求事前同意 | 沒有針對 Cookie 的專門規範 |
| 同意模式 | Opt-in(先問再做) | 部分情境允許 Opt-out(先做再讓你退出) |
| 罰款上限 | €2,000 萬或全球營收 4% | 相對較低 |
| 適用範圍 | 全球(只要涉及歐盟居民資料) | 主要適用國內 |
值得注意的是,台灣在 2025 年 10 月立法院三讀通過了個資法修正案,將成立獨立的「個人資料保護委員會」(PDPC),不過施行日期尚未公告,目前還在過渡期。但方向很明確:台灣的資料保護法規正在往國際標準靠攏。雖然 Cookie 的專門規範還沒跟上,趨勢是隱私保護只會越來越嚴,不會越來越鬆。
實務上的建議是:如果你有任何國際業務或計畫拓展海外市場,現在就把 Cookie 合規做起來。就算目前還不會被罰,這也是展現專業度和建立使用者信任的好方式。
🎯 想合規,你的網站最少要做這三件事
好消息是,基本的 Cookie 合規沒有想像中複雜,也沒有想像中花錢。以下是最核心的三件事:
第一,安裝 Cookie 同意視窗。 這是最直接的一步。視窗上必須清楚說明你的網站使用了哪些類型的 Cookie、用途是什麼,然後提供「接受」和「拒絕」兩個選項。重點來了:這兩個按鈕必須一樣大、一樣顯眼。如果你把「接受」做成一個大大的藍色按鈕,「拒絕」卻只是角落裡的一行灰色小字——恭喜,這就是所謂的「暗黑模式」,2025 年奧地利法院已經判定這種做法違規。
第二,準備一份隱私權政策頁面。 這個頁面要說明你蒐集了哪些資料、為什麼要蒐集、怎麼保護這些資料、以及使用者有哪些權利(像是要求刪除、要求提供副本等等)。重點是用一般人看得懂的語言寫,不要整頁都是法律條文。網站的每一頁都要能連到這個頁面,通常放在頁尾就行。如果你不確定怎麼寫,前面提到的外掛大多內建隱私權政策範本,可以拿來當起點再根據自家狀況調整。
第三,搞清楚你的網站到底用了哪些 Cookie。 很多網站主連自己網站上跑了幾顆 Cookie 都不知道。安裝主題、外掛、第三方追蹤碼的時候,Cookie 就一顆一顆地加上去了。做一次完整的 Cookie 掃描,把它們分類,然後確保非必要的 Cookie 只在使用者同意之後才啟動。基本設定一週內就能搞定,但如果你的網站用了很多第三方服務,完整的 Cookie 盤點可能需要幾天時間。
✅ 先做到基本合規,就贏過 85% 的網站
回到最前面的問題:你的網站需要那個 Cookie 同意視窗嗎?
如果你有經營國際市場或預計拓展海外業務,答案是需要的。而且根據 2025 年一項分析超過 25 萬個網站的研究,全球只有 15% 的網站達到 GDPR 的最低合規標準。剩下的 85% 不是不會被查,而是還沒輪到——歐盟近年的執法力度持續上升,民間組織(如 NOYB)也開發了自動偵測工具,中小型網站被舉報的可能性正在增加。
把上面三件事做好,你就已經站在比大多數網站更安全的位置了。費用方面,免費外掛就能處理基本需求;即使升級付費版也是每年幾千元台幣的等級。時間方面,基本設定一個下午,完整盤點看網站規模大概幾天到一兩週。
想自己先檢查一下?打開你的網站,按 F12 > Application > Cookies,看看裡面有多少你不認識的 Cookie——這是最快的起點。如果看完覺得需要專業協助,也歡迎找有經驗的團隊做一次完整的隱私合規健檢,確保每個環節都到位。
- What is GDPR? – GDPR.eu, 持續更新
- Cookies, the GDPR, and the ePrivacy Directive – GDPR.eu, 持續更新
- The History of the GDPR – European Data Protection Supervisor
- DLA Piper GDPR Fines and Data Breach Survey January 2026 – DLA Piper, 2026-01
- 61 Biggest GDPR Fines – Termly, 2025
- GDPR Enforcement Tracker – CMS Law, 持續更新
- Cookie Banner Design 2026 – SecurePrivacy, 2026
- 26 Studies on Cookie Banners – Ignite Video, 2025
- 個資法 2025 修正重點 – 廉貞法律事務所, 2025
- GDPR 對台商之影響研析 – 立法院, 2018
註:所有數據與引述均截至 2026 年 2 月
