更新时间:2023年8月19号
程序化广告生态链中的参与者和做欧美市场的互联网企业,一定知道GDPR《通用数据保护条例》(General Data Protection Regulation,简称GDPR),但却不多人知道TCF,国内检索出来的TCF相关的信息非常少,只有三五条信息,TCF2.0已经进入完整实施阶段,如果你的公司或产品需要遵循GDPR的,那么你也需要关注TCF,那么TCF是什么呢?
什么是TCF 2.2
TCF的全称是Transparency and Consent Framework,中文为透明度和同意框架。
这是一套指南,行业标准框架,用于标准化和简化整个程序化广告行业中的媒体主、广告投放平台、第三方数据平台之间的同意管理通信流程,它帮助所有参与者更好的遵循欧洲ePrivacy指令和GDPR隐私的准则。
它要求网站发布者可以告知访问者正在收集哪些数据,以及他们的网站以及与之合作的公司打算如何使用它,需要给访问者提供授权选择,异议权和撤回授权的权利,使访问者可以更好地控制收集和使用的数据。并对数据使用各方的数据收集、传输和使用指定规范。
TCF由IAB技术实验室制定参与者各方的技术标准和规范,由IAB欧洲和IAB技术实验室联合发布。
TCF2.0的目的
TCF的目标是帮助数字广告产业链中的所有参与者更好的遵守欧盟的GDPR和欧洲ePrivacy指令,尤其是GDPR。
虽然欧盟发布了GDPR,但是实际却遇到很大挑战,主要有两个方面:
- 法规解释,欧盟内部28个成员国,不同司法管辖区有不同的法规解释,这个就是释法的问题,如同现在的的美国对华为发布的禁令一样,各家公司都有不同的理解,有些觉得这样能做,有些觉得那样不能做,这个就要小心谨慎,需要与美国做交流,避免不小心触犯法规
- 法规理解,GDPR涉及到的参与者众多,程序化广告的整个产业链都涉及,不同的参与者有不多的理解。
所以GDPR实施操作起来对很多公司来说非常困难,导致一些公司一而再的推迟加入GDPR的期限,有些公司也被罚得莫名其妙的,这时候就需要TCF,TCF是一个标准化的框架,能更好的满足各方对法律的要求,使得GDPR更容易实施。
如何实施:CMP
CMP全称是Consent Management Platform,中文名同意管理平台 。
CMP专门用于在法律要求的情况下向访问者征求同意,同时列出所有可用的同意选项,列出可能可能会收集信息和使用的平台,并以多种语言显示数据处理目的和解释性文本。它存储了访问者的选择,并为他们提供了退出或撤回任何先前给予的同意的可能性。
就是在你访问的时候你弹出一个框框,这个叫“Cookie弹窗”,告诉你什么平台会收集什么数据用于什么目的,需要你的授权同意后才可以收集数据,如果后面你改变主意,你可以撤回。
CMP会执行如下操作:
- 告诉用户哪些平台会收集什么数据
- 告诉用户第三方数据平台收集数据的目的和遵循的法律规范
- 存储用户标识,设置cookie
- 确保不会滥用用户同意权和数据
CMP是TCF实现的工具,TCF实施一个框架,里面都是技术标准、要求、规范,你可以根据TCF的技术标准开发去实现,也可以直接使用IAB上已经注册的CMP认证,建议使用注册CMP,因为自己开发的CMP可能会不符合要求,如法国广告技术公司Vectaury虽然自建有CMP,但法国数据管理局CNIL表示不符合GDPR,就是CMP不合要求。
GDPR、TCF和CMP的关系是怎样的呢?
它们之间的关系是,欧盟发布了GDPR,由于欧盟成员众多,对GDPR各有各的理解,实施起来难,所以TCF出现,它是一个统一了技术标准和法律规范框架,大家可以根据这个框架去做,CMP就是根据这个框架做出来的工具,你可以自己开发一个CMP,也可以用在IAB注册的CMP,这个是官方认证,建议你直接用IAB注册CMP就一定达到TCF要求满足GDPR的,自己开发就不一定了。
实施上,即使使用认证的CMP,不是就万事大吉的,还要确保里面的设置符合法规要求,事实上很大部分使用CMP的,却不合规,根据麻省理工在2020年的一项调查显示,它们调查了英国最受欢迎的10000个网站中使用了CMP的,只有11.8%的设置是符合GDPR的最低要求,也就是大部分有使用CMP,但不符合要求。
CMP发展现状
国外现在这一领域是发展非常快的,CMP现在融资一轮比一轮大:
- 隐私管理平台Osano在A轮融资中筹集了540万美元。
- 数据隐私管理平台BigID获3000万美元B轮融资。
- 数据隐私平台Privitar完成8000万美元C轮融资。
- OneTrust获3亿美元C轮融资,估值达51亿美元。
- ……
国外已经出现了非常多的CMP平台产品,如:
- Quantcast
- Usercentrics
- DataGrail
- Secure Privacy
- Segment
- Ketch
- TrustArc
- Ethyca
- CookieYes Limited
- Piwik PRO
- iubenda
- Securiti
- Crownpeak Technology
- Termly.io
- WSO2
- AdOpt
- Agilitation
- CYBOT
- CookieHub
- CookiePro
- Datev
- Legal Monster
- Seers Co
- ……
示例:使用了CMP的某个网站
使用CMP的时候需要CMP对第三方平台对接。
第一次访问的时候需要授权:
授权后会在页面左下角有个图标:
如果需要做授权做调整或撤回,可以点击它去设置:
你就可以调整权限。
还需要有删除个人数据的选择,但这个选择往往会放在隐私政策的身深处。
提高同意率的一些做法
很多企业刚实施的时候,收集到的数据都骤降,如某企业刚实施的时候,因为用户拒绝授权,流量就下降了60%多,也就是60%的是拒绝授权,只收集到了30%多的数据。
不少企业都会担心这样的数据的价值大打折扣,确实是,实施用户知情同意权会导致部分数据跟踪不到,我了解到的实施后,只收集到三成到七八成都有,范围这么大,所以这里面是存在一些调整空间的,部分企业经过优化,可以收集到70%的数据,也就是超过70%的访客会授权同意,可以考虑从下面这几个角度:
- 1、强制性弹框,用户需要授权后才可以继续访问,如果用户不做任何操作,不能继续访问。这种方式可以减少本来就访问页面不多的这部分数据的丢失。为了减少丢失数据,用户同意后,需要立刻触发发送数据,不要采用下一个页面才发送数据,这样会跟踪不到来源。
- 2、弹框的大小和位置,一般尽量大,主流比较好的位置是在中间,下面,左侧,具体可以做AB测试看哪个的同意率最高。
- 3、按钮上,也就是同意或拒绝这两个按钮,在位置,文案,颜色,设计上以突出同意,弱化拒绝,甚至拒绝这个的文案可以有“误导性”,使得用户直接选择同意。有数据显示,在首页中的Cookie弹窗不提供推出按钮会提高22%~23%的同意率,而提供过于精细化的控制功能会导致同意率降低8~10%。
需要注意,IAB欧洲已经注意到一些CMP的误导性上设计,并且已经明确禁止,发出行业警告,一些CMP产品因此被移除认证,暂停其CMP产品。
TCF2.2发布时间表
IAB发布了时间表,希望让业界更好的实施:
- 2019年8月21日,TCF 2.0正式发布。
- 2020年4月30日: TCF 2.0 beta支持阶段;所有同意管理平台(CMP),广告技术供应商和广告商都应签署新框架。
- 2020年5月31日:完整的TCF 2.0支持阶段;所有注册的参与者都应该能够以最少的操作错误从技术上支持TCF 2.0。
- 2020年4月30日至6月29日: CMP过渡期,以将新功能完全部署到发布者环境。
- 2020年6月30日:将不再支持TCF 1..1的全球供应商列表和CMP列表(之前的截止日期)。
- 2020年8月15日:将不再支持TCF 1.1的全球供应商列表和CMP列表(新的延长期限)。
- 2023年5月16日,TCF 2.2正式发布。
业界反应
谷歌预计可以在2020年第一季度结束时,将透明度和用户许可框架(TCF)2.0版本整合至谷歌服务中,随着TCF 2.2发布,Google要求Google AdSense、Ad Manager 或 AdMob都要安装CMP
只要谷歌参与的话,可以说就是市场过半参与了,之前TCF 1.1版本的时候谷歌没有参与,很多人都担忧TCF会变成流于形式,现在谷歌参与,毫无以为,这将成为一个行业普遍认可的标准。
隐私盾
在GDPR的框架之外,还有一个叫隐私盾的补充协议或规定,隐私盾阴虚欧洲地区的用户数据传递到特定国家或地区,美国属于这个范围。
GDPR要求是用户数据是要存储在欧洲的,而现实是很多的互联网公司都是美国公司,实际是会将数据传递会美国,有了隐私盾,欧洲的地区数据可以传递到美国。
但由于美国有个对互联网公司的法规:里面规定,美国因特殊需求可以从本土互联网公司中获取本地特定用户的数据,所以美国政府是可以获取传递到美国本土的欧洲用户数据。
由于美国有这个法规的存在,欧洲当局在2020年就停止隐私盾。
