Global Web, Local Privacy? 論文閱讀分析：很多網站真正先把資料送出去的，不是你按了同意，而是它預設就打算先追再說

本文由 AI 產生、整理與撰寫。

論文基本資訊

• 論文標題：Global Web, Local Privacy? An International Review of Web Tracking
• 作者：Harry Yu、Patton Yin、Sebastian Zimmeck
• 年份：2026
• 來源：arXiv:2604.18633 / Pragmatic Cybersecurity 2026
• 論文連結：https://arxiv.org/abs/2604.18633
• 主題：Web Privacy、Tracking Measurement、Cookie Consent、GDPR、CCPA、跨境隱私治理

這篇 paper 我覺得最值得看的地方，不是它又一次告訴你「tracker 很多、cookie banner 很煩」，而是它把一個更接近真實營運的問題攤開來講：隱私法是地方性的，但網站、廣告技術與第三方追蹤生態是全球性的。當這兩件事撞在一起，最後使用者實際被追到什麼程度，根本不只取決於網站寫了什麼 policy，而是取決於你人在哪裡、站點面向誰、法規屬於 opt-in 還是 opt-out，以及站方到底有沒有真的在 request 發出去之前踩煞車。

對藍隊、產品安全、privacy engineering 甚至 AppSec 來說，這篇的重要性在於：它把 web tracking 從法律條文或 UI 同意框問題，重新拉回「第三方連線有沒有真的發生」這個可量測、可稽核、可營運治理的層次。

這篇在解什麼問題？

作者要回答的核心問題其實很實際：

• 不同國家使用者打開同一批網站時，被第三方 tracker 追蹤的程度是否不同？
• 全球熱門網站和各國本地熱門網站，追蹤策略有沒有差？
• GDPR、ePrivacy Directive、CCPA 這類法律，到底有沒有在實際 tracker connections 上留下可量測的痕跡？

這個 framing 很關鍵，因為很多隱私討論會卡在 consent banner、法條適用或 policy 文案，但從防守與稽核角度看，更硬的問題其實是：

在使用者還沒點任何東西之前，資料到底有沒有先被送給第三方？

只要 request 已經發出去了，後面第三方說自己會不會丟掉資料、會不會尊重 opt-out，本質上都變成另一層你很難外部驗證的承諾。作者因此故意聚焦在最保守、也最有安全意義的一層：連線是否存在。

作者怎麼做？

這篇研究不是只抓少量示範網站，而是做了一個相當扎實的多國量測：

• 量測 10 個國家：澳洲、巴西、加拿大、德國、印度、新加坡、南非、南韓、西班牙、美國（加州）
• 每個國家看兩組網站：全球共同熱門 Top 525 與 該國本地熱門 Top 525
• 觀察重點不是網站有沒有放 cookie banner，而是 tracker connections 實際有沒有發生

這個方法我很認同，因為它避開了一大堆容易失真的表面指標。很多網站會把 consent flow、CMP、opt-out flag、地區化 UI 做得很漂亮，但如果第三方請求還是先送出去了，那從 data minimization 的角度看，防線其實早就破了。

作者也很清楚區分不同法制背景：

• opt-in：預設不該追，除非使用者先同意
• opt-out：預設可以追，除非使用者事後拒絕

而這種差異，不只會反映在法律文字上，也會反映在網站對不同地區使用者的預設行為。

最重要的發現：法律不是沒有用，但效果是分層、局部而且不對稱的

這篇最值得記住的，不是單一數字，而是幾個彼此扣在一起的結論：

1. Opt-out 地區的追蹤壓力明顯更高

作者發現，澳洲與美國（加州） 這兩個研究中的 opt-out jurisdiction，整體 web tracking 水位最高；相較之下，多數 opt-in 地區的追蹤連線較少。這其實很符合直覺，但重要的是：這不只是法條理論，而是實際量到的 third-party connection 差異。

換句話說，很多產品團隊愛講「反正都會有 banner、最後差不多」，這篇的資料並不支持這種說法。預設值本身就是治理，default allow 和 default deny 會直接改變資料外流的基線。

2. EU 對全球熱門網站確實有壓制 tracking 的效果

在全球共同熱門的 Top 525 網站上，作者量到一個很有代表性的數字：從 EU 國家存取時，平均 tracker connections 比非 EU 國家少 50.5%。

這個結果很有意思，因為它不是在量某個 banner 點擊率，也不是在量某家廠商的宣稱合規率，而是在量 request surface 本身有沒有被縮小。對安全人來說，這其實就是 attack surface / data exposure surface 的概念：少一半的 tracker connection，不只是少一點廣告追蹤，而是少一半讓使用者資料流入外部廣告與分析生態的機會。

3. 「什麼都不按」在某些地區反而是更好的防守姿勢

作者對德國的一組樣本發現，對 36 個全球熱門網站來說，單純不跟 cookie banner 互動，就能讓 trackers 再下降 48.5%。

這個結論聽起來很小，但其實很實務。它代表：

• 很多站的 default path 仍然比「按下接受」安全
• cookie banner 並不只是法律告知工具，也是在引導使用者是否把資料交出去
• 如果組織自己的站做成「不互動就繼續沉默、按了才放行」，那就真的能在流量層留下差異

也反過來提醒我們：如果某些網站把「繼續瀏覽」設計得幾乎等同於同意，那就不是 UX 問題而已，而是 consent semantics 與 data flow semantics 被刻意綁歪 的治理問題。

Brussels effect 存在，但比較像 shield，不像完全全球同化

這篇另一個很漂亮的地方，是它沒有把 GDPR 講成無所不能。作者指出，研究結果顯示有一種中度的 Brussels effect：部分網站會因為 EU 法規而把較嚴格的實作擴散到多個地區。

但作者同時也說得很清楚：在強大的美國 ad tech 背景下，EU law 更像是 Brussels shield，也就是它能在 EU 境內形成一定程度的防護罩，但還沒有強到把全球網站都拉到同樣的低追蹤基線。

我覺得這個判斷很成熟。因為它提醒我們，法規影響常常不是全球統一收斂，而是形成地理分層的 protection boundary。這對跨國產品團隊的意義很大：如果你的隱私控制只在 EU 真的收斂，而在其他市場仍維持高追蹤預設，那你做的其實不是全球 privacy-by-design，而是區域化 compliance routing。

這對資安與產品團隊最實際的啟發

如果把這篇當成一篇 security / privacy operations paper 來看，我覺得至少有四個實務重點：

1. 把第三方追蹤當成外部資料流治理問題，不是單純行銷配置問題。
   每一條 tracker connection，本質上都是一條離站資料路徑。要治理它，應該像治理 API egress、SaaS exposure、analytics beacons 一樣做盤點與最小化。
2. 預設值比同意文案更重要。
   opt-in / opt-out 的差異，最後不是停在法律學，而是會直接反映在 request-before-consent 的風險面積。
3. cookie banner 不是防線本身，真正的防線是 request gating。
   如果第三方請求在同意前就已發生，那 banner 再漂亮也只是事後補話。
4. 跨區部署應該把地理差異視為 policy routing 問題。
   不同地區不同預設，代表你的前端、CMP、tag manager、third-party loading strategy 都應該能被稽核，而不只是靠法務文件兜底。

從 AppSec / Web Security 角度怎麼看這篇？

我會把它看成一篇很值得 Web Security 團隊讀的隱私量測 paper。因為它雖然不是在談傳統漏洞利用，但它其實在碰一個很典型的安全問題：

你的站點是否在使用者尚未同意、也未必知情的情況下，主動替第三方建立資料管道？

這和現代前端安全很多議題其實是同一條線：

• 第三方 script governance
• tag manager sprawl
• region-based policy enforcement
• consent-aware resource loading
• privacy telemetry auditability

很多團隊對第三方 JS 的風險比較敏感，會想到 supply chain、XSS、Magecart；但對 tracker request 則常把它當成行銷部門的事。這篇提醒的是：只要是把使用者資料送往外部第三方的路徑，就不該脫離安全與治理視野。

限制在哪？

這篇當然也不是萬能結論，幾個邊界要記得：

• 它重點量的是 tracker connections，不是每一家第三方後續實際怎麼處理資料
• 它不代表所有 consent flows 都能用單一指標完整描述
• 各地網站的差異，除了法律，也可能受市場結構、CMP 供應商、站點受眾與 ad tech 依賴程度影響

但這些限制不會削弱它的價值。因為作者刻意選了一個最不容易被話術掩蓋、又最能被外部驗證的指標：連線有沒有發生。 對做安全與稽核的人來說，這其實比很多更抽象的 compliance claim 有用得多。

總結

如果要把這篇濃縮成一句話，我會這樣說：

Global Web, Local Privacy? 真正證明的，不只是不同國家 cookie banner 長得不一樣，而是當隱私法規、站點策略與第三方追蹤生態交錯時，使用者資料是否先被送出，會形成一條非常真實的地理化安全邊界。

對產品團隊來說，這篇最該記住的是：privacy-by-design 不是先把 banner 彈出來，而是先決定哪些第三方 request 在沒有明確授權前根本不該發生。

對安全團隊來說，這篇也提醒了一件很務實的事：追蹤器不是只有合規風險，它同時也是資料外流面、第三方依賴面與跨境治理面。 如果你的組織真的在乎使用者資料邊界，那麼該盤點的不是只有隱私政策，而是每一條在瀏覽器裡默默飛出去的第三方連線。