自2018年5月25日起，所有收集，使用，處理和共享歐盟公民數(shù)據(jù)的公司都必須遵守通用數(shù)據(jù)保護(hù)法規(guī)（GDPR）并實(shí)施新的數(shù)據(jù)保護(hù)和安全措施。該法規(guī)不僅適用于歐盟公司。無(wú)論一個(gè)組織是否位于歐盟，它在處理歐盟/歐洲經(jīng)濟(jì)區(qū)公民數(shù)據(jù)時(shí)都必須遵守該規(guī)定，否則將面臨嚴(yán)重的經(jīng)濟(jì)處罰。

對(duì)于AdTech和MarTech供應(yīng)商，GDPR最重要的含義包括：

對(duì)個(gè)人數(shù)據(jù)定義的更改： IP地址，設(shè)備ID，位置數(shù)據(jù)和Cookie等標(biāo)識(shí)符現(xiàn)在被視為個(gè)人數(shù)據(jù)。這改變了廣告商和技術(shù)供應(yīng)商對(duì)收集，存儲(chǔ)和使用此類信息的方式。

數(shù)據(jù)收集的新規(guī)則：希望收集和處理用戶數(shù)據(jù)的公司必須獲得用戶的同意并遵守一些嚴(yán)格的規(guī)則。在大多數(shù)情況下，同意必須是自由的，具體的，知情的和明確的。此外，不能預(yù)先勾選同意框，必須提供聲明或明確的正面的說(shuō)明。處理數(shù)據(jù)的所有公司都必須是在用戶點(diǎn)了同意的基礎(chǔ)上。

每個(gè)數(shù)據(jù)處理活動(dòng)都需要同意：如果公司希望為多種目的（例如行為定位和個(gè)性化）處理用戶數(shù)據(jù)，則必須獲得每個(gè)流程的用戶同意。

對(duì)于AdTech供應(yīng)商而言，由于在線廣告生態(tài)系統(tǒng)的分散性以及參與主流媒體廣告交易的玩家眾多（廣告交易中的角色多），這些新規(guī)則會(huì)造成一系列的問題。

說(shuō)明在在線媒體交易期間如何將用戶數(shù)據(jù)共享（即泄露）到各種平臺(tái)。在GDPR下，圖中的每個(gè)平臺(tái)都必須獲得用戶的同意才能收集和處理他們的數(shù)據(jù)。

IAB-互動(dòng)廣告局，一個(gè)負(fù)責(zé)創(chuàng)建和管理行業(yè)標(biāo)準(zhǔn)，研究和在線廣告商法律支持的組織，已經(jīng)提出了自己的解決方案，通過推出GDPR來(lái)幫助支持行業(yè)并解決一些主要問題。其GDPR?透明度和同意框架中的挑戰(zhàn)。

2018年3月，IAB的框架被提交給AdTech公司和出版商以征詢公眾意見。

什么是IAB的GDPR透明度和consent框架？

該框架旨在使媒體，技術(shù)供應(yīng)商和廣告主能夠滿足GDPR的公開透明的需求，和一切數(shù)據(jù)處理都需要得到用戶同意的要求。

該框架由IAB技術(shù)實(shí)驗(yàn)室管理，是一個(gè)非商業(yè)性的開源計(jì)劃，是與許多出版商，廣告商和其他重要行業(yè)參與者合作開發(fā)的。該框架于2018年3月首次發(fā)布，4月發(fā)布的商業(yè)版本，該框架旨在標(biāo)準(zhǔn)化收集和使用獲得同意的個(gè)人數(shù)據(jù)的過程。

這個(gè)框架實(shí)際上如何運(yùn)作？

用戶同意是處理個(gè)人數(shù)據(jù)的六個(gè)“法律依據(jù)”之一。該框架使第一方媒體端（其服務(wù)需要使用多個(gè)第三方），也就是流量第一供給端，更容易處理用戶數(shù)據(jù)并獲得符合GDPR規(guī)定的同意。

IAB的框架標(biāo)準(zhǔn)化了獲得互聯(lián)網(wǎng)用戶同意數(shù)據(jù)處理的過程，并在廣告供應(yīng)鏈中進(jìn)一步傳遞這些信息。

該提案還包括全球供應(yīng)商列表（GVL），該列表作為參與框架的數(shù)據(jù)控制器的注冊(cè)表?？梢詫⑵湟暈楣?yīng)商的“白名單”，通過這些供應(yīng)商可以直接與用戶進(jìn)行直接交互一方 -publishers請(qǐng)求同意。

以下是有關(guān)其工作原理的簡(jiǎn)要分步概述：

步驟1

發(fā)布者選擇要與之合作的全球供應(yīng)商列表中的哪些技術(shù)供應(yīng)商。

第2步

每次用戶首次訪問發(fā)布者的網(wǎng)站時(shí)，都會(huì)要求他們選擇與發(fā)布者共享其數(shù)據(jù)的公司。此信息將存儲(chǔ)在用戶瀏覽器中的第一方cookie中（與用戶產(chǎn)生直接交互的媒體中）。

2018年6月，IAB Tech Lab和IAB Europe 為移動(dòng)應(yīng)用提供商發(fā)布了移動(dòng)應(yīng)用內(nèi)規(guī)范。

第3步

一旦用戶做出選擇，發(fā)布者就可以與選定的技術(shù)供應(yīng)商共享用戶的數(shù)據(jù)。

舉例說(shuō)明consent-sharing是一個(gè)怎樣的過程。用戶允許綠色平臺(tái)收集和使用他們的數(shù)據(jù)。橙色平臺(tái)位于出版商的全球供應(yīng)商列表中，但用戶未提供同意。紅色的人不在出版商的全球供應(yīng)商名單上。

假設(shè)用戶已允許所有技術(shù)供應(yīng)商收集他們的數(shù)據(jù)，這是不可能的，只有發(fā)布者的全球供應(yīng)商列表上的數(shù)據(jù)才能收集用戶的數(shù)據(jù)。

查看上面的示例圖，用戶不允許DSP＃1，DMP ＃2和DMP＃3收集他們的數(shù)據(jù)，即使它們包含在發(fā)布者的全球供應(yīng)商列表中。

Publisher如何與經(jīng)過批準(zhǔn)的供應(yīng)商溝通user-consent協(xié)議？

為了使發(fā)布者能夠與白名單技術(shù)供應(yīng)商進(jìn)行有效溝通，IAB建議將用戶的同意決定傳遞給供應(yīng)鏈。

用戶同意信息將包含兩個(gè)二進(jìn)制字符串（目的選擇字符串和供應(yīng)商選擇字符串），然后轉(zhuǎn)換為壓縮值，如下圖所示。

目的選擇代表數(shù)據(jù)收集的目的（例如行為廣告和重新定位），供應(yīng)商選擇代表發(fā)布者已經(jīng)獲得用戶同意的白名單的技術(shù)供應(yīng)商，因此可以接收用戶的數(shù)據(jù)。資料來(lái)源：數(shù)字廣告：透明度，控制力，同意度。IAB Europe，2018年3月

壓縮值將被添加到供應(yīng)鏈中的每個(gè)廣告和出價(jià)請(qǐng)求（或daisy 鏈，因?yàn)镮AB這樣稱呼），只允許白名單技術(shù)供應(yīng)商接收用戶的數(shù)據(jù)。

優(yōu)點(diǎn)

IAB的GDPR透明度和同意框架為用戶和廣告商提供了一系列好處：

--它引入了一個(gè)行業(yè)范圍的標(biāo)準(zhǔn)，用于收集用戶對(duì)數(shù)據(jù)處理的同意。

--它將用戶同意信息轉(zhuǎn)發(fā)到廣告供應(yīng)鏈的下方，并向其他第三方發(fā)出信號(hào)。

--雖然仍然不完美，但該框架是朝著實(shí)現(xiàn)GDPR合規(guī)的正確方向邁出的一步，簡(jiǎn)化了AdTech公司和出版商的整個(gè)交互的過程。

--它將在OpenRTB交易中得到支持，這對(duì)于其采用率來(lái)說(shuō)是個(gè)好的趨勢(shì)，因?yàn)楹芏嘀髁鞯腁dTech供應(yīng)商都使用OpenRTB協(xié)議。

--該框架可以通過提供一種更加透明的方式使用戶受益，并對(duì)各種技術(shù)提供商處理用戶數(shù)據(jù)的方式進(jìn)行更嚴(yán)格的控制，從而使出版商受益; 出版商可以選擇哪些第三方以及他們征得用戶同意的數(shù)據(jù)處理目的。

--同時(shí)，它使出版商有權(quán)決定如何最好地利用這些數(shù)據(jù)的可能性。

--框架并未對(duì)使用做出全有或全無(wú)的決定。用戶可以選擇他們想要與哪些第三方共享數(shù)據(jù)。該框架在其目前的解釋，表示讓用戶同意的部分，全部，或不提供任何公開的數(shù)據(jù)處理給終端廣告商，以及允許第三方進(jìn)行部分?jǐn)?shù)據(jù)處理，全部數(shù)據(jù)處理或者全部不允許進(jìn)行數(shù)據(jù)處理。

陷阱

IAB的GDPR透明度和同意框架仍遠(yuǎn)未完善，需要進(jìn)行一些調(diào)整以確保AdTech公司和出版商完全遵守GDPR?？紤]到程序化生態(tài)系統(tǒng)的復(fù)雜性，這絕非易事。GDPR的許多好處不僅為AdTech公司帶來(lái)了新的挑戰(zhàn)，也為互聯(lián)網(wǎng)用戶帶來(lái)了新的挑戰(zhàn)。

一些文章敦促出版商不要與IAB框架（包括谷歌和Facebook）背后的公司合作，因?yàn)樗赡鼙灰暈橛欣趶V告商。網(wǎng)絡(luò)上有許多出版物指出了IAB框架的缺陷和不一致之處，但主要的抱怨包括：

--由于在線程序設(shè)計(jì)和RTB生態(tài)系統(tǒng)的純粹性質(zhì)，數(shù)據(jù)泄漏（即用戶數(shù)據(jù)在沒有用戶知情的情況下傳遞給多家公司時(shí)）的情況經(jīng)常發(fā)生，并且通常在沒有出版商和用戶知識(shí)的情況下發(fā)生。只要發(fā)生了，GDPR就會(huì)對(duì)publisher負(fù)責(zé)。

--雖然用戶可以選擇他們想要連接的第三方，但該框架并不具有限制性，并且仍然允許publisher向用戶提供此類接受或離開的選擇（如果他們?cè)敢猓?/p>

--一旦用戶的個(gè)人數(shù)據(jù)進(jìn)入實(shí)時(shí)出價(jià)交易，就幾乎無(wú)法控制用戶的個(gè)人數(shù)據(jù)。同樣，這對(duì)Publisher的方面 - CMP，SSP，DSP，ADX以及他們使用數(shù)據(jù)的方式 - 是publisher無(wú)法控制的事情 - 他們會(huì)因此承擔(dān)巨大的責(zé)任。

--IAB建議將所有同意捆綁在一個(gè)OK按鈕下，這可能會(huì)破壞他們自己的選擇，因?yàn)榛ヂ?lián)網(wǎng)用戶很可能選擇拒絕，以便關(guān)閉同意框并繼續(xù)之前頁(yè)面上的內(nèi)容。用戶極不可能花時(shí)間仔細(xì)考慮與每個(gè)平臺(tái)共享數(shù)據(jù)的含義。

--框架本身仍然不符合GDPR第5條的要求，該條款要求以更詳細(xì)的方式將consent協(xié)議設(shè)置為以“指定的，明確的”為目的，該框架內(nèi)，IAB提出了一種設(shè)計(jì)，即將同意與數(shù)據(jù)處理的目的的數(shù)據(jù)使用者捆綁在一起，所有這些都是用戶在一個(gè)選擇下一次進(jìn)行的。

--同樣，該框架提出的“廣告?zhèn)€性化”選擇加入似乎嚴(yán)重違反了第3條（處理的合法性）和第13條（從數(shù)據(jù)主體收集個(gè)人數(shù)據(jù)時(shí)提供的信息）。同樣，該消息將幾個(gè)不同的目的捆綁在一起，但沒有提供對(duì)用戶的個(gè)人數(shù)據(jù)究竟將做什么樣的處理和指示，這嚴(yán)重違反了GDPR。

--框架的當(dāng)前發(fā)展?fàn)顩r可能導(dǎo)致阻礙GDPR的整體思路。仍然可以鼓勵(lì)用戶同意一切，這可能導(dǎo)致恢復(fù)到在線廣告的原始狀態(tài) - 最大限度地以用戶行為為基礎(chǔ)的廣告和肆無(wú)忌憚的數(shù)據(jù)收集。至少，這是為了一些廣告商獲得的最佳利益。

備選方案

在后GDPR的世界中，廣告商在沒有獲得用戶明確同意的情況下卻提供完全個(gè)性化和定向是有問題的。受眾選擇必須基于同類內(nèi)容和有前后關(guān)系的內(nèi)容，即非個(gè)人數(shù)據(jù)。

但是，IAB提議的框架有一些替代方案，可以為發(fā)布商提供更好的保護(hù)，限制數(shù)據(jù)泄漏，并允許廣告商和AdTech公司為已經(jīng)提供同意的用戶運(yùn)行個(gè)性化和有針對(duì)性的廣告推薦。

其他consent方面的管理系統(tǒng)---第三方服務(wù)

Piwik PRO同意管理系統(tǒng)

Konsento

Ensighten

TrustArc Cookie同意管理器

構(gòu)建自定義consent工具