更新时间:2025年11月11号
2024年3月份,欧洲的DMA正式实行,很多出海的网站都在安装CMP/Cookie Consent,但你用的这个产品合规吗?布署是否正确?
什么是CMP
CMP全称是Consent Management Platform,中文名同意管理平台 ,也可以称为隐私管理平台。
核心功能包括:
- 收集用户同意:针对 Cookie、追踪技术、第三方分析、广告等
- 管理同意状态:支持记录、更新、撤回
- 提供透明声明:告知用户数据用途、第三方共享情况
- 与其他系统集成:数据分析、广告投放、营销自动化系统
主要作用就是记录一些用户的授权信息,可见的感知就是在网站打开的时候,会弹出一个Cookie Banner,告诉用户要跟踪什么,用途是什么
- 用户同意,分析类和广告类才可以生成Cookie,跟踪数据
- 用户拒绝,分析类和广告类不做跟踪
CMP可以是企业自建,也可以使用第三方SaaS方案(如 OneTrust、Didomi、Quantcast、Cookiebot 等),但曾有欧洲的公司是自己开发CMP,判定为不符合要求,违规,被罚款,所以建议是使用IAB注册认证的CMP,可以在https://iabeurope.eu/cmp-list/ 上面查询。
CMP合规的法律背景
不同地区的数据隐私法规对 CMP 合规性提出了明确要求:
| 法规 | 关键要求 | CMP 合规关注点 |
|---|---|---|
| GDPR(欧盟通用数据保护条例) | 用户必须主动、明确同意数据收集 | 同意收集机制、记录和撤回机制 |
| ePrivacy Directive(欧盟 Cookie 法) | 禁止未经同意的 Cookie 和追踪 | Cookie 分类、阻断未同意 Cookie |
| CCPA/CPRA(加州消费者隐私法案) | 用户有“拒绝销售个人信息”权 | 同意/拒绝机制、透明通知 |
| LGPD(巴西) | 明确告知数据用途并获得同意 | 同意管理、记录和审计 |
| 中国个人信息保护法(PIPL) | 明示收集目的,征得同意,提供撤回 | 多渠道同意、记录和安全保护 |
不同地区法规略有差异,因此 CMP 需要根据用户地理位置动态调整同意流程。
CMP合规的技术要求
一个真正合规的CMP,需要满足以下技术要求:
| 技术要求 | 说明 | 实现/注意事项 |
|---|---|---|
| 明示同意(Explicit Consent) | 用户必须主动选择同意,不能默认勾选 | 必须清楚告知数据用途、数据类型和第三方共享情况 |
| 可撤回同意(Consent Withdrawal) | 用户随时可以撤回同意 | 系统必须实时生效,阻止后续数据收集 |
| 同意记录和审计(Consent Logging) | CMP 必须记录用户同意的时间、方式、IP、地理位置 | 便于企业应对监管审查 |
| 阻断未同意的 Cookie/追踪 | 在用户未同意前,分析或广告脚本不得触发 | 可通过 Tag Manager 或 Cookie 控制机制实现 |
| 多渠道同步 | Web、App、移动端、服务器端的数据收集必须统一同意状态 | 防止跨平台数据收集不一致导致违规 |
常见CMP不合规场景
| 不合规场景 | 描述/说明 |
|---|---|
| 默认勾选或预选同意 | GDPR 明确禁止,但一些企业为了用户体验仍预选同意选项 |
| 未阻断未同意 Cookie | Analytics、广告或追踪脚本在用户未同意前就被触发 |
| 同意无法撤回或撤回复杂 | 用户找不到撤回入口,或撤回流程繁琐,不利于合规 |
| 同意记录不完整 | 无法证明用户曾明确同意,存在审计和监管风险 |
| 跨域、跨平台同意不同步 | 用户在 App 同意,但 Web 或其他渠道未同步,导致隐私违规 |
如何检查CMP是否合规
| 评估维度 | 检查内容 | 具体方法/说明 |
|---|---|---|
| 功能检查 | 明示同意机制是否完整 | 检查同意弹窗、Banner、分层同意是否正确显示 |
| 用户能否随时撤回 | 验证撤回入口是否可用,撤回后阻止数据收集 | |
| 同意记录是否完整并可审计 | 查看日志记录时间、方式、IP、设备信息 | |
| 阻断脚本是否有效 | 检查未同意状态下广告/分析脚本是否被阻断 | |
| >法律适配 | CMP 是否支持多法规 | 验证是否覆盖 GDPR、CCPA、PIPL 等法规 |
| 是否根据用户地区动态显示合规内容 | 检查不同地区用户看到的同意界面是否合规 | |
| 技术测试 | 使用浏览器调试工具检查脚本触发顺序 | 通过 DevTools 或 Tag Manager 调试脚本加载顺序 |
| 模拟不同同意状态,验证广告/分析脚本是否正确阻断 | 切换同意状态,确认脚本执行行为符合预期 | |
| 第三方验证 | 可使用合规审查工具或咨询律师 | 使用专业工具或法律服务评估 CMP 合规性 |
| SaaS CMP 提供合规证明和审计日志 | 查看供应商提供的合规认证和日志记录 |
案例演示
合规案例
没授权前的,只有必要的cookie,没有分析类和广告类的cookie:
用户同意后,分析类和广告类的的cookie才生成和跟踪数据:
注意:CLID和MUID是微软热力图,这个属于分析类的,没授权就跟踪,这个有问题。
不合规案例
国内也有厂家推出CMP产品,但没在IAB注册的,我看一下官网,是有弹出Cookie Banner,但我还没点击同意,GA4的Cookie就已经生成:
GA4的在正常跟踪:
看起来这家CMP厂家在自己官网都没布署对,用户没同意就直接生成Cookie和跟踪数据,妥妥的违规。
违规的风险
- GDPR第83条规定了对企业处以行政罚款的一般条件,并划分了两类处罚标准,分别是:①Ⅰ类标准:对违法企业处以最高10,000,000欧元或上一财经年度全球营业总额2%的行政罚款(以较高者为准);②Ⅱ类标准:对违法企业处以最高20,000,000欧元或上一财经年度全球营业总额4%的行政罚款(以较高者为准)。
- DMA规定,企业违规将面临高达其全球年营收10%的罚款,如果再犯这一比例则提高至20%
常见错误
在CMP的安装使用过程中,以下错误是比较常见的:
- 第三方跟踪没获取授权就跟踪:虽然有弹出Cookie Banner,出于数据收集考虑,但没有完全集成,这种做法是完全不合规的,如德国就有公司因为没有正确布署CMP,导致违法,被主管当局取证记录,后被告上法院,「GDPR」德国法院裁决:需获得用户同意才可以加载GTM
- 页面刷新:用户同意的时候,页面做了刷新,这会导致Referral跟踪不到,可能会将流量错误是被为直接渠道
- 漏跟踪第一个页面:会导致渠道信息全丢失,流量绝大部分会划分到直接渠道
- 拒绝选项放到二级页面:这种做法能提高用户同意率,但是是违法的,已经有公司因为这个吃官司罚款
延伸阅读:
如有疑问,可以在文章底部留言或邮件(haran.huang@ichdata.com) 我~
