科技巨头无视用户选择 点击“拒绝 Cookie”可能根本没用

这份由审计机构 webXray 发布的 2026 年 3 月审计报告指出，科技巨头在加州用户访问网站时，普遍无视用户的 Cookie 拒绝信号，继续通过跨站点 Cookie 跟踪用户行为。 Google、微软与 Meta 均对这一结论提出异议。 这些 Cookie 弹窗本是为响应欧洲隐私法规而诞生，后者要求网站在投放广告或跟踪 Cookie 前必须获取用户的明确同意。

在多年遭到用户抱怨“内容晦涩、诱导点击”“大家基本不看直接点”的前提下，欧洲监管机构近来推动简化 Cookie 规则，但 webXray 的最新审计发现，真实情况依然不乐观。 在针对加州用户的样本测试中，55% 的网站会在用户点击“拒绝”后仍然设置 Cookie，而 78% 的 Cookie 同意弹窗在技术上并未真正执行用户的选择，只是摆设。 webXray 估算，如果严格按照现行规则执行，这些广告技术公司可能需要支付约 58 亿美元罚款，但它们似乎更倾向于“先跟踪再说，罚款算成本”。

审计结果显示，在使用Google或微软广告网络的网站上，即便系统明确收到用户拒绝的信号，广告技术组件仍会发出指令，在用户设备上投放 Cookie。 webXray 通过公开的网络流量记录追踪这一行为，认为相关公司几乎没有刻意掩饰，而是直接在明面上继续跟踪。 具体数据方面，微软旗下的广告网络大约忽略了约半数“拒绝”信号，并在 35% 的客户网站上持续跟踪用户，估算罚款约为 3.9 亿美元。

Google的情况则更为严重：审计称其无视了 86% 的拒绝请求，并在 77% 的网站上继续记录用户行为，对应潜在罚款达 23.1 亿美元。 与此同时，Meta 的实现方式则被指“干脆不看拒绝信号”：其跟踪代码在技术层面似乎根本没有检查用户的统一退出（opt-out）指示。 在那些会检测退出信号的网站中，仍有 69% 选择忽略，21% 继续进行跟踪，webXray 估算，Meta 可能已经为此支付过高达 93 亿美元的罚款。

webXray 创始人兼 CEO Timothy Libert 此前曾在Google担任隐私工程师，他在接受 404 Media 采访时表示，在他任职期间，公司高层往往并不清晰地区分“税”和“罚款”，意味着在某些商业决策中，罚款被视作可预期、可接受的运营成本，而非必须极力避免的合规风险。

面对审计结论，三大公司均作出反驳，称报告“误解了”它们的技术实现方式。 微软表示，部分 Cookie 对网站功能至关重要，不能简单视为广告跟踪工具； 而 Meta 则强调，在某些技术配置下，网站自身能够覆盖或修改统一退出信号，暗示部分责任在于网站运营者而非其平台代码本身。 但在 webXray 看来，目前的实际执行结果与监管初衷之间存在明显落差，也意味着即便用户耐心阅读弹窗并选择“拒绝”，其隐私权利依然难以真正得到保障。