同意管理平台:GDPR、CCPA 和 PubGuru DataGuard 的常見問題解答
已發表: 2018-05-01這篇文章最近更新於 2020 年 1 月 20 日
(2020 年 1 月 1 日更新)
什麼是 GDPR 和 CCPA?它們如何適用於出版和廣告行業?
GDPR 和 CCPA 是過去幾年頒布的隱私法,對廣告和出版行業產生了巨大影響。
GDPR 要求數據處理者在處理用戶數據時滿足某些要求,包括對法規中未明確允許的任何事情請求肯定、明確的同意。 法規未明確允許現代廣告和網絡分析,因此在使用此類技術之前必須徵得用戶同意。 GDPR 於 2018 年 5 月 25 日生效。GDPR 適用於 EU(歐盟)和 EEA(歐洲經濟區)的用戶。
CCPA 是一項非常相似的隱私法,於 2020 年 1 月 1 日生效,涵蓋加州用戶以及在加州開展業務的數據處理者。 儘管 CCPA 和 GDPR 之間存在差異,但大部分總體思路是相同的。 有許多披露和數據處理要求。
在這兩種情況下,廣告業都在很大程度上圍繞著 IAB 同意框架,為供應商提供標準化功能,以查看是否代表他們獲得了同意。
不確定如何獲得用戶同意並遵守 GDPR? 我們可以幫助您設置 CMP 並確保您的網站正確收集用戶同意。 註冊 MonetizeMore 並了解我們的廣告工程師如何提供幫助。 |
GDPR 和 CCPA 至少要求什麼?
出版商和廣告技術公司必須獲得肯定和明確的同意,才能在位於歐盟/歐洲經濟區的用戶的廣告和網站用戶分析中使用 cookie 和其他個性化標識符。 如果不這樣做,將根據 GDPR 處以災難性的罰款。
CCPA 對肯定和明確同意沒有同樣重要的限制,但確實要求數據處理者提供大量披露,以及阻止出售用戶個人信息的鏈接。
如果我們公司在歐盟/歐洲經濟區或加利福尼亞沒有業務怎麼辦? 我們認為 GDPR 或 CCPA 不適用於我們。
歐盟/歐洲經濟區和加利福尼亞以外的發布商通常不會讓自己面臨這些司法管轄區內的強制性判決,但在歐盟/歐洲經濟區和加利福尼亞合法存在的廣告合作夥伴(谷歌、AppNexus、Index、OpenX 等)仍然會承擔責任。 因此,所有主要需求來源都需要通過合同遵守 GDPR 和 CCPA。
至少,不遵守規定會導致廣告帳戶被暫停和禁止,並被列入 SSP 和 DSP 的黑名單。 在最壞的情況下,如果供應商被罰款,不遵守規定的出版商還面臨為與他們有合同的供應商支付法律費用。
換句話說,即使您不在加利福尼亞州和歐盟/歐洲經濟區,您仍然需要一個合規工具來管理同意和彈出窗口。 如果您使用 Google、Facebook、OpenX 或大多數其他廣告技術供應商的任何技術,那麼無論您是在歐盟/歐洲經濟區還是在加利福尼亞之外,都沒有關係。 GDPR 和 CCPA 仍然適用於您。
是否有不需要用戶同意的可用廣告解決方案?
對 GDPR 無效。 有一些供應商已經開始嘗試不需要用戶同意的廣告解決方案。 我們正在考慮將它們整合到我們的技術中,它們將對收入產生有意義的影響。 但是,根據 GDPR,未經用戶同意,針對歐盟用戶進行廣告個性化的用戶跟踪不再合法,因此用戶獲得的廣告非常有限,很可能與用戶無關。 結果,收入急劇減少。 這些未經同意的廣告技術使未經同意的廣告損失了 70-95% 的收入。
發生這種情況有多種原因:
- 當無法跟踪用戶時,定位變得極其無效。 廣告商無法通過人口統計來定位受眾——例如,針對 18-35 歲女性的產品的廣告最終會在其他人口統計面前浪費印象。 此外,針對對產品或服務表現出興趣的用戶的再營銷活動也變得無效。
- 此外,現代反欺詐技術依賴於 cookie 和瀏覽器指紋識別,未經同意,這些都是法規所不允許的。 品牌不想購買他們無法驗證這些印像是否真實的印象。
- 在這些問題之間,當廣告商無法驗證他們的廣告是否在市場上,甚至無法驗證廣告是否出現在真人面前時,很少有人有興趣購買此類廣告庫存。 由於對此類廣告庫存的需求很少,廣告費率崩潰了。
對於 CCPA,有一些選項可以限制大多數主要需求源(包括谷歌)的數據處理。 然而,出版商有責任剔除那些不這樣做的人。
什麼是同意管理平台 (CMP),它如何解決這個問題?
同意管理平台 (CMP) 是一個管理同意彈出窗口、收集和跟踪同意者以及他們同意允許收集數據的供應商的系統。 CMP 提供披露,以及用戶行使 GDPR 規定的權利(如數據刪除)的途徑。
此外,不運行符合 IAB 的 CMP 會而且確實會增加差異和回扣。
我們可以使用 Google 的非個性化廣告 (NPA) 而不是 CMP 來滿足 GDPR 的要求嗎?
根據谷歌關於 GDPR 的網絡研討會和問答,答案是否定的。 NPA 是在 GDPR 之前很久建立的,出於不同的原因。 NPA 不符合 GDPR,不能代替 CMP 使用。
作為出版商,我需要隱私政策嗎?
是的,所有發布商都必須有隱私政策。 除歐盟/歐洲經濟區的法律外,許多國家/地區的法律也要求這樣做。 隱私政策應包括:
- 發布者使用數據的目的(通常是用戶登錄、用戶體驗定制、個性化廣告等),
- 發布者的聯繫信息,了解如何刪除用戶數據。
- 面向用戶的 PubGuru Dataguard 統一供應商列表的鏈接。
- 對於 CCPA,該政策必須包含帶有文本“請勿出售我的信息”的鏈接。
與您的律師討論如何滿足隱私政策的合規要求。
PubGuru DataGuard 是如何工作的?
PubGuru DataGuard 是我們直接集成的 CMP。 使用 PubGuru DataGuard,檢查所有用戶是否位於歐盟/歐洲經濟區國家和加利福尼亞州。
- 不在歐盟/歐洲經濟區國家或加利福尼亞州的用戶將不會收到任何同意彈出窗口。 例如,位於拉丁美洲且設置了西班牙語瀏覽器語言的西班牙語用戶將不會看到同意彈出窗口。 唯一的例外是當用戶從瀏覽器試探法中位置不明確並且他們無法通過 IP 進行地理定位時。 別無選擇,只能給他們同意彈出窗口,但這種情況極為罕見。
- 位於歐盟/歐洲經濟區國家/地區的用戶將獲得一個主動同意彈出窗口。 我們的彈出窗口表明,用戶的數據將用於根據他們的興趣定制廣告。 今天的數字廣告行業參與者數不勝數,發行商無法在加載之前知道哪些供應商會加載。 我們列出了我們在廣告生態系統中觀察到的所有已知主要廣告合作夥伴,包括 Google(針對 Adsense、AdX、DFP 和 Analytics)、MonetizeMore、header bidders、DSP 和反欺詐驗證公司。 由於廣告合作夥伴因頁面瀏覽量而異,或者如果發布商添加其他合作夥伴,我們會披露所有可能加載的合作夥伴,而不僅僅是最終會加載的合作夥伴。 這也意味著發布者無需針對加載的各個合作夥伴的不同綜合瀏覽量一遍又一遍地尋求同意。
- 加利福尼亞州的用戶將獲得一個較小的被動彈出窗口,其中包含適當的隱私政策鏈接和必要的披露。
您可以在此處查看有效的 PubGuru DataGuard 演示。
如果用戶不同意會怎樣?
對於 GDPR 和歐盟/歐洲經濟區的用戶,PubGuru DataGuard 同意彈出窗口需要同意才能繼續,並在獲得同意之前阻止用戶。 由於行業中有如此多的廣告實體,並且他們當前的技術不支持在沒有任何用戶跟踪的情況下盲目購買印象,因此幾乎所有廣告商都需要同意。 行業共識支持這樣一種觀點,即接收廣告是對發布者網絡資產的有效“訪問價格”。 此外,大多數網站在沒有跟踪技術的情況下根本無法正常運行。 最後,法規要求用戶同意甚至允許存儲 cookie 以抑制未來頁面瀏覽中的彈出窗口,因此具有諷刺意味的是,該法規強制在每次頁面瀏覽時觸發任何彈出行為,有效地嘮叨用戶同意,直到他們這樣做。
對於加州的 CCPA 和用戶,同意的要求要輕得多。 彈出窗口不會阻礙用戶或廣告,而且侵入性要小得多。 彈出窗口在 24 小時內最多顯示 5 次,可以得到用戶的肯定同意(持續 390 天),並在用戶滾動離開時隱藏。
DataGuard 在何處以及如何存儲同意數據?
所有同意數據都存儲在 Amazon Web Services 的複制存儲中。 此外,一旦用戶同意,他們同意的範圍(供應商、功能、目的)也會存儲在他們自己的設備上,以便更快地處理同意。
DataGuard 如何將同意信息傳遞給下游的所有其他廣告商?
有兩種管理同意的模型。
第一個是假設模型,由谷歌使用,所有通過谷歌技術參與的供應商,以及許多其他不使用谷歌的供應商。 該模型是假設的,因為按照慣例假定發布者在未代表該技術獲得同意的情況下不會加載下游技術。 Google 為此維護了自己的供應商列表,以便發布商可以確保他們的 CMP 包括所有可能加載到廣告堆棧中的 Google 合作夥伴。 這主要通過合同強制執行,允許至少終止帳戶,並在最壞的情況下將大量責任轉嫁給發布者。
第二種模式是IAB模式。 IAB 模型使用一組標準化的功能,其他人可以調用這些功能來確定是否已代表他們獲得同意。 IAB 還在其全球供應商名單 (GVL) 中包括眾多註冊供應商,以及這些供應商的數據處理和收集功能和目的。
PubGuru DataGuard 是否實施 IAB 同意框架?
是的。 我們在與出版商交談時發現的問題是,對於太多的出版商來說,在出版商層面實施框架過於復雜。 每個發布商都想要一個更簡單的工具來管理整個地理位置、同意管理和彈出過程,在獲得或不需要同意時自動觸發廣告和分析。
DataGuard 不允許用戶全局選擇退出或修改隱私設置。 為什麼不?
GDPR 對此沒有要求。 GDPR 僅要求個人擁有撤銷同意的權利和能力,而不是為任何或所有供應商集體撤銷同意的能力。 任何 CMP 聲稱他們這樣做要么是在誇大事實,要么是被誤解了。 這是因為沒有標準化的機製或協議允許用戶從單一界面聯繫所有先前同意的供應商,並大規模撤銷或修改該同意。
這同樣適用於 CCPA。 法律沒有要求大規模退出,也沒有針對此類大規模退出的協議。
至多,CMP 只能刪除活動的同意令牌,要求對未來的數據收集和處理取得同意,同時將與該用戶關聯的現有數據留在野外。 每個主要的 Web 瀏覽器,甚至在移動設備上,都直接從瀏覽器支持此功能。 刪除活動同意令牌的問題在於它是綁定到特定用戶的標識符。 如果用戶刪除此令牌,他們將無法聯繫供應商以撤銷同意,因為他們不知道他們的同意標識符是什麼。
我們已經有了自己的同意彈出窗口。 這有什麼問題嗎?
同意不僅僅是關於彈出窗口或某種被動工具欄。 引擎蓋下正在發生許多事情。 為滿足所有要求,發布商的開發人員必須至少執行以下所有操作:
- 首先檢查用戶是歐盟/歐洲經濟區還是加利福尼亞州,或者將彈出窗口提供給所有用戶。 對所有用戶使用基於 IP 的慢速地理定位對歐盟/歐洲經濟區和加利福尼亞以外的流量造成重大損失。
- 披露可能加載的廣告和分析堆棧中的所有供應商,因為僅列出標頭出價合作夥伴是不夠的。 這應包括整個 IAB GVL 和 Google 的供應商列表,以及發布商可能獨有的任何其他供應商。
- 使用適當的彈出式語言,其中包括 IAB GVL 和 Google 隱私聲明中列出的所有功能和用途。
- 有適當的彈出語言,包括選擇退出用戶數據銷售的機會。
- 對於 GDPR,在發布者確定用戶不是 EU/EEA 或用戶同意之前,發布者不能運行任何 cookie 或跟踪代碼,包括標頭競價、GAM 或 GA,否則將承擔責任或帳戶損失的風險。
- 跟踪 GDPR 和 CCPA 合規數據存儲中的所有同意實例。
- 實施 IAB CMP 框架 API。 這不是一個統一的同意存儲庫; 相反,它是一組向廣告生態系統合作夥伴公開的標準化公共功能,下游的其他人可以使用這些功能來檢查是否代表他們獲得了同意。 如果發布商在這些供應商開始要求合規性時不支持 IAB CMP 框架,供應商將不會按要求運行他們的代碼,並且會出現差異或收回。
- 討論對監管顧問的遵守情況,以包括可能特定於出版商的特定語言元素。 例如,使用英語以外語言的網站應該有這些語言的彈出窗口。 運行自己的分析和跟踪(而不是 Google Analytics、Comscore 或 Quantcast)的出版商也需要更新這些部署。 我們不是您的律師或保險公司。 您有責任遵守所有適用法律。
- 最後,彈出窗口開發人員應使用符合 GDPR 的分析工具對彈出窗口進行性能和轉換測試。 一些彈出窗口的轉化率明顯高於其他彈出窗口。 一些彈出式設計的設計非常糟糕,以至於其他設計的效果要好幾倍。 如果發布商使用的設計不佳,可能會導致歐盟/歐洲經濟區收入損失 70-90%。 運行這些測試還需要開發符合 GDPR 的假名存儲——你不能只使用 Google Analytics 或大多數其他分析包。 我們知道有多個 CMP 已確認不會進行彈出測試,而且我們不知道除了 PubGuru 之外還有任何其他 CMP 會進行任何彈出測試。 我們已經測試了多個。
簡而言之,您的彈出窗口必須滿足大多數發布商根本沒有興趣實施的眾多要求。
我可以不運行 CMP 嗎?
功能將受到限制,風險和責任對您的公司來說是災難性的。 您將面臨來自歐盟/歐洲經濟區和加利福尼亞州的需求來源和/或監管機構的賬戶禁令和嚴重責任的風險。 進一步來說:
- 發布商不能使用 PubGuru 的任何主廣告帳戶。 我們不是保險公司,也不會為不想遵守法律的出版商承擔責任。
- 由於該工具會收集用戶的個性化數據,因此發布商將無法訪問歐盟/歐洲經濟區或加利福尼亞州流量的 PubGuru TrafficCop。
- 未運行符合 IAB 標準的 CMP 的發布商面臨越來越多的差異和回扣,即使是來自歐盟/歐洲經濟區和加利福尼亞以外的流量。 這是因為下游供應商現在正在檢查由發布商的 CMP 實現的 IAB 功能。 如果 IAB 功能不可用或未返回有效的同意 ID(即使在歐盟/歐洲經濟區和加利福尼亞以外的流量上),供應商越來越多地不加載他們的廣告代碼,並將其標記為無效流量。 這些供應商也不希望承擔災難性責任。
- 由於所有最大的廣告技術供應商,包括谷歌、Facebook 和亞馬遜,都在加利福尼亞和歐盟/歐洲經濟區開展業務,發布商將面臨這些供應商的永久帳戶暫停和終止。 谷歌已經向許多發布商發出了違規警告。
簡而言之,不運行 CMP 不是廣告支持發布商的可行選擇。
我見過其他發布商在屏幕頂部或底部運行被動同意欄。 為什麼我不能運行這樣的東西?
對此有多種混淆來源。
首先,如果您不是從 EU/EEA 進行測試,您可能會看到發布商的隱私彈出窗口,該彈出窗口不是為 GDPR 合規性而設計的,也不會在 EU/EEA 中加載。 由於多個彈出窗口管理服務現在使用啟發式方法進行地理定位而不僅僅是 IP 地址,這使情況變得更加複雜。 您不能只為歐洲 IP 地址使用 VPN。 這不再那麼簡單了。
其次,運行任何類型的個性化廣告服務(幾乎所有市場)都需要在歐盟/歐洲經濟區加載任何跟踪技術之前獲得肯定同意。 對歐盟/歐洲經濟區流量使用被動同意的發布商不能在同意之前加載此類廣告。 如果您在同意之前加載廣告,您就違反了 GDPR 並冒著承擔巨額責任、暫停您的廣告帳戶、顯著增加的差異以及更多問題的風險。 這意味著 EU/EEA 的彈出窗口在獲得同意方面應該非常積極,以便您可以盡可能接近正常體驗投放廣告。
第三,CCPA 允許被動但明顯的同意。 這意味著對於加利福尼亞州的交通,屏幕頂部或底部允許廣告在同意之前加載的被動欄仍然可能沒問題。 不過,披露仍必須遵守 CCPA。
對於未運行 IAB 兼容 CMP 的發布商,歐盟/歐洲經濟區和加利福尼亞州流量的差異持續增加,因為下游供應商執行 IAB 標準同意功能,但它們並不存在。 當找不到功能時,無法訪問同意令牌,供應商不會加載他們的任何技術,並且您會得到不一致的印像或收回。
我們很少或根本沒有來自歐盟/歐洲經濟區和加利福尼亞的流量。 我們還應該運行 CMP 嗎?
是的。 您無法控制用戶是否在社交媒體上分享您的鏈接,或者用戶是否從來自歐盟/歐洲經濟區國家或加利福尼亞的搜索引擎找到您。 任何成功的發布商都將從歐盟/歐洲經濟區或加利福尼亞獲得不可忽略的流量。
即使您僅通過不容易允許共享鏈接的受眾獲取渠道(例如 SnapChat)獲取拉丁美洲流量,上游供應商也看不到,也無法提前確定是否同意。 他們檢查功能,當它們失敗時,供應商不會加載。
IAB CMP 規範仍然提供同意數據和標準化的同意功能,即使對於歐盟/歐洲經濟區和加利福尼亞以外的流量也是如此。 如果您沒有實施這些功能,隨著越來越多的供應商需要它們,您將看到越來越多的差異和回扣。
我可以使用 PubGuru 或 MonetizeMore 技術運行另一個 CMP 嗎?
是的,我們歡迎發布商使用 (1) 符合 IAB 框架並且 (2) 包含 Google 供應商列表的任何 CMP。 IAB GVL 不包括 Google 供應商列表中的所有供應商。 PubGuru DataGuard 將 IAB GVL 與 Google 的供應商列表以及我們的內部來源列表相結合。
此外,我們的廣告技術可與其他符合 IAB 標準的 CMP 完美配合。 唯一的限制是實現更複雜。 如果無法訪問有效的 IAB 同意令牌,越來越多的技術部分將無法正確加載或根本無法加載。
好的,我們需要一個 CMP。 PubGuru DataGuard 的價格是多少?
PubGuru DataGuard 完全免費,所有 PubGuru 和 MonetizeMore 發布商都免費使用。 由於 DataGuard 直接與我們的技術集成,因此設置也非常簡單。 我們意識到出版商希望重新開始出版,而不是擔心數據合規性。
PubGuru DataGuard 對位於歐盟/歐洲經濟區和加利福尼亞以外的用戶有任何廣告收入影響嗎?
我們開發了一種專有算法,可以在多個階段對用戶進行地理定位。 第一階段確定了歐盟/歐洲經濟區和加利福尼亞以外的絕大多數用戶,以及歐盟/歐洲經濟區內部的大多數用戶。 這意味著大多數用戶不會有額外的延遲。 地理定位的最後一個階段只有在所有其他階段都失敗時才會觸發,並使用傳統的 API 方法通過 IP 地址檢查用戶的位置,這可能需要更長的時間,通常為 50-200 毫秒,具體取決於用戶的互聯網連接速度。 對於大多數使用 DataGuard 的出版商而言,歐盟/歐洲經濟區和加利福尼亞以外的用戶的收入影響為零。
用戶的同意令牌持續多長時間?
默認情況下,我們的同意 cookie 持續 390 天,這是 IAB 和許多其他主要廣告和出版行業公司的建議。
16 歲以下的用戶怎麼辦?
我們的同意書要求用戶確認他們已年滿 16 歲或已獲得父母或法定監護人的同意。 沒有有意義且相當準確的技術方法來明確確認用戶的年齡,因為使用另一個身份是微不足道的。 甚至酒精和色情網站也只能簡單地詢問用戶。
如何驗證 PubGuru DataGuard 是否正常工作?
要強制模擬,請將以下 GET 參數附加到測試頁的 URL:
- 將 ?pg_gdpr=popup 附加到 URL 以強制顯示活動的 GDPR 彈出窗口
- 將 ?pg_ccpa=passive 附加到 URL 以強制顯示被動 CCPA 彈出窗口
- 將 ?pg_gdpr=reset-cookies 附加到 URL 以重置 cookie
如何自定義 PubGuru DataGuard 中顯示的徽標?
我們的 PubGuru DataGuard 演示中顯示的徽標只是一個佔位符,用於向您展示可以做什麼。 您可以而且應該設置自己的站點徽標。 除本演示外,我們的徽標從未向最終用戶顯示。 除了我們與其他數據供應商的分析同意披露外,生產彈出窗口中沒有提及 PubGuru。 PubGuru / MonetizeMore 是一家 B2B 公司,我們希望您的品牌繼續成為您自己用戶的首選。
我們的採用者將在發布者控制台中為您的每個域設置徽標 URL。 如果未設置徽標,則空間會崩潰並且什麼也不會顯示。
使用 PubGuru DataGuard 運行 Google Tag Manager 或 Google Analytics 需要什麼代碼?
我們的收養者將在您的每個域的發布者控制台中設置您的 GTM 和 GA ID。
發布者應該如何處理 IP 地址?
因為用戶仍在訪問發布者的網絡服務器,發布者必須在未經同意的情況下使自己的數據存儲符合 GDPR/ePrivacy,或者發布者必須在我們的彈出窗口中添加一個條目,供發布者和發布者的數據使用。 在獲得同意之前,發布者不能設置跟踪用戶的 cookie。 如果發布者正在記錄用戶 IP 地址,一種甚至在獲得同意之前也可用於屏蔽 IP 地址的技術是屏蔽最後一個八位字節。 例如,如果 IP 地址是 123.45.67.890,該地址將被屏蔽為 123.45.67.x。
在與一些供應商討論了管理此問題的可用技術後,我們從發布商那裡得知他們對屏蔽或加密 IP 地址感到困惑。 當供應商屏蔽 IP 地址時,他們這樣做只是為了他們自己的技術。 他們不會為發布者或用戶瀏覽器請求的其他第三方屏蔽 IP 地址。 唯一的方法是通過代理隧道來阻止用戶直接訪問發布者的服務器,並強制流量通過代理。 大多數發布商不希望像這樣通過第三方公開他們的流量。
默認情況下,我們在同意書的第一個條目中包含發布者的域和業務實體,以及指向發布者隱私政策(如果可用)的鏈接,以及一組默認的數據使用。
結論
無法理解 GDPR 或 CCPA? 我們可以幫助您設置 CMP 以確保您的網站符合 GDPR 和 CCPA 並正確收集用戶同意。 註冊 MonetizeMore 並了解我們的廣告工程師如何提供幫助。