更新时间:2025年8月19号
在程序化广告生态中,如果企业面向欧洲市场或处理欧盟用户数据,除了遵守GDPR(《通用数据保护条例》),还必须了解TCF(Transparency and Consent Framework,透明度与同意框架)。
什么是透明度与同意框架(TCF)?
TCF(Transparency and Consent Framework,中文为透明度和同意框架。) 是由IAB Europe(欧洲互动广告局) 制定的一套行业标准,目的是帮助广告生态链中的各方更好地遵循GDPR和ePrivacy指令。
TCF规范了用户同意收集和处理个人数据的方式,确保广告和分析行为合法合规。
TCF出现的原因
虽然欧盟发布了GDPR,,但实际执行中存在两大挑战:
- 法规解释差异:欧盟28个成员国对GDPR的解释各不相同,不同司法辖区有不同理解。例如同一条法规,在德国看来可以操作,在其法国可能被认为违法。
- 法规理解难统一:GDPR涉及到的参与者众多,程序化广告的整个产业链都涉及,不同的参与者有不多的理解,难以统一。
因此,TCF应运而生,作为统一框架,帮助企业和供应商明确法律责任,简化GDPR和ePrivacy的实施。
TCF版本演进
- TCF v1.x:最初版本,建立基础机制。
- TCF v2.0:2019 年8月21日推出,加入更细颗粒级的同意选项机制。
- TCF v2.1:2020 年8月推出,响应例如欧洲法院 Planet49 判例中关于 Cookie 同意要求。
- TCF v2.2:2023 年5月16日发布。
- 官方要求参与方于2023年11月20日之前完成 v2.2 的实施
国际互联网巨头已全面采用 TCF2.2。
TCF2.2的核心要求
TCF2.2对企业、出版商(Publishers)、广告主/供应商(Vendors)、CMP(Consent Management Platform)提出了明确的要求,主要可以归纳为法律合规、用户透明度、技术规范、用户控制四大方面。
法律合规要求
- 用户同意优先:广告个性化、内容个性化等目的,必须以用户同意(Consent)为法律依据,不再依赖“合法利益(Legitimate Interest)”。减少合法利益滥用的风险,确保符合GDPR要求。
- 目的与处理范围清晰:每个数据处理目的需明确告知用户,包括:数据用途(广告/内容个性化、分析、存储等)、数据类别(姓名、邮箱、设备ID等)和数据保留期限
- 供应商责任明确:所有参与TCF的供应商(Vendors)需在全球供应商列表(GVL)中注册,声明其数据处理目的、类别及合规依据。未注册供应商不得收集用户数据。
用户透明度要求
- 披露供应商数量:在CMP弹窗中需显示请求同意的供应商总数,让用户了解有多少第三方参与数据收集。
- 多语言与可读性:提供用户友好文本说明(非法律术语),支持多语言版本,提高用户理解度。
- 信息可访问:用户可随时查看:已授权的供应商列表、数据使用目的和数据保留期限
技术规范要求
- TC String 标准:使用 TCF 2.2 标准生成并传递同意字符串(TC String),确保供应商和广告平台能够解码用户同意状态。
- GVL更新:全球供应商列表(GVL)需更新至 v2.2 支持字段包含数据类别(Data Categories)、数据保留期(Purpose & Retention)和法律依据(Consent/Legitimate Interest)
- API与事件监听:弃用旧接口
getTCData,改为基于事件监听机制,确保实时获取TC String更新。
用户控制要求
- 同意撤回:用户必须可以随时修改或撤回同意,CMP应提供明显入口。
- 选择权管理:用户可单独选择供应商或类别级别的同意,而非一次性全部同意或拒绝。
- 数据删除与隐私管理:CMP 或出版商需提供用户请求删除个人数据的渠道(通常在隐私政策中说明)
GDPR、TCF和CMP的关系是怎样的呢?
它们之间的关系是,欧盟发布了GDPR,由于欧盟成员众多,对GDPR各有各的理解,实施起来难,所以TCF出现,它是一个统一了技术标准和法律规范框架,大家可以根据这个框架去做,CMP就是根据这个框架做出来的工具。
简单理解:GDPR是法律 → TCF是框架 → CMP是工具。
企业实施建议?
建议使用已在IAB Europe注册认证的CMP,确保技术规范与法律要求完全匹配。
虽然企业可以自行基于TCF开发CMP,但不建议这样做,因为对TCF理解不足可能导致违法——已有欧洲公司因此受罚。直接购买认证CMP工具是最安全、最高效的方案。
在实施CMP时,应严格遵循法规要求,确保用户同意、信息可访问且可随时撤回。
