同意管理平台：GDPR、CCPA 和 PubGuru DataGuard 的常见问题解答

已发表: 2018-05-01

这篇文章最近更新于 2020 年 1 月 20 日

（2020 年 1 月 1 日更新）

什么是 GDPR 和 CCPA？它们如何适用于出版和广告行业？

GDPR 和 CCPA 是过去几年颁布的隐私法，对广告和出版行业产生了巨大影响。

GDPR 要求数据处理者在处理用户数据时满足某些要求，包括对法规中未明确允许的任何事情请求肯定、明确的同意。法规未明确允许现代广告和网络分析，因此在使用此类技术之前必须征得用户同意。 GDPR 于 2018 年 5 月 25 日生效。GDPR 适用于 EU（欧盟）和 EEA（欧洲经济区）的用户。

CCPA 是一项非常相似的隐私法，于 2020 年 1 月 1 日生效，涵盖加州用户以及在加州开展业务的数据处理者。尽管 CCPA 和 GDPR 之间存在差异，但大部分总体思路是相同的。有许多披露和数据处理要求。

在这两种情况下，广告业都在很大程度上围绕着 IAB 同意框架，为供应商提供标准化功能，以查看是否代表他们获得了同意。

不确定如何获得用户同意并遵守 GDPR？ 我们可以帮助您设置 CMP 并确保您的网站正确收集用户同意。 注册 MonetizeMore 并了解我们的广告工程师如何提供帮助。

GDPR 和 CCPA 至少要求什么？

出版商和广告技术公司必须获得肯定和明确的同意，才能在位于欧盟/欧洲经济区的用户的广告和网站用户分析中使用 cookie 和其他个性化标识符。如果不这样做，将根据 GDPR 处以灾难性的罚款。

CCPA 对肯定和明确同意没有同样重要的限制，但确实要求数据处理者提供大量披露，以及阻止出售用户个人信息的链接。

如果我们公司在欧盟/欧洲经济区或加利福尼亚没有业务怎么办？我们认为 GDPR 或 CCPA 不适用于我们。

欧盟/欧洲经济区和加利福尼亚以外的发布商通常不会让自己面临这些司法管辖区内的强制性判决，但在欧盟/欧洲经济区和加利福尼亚合法存在的广告合作伙伴（谷歌、AppNexus、Index、OpenX 等）仍然会承担责任。因此，所有主要需求来源都需要通过合同遵守 GDPR 和 CCPA。

至少，不遵守规定会导致广告帐户被暂停和禁止，并被列入 SSP 和 DSP 的黑名单。在最坏的情况下，如果供应商被罚款，不遵守规定的出版商还面临为与他们有合同的供应商支付法律费用。

换句话说，即使您不在加利福尼亚州和欧盟/欧洲经济区，您仍然需要一个合规工具来管理同意和弹出窗口。如果您使用 Google、Facebook、OpenX 或大多数其他广告技术供应商的任何技术，那么无论您是在欧盟/欧洲经济区还是在加利福尼亚之外，都没有关系。 GDPR 和 CCPA 仍然适用于您。

是否有不需要用户同意的可用广告解决方案？

对 GDPR 无效。有一些供应商已经开始尝试不需要用户同意的广告解决方案。我们正在考虑将它们整合到我们的技术中，它们将对收入产生有意义的影响。但是，根据 GDPR，未经用户同意，针对欧盟用户进行广告个性化的用户跟踪不再合法，因此用户获得的广告非常有限，很可能与用户无关。结果，收入急剧减少。这些未经同意的广告技术使未经同意的广告损失了 70-95% 的收入。

发生这种情况有多种原因：

当无法跟踪用户时，定位变得极其无效。广告商无法通过人口统计来定位受众——例如，针对 18-35 岁女性的产品的广告最终会在其他人口统计面前浪费印象。此外，针对对产品或服务表现出兴趣的用户的再营销活动也变得无效。
此外，现代反欺诈技术依赖于 cookie 和浏览器指纹识别，未经同意，这些都是法规所不允许的。品牌不想购买他们无法验证这些印象是否真实的印象。
在这些问题之间，当广告商无法验证他们的广告是否在市场上，甚至无法验证广告是否出现在真人面前时，很少有人有兴趣购买此类广告资源。由于对此类广告库存的需求很少，广告费率崩溃了。

对于 CCPA，有一些选项可以限制大多数主要需求源（包括谷歌）的数据处理。然而，出版商有责任剔除那些不这样做的人。

什么是同意管理平台 (CMP)，它如何解决这个问题？

同意管理平台 (CMP) 是一个管理同意弹出窗口、收集和跟踪同意者以及他们同意允许收集数据的供应商的系统。 CMP 提供披露，以及用户行使 GDPR 规定的权利（如数据删除）的途径。

此外，不运行符合 IAB 的 CMP 会而且确实会增加差异和回扣。

我们可以使用 Google 的非个性化广告 (NPA) 而不是 CMP 来满足 GDPR 的要求吗？

根据谷歌关于 GDPR 的网络研讨会和问答，答案是否定的。 NPA 是在 GDPR 之前很久建立的，出于不同的原因。 NPA 不符合 GDPR，不能代替 CMP 使用。

作为出版商，我需要隐私政策吗？

是的，所有发布商都必须有隐私政策。除欧盟/欧洲经济区的法律外，许多国家/地区的法律也要求这样做。隐私政策应包括：

发布者使用数据的目的（通常是用户登录、用户体验定制、个性化广告等），
发布者的联系信息，了解如何删除用户数据。
面向用户的 PubGuru Dataguard 统一供应商列表的链接。
对于 CCPA，该政策必须包含带有文本“请勿出售我的信息”的链接。

与您的律师讨论如何满足隐私政策的合规要求。

PubGuru DataGuard 是如何工作的？

PubGuru DataGuard 是我们直接集成的 CMP。使用 PubGuru DataGuard，检查所有用户是否位于欧盟/欧洲经济区国家和加利福尼亚州。

不在欧盟/欧洲经济区国家或加利福尼亚州的用户将不会收到任何同意弹出窗口。例如，位于拉丁美洲且设置了西班牙语浏览器语言的西班牙语用户将不会看到同意弹出窗口。唯一的例外是当用户从浏览器试探法中位置不明确并且他们无法通过 IP 进行地理定位时。别无选择，只能给他们同意弹出窗口，但这种情况极为罕见。
位于欧盟/欧洲经济区国家/地区的用户将获得一个主动同意弹出窗口。我们的弹出窗口表明，用户的数据将用于根据他们的兴趣定制广告。今天的数字广告行业参与者数不胜数，发行商无法在加载之前知道哪些供应商会加载。我们列出了我们在广告生态系统中观察到的所有已知主要广告合作伙伴，包括 Google（针对 Adsense、AdX、DFP 和 Analytics）、MonetizeMore、header bidders、DSP 和反欺诈验证公司。由于广告合作伙伴因页面浏览量而异，或者如果发布商添加其他合作伙伴，我们会披露所有可能加载的合作伙伴，而不仅仅是最终会加载的合作伙伴。这也意味着发布者无需针对加载的各个合作伙伴的不同综合浏览量一遍又一遍地寻求同意。
加利福尼亚州的用户将获得一个较小的被动弹出窗口，其中包含适当的隐私政策链接和必要的披露。

您可以在此处查看有效的 PubGuru DataGuard 演示。

如果用户不同意会怎样？

对于 GDPR 和欧盟/欧洲经济区的用户，PubGuru DataGuard 同意弹出窗口需要同意才能继续，并在获得同意之前阻止用户。由于行业中有如此多的广告实体，并且他们当前的技术不支持在没有任何用户跟踪的情况下盲目购买印象，因此几乎所有广告商都需要同意。行业共识支持这样一种观点，即接收广告是对发布者网络资产的有效“访问价格”。此外，大多数网站在没有跟踪技术的情况下根本无法正常运行。最后，法规要求用户同意甚至允许存储 cookie 以抑制未来页面浏览中的弹出窗口，因此具有讽刺意味的是，该法规强制在每次页面浏览时触发任何弹出行为，有效地唠叨用户同意，直到他们这样做。

对于加州的 CCPA 和用户，同意的要求要轻得多。弹出窗口不会阻碍用户或广告，而且侵入性要小得多。弹出窗口在 24 小时内最多显示 5 次，可以得到用户的肯定同意（持续 390 天），并在用户滚动离开时隐藏。

DataGuard 在何处以及如何存储同意数据？

所有同意数据都存储在 Amazon Web Services 的复制存储中。此外，一旦用户同意，他们同意的范围（供应商、功能、目的）也会存储在他们自己的设备上，以便更快地处理同意。

DataGuard 如何将同意信息传递给下游的所有其他广告商？

有两种管理同意的模型。

第一个是假设模型，由谷歌使用，所有通过谷歌技术参与的供应商，以及许多其他不使用谷歌的供应商。该模型是假设的，因为按照惯例假定发布者在未代表该技术获得同意的情况下不会加载下游技术。 Google 为此维护了自己的供应商列表，以便发布商可以确保他们的 CMP 包括所有可能加载到广告堆栈中的 Google 合作伙伴。这主要通过合同强制执行，允许至少终止帐户，并在最坏的情况下将大量责任转嫁给发布者。

第二种模式是IAB模式。 IAB 模型使用一组标准化的功能，其他人可以调用这些功能来确定是否已代表他们获得同意。 IAB 还在其全球供应商名单 (GVL) 中包括众多注册供应商，以及这些供应商的数据处理和收集功能和目的。

PubGuru DataGuard 是否实施 IAB 同意框架？

是的。我们在与出版商交谈时发现的问题是，对于太多的出版商来说，在出版商层面实施框架过于复杂。每个发布商都想要一个更简单的工具来管理整个地理位置、同意管理和弹出过程，在获得或不需要同意时自动触发广告和分析。

DataGuard 不允许用户全局选择退出或修改隐私设置。为什么不？

GDPR 对此没有要求。 GDPR 仅要求个人拥有撤销同意的权利和能力，而不是为任何或所有供应商集体撤销同意的能力。任何 CMP 声称他们这样做要么是在夸大事实，要么是被误解了。这是因为没有标准化的机制或协议允许用户从单一界面联系所有先前同意的供应商，并大规模撤销或修改该同意。

这同样适用于 CCPA。法律没有要求大规模退出，也没有针对此类大规模退出的协议。

至多，CMP 只能删除活动的同意令牌，要求对未来的数据收集和处理取得同意，同时将与该用户关联的现有数据留在野外。每个主要的 Web 浏览器，甚至在移动设备上，都直接从浏览器支持此功能。删除活动同意令牌的问题在于它是绑定到特定用户的标识符。如果用户删除此令牌，他们将无法联系供应商以撤销同意，因为他们不知道他们的同意标识符是什么。

我们已经有了自己的同意弹出窗口。这有什么问题吗？

同意不仅仅是关于弹出窗口或某种被动工具栏。引擎盖下正在发生许多事情。为满足所有要求，发布商的开发人员必须至少执行以下所有操作：

首先检查用户是欧盟/欧洲经济区还是加利福尼亚州，或者将弹出窗口提供给所有用户。对所有用户使用基于 IP 的慢速地理定位对欧盟/欧洲经济区和加利福尼亚以外的流量造成重大损失。
披露可能加载的广告和分析堆栈中的所有供应商，因为仅列出标头出价合作伙伴是不够的。这应包括整个 IAB GVL 和 Google 的供应商列表，以及发布商可能独有的任何其他供应商。
使用适当的弹出式语言，其中包括 IAB GVL 和 Google 隐私声明中列出的所有功能和用途。
有适当的弹出语言，包括选择退出用户数据销售的机会。
对于 GDPR，在发布者确定用户不是 EU/EEA 或用户同意之前，发布者不能运行任何 cookie 或跟踪代码，包括标头竞价、GAM 或 GA，否则将承担责任或帐户损失的风险。
跟踪 GDPR 和 CCPA 合规数据存储中的所有同意实例。
实施 IAB CMP 框架 API。这不是一个统一的同意存储库；相反，它是一组向广告生态系统合作伙伴公开的标准化公共功能，下游的其他人可以使用这些功能来检查是否代表他们获得了同意。如果发布商在这些供应商开始要求合规性时不支持 IAB CMP 框架，供应商将不会按要求运行他们的代码，并且会出现差异或收回。
讨论对监管顾问的遵守情况，以包括可能特定于出版商的特定语言元素。例如，使用英语以外语言的网站应该有这些语言的弹出窗口。运行自己的分析和跟踪（而不是 Google Analytics、Comscore 或 Quantcast）的出版商也需要更新这些部署。我们不是您的律师或保险公司。您有责任遵守所有适用法律。
最后，弹出窗口开发人员应使用符合 GDPR 的分析工具对弹出窗口进行性能和转换测试。一些弹出窗口的转化率明显高于其他弹出窗口。一些弹出式设计的设计非常糟糕，以至于其他设计的效果要好几倍。如果发布商使用的设计不佳，可能会导致欧盟/欧洲经济区收入损失 70-90%。运行这些测试还需要开发符合 GDPR 的假名存储——你不能只使用 Google Analytics 或大多数其他分析包。我们知道有多个 CMP 已确认不会进行弹出测试，而且我们不知道除了 PubGuru 之外还有任何其他 CMP 会进行任何弹出测试。我们已经测试了多个。

简而言之，您的弹出窗口必须满足大多数发布商根本没有兴趣实施的众多要求。

我可以不运行 CMP 吗？

功能将受到限制，风险和责任对您的公司来说是灾难性的。您将面临来自欧盟/欧洲经济区和加利福尼亚州的需求来源和/或监管机构的账户禁令和严重责任的风险。进一步来说：

发布商不能使用 PubGuru 的任何主广告帐户。我们不是保险公司，也不会为不想遵守法律的出版商承担责任。
由于该工具会收集用户的个性化数据，因此发布商将无法访问欧盟/欧洲经济区或加利福尼亚州流量的 PubGuru TrafficCop。
未运行符合 IAB 标准的 CMP 的发布商面临越来越多的差异和回扣，即使是来自欧盟/欧洲经济区和加利福尼亚以外的流量。这是因为下游供应商现在正在检查由发布商的 CMP 实现的 IAB 功能。如果 IAB 功能不可用或未返回有效的同意 ID（即使在欧盟/欧洲经济区和加利福尼亚以外的流量上），供应商越来越多地不加载他们的广告代码，并将其标记为无效流量。这些供应商也不希望承担灾难性责任。
由于所有最大的广告技术供应商，包括谷歌、Facebook 和亚马逊，都在加利福尼亚和欧盟/欧洲经济区开展业务，发布商将面临这些供应商的永久帐户暂停和终止。谷歌已经向许多发布商发出了违规警告。

简而言之，不运行 CMP 不是广告支持发布商的可行选择。

我见过其他发布商在屏幕顶部或底部运行被动同意栏。为什么我不能运行这样的东西？

对此有多种混淆来源。

首先，如果您不是从 EU/EEA 进行测试，您可能会看到发布商的隐私弹出窗口，该弹出窗口不是为 GDPR 合规性而设计的，也不会在 EU/EEA 中加载。由于多个弹出窗口管理服务现在使用启发式方法进行地理定位而不仅仅是 IP 地址，这使情况变得更加复杂。您不能只为欧洲 IP 地址使用 VPN。这不再那么简单了。

其次，运行任何类型的个性化广告服务（几乎所有市场）都需要在欧盟/欧洲经济区加载任何跟踪技术之前获得肯定同意。对欧盟/欧洲经济区流量使用被动同意的发布商不能在同意之前加载此类广告。如果您在同意之前加载广告，您就违反了 GDPR 并冒着承担巨额责任、暂停您的广告帐户、显着增加的差异以及更多问题的风险。这意味着 EU/EEA 的弹出窗口在获得同意方面应该非常积极，以便您可以尽可能接近正常体验投放广告。

第三，CCPA 允许被动但明显的同意。这意味着对于加利福尼亚州的交通，屏幕顶部或底部允许广告在同意之前加载的被动栏仍然可能没问题。不过，披露仍必须遵守 CCPA。

对于未运行 IAB 兼容 CMP 的发布商，欧盟/欧洲经济区和加利福尼亚州流量的差异持续增加，因为下游供应商执行 IAB 标准同意功能，但它们并不存在。当找不到功能时，无法访问同意令牌，供应商不会加载他们的任何技术，并且您会得到不一致的印象或收回。

我们很少或根本没有来自欧盟/欧洲经济区和加利福尼亚的流量。我们还应该运行 CMP 吗？

是的。您无法控制用户是否在社交媒体上分享您的链接，或者用户是否从来自欧盟/欧洲经济区国家或加利福尼亚的搜索引擎找到您。任何成功的发布商都将从欧盟/欧洲经济区或加利福尼亚获得不可忽略的流量。

即使您仅通过不容易允许共享链接的受众获取渠道（例如 SnapChat）获取拉丁美洲流量，上游供应商也看不到，也无法提前确定是否同意。他们检查功能，当它们失败时，供应商不会加载。

IAB CMP 规范仍然提供同意数据和标准化的同意功能，即使对于欧盟/欧洲经济区和加利福尼亚以外的流量也是如此。如果您没有实施这些功能，随着越来越多的供应商需要它们，您将看到越来越多的差异和回扣。

我可以使用 PubGuru 或 MonetizeMore 技术运行另一个 CMP 吗？

是的，我们欢迎发布商使用 (1) 符合 IAB 框架并且 (2) 包含 Google 供应商列表的任何 CMP。 IAB GVL 不包括 Google 供应商列表中的所有供应商。 PubGuru DataGuard 将 IAB GVL 与 Google 的供应商列表以及我们的内部来源列表相结合。

此外，我们的广告技术可与其他符合 IAB 标准的 CMP 完美配合。唯一的限制是实现更复杂。如果无法访问有效的 IAB 同意令牌，越来越多的技术部分将无法正确加载或根本无法加载。

好的，我们需要一个 CMP。 PubGuru DataGuard 的价格是多少？

PubGuru DataGuard 完全免费，所有 PubGuru 和 MonetizeMore 发布商都免费使用。由于 DataGuard 直接与我们的技术集成，因此设置也非常简单。我们意识到出版商希望重新开始出版，而不是担心数据合规性。

PubGuru DataGuard 对位于欧盟/欧洲经济区和加利福尼亚以外的用户有任何广告收入影响吗？

我们开发了一种专有算法，可以在多个阶段对用户进行地理定位。第一阶段确定了欧盟/欧洲经济区和加利福尼亚以外的绝大多数用户，以及欧盟/欧洲经济区内部的大多数用户。这意味着大多数用户不会有额外的延迟。地理定位的最后一个阶段只有在所有其他阶段都失败时才会触发，并使用传统的 API 方法通过 IP 地址检查用户的位置，这可能需要更长的时间，通常为 50-200 毫秒，具体取决于用户的互联网连接速度。对于大多数使用 DataGuard 的出版商而言，欧盟/欧洲经济区和加利福尼亚以外的用户的收入影响为零。

用户的同意令牌持续多长时间？

默认情况下，我们的同意 cookie 持续 390 天，这是 IAB 和许多其他主要广告和出版行业公司的建议。

16 岁以下的用户怎么办？

我们的同意书要求用户确认他们已年满 16 岁或已获得父母或法定监护人的同意。没有有意义且相当准确的技术方法来明确确认用户的年龄，因为使用另一个身份是微不足道的。甚至酒精和色情网站也只能简单地询问用户。

如何验证 PubGuru DataGuard 是否正常工作？

要强制模拟，请将以下 GET 参数附加到测试页的 URL：

将 ?pg_gdpr=popup 附加到 URL 以强制显示活动的 GDPR 弹出窗口
将 ?pg_ccpa=passive 附加到 URL 以强制显示被动 CCPA 弹出窗口
将 ?pg_gdpr=reset-cookies 附加到 URL 以重置 cookie

如何自定义 PubGuru DataGuard 中显示的徽标？

我们的 PubGuru DataGuard 演示中显示的徽标只是一个占位符，用于向您展示可以做什么。您可以而且应该设置自己的站点徽标。除本演示外，我们的徽标从未向最终用户显示。除了我们与其他数据供应商的分析同意披露外，生产弹出窗口中没有提及 PubGuru。 PubGuru / MonetizeMore 是一家 B2B 公司，我们希望您的品牌继续成为您自己用户的首选。

我们的采用者将在发布者控制台中为您的每个域设置徽标 URL。如果未设置徽标，则空间会崩溃并且什么也不会显示。

使用 PubGuru DataGuard 运行 Google Tag Manager 或 Google Analytics 需要什么代码？

我们的收养者将在您的每个域的发布者控制台中设置您的 GTM 和 GA ID。

发布者应该如何处理 IP 地址？

因为用户仍在访问发布者的网络服务器，发布者必须在未经同意的情况下使自己的数据存储符合 GDPR/ePrivacy，或者发布者必须在我们的弹出窗口中添加一个条目，供发布者和发布者的数据使用。在获得同意之前，发布者不能设置跟踪用户的 cookie。如果发布者正在记录用户 IP 地址，一种甚至在获得同意之前也可用于屏蔽 IP 地址的技术是屏蔽最后一个八位字节。例如，如果 IP 地址是 123.45.67.890，该地址将被屏蔽为 123.45.67.x。

在与一些供应商讨论了管理此问题的可用技术后，我们从发布商那里得知他们对屏蔽或加密 IP 地址感到困惑。当供应商屏蔽 IP 地址时，他们这样做只是为了他们自己的技术。他们不会为发布者或用户浏览器请求的其他第三方屏蔽 IP 地址。唯一的方法是通过代理隧道来阻止用户直接访问发布者的服务器，并强制流量通过代理。大多数发布商不希望像这样通过第三方公开他们的流量。

默认情况下，我们在同意书的第一个条目中包含发布者的域和业务实体，以及指向发布者隐私政策（如果可用）的链接，以及一组默认的数据使用。

结论

无法理解 GDPR 或 CCPA？我们可以帮助您设置 CMP 以确保您的网站符合 GDPR 和 CCPA 并正确收集用户同意。注册 MonetizeMore 并了解我们的广告工程师如何提供帮助。