技术上其实你说的对，不让用 cookie 还有很多追踪用户的替代方法
但问题是欧盟给你开罚款的时候不一定听你这么解释

法规问题，非技术问题

欧盟那个 cookie 其实也是包含 localStorage 等一切能在本地持久化的数据存储的（甚至包括 fingerprint 和 IP 这种不需要在浏览器存储的东西），别看人家写着 cookie 提示，那其实只是给用户的解释，毕竟 cookie 这个概念比较容易理解
原文摘抄如下
Personal data is any information that relates to an individual who can be directly or indirectly identified. Names and email addresses are obviously personal data. Location information, ethnicity, gender, biometric data, religious beliefs, web cookies, and political opinions can also be personal data. Pseudonymous data can also fall under the definition if it’s relatively easy to ID someone from it.

如果你在欧盟没有经营实体，确实可以直接无视，甚至直接在页面上开嘲讽都没人管你。
如果在欧盟有业务，那么你也不敢不遵守。

@justdoit123 回答法律上的东西，最好不要“貌似”哦。你这个“貌似”就是错误的，GDPR 规定的是一切 cookie ，包括第一方的。同时 GDPR 要求网站让用户选择 cookie 的用途，比如说登录等必要的 cookie 可以接受，但广告、追踪等可以拒绝。

另外这个法律是只要服务欧盟用户就生效，并不管服务提供者在哪里，详见 https://gdpr.eu/article-3-requirements-of-handling-personal-data-of-subjects-in-the-union/ 第 2 款。不然的话服务商在欧盟以外注册个皮包公司就能规避，那这个法不就成了笑话。当然现实中小鱼小虾人家也不会管，但是美国很多中型网站因为不能合规会屏蔽整个欧洲。

@codehz 你的理解是对的，但是引用的是一个解释，不是法律条文。真正的原文： https://gdpr.eu/recital-30-online-identifiers-for-profiling-and-identification/