Google隐私弹窗接入指南,让你还能在欧盟继续运营!
开篇之前,老海盗在这里给读者老爷们说一声道歉,这个主题其实在春节前就开始酝酿,但苦于难度比较高(同时涉及技术和法律,GDPR非常复杂)的同时牵扯面比较广,老海盗怕写不好误导了读者老爷们,给大家带来损失。思来想去,改了四版之后,老海盗自觉终于有了及格线以上水准,终于可以鼓起勇气,在此献丑。
另外,对于一直催更还被我delay的同学,老海盗在这里再给您鞠个躬。
Google让咱们加的这个弹窗是干嘛的?
其实和把大象装进冰箱那个段子一样,根据GDPR,每个开发者必须让EEA和英国用户知道:
(1).他们会被收集哪些信息。
(2).信息会如何被传输,存储和处理。
(3).信息被拿来用作什么目的(广告调优,产品功能等等)。
(4).信息会被共享给哪些第三方。
(5).如何删除我在产品内留下的数据。
然后用户具备选择权,选择给还是不给,
之前做过GDPR合规性问卷和弹窗的同学应该秒懂,就是这个东西,原则上非常简单,落地起来非常棘手。
接入后的影响范围是那些领域,包括Google的哪些产品?
目前主要在广告变现侧,也就是Ad Manager, Ad exchange, Admob以及Adsense,其次广告投放侧也受了一定影响。
变现侧如果不接入Google认证的CMP或Google自己的解决方案,是无法填充广告的。
在广告投放侧类似于ATT弹窗,对于部分opt-out的用户,Google将采用模糊归因而不是精确归因,但是没有其他影响!
另外在数据分析侧,Google Analytics和Googel tags也会受到影响。
Google Analytics和Googel tags需要的改变?
https://developers.google.com/tag-platform/security/guides/consent?hl=zh-cn&consentmode=advancedGoogle tags和Google Analytics需要做出的改变。 接入后的影响范围是哪些国家和地区?
目前是EEA成员国和英国,也就是奥地利、比利时、保加利亚、克罗地亚、塞浦路斯共和国、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、冰岛、列支敦士登,以及英国。
以后也很有可能会是美国州级隐私法(目前已在加利福利亚州,弗吉尼亚州、科罗拉多州、康涅狄格州和犹他州生效)的需求。
我之前不是GDPR已经加过弹窗了么?怎么这次还加?和DMA有什么关系?
(1) .其实就是GDPR的弹窗,只是这次Google定的规矩更明确更严格。
(1).和DMA没有任何直接的关系,DMA只对我之前文章分析过的6家“守门人” 位公司的22个核心服务起作用,该法律只杀豪绅,不伤百姓。
(2).但是,间接的关系来了,DMA明确了几点责任:第一,第三方开发者回传给“守门人”公司(例如Google)的数据,如果不符合GDPR下用户同意的原则,那还是Google的责任,第三方开发者和Google一起挨罚。第二,DMA严格限制22个核心服务之间的数据捆绑(核心服务之间的数据必须经过用户同意才能捆绑),这样就会出现这样的案例,Google Play和Google ads都属于22个核心服务之列,一个从Google Play下载应用的用户,在没有同意的情况下,进入应用并被Admob填充了个性化广告,那又会出现数据未经同意捆绑。
所以本质还是老掉牙的数据同意问题,如果Google之前能让开发者们真正执行好GDPR需要的数据同意标准,这次所有Google Play上的产品根本不用修改任何东西就能继续运营。
但是按照Google之前的方式,就是做不到。
一个是没有动力,如上文讲的,如果只看GDPR,惩罚对象只有不合规的数据收集者,Google只需要管好自己就好了,提醒开发者一声都算仁至意尽。但根据新的DMA,现在Google有被连坐的可能,于是立马有了动力。
二个是app端查验难度很大。按之前的弹窗要求,Google只能查验前端展示的那个弹窗的样式,后台的传输,存储,处理都是完全凭开发者良心来遵守。现在DMA允许守门人公司可以强制让数据合作伙伴使用守门人公司要求的技术。
这也是为什么这次Google火急火燎的让开发者们在3月6日DMA大限前按新标准部署弹窗的原因。
6.这次弹窗部署后的用户转化模型是什么样的?有什么影响?
在流量获取侧大概是这样的:
大体上是这样,用户浏览网页或者应用的时候进行弹框,如果用户给予数据同意授权,那么转化数据按正常上报。如果用户不给予数据同意授权,那么用户的转化Google会使用有限数据建模,以此模糊估计出一个转化。在广告投放后台,总的转化等于被观测到的实际转化和模糊估计出来的转化之和。其实非常像iOS开启了ATT弹窗后的工作原理。
需要注意的是,模糊统计需要满足:“您的广告在每个国家/地区和网域分组中每 7 天可获得至少 700 次点击。”
在广告变现侧的workflow则是这样:
用户如果不同意数据被用于用途2,7,9,10,那么就不会被Google填充广告。
用户如果只同意数据被用于用途2,7,9,10,那么就会进入受限广告模式。
用户如果同意数据被应用于用途1,2,7,9,10,那么就会进入非个性化广告模式。
用户如果同意数据被应用于用途1,2,3,4,7,9,10,那么就会进入个性化广告模式。
三者区别如表格所示
关于每种数据用途解释,请参考:
https://iabeurope.eu/iab-europe-transparency-consent-framework-policies/ Appendix A: Definitions Of Purposes, Features And Categories Of Data
在设备上存储信息和/或访问设备上的信息(用途 1)
创建用于投放个性化广告的用户画像(用途 3)
选择个性化广告(用途 4)
选择基本广告(用途 2)
衡量广告效果(用途 7)
使用市场调研结果进行受众群体分析(用途 9)
开发和改进产品(用途 10)
7.接入后的后台workflow是什么样的?
用户弹窗中的选择结果有三种方式传递给Google,1.基于GDPR自实现或者没有认证的CMP。2.使用Google自己的解决方案,也就是网页端的“隐私权和消息”,APP端的Google User Messaging Platform。3.采用Google认证的CMP。各自优缺点如下:
相关详情请见:
https://support.google.com/admanager/answer/10075997?hl=zh-Hans&ref_topic=13821339&sjid=14464433617526559568-AP
Google自己的解决方案
https://cmppartnerprogram.withgoogle.com/#partners
Google认证的CMP列表
另外,Google也会给IAB EUROPE认证的CMP同样提供广告服务:
https://iabeurope.eu/cmp-list/
IAB EUROPE认证的CMP列表
有实力的公司也可以选择用自己自行实现的CMP去获得Google或IAB EUROPE认证。
8.开发者不做会怎样?
目前来看会无法在EEA+英国使用Google的广告服务,长期来看不排除在该区域Google play下架的可能性(应用)以及被chrome拉黑的可能性(网站)。
9.老海盗建议的方案?
在EEA和英国运营的产品请务必实现这个弹窗。
1.如果要使用Google的广告产品进行变现,请务必接入Google自己的解决方案或者IAP认证,否则没有广告填充。
2.如果只是上架和广告投放,那么也可以考虑自实现,除了模糊归因外,Google对于广告投放侧没有其他影响!
我不排除哈,有坏人自实现的时候胡乱上传,比如用户没同意但是按照同意上传以此来优化自己的广告投放表现,老海盗鄙视这种行为!
10.CMP是什么?
CMP是隐私管理平台(consent management platform)的缩写,作用是让用户可以选择分享哪些信息给到服务供应商,一开始是用于医疗行业里,基于医疗隐私权,让患者选择分享信息给到医疗机构。现在因为GDPR和美国州级隐私法的要求,CMP也被用于互联网领域,让用户可以选择分享不同层级信息给互联网服务供应商。
11.GDPR和IAB TCF之间的关系?
GDPR是布鲁塞尔的官僚老爷们坐在一起开会拍脑门拍出来的概念性法律,实操落地很困难。IAB EUROPE作为一个相对权威的数字广告领域的民间标准组织,基于GDPR自行牵头搞了个透明度和用户意见征求框架(TCF),作为可以让媒体方,广告主方,平台方三方可具体执行的标准。需要注意的是TCF仅仅是民间自行订立的标准,从来没有得到官方正式承认这是100%兼容GDPR的框架,但从2018年到目前为止实际运行的结果来看,还没有被相关监管部门找过麻烦,同时考虑到IAB的实际影响力和Google,Meta等都参与了对于TCF的审定,我们可以认为IAB TCF是可信赖的,所以Google的整体GDPR合规也是基于IAB TCF。
12.为什么Meta的广告服务也属于22个核心服务之一,但是不要求部署类似于Google的方案?
Meta认为自己已经在EEA区域推出了订阅免广告的方案,不订阅的客户就是同意了我的数据收集,订阅的客户就是不同意我的数据收集,所以我已经达成了数据同意这一目标。虽然EEA各国对这个方案是否符合GDPR还有争议,但是Meta目前就是这样的方案。
