近二十年来,Google 的 reCAPTCHA 一直是默认的安全标准。然而,2025 年成为分水岭:Google 强制所有用户将实现密钥迁移至 Google Cloud Platform,从根本上改变了技术格局,并加剧了人们对 Google reCAPTCHA 隐私问题的担忧。
这次迁移不仅仅是技术上的维护。它还引入了新的定价模式——将免费额度限制为每月 10,000 次验证——并凸显了一个法律现实:reCAPTCHA 本身并非“开箱即用”地符合 GDPR(《通用数据保护条例》)要求。
随着 Cityscoot 因不当使用 reCAPTCHA 而被罚款 125,000 欧元等案例的出现,欧洲监管机构已明确表达立场:他们将该工具视为一种需要获得明确授权的侵入性数据处理器。对于网站运营者而言,2026 年的挑战不仅是安全问题,更是如何从法律层面应对复杂的 Google reCAPTCHA 隐私挑战(包括 reCAPTCHA v3 的隐私问题)。
到 2026 年初,Google 已将所有 reCAPTCHA Classic 用户迁移至 Google Cloud Platform。此次转变要求网站运营者必须通过一个带有关联结算账号的 Google Cloud Project 来管理 reCAPTCHA,即便使用免费层级也是如此。关键在于,欺诈检测等高级功能如今被 Enterprise 订阅“付费墙”所限制。
Cloud 迁移带来了一种架构层面的变化,并具有严肃的隐私影响。运营者现在必须明确配置数据处理与保留设置,使其承担起文档化工作的主要责任,以便为自身的 Google reCAPTCHA 隐私立场提供支撑。
尽管 Google 发布了更新后的《数据处理附录》(Data Processing Addendum),并声称 reCAPTCHA Enterprise 仅会按照客户指示处理数据,但欧洲监管机构对 reCAPTCHA 的隐私保护(包括 reCAPTCHA v3 的隐私)仍持怀疑态度,尤其是在数据向美国传输方面。
reCAPTCHA 与 GDPR 的不兼容源于其架构设计选择。要理解 reCAPTCHA v3 的隐私违规,需要审视具体的监管失误:
过度数据收集
reCAPTCHA 分析的行为信号远远超出严格必要的范围:
鼠标移动、点击模式与击键时序
完整的浏览器截图与 IP 地址
浏览器指纹识别(插件、屏幕分辨率、时区)
这种强度违反了 GDPR 的数据最小化原则。不同于工作量证明(proof-of-work)替代方案,reCAPTCHA 会建立行为画像,从而带来显著的 reCAPTCHA v3 隐私风险。
缺乏透明度
网站运营者无法满足 GDPR 第 13 条(Article 13)的义务,因为 Google 对究竟收集了哪些数据进行了遮蔽。巴伐利亚州数据保护监督办公室(Bavarian State Office for Data Protection Supervision)指出,这种缺乏透明度使得 reCAPTCHA 隐私合规在实践中几乎不可能(包括 reCAPTCHA v3 隐私),因为运营者无法向用户告知他们并不完全理解的数据处理活动。
跟踪 Cookie 与同意
reCAPTCHA 会设置持久性 Cookie(例如 _grecaptcha)用于跨站跟踪。根据《电子隐私指令》(ePrivacy Directive)与 GDPR,这些都需要事先获得明确同意。如果用户拒绝 Cookie,脚本就不得加载,这会破坏表单功能,并迫使用户用隐私换取访问——这违反了“自由给予”(freely given)的同意要求。
跨境数据传输
数据会被传输到受 FISA 等监控法律约束的美国服务器。尽管存在 EU-U.S. Data Privacy Framework,欧洲监管机构仍质疑 reCAPTCHA v3 的隐私保护措施是否足够,因为 Google 的商业模式依赖于风险评分中使用的那种行为分析。
2023 年 Cityscoot 案是一个关键先例。法国监管机构(CNIL)因 GDPR 违规对该公司处以 125,000 欧元罚款,其中包括在未征得用户同意的情况下部署 reCAPTCHA。Cityscoot 辩称该工具出于安全需要。然而,CNIL 驳回了这一抗辩,裁定 reCAPTCHA 对用户终端数据的访问在法国《数据保护法》第 82 条(Article 82)下需要事先同意。该决定确认:当工具通过访问用户设备数据来运作时,“安全”主张并不会自动使 reCAPTCHA 免于同意要求。
对于无法立即迁移离开 reCAPTCHA 的组织而言,以下步骤是降低法律风险的必要措施:
在获得同意前实施脚本阻止
如果你将同意作为法律依据,你的 CMP(Consent Management Platform)应阻止加载 https://www.google.com/recaptcha/api.js(因此也会阻止 grecaptcha.js),直到用户选择同意为止。在法国,这种做法符合 CNIL 对法国《数据保护法》第 82 条的解读(类似 ePrivacy 的“终端设备”规则):一般而言,当某个工具访问或存储用户设备上的信息,且并非用户所请求服务的严格必要组成部分时,就需要事先同意。仅做“视觉”层面的阻断(显示一个被禁用的 widget)往往不够,因为脚本可能在用户同意之前就已执行并与用户的浏览器发生交互。
迁移到 reCAPTCHA Enterprise 并签署数据处理附录
升级到 reCAPTCHA Enterprise,并签署 Google 的 Cloud Data Processing Addendum(DPA)。不同于免费版本,Enterprise 合同会明确声明数据用于安全与服务交付,而非用于个性化广告。尽管 Google 承诺主要按你的指示处理数据,但需要注意,“服务改进”(service improvement)用途对欧盟监管机构而言仍是灰色地带。签署 DPA 能体现尽职调查,但并不保证合规,尤其是在美国数据传输方面——它是风险缓释工具,而不是护身符。
以细颗粒度更新隐私政策与 Cookie 政策
你的隐私披露必须逐项列明:
reCAPTCHA 收集哪些数据:IP 地址、鼠标移动、击键时序、浏览器指纹、设备设置、已安装插件、截图、Cookie
收集原因:用于“机器人检测与欺诈预防的风险评分”
保留时长:(Google 的公开文档表述含糊;请说明你的假设,或直接向 Google 索取该信息)
数据处理地点:“位于美国的 Google 服务器”
谁可以访问:“Google 及经授权的子处理方(subprocessors)”
链接到 Google 的隐私政策:Google 自身条款要求提供
此外,你的 Cookie 政策必须明确列出 _grecaptcha Cookie 及其用途。不要把它埋在笼统的免责声明中;应提供专门说明。
获取明确的 opt-in 同意
Cookie 同意必须是:
肯定性(默认不勾选的复选框,而非预先勾选)
细分的(reCAPTCHA 需与其他非必要 Cookie 分开列出)
可撤回的(用户可撤回同意,并能访问退出机制)
可证明的(保留带时间戳的同意日志,用于审计追踪)
一旦用户拒绝 Cookie,reCAPTCHA 必须停止运作。如果你的网站逻辑要求必须通过 reCAPTCHA 才能提交表单,请在隐私政策中承认对这部分用户的排除。
记录你的数据保护影响评估(DPIA)
根据 GDPR 第 35 条(Article 35),会对用户权利造成高风险的处理活动需要 DPIA。鉴于 reCAPTCHA 的行为跟踪与美国数据传输,强烈建议开展 DPIA。请记录:
必要性:为何相较于侵入性更低的方法,仍需要行为监测。
替代方案:为何拒绝了工作量证明工具(如 Friendly Captcha)。
缓释措施:你的具体保障(DPA、脚本阻止、同意日志)。
这些文档可在审计中充当你的“保险单”,证明你参与了隐私设计(privacy-by-design)流程。
不断上涨的成本与法律风险正推动市场转向原生支持 GDPR 的 CAPTCHA 提供商。下面我们将看看三个此类提供商的示例,以及它们之间如何对比:
起源:德国(欧盟)
技术:工作量证明(Proof-of-work,用户设备执行加密任务)。
数据收集:无跟踪 Cookie,无持久化用户标识符。
数据驻留:所有处理均在欧盟境内完成;不向美国传输。
GDPR 合规:按设计即符合 GDPR;提供标准 DPA。
用户体验:对用户不可见;无需进行图像标注。
成本:非商业用途免费;面向企业提供透明定价。
案例研究:被政府机构和企业采用,专门用于满足严格的数据主权要求。
合规优势:通过消除对行为分析(鼠标跟踪、历史画像)的需求,Friendly Captcha 去除了导致 GDPR 不合规的主要触发因素。它不使用跟踪 Cookie 或持久化用户标识符,这意味着根据《电子隐私指令》(ePrivacy Directive),它不需要 Cookie 同意横幅。这种“隐私设计”(privacy-by-design)架构,相比依赖行为分析的工具,能显著简化合规工作。
Cloudflare Turnstile 是一种 CAPTCHA 替代方案,可直接嵌入表单和用户流程;而 Cloudflare Challenge 则是位于边缘/WAF 的“闸门”,在流量到达你的应用之前阻止或验证请求。Turnstile 可以作为 Cloudflare 更广泛挑战系统中的一种挑战类型使用,但二者服务于不同层级与目标。
Cloudflare Turnstile 技术
它是什么:一种可嵌入的小组件,用于验证用户的真实性,并返回一个 token 供服务端校验。
工作原理:评估浏览器环境、设备特征(指纹识别)以及行为模式(鼠标移动、击键时序、请求模式),从而签发验证 token。
适用位置:面向用户交互的应用层防护(注册、登录、结算)。
UX 影响:大多不可见;使用非侵入式检查与 Private Access Tokens(PAT)来尽量减少显式挑战。
数据收集:行为分析(鼠标移动、击键时序、请求模式)+ 设备指纹(WebGL、User-Agent、屏幕分辨率、插件);不收集完整页面截图或完整浏览历史。对行为跟踪仍需要获得 GDPR 同意。
Cloudflare Challenge 技术
它是什么:一种边缘/WAF 机制,在请求到达源站之前对其应用安全检查。
工作原理:在后台运行 JavaScript 检查(Proof-of-Work、设备指纹识别);仅在需要时升级为交互式挑战。
适用位置:面向流量与端点的周界防护(保护资源访问本身)。
与 Turnstile 的关系:Turnstile 可作为挑战方法之一,在 Cloudflare 更广泛的 Challenges 生态中被选择使用。
起源:美国
数据驻留:以美国为基础(Global Anycast);已通过 EU-U.S. Data Privacy Framework 认证。
GDPR 合规:由 DPA 支持。作为处理者(processor)运作,但也会以独立控制者(controller)的身份保留数据,用于改进机器人检测。数据不用于广告再定向(不同于 Google)。
成本:最多 20 个 widget 免费(挑战次数不限);对商业使用没有官方限制,但以不含 SLA 的“hobby tier”进行营销。扩展到 20 个 widget 以上需要企业方案,且没有中间档(每月最低 $2,000+)。
优点:比 reCAPTCHA v2 侵入性显著更低(无视觉谜题);不为广告目的采集数据;与 WAF 集成,提供更全面的机器人防护。
缺点:受美国司法辖区约束;行为跟踪(鼠标、键盘、模式)仍需同意;中端市场定价断层(免费或 $2,000+ 的企业方案);VPN/代理用户常遇到阻力。
起源:开源社区(可自托管)。
技术:工作量证明(PoW)+ 可选的机器学习垃圾信息过滤。
数据收集:为零;无 Cookie、无指纹识别、无跟踪。
数据驻留:在你的基础设施上自托管(完全控制)或使用托管型 SaaS API。
GDPR 合规:默认完全合规;自托管可确保不存在第三方数据流。
用户体验:不可见或一键式;在后台运行或通过简单复选框完成。无图像谜题。
成本:自托管免费(MIT License);托管 API/Sentinel 企业功能为付费订阅。
合规优势:最大化隐私与数据主权。自托管可完全消除对处理者的依赖以及 DPA 协商。
缺点:自托管需要 DevOps 资源来部署与维护。不适合缺乏服务器运维管理能力的团队。
审计你当前的实现
检查你是否已完成从 Classic keys 到 Cloud 的迁移
检查你的 CMP 配置——是否在获得同意之前阻止 reCAPTCHA 脚本加载?
拉取你的分析数据:有多少百分比的用户拒绝 Cookie?这反映了摩擦
计算真实的 GDPR 风险
评估监管司法辖区:你的用户是否位于 CNIL 执法范围(法国)?EDPB 成员国?奥地利?德国?
回顾你所在地区近期的数据保护机构裁决
咨询你的 DPO(Data Protection Officer):你的组织是否有成文的数据保护影响评估?
如果继续使用 reCAPTCHA:实施合规控制
在隐私政策中更新更细粒度的数据披露
在你的 CMP 中对 grecaptcha.js 实施脚本阻止
就 Enterprise version 协商/签署并执行 Google Cloud DPA
开展 DPIA 并保留文档
记录用户同意模式,形成 12 个月审计追踪
如果迁移替代方案:规划过渡
评估 Friendly Captcha、Cloudflare Turnstile/Challenge、 ALTCHA 或其他适用于你场景的类似方案
在预发布(staging)环境测试替代方案
在生产环境进行 A/B 测试:衡量切换前后表单完成率
规划沟通:如果你要移除 reCAPTCHA badge,通知用户
Google 在 2025 年的 Cloud 迁移揭示了一个关键现实:侵入式行为分析与 GDPR 不相容。网站运营者如今面临三条不同路径:
合规优先(Compliance-First):采用 Friendly Captcha、Cloudflare Turnstile/Challenge、 ALTCHA 或其他类似解决方案,以消除监管风险并简化隐私技术栈。
风险可控(Risk-Managed):保留 reCAPTCHA Enterprise,并配套严格合规措施(DPA、同意前阻止加载、DPIA)。
回避(Avoidance):完全停止使用 CAPTCHA,转而采用其他机器人防护(rate limiting、行为式 rate-limiting、IP 信誉分析)。仅适用于低欺诈环境。
对大多数组织而言,方案 1 是更审慎的选择。隐私优先的替代方案如今在成本上也具备竞争力,并能消除同意管理与法律抗辩的沉重开销。在 GDPR 罚款面前,坚持沿用旧工具的风险远远超过收益。向隐私优先防护迁移将成为监管上的必然趋势;现在行动,才能在即将到来的执法浪潮前确保安全。
当你迁移到 Friendly Captcha 或 Cloudflare Turnstile/Challenge 等隐私优先替代方案时,关键在于验证你的安全态势仍能稳健抵御自动化威胁。在这一过渡阶段,像 CapMonster Cloud 这样的工具可能会很有帮助。通过模拟自动化流量并尝试解决你新的 CAPTCHA 挑战(包括 reCAPTCHA Enterprise、Cloudflare Turnstile/Challenge 以及 ALTCHA),CapMonster Cloud 可让你的 QA 团队在完全暴露到生产流量之前审计机器人防护的有效性。这能确保你在追求 GDPR 合规的同时,不会无意中降低安全门槛。
NB: 请注意,本产品仅用于对您自身的网站以及您依法拥有访问权限的资源进行自动化测试
使用 Python 编写脚本以自动解决 ReCaptcha v2 问题的分步说明
