英国公司网站Cookie与GDPR合规完整指南(2026):隐私政策、Cookie横幅与ICO要求
英国有限公司运营网站时,须遵守数据保护相关法规。忽视这些要求可能导致ICO调查和高额罚款,特别是在数据泄露事件发生后。
一、英国网站须遵守的主要法规
| 法规 | 全称 | 主要涵盖 |
|---|---|---|
| UK GDPR | 英国通用数据保护条例(脱欧后版本) | 个人数据收集、处理、存储 |
| PECR | 隐私与电子通信条例 | Cookie、电子营销、追踪技术 |
| DPA 2018 | 数据保护法2018 | UK GDPR的补充立法 |
脱欧说明:英国脱欧后,UK GDPR与EU GDPR相互独立。若网站同时面向欧盟用户,须同时遵守两套规定。
二、Cookie合规要求
Cookie的分类
| Cookie类型 | 是否须同意 | 示例 |
|---|---|---|
| 严格必要Cookie | 否(豁免) | 登录状态、购物车、安全Cookie |
| 功能性Cookie | 须同意 | 语言偏好记忆、用户设置 |
| 分析/统计Cookie | 须同意 | Google Analytics、热图工具 |
| 营销/广告Cookie | 须同意 | Facebook Pixel、再营销Cookie |
Cookie同意横幅(Cookie Banner)要求
有效的Cookie同意须满足:
- 自由给予:用户须能自由选择接受或拒绝,不能预先勾选非必要Cookie
- 明确具体:须说明收集哪些数据、用于什么目的
- 知情同意:须以清晰易懂的语言描述
- 可撤回:用户须能随时撤回同意(设置中心)
- 有记录:须记录用户的同意/拒绝,作为合规证明
常见违规做法(ICO已明确反对):
- 横幅上只有"接受"按钮,无"拒绝"选项
- 将"拒绝"按钮设计得极难找到
- 进入网站前Cookie已开始运行
推荐Cookie管理工具
- Cookiebot:£8-24/月,自动扫描并管理Cookie
- CookieYes:免费版可用(500页面以内)
- OneTrust:企业级,价格较高
- Osano:适合中小型网站
三、隐私政策(Privacy Policy)
法律要求:根据UK GDPR,收集任何个人数据的网站必须提供隐私政策(Privacy Notice)。
隐私政策须包含的内容
| 必须涵盖的信息 | 说明 |
|---|---|
| 数据控制者身份 | 公司名称、注册地址、联系方式 |
| 收集的数据类型 | 姓名、邮箱、IP地址、支付信息等 |
| 数据处理目的 | 为什么收集这些数据 |
| 法律依据 | 合同履行/合法利益/同意/法律义务 |
| 数据保留期限 | 数据保存多久 |
| 数据共享 | 是否与第三方共享(如营销平台、支付处理商) |
| 用户权利 | 查阅权、更正权、删除权、可携权、反对权 |
| 投诉渠道 | ICO联系方式(ico.org.uk) |
| 脱欧后数据跨境 | 向欧盟/其他国家传输数据的说明 |
隐私政策放置要求:须在网站页脚链接,所有收集个人数据的表单旁也须提供链接。
四、ICO注册与数据保护费
法律要求:大多数处理个人数据的英国组织须向ICO注册并缴纳年度数据保护费。
2026年费用标准:
| 规模 | 年费 |
|---|---|
| 小型组织(营业额≤£632K 且 员工≤10人) | £40/年 |
| 中型组织(营业额≤£36M 且 员工≤250人) | £60/年 |
| 大型组织 | £2,900/年 |
豁免情形(无须注册):
- 仅为个人家庭目的处理数据
- 仅处理员工薪资相关数据(特定豁免)
- 仅维护公司成员名单等特定情形
未注册的后果:ICO可处以最高**£4,000**的固定罚款(与数据保护违规的更高罚款不同,这是单独针对未注册的罚款)。
五、违规的法律后果
| 违规类型 | 最高罚款 |
|---|---|
| UK GDPR严重违规(数据安全/处理原则) | £17.5M 或 全球营业额4%(取较高值) |
| UK GDPR一般违规 | £8.7M 或 全球营业额2% |
| PECR违规(Cookie/电子营销) | £500,000 |
| 未注册ICO | £4,000(固定罚款) |
六、快速合规清单
- 在网站安装Cookie同意横幅(有接受/拒绝选项)
- 制定并发布隐私政策(页脚链接)
- 向ICO注册并缴纳数据保护费
- 确保Google Analytics等工具已征得用户同意再激活
- 建立数据主体权利申请处理流程(用户要求删除数据时如何响应)
ukcompany.cn 可协助英国公司网站进行UK GDPR合规检查和隐私政策模板定制,全程中文服务。