法規合規
要做歐洲的生意,你的網站符合 GDPR 嗎?
很多老闆以為 GDPR(歐盟《一般資料保護規則》)只是大公司的事。這是錯的。 只要你的網站想吸引歐盟使用者下單、註冊、留下聯絡資料,就在 GDPR 的管轄範圍內——即使你公司根本沒設在歐洲。罰款上限可達 2,000 萬歐元,或企業前一會計年度全球年營業額的 4%,取較高者。
下面是中小企業官網該知道的最少幾件事。
GDPR 為什麼跟台灣公司有關?
關鍵在 GDPR 第 3 條的「targeting 原則」(Article 3)。只要你符合下面任一條件,就算公司在歐盟之外,也受 GDPR 管轄:
- 向歐盟境內的人提供商品或服務(不論收不收費)
- 監測歐盟境內的人在線上的行為
「網站從歐盟可以打開」這件事本身不算——還要有「招攬意圖」的證據。EDPB(歐洲資料保護委員會)認定的訊號包括:
- 網站有歐洲語言版本(德、法、義、西…)
- 接受歐元付款、價格用歐元標示
- 提供國際運送或服務到歐洲
- 提到歐洲城市、客戶見證、案例
- 投放鎖定歐洲使用者的廣告
只要你打算開歐洲市場,就會至少踩到其中一條。詳見 GDPR.eu 的非歐盟公司指南。
網站合規的 6 個重點
| 項目 | 必做的事 |
|---|---|
| 隱私權政策 | 一頁清楚交代你收什麼資料、為什麼收、保存多久、傳給誰;放在 footer 等顯眼處 |
| 合法處理基礎 | 第 6 條列出 6 種合法基礎(同意、合約必要、法律義務…),你至少要對得上一種 |
| Cookie 同意 | 非必要 cookie(分析、廣告)必須先取得明確同意才能寫入 |
| 使用者權利 | 提供管道讓使用者查詢、更正、刪除、移植自己的資料 |
| 第三方處理者管理 | 確認 Google Analytics、Tally、Cloudflare 等第三方的 DPA/資料處理條款,並掌握你的使用方式與資料流向 |
| 資料外洩通報 | 若外洩可能危及當事人權利與自由,應於知悉後盡可能 72 小時內通報主管機關;屬高風險還需通知當事人 |
Cookie 同意:最容易踩雷的一塊
GDPR 第 4(11) 條定義的「同意」必須符合四個要件:
- 自由給予(freely given)—— 不能用「不同意就不給看」綁架使用者
- 特定(specific)—— 分析、廣告、個人化要分開選,不能綑綁
- 充分知情(informed)—— 講清楚你要收什麼、給誰用
- 明確表示(unambiguous)—— 必須是「主動勾選」,預設打勾不算
實作上最常見的錯誤:
- ❌ 橫幅只有「同意」按鈕、沒有「拒絕」(或拒絕藏起來)
- ❌ 預設所有 cookie 都打勾
- ❌ 使用者按「拒絕」之後,分析 cookie 還是照寫
- ❌ 沒有提供「撤回同意」的方式
「全部拒絕」要跟「全部同意」一樣容易找到——這是 EDPB 多次強調的重點(EDPB Cookie Banner 工作小組)。
Google Consent Mode v2 是什麼?
若你的網站針對 EEA/歐盟使用者使用 Google 廣告、再行銷或 Google 標籤量測,Google 要求網站把使用者的同意狀態傳給 Google;Consent Mode v2 是 2024 年 3 月起常見的技術實作方式——使用者同意前,GA4 走「無 cookie 模式」(cookieless pings),同意後再切換為完整模式。
Consent Mode v2 不是 GDPR 條文名稱,而是 Google 把「依使用者同意狀態調整追蹤行為」技術化的做法;對應的是 GDPR 與 ePrivacy 對 cookie/追蹤同意的要求。
延伸閱讀:本站的
/privacy與底部 cookie 同意橫幅,就是 Consent Mode v2 + 「全部同意 / 全部拒絕」的最小實作參考。是我們上週才導入的——花了大半天,但這是賣到歐洲的最低門檻。
不合規的代價
不是嚇你——GDPR 罰款是真的會落地:
- 2025 年 9 月:法國 CNIL 對 Google 開罰 €3.25 億、對 Shein 開罰 €1.5 億,理由都是 cookie 同意機制不合規
- 罰款上限:€2,000 萬,或企業前一會計年度全球年營業額 4%,取較高者
對中小企業而言,更直接的傷害是「被歐盟主管機關點名」對品牌信任的打擊。即使不到天價罰款,被列入合規黑名單就會影響你跟歐洲 B2B 客戶的合作。
自我檢查清單(10 題)
以下清單可作為初步檢查,不構成完整法律意見。若涉及大量歐盟用戶資料、廣告追蹤、特殊個資或跨境傳輸,建議另做正式合規評估。
- 隱私權政策有放在 footer 嗎?而且講人話、看得懂?
- 政策有寫明你如何處理歐盟訪客的資料嗎?
- 首次造訪有 cookie 同意橫幅嗎?
- 「全部拒絕」和「全部同意」按鈕視覺權重一樣嗎?
- 在使用者選擇前,所有非必要 cookie 都是 denied 狀態嗎?
- GA4 / 廣告像素在同意前是無 cookie 模式運作嗎?
- 訪客找得到「撤回先前同意」的方式嗎?
- 已確認 Tally、GA4、Cloudflare 等第三方的 DPA/資料處理條款?
- 若處理規模或敏感性達門檻,是否維護 ROPA(資料處理活動紀錄)?
- 若觸發 GDPR 第 37 條條件(公部門、大規模系統性監測、大規模特殊個資處理),公司是否指定 DPO(資料保護長)?
任何一題答「不確定」,建議就當作「否」處理。
小結
GDPR 不是只給大公司寫的法規。對台灣中小企業而言,只要你的網站對歐盟訪客開放、而且能看出有招攬意圖,你就在管轄範圍裡。
好消息是技術門檻其實不高——一份誠實的 cookie 橫幅、一頁完整的隱私政策、一張第三方處理者清單,多數中小企業官網都做得到。問題從來不是「能不能做」,而是「有沒有做」。
要做歐洲生意?先把這 10 題勾完再上路。
參考資料
官方/一手條文:
- GDPR Article 3 — Territorial scope(條文原文)
- EDPB Guidelines 3/2018 on the Territorial Scope of the GDPR (Article 3)(PDF,歐洲資料保護委員會官方指引)
- EDPB — e-Privacy 相關指引彙整
- GDPR Art. 83 — 行政罰款的一般條件(罰款上限:€2,000 萬或前一會計年度全球年營業額 4%)
- GDPR Art. 33 — 個資外洩通報(72 小時通報義務與例外)
- GDPR Art. 37 — DPO 指定條件(何時才必須指定資料保護長)
- Google — Updates to consent mode for traffic in EEA(Consent Mode v2 官方說明)
整合性指南: