官網「Cookie 同意條」(Cookie Consent Banner) 設計完整攻略：中小企業如何在不嚇跑訪客的前提下，把隱私合規做對

「官網要不要加那個 Cookie 同意條？」——這幾年我們接到的問題越來越多。有的老闆是被律師朋友提醒，有的是收到歐洲客戶來信問隱私政策，也有的是 Google Analytics 4 跳出警告才開始警覺。其實這不是大公司才要面對的功課，台灣中小企業官網只要有 GA、Meta Pixel、LINE Tag、再行銷、聊天機器人、或任何訪客追蹤工具，都跟「Cookie 合規」脫不了關係。

但問題是：做了一個又大又煩的 Cookie 條，訪客連網站都不想滑就跳走；不做又怕被檢舉、怕廣告平台帳號被停權、怕外國客戶不信任。這篇文章就把我們建置官網時實際在處理的設計取捨整理出來，告訴你 Cookie 同意條到底該怎麼做才能「合規」又「不嚇跑訪客」。

一、先搞懂：為什麼台灣公司也要在意 Cookie 同意條？

很多老闆第一個反應是：「那是歐洲 GDPR 的事，我又沒在做歐洲生意。」這句話對一半也錯一半。準確地說，影響你的不是只有歐盟法規，至少有四個面向：

第一，台灣《個人資料保護法》。雖然台灣個資法沒有明文規定一定要做 Cookie Banner，但「告知義務」是有的。當你網站透過 Cookie 收集、追蹤、再行銷訪客行為，本質上就是在處理個資的延伸資訊，主管機關近年的解釋也越來越接近歐盟框架，預期未來會更嚴。

第二，廣告平台的政策。Google 從 2024 年開始要求歐洲地區流量必須符合 Consent Mode v2，否則再行銷、轉換追蹤都會被打折甚至停掉。Meta（Facebook）也有類似政策。即使你客戶不在歐洲，只要有歐洲訪客碰到你的網站，你的廣告帳戶就有風險。

第三，國際客戶的信任門檻。對於有外銷或國際合作需求的中小企業，國外採購進你的官網看到沒有任何隱私說明、沒有 Cookie 控制，第一印象就會打折。對 B2B 公司來說，這是「成交前的隱形扣分」。

第四，瀏覽器本身的趨勢。Safari、Firefox 早就預設封鎖第三方 Cookie，Chrome 也在分階段限制。你以為的「我有放追蹤碼就收得到數據」，其實有越來越多漏掉的訪客。把同意流程做對，反而能讓收得到的那部分數據更乾淨、更可信。

Photo by Heriberto Murrieta on Unsplash

二、最常見的三種設計，分別適合誰？

市面上 Cookie 同意條的設計大致可以分三種，沒有絕對最好的，只有適不適合你的官網。

類型一：底部橫條（Bottom Bar）。出現在頁面最下方，佔據一條細細的版位，附上「接受所有」「拒絕」「設定」三個按鈕。優點是干擾低、訪客可以正常瀏覽網站，缺點是同意率較低，因為很多人會直接滑過去當沒看到。我們會建議：以「品牌形象、降低跳出率」為主的 B2B 官網，使用這種設計最舒服。

類型二：彈窗式（Modal Popup）。一進站就跳出一個方框，背景灰暗，訪客必須點選才能繼續操作。優點是同意率高、合規證據力強，缺點是體驗較侵入式，會拉高首頁的跳出率。如果你的官網有大量歐洲訪客、或是電商、或是有跑廣告需要嚴格 Consent Mode 的，這種是合理選擇。

類型三：角落小卡（Corner Card）。出現在右下或左下角的小方塊，介於前兩者之間。優點是視覺干擾小、又比底部橫條更顯眼，是近兩年新官網最常採用的方案。對台灣中小企業來說，這通常是最甜蜜的選擇。

實際選哪一種，我們會看三件事：訪客來源地（有沒有歐洲）、廣告投放強度（有沒有需要 Consent Mode v2）、品牌調性（活潑可愛 vs 嚴謹專業）。這三個維度交叉考慮，答案會自然浮現。

三、按鈕設計：這是合規與轉換的決戰點

Cookie 同意條看起來只是個小元件，但真正的設計細節都藏在「按鈕」裡面。歐洲監管機關近年罰過很多大公司，原因都是按鈕設計不公平（俗稱 Dark Pattern）。台灣公司即使沒有立刻被罰的風險，也應該避免這些做法：

三個按鈕要等高。如果「接受所有」是大綠色按鈕，「拒絕」是小灰色文字連結，這就是經典的不對等設計。合規做法是兩個按鈕至少視覺權重相同、字體大小相同、距離相同。我們設計時通常做成「接受所有」「僅必要」「自訂設定」三個並排同尺寸按鈕。

不能預設勾選。打開「自訂設定」面板後，行銷、分析、追蹤這幾類 Cookie 必須預設關閉，由訪客自己選擇要打開哪幾類。預設勾選等於沒有同意。

不能用情緒勒索字眼。例如「拒絕」按鈕寫成「我不在乎隱私」「我要破壞網站體驗」這種引導性文字，這在歐盟已經被認定無效。中文文案我們建議直白：「接受所有 Cookie」「僅使用必要 Cookie」「個別設定」。

關掉視窗 ≠ 同意。有些 Banner 設計成訪客點右上角 X 關閉就視同接受，這是被明文禁止的。要嘛點接受、要嘛點拒絕，要嘛保持 Banner 顯示，不能有第四個「曖昧選項」。

四、Cookie 分類：把這四種搞清楚，文案就好寫了

幾乎所有 Cookie 工具都會把 Cookie 分成四類，這是國際通用的分類，建議你的隱私政策也照這個寫，未來換工具會比較順。

必要 Cookie（Strictly Necessary）：登入狀態、購物車內容、語系偏好這些。不需要訪客同意，因為網站基本功能就靠它。這類預設打開且不能關閉。

偏好 Cookie（Preferences）：記住你選的主題色、字體大小、最後瀏覽過的商品。需要同意但風險低，預設關閉。

統計 Cookie（Statistics）：GA4、Hotjar、熱圖工具、自家後台埋的點擊統計都屬於這類。需要同意，預設關閉。對中小企業來說，這一類影響最大——拒絕了就看不到流量數據。

行銷 Cookie（Marketing）：Meta Pixel、Google Ads、LINE Tag、TikTok Pixel、再行銷工具。需要同意，預設關閉。被拒絕的話再行銷就無法運作。

建議在「自訂設定」面板上分這四類，每一類用一句白話說明「我們用來做什麼」，並列出代表性工具名稱。透明度高的網站，同意率反而較高，這是業界普遍觀察到的現象。

Photo by UX Indonesia on Unsplash

五、技術面：Consent Mode v2 是什麼？要不要做？

Google Consent Mode v2 是一個讓你的網站可以「告訴 Google 用戶有沒有同意被追蹤」的機制。簡單講，就算訪客拒絕 Cookie，網站仍然會傳送一個「沒同意」訊號給 Google，Google 會基於這個訊號做匿名彙總，讓你還能看到一部分的轉換數據（而不是完全看不到）。

對中小企業來說，要不要導入 Consent Mode v2 的判斷標準是：

• 你的廣告主要打台灣、東南亞、美洲：可以暫緩，先把基本 Banner 做好
• 有歐洲、英國的訪客或潛在客戶：建議導入
• 每月廣告預算超過 3 萬：建議導入，因為信號漏失對 ROAS 影響很明顯
• 有跑再行銷、興趣鎖定：建議導入

導入的技術不算太難，市面上多數 Cookie 工具（Cookiebot、CookieYes、Termly、Iubenda 等）都已經內建 Consent Mode v2 整合，付費版每月幾百到一千多塊台幣，比起廣告預算的漏損便宜很多。WordPress 站可以裝外掛，自架的網站串個 JS 腳本也就十幾行。

六、隱私政策頁面：很多人忽略的「合規拼圖最後一塊」

Cookie 同意條只是入口，真正提供「告知內容」的是你的隱私政策（Privacy Policy）頁面。Banner 上一定要有一條連結指向這個頁面，而且這個頁面要寫得讓一般人看得懂，不能只丟一篇法律術語上去。

一份基本到位的隱私政策應該包含：你收集了哪些個資、收集的目的、保留多久、會跟誰共享、訪客有哪些權利（查閱、更正、刪除、撤回同意）、聯絡窗口（公司名、地址、Email）。中小企業常犯的錯是把不認識的英文範本翻譯複製，但裡面提到的工具（例如 HubSpot、Salesforce）公司根本沒用，反而會引發更大爭議。隱私政策要誠實、要對應實際使用的工具，這比寫得漂亮重要多了。

七、實作建議：中小企業最務實的三條路

對於官網規模不大、技術資源有限的中小企業，我們會建議按以下三條路選一條：

路徑一：WordPress 外掛（最省事）。CookieYes、Complianz、Real Cookie Banner 都有免費版，五分鐘安裝、十分鐘設定，UI、按鈕、文案都可以自訂。對於沒有歐洲流量、預算有限的官網，這條路 CP 值最高。

路徑二：付費 SaaS 工具（最完整）。Cookiebot、Iubenda、Termly 月費幾百到兩千多台幣，自動掃描網站使用了哪些 Cookie、自動產生隱私政策、自動更新 Consent Mode v2，省下大量人工維護時間。適合中型公司、有跑廣告、需要追蹤合規證據的官網。

路徑三：客製化開發（最彈性）。如果官網是請工程師全客製、或是希望 UI 風格完全配合品牌，就直接寫一個自家的 Cookie 同意元件，搭配 Google Tag Manager 串接 Consent Mode v2。這條路彈性最大、後續維護成本也最高，適合預算夠、有專屬技術夥伴的公司。

八、上線之後，這四件事要定期回頭檢查

很多人以為 Cookie Banner 裝上去就結束了，其實這是一個會持續變動的東西，至少每三到六個月要回頭看一次：

第一，新加的行銷工具有沒有納入分類？每多裝一個外掛、多埋一個追蹤碼，Cookie 清單就會變動。第二，按鈕點擊率有沒有異常？接受率太低代表設計太兇、太高代表預設值有問題。第三，瀏覽器與廣告平台的政策有沒有更新？Consent Mode 版本、Cookie 過期時間、第三方 Cookie 封鎖時程都在變。第四，隱私政策頁面是不是還對得上實際情況？公司搬家、Email 換了、加了新工具，隱私政策都要跟著改。

結語：合規不是負擔，是品牌成熟度的展現

Cookie 同意條這件事，乍看之下是個技術細節，但本質是「你怎麼看待訪客的個資」。願意花時間把它做好的公司，不只是在符合法律，更是在跟訪客傳達「我們是值得信任的對象」。對中小企業來說，這個訊號其實比一個花俏的官網更有說服力。

如果你的官網還沒做 Cookie 同意條、或是當初隨便裝了一個 Banner 從來沒打開設定過，建議列入下一季的待辦清單。先盤點正在使用的追蹤工具、再決定走哪一條導入路徑、最後把隱私政策一起重寫過。一次做對，三年內不用大修，比每次被廣告平台跳警告才補強划算多了。