更新时间:2025年12月23号
这一篇来介绍GDPR、TCF、CMP 与 Google Consent Mode 之间的关系与区别。
在欧盟数据保护法规和隐私合规要求日益严格的背景下,这四个概念频繁同时出现,也常被混用。实际上,它们分别位于法规层、行业标准层、工具层和技术机制层,共同构成了一套完整的隐私合规框架。
整体关系预览
- GDPR:法律法规(合规的根本依据)
- TCF:行业标准(对 GDPR 的统一技术解释)
- CMP:产品工具(落地执行同意管理)
- Consent Mode:Google提供的技术机制(让Google与第三方代码合规运行)
可以简单理解为:
GDPR定规则 → TCF给标准 → CMP负责执行 → Consent Mode解决Google生态的技术合规问题
下面分别展开说明。
GDPR(General Data Protection Regulation)
GDPR 的全称是 General Data Protection Regulation,中文通常称为 《通用数据保护条例》。它是一个法规,它是一个法规,它是一个法规。
它是欧盟于 2016 年通过、2018 年正式实施的一项法律法规,其核心目标是增强个人对自己数据的控制权,要求企业在收集、存储和使用个人数据时必须遵循一定的规则。GDPR 的关键原则包括:
- 合法性、公正性与透明性:用户必须知情且同意其数据如何被收集和使用。
- 目的限制:数据只能为特定且合法的目的收集,并且只能在该目的下处理。
- 数据最小化:仅收集必要的数据,避免过度收集。
- 数据主体权利:包括访问、更正、删除、限制处理、数据转移等权利。
- 同意管理:用户必须明确同意收集和使用其个人数据,且同意需要是自由、具体、知情且明确的。
GDPR 要求在收集和处理用户数据之前,必须获得明确的用户同意,尤其是敏感数据(如健康、金融数据)的处理,如果违法,最高将被处以公司全球年营业额 4% 或 2000 万欧元(以较高者为准)的罚款。
因此,GDPR 是所有隐私合规工作的法律基础。
TCF(Transparency and Consent Framework)
TCF的全称是Transparency and Consent Framework,中文一般译为透明度与用户同意框架。
它是由 IAB Europe(欧洲互动广告局) 推出的一个开放式行业技术标准,它是一个技术标准,它是一个技术标准,它是一个技术标准,目的在于:为数字广告产业提供一套统一的 GDPR 合规技术解释和实现方式。旨在帮助数字广告行业确保遵守 GDPR 和 ePrivacy 指令的规定。
虽然欧盟发布了GDPR法规,但是实施却遇到很大挑战,主要有两个方面:
- 法规解释差异,欧盟内部28个成员国,各成员国在司法实践中对GDPR的理解并不完全一致。
- 产业链复杂,程序化广告涉及发布商、广告主、DSP、SSP、Ad Server 等大量角色,不同参与方对“同意”的理解和执行方式不同。
所以GDPR实施初期操作起来对很多公司来说非常困难,导致一些公司一而再的推迟加入GDPR的期限,有些公司也被罚得莫名其妙的。
这时候就需要TCF,TCF的目标是使广告商、出版商和技术供应商能够以能够以透明、可审计、标准化的方式处理用户同意。
TCF的核心机制包括:
- 透明度:明确告知用户数据用途、合作方和处理方式
- 同意采集:记录用户对不同目的和供应商的授权选择
- 记录共享:以标准化信号在广告生态中传递用户同意状态
可以这样理解:按照TCF规范执行,同意管理在原则上是符合GDPR要求的。TCF 也获得了欧盟监管机构的认可。
他们的关系是:
TCF有多个版本,直到2020年,谷歌才开始支持TCF 2.0,才被普遍接受,延伸阅读:透明度和同意框架2.2(TCF 2.2)
CMP(Consent Management Platform)
CMP的全称是Consent Management Platform,中文通常称为同意管理平台,也常被称为隐私管理平台,它本质上是一个工具/产品,用于将GDPR和TCF的要求真正落地。它是一个工具,它是一个工具,它是一个工具,它是一个工具。
CMP 的主要职责
- 在用户首次访问网站时展示Cookie Banner
- 告知用户:会收集哪些数据、用于什么目的、涉及哪些第三方
- 让用户明确选择同意/拒绝/自定义
- 记录并管理用户的同意状态
- 根据用户选择控制数据是否被收集
常见的CMP有OneTrust,TrustArc。
CMP和TCF的关系如:
大多数CMP是基于TCF标准开发的,但需要注意:
❗ 并不是所有声称“支持 TCF”的 CMP 都是合规的
因此IAB Europe推出了CMP官方认证机制(https://iabeurope.eu/cmp-list/),只有通过认证的CMP,才被视为符合TCF标准。
Consent Mode
Consent Mode(也常被称为 Cookie Consent Mode)是 Google 推出的技术机制,用于让 Google 生态中的产品在隐私合规前提下运行。
它本身不是CMP,而是一个“同意信号转化层”。
Consent Mode能实现:
- 让GA4、Google Ads、Floodlight等在用户拒绝Cookie时仍可合规运行
- 让GTM中的第三方标签更容易遵守同意状态
- 当用户拒绝时:Google不写入Cookie、但仍发送无 Cookie 的ping、GA4 可通过建模方式找回约70%的数据
只有支持并正确接入Consent Mode的 MP,才能触发上述ping机制,它们的关系是:
完整的流程是:
- CMP:用户访问网站,CMP弹出一个Cookie Banner,告诉用户要跟踪什么,用途是什么,让用户知情和授权,可以向Consent Mode传递用户授权信息(前提是CMP有加入Consent Mode这个机制)
- Consent Mode:Consent Mode会转化为意见征求模式参数,可以直接被Google及GTM上第三方跟踪代码使用;用户拒绝的时候,会发送不使用 Cookie 的 ping,GA4会通过机器学习找回部分数据。
Consent Mode有两个版本:
- Consent Mode V1:基础版本
- Consent Mode V2:高级版本(目前主流)延伸阅读:Google Tag Manager里的Consent Mode V2意见征求模式
如何选择?
- 只追求法规合规:安装并正确配置一个合规的 CMP 即可,延伸阅读:Adobe Launch上配置TrustArc实现Cookie Banner
- 既要合规,又希望GA4尽量减少数据损失:选择支持Consent Mode的CMP,延伸阅读:通过Google Tag Manager的Consent Mode给网站部署Cookiebot
