为什么制定这项政策?这项政策的适用范围是什么?
该政策体现了两部欧洲隐私权法(《一般数据保护条例》(GDPR) 和《电子隐私指令》)以及所有等效的英国法律的特定要求,适用于欧洲经济区 (EEA)、英国和瑞士境内的最终用户。欧洲经济区 (EEA) 包括欧盟成员国、冰岛、列支敦士登和挪威。
该政策的原始版本是在 2015 年发布的,并于《一般数据保护条例》生效之日(2018 年 5 月 25 日)进行了更新。该政策最后一次更新是在 2024 年 7 月 31 日,此次更新将瑞士境内的用户纳入了适用范围。
如果我是欧洲经济区 (EEA)、英国或瑞士境内的发布商或广告主,是否需要针对所有用户遵守该政策?
Google 的《欧盟地区用户意见征求政策》仅适用于欧洲经济区 (EEA)、英国和瑞士境内的最终用户。
Google 如何确保该政策得到遵守?
自 2015 年发布该政策以来,为了确保该政策得到遵守,我们一直在对使用 Google 广告服务的网站和应用进行定期审核。我们的审核者会以用户的身份访问网站或应用,并检查网站或应用提供的信息以及征得的用户同意。
我们的首要目标始终是:与合作伙伴通力协作,助力他们遵守政策。如果发现有合作伙伴未遵守我们的政策,我们首先会与对方联系,指出问题所在,然后再设法协助对方遵守政策。
自 2015 年以来,我们一直采取的做法是:为网站和应用提供合理的整改时间,以便合作伙伴进行所有必要的更改,但如果合作伙伴对于我们的要求不予理会,或未在该时间段内竭力通过有效措施来确保遵守该政策,我们可能会对所涉及的账号采取措施,其中包括以下措施:对于广告主,暂停受众群体功能,包括广告个性化(例如再营销)和转化衡量功能;对于发布商,将只允许投放受限广告/程序化受限广告(如果启用了程序化受限广告)。
除了对网站和应用进行审核之外,我们还要求发布商在向欧洲经济区 (EEA)、英国和瑞士境内的用户投放广告时,必须使用经认证的 CMP,以确保其遵守该政策。Google 将继续对已在使用经认证 CMP 的发布商合作伙伴网站和应用进行审核。
适用于具有欧洲经济区 (EEA) 境内流量的广告主:如果欧洲经济区 (EEA) 内的用户使用您的网站或应用,而您使用 Google 代码或 SDK 来衡量用户行为,并且/或者使用受众功能/广告个性化功能,那么您需要将用户意见征求结果发送给 Google(例如通过意见征求模式或 TCF)。如果您已加载 Google 代码,但尚未实现最新版本的意见征求模式,我们建议您使用 Google CMP 合作伙伴计划中的 CMP。此列表并未详尽无遗地列出所有可供选择的 CMP,并且 Google 并不要求广告主必须使用合作伙伴计划中的 CMP。
我需要向最终用户披露哪些信息?
我们的政策规定,如有任何相关方因您使用 Google 产品而收到最终用户的个人数据,您必须明确指出这些相关方。此外,您必须提供关于最终用户个人数据使用方式的信息,并确保这些信息非常醒目且易于找到。我们已发布关于 Google 如何使用此类数据的信息。为了履行披露义务,让用户了解 Google 如何使用此类数据,发布商和广告主必须提供指向该页面的链接。此外,我们还要求集成了 Google 产品的其他广告技术提供商披露相关信息,让用户了解他们如何使用最终用户的个人数据。
应用开发者应鼓励用户下载其应用的最新版本,以便查看最新的用户披露信息。
在实现用户意见征求机制时,可以参考以下核对清单,以避免常见错误
下面只是列举了一些示例,而并非详尽无遗。请务必始终保持谨慎,确保您实现的机制符合 Google 政策的所有要求。
- 您是否实现了用户意见征求机制/横幅?适用于发布商合作伙伴:用户意见征求机制/横幅是否已经过 Google 认证?
- 您有没有向用户说明,他们的个人数据在您的网站/应用中会用于哪些用途?例如,用户是否了解他们的个人数据将用于实现个性化广告投放(在意见征求机制/横幅的第一层中是否明确提到“广告个性化”),以及您可能会利用 Cookie/移动广告标识符来实现个性化和非个性化广告投放?
- 您有没有核实过,欧洲经济区 (EEA) 所有国家/地区以及英国和瑞士境内的用户访问您的网站/应用时,是否会看到您的用户意见征求机制/横幅?
- 您有没有为用户提供能够表明其确认同意的选项,例如提供可点击的“确定”按钮或“我同意”按钮?
- 您有没有披露哪些第三方(包括 Google)也将能够访问您通过自己的网站/应用收集的用户数据?
- 您有没有通过提供 Google Business Data Responsibility 网站链接让用户知道,在他们同意您通过自己的网站/应用收集其个人数据后,Google 会如何使用这些数据?此外,您有没有说明其他第三方会如何使用这些数据?
- 适用于广告主:对于欧洲经济区 (EEA) 内的用户,您是否会向 Google 发送经过验证、反映最终用户是否表示同意的信号?您是否已妥善实现最新版本的意见征求模式或 TCF?
- 如果需要征得用户同意,您是否已确认没有在未征得用户同意的情况下设置 Cookie?请注意,我们在网站中投放的非个性化广告仍需使用 Cookie 才能正常展示。
- 适用于发布商:您有没有按照 TCF 要求使用经 Google 认证的 CMP?如果您使用额外同意模式,您有没有正确实现该模式?
什么是受限广告?
如果您是发布商,当您仅通过投放受限广告来利用展示机会创收时,Google 不仅会停用出于投放个性化广告的目的而收集、分享和使用个人数据的功能,而且会停用需要使用本地标识符的功能(例如控制广告展示频次不超过频次上限的功能)。仅在启用了程序化受限广告时,才会使用仅用于检测无效流量的 Cookie 和存储在本地的 ID 来帮助防范欺诈和滥用行为。请注意,用户的浏览器和移动操作系统在正常运行期间,仍会缓存或安装广告投放技术(我们的 JavaScript 代码和/或 SDK 代码)。您应根据所在管辖区的当地法律评估自己的法规遵从义务,包括需要提供的通知以及需要征得的同意。如需关于该功能的更多详细信息,请访问 Ad Manager、AdMob 和 Adsense 帮助中心。
我需要为最终用户提供哪些关于撤消同意的说明?
该政策规定,您必须告知最终用户如何撤消同意。您必须确保用户可以像最初表示同意时那样轻松撤消同意。您需要为最终用户提供足够的信息,让他们至少能够轻松找到您的网站或应用的广告控件,以便他们修改已做出的同意/不同意决定。
还有哪些 Google 产品吸纳了该政策?
除了广告产品和效果衡量产品外,《Google Maps Platform 服务条款》、《YouTube API 服务的服务条款》、《reCAPTCHA 服务条款》和 Blogger 等 Google 产品也都引述了该政策。
对于该政策而言,哪些类型的广告会被视为“个性化”广告?
个性化广告可以为用户和广告主/发布商带来更优质的体验,即向用户投放更合乎需求的广告。如果系统在决定选择什么广告时,依据的是之前收集的数据或历史数据(包括用户之前的搜索查询内容、活动记录、网站或应用访问记录、受众特征信息或位置信息)或受到了这些数据的影响,Google 便会将投放的广告视为个性化广告。具体而言,按受众特征定位的广告、根据兴趣类别定位的广告、再营销广告、定位目标客户匹配名单的广告、定位在 Google Marketing Platform 中上传的受众群体名单的广告等都属于个性化广告。如需更多信息,请点击此处。
我的意见征求横幅在审核过程中被标记为不符合政策规定。该问题的最佳解决方式是什么?
如果我们发现不符合该政策的行为,我们的优先措施是,协助合作伙伴符合该政策。我们的审核团队会为您提供违规行为的详细信息,并会提供您需要采取的措施,这些措施有助于使您的网站/应用符合政策规定。
为了确保横幅经过适当配置以尊重用户的选择,我们建议广告主与其使用的第三方 CMP 合作,或者查看适当的意见征求设置管理文档,并确保与意见征求模式进行相应的集成。
我们建议发布商使用经 Google 认证的 CMP,并查看该问题排查工具,以解决不合规问题。
为什么该政策要求在使用 Cookie 之前须先征得用户同意,即使将 Cookie 用于个性化广告投放之外的用途(如广告效果衡量)时亦不例外?
对于 Google 投放的个性化广告和非个性化广告,我们会使用 Cookie 或移动标识符来协助确保广告展示频次不会超过上限,并生成汇总的广告报告。我们的政策规定,如果用户所在国家/地区的法律要求在使用 Cookie 或移动标识符之前必须先征得用户同意,您必须依法照做。
如果我是在自己的网站/应用中使用 Google 产品的广告主呢?
如果您在自己的网页/应用中使用针对 Google Ads 或 Google Marketing Platform 等广告产品的代码,那么对于欧洲经济区 (EEA)、英国和瑞士境内的用户,您需要根据 Google 的《欧盟地区用户意见征求政策》征求其同意。我们的政策规定,如果法律要求在使用 Cookie、移动标识符或存储在本地的其他 ID 之前必须先征得用户同意,您必须依法照做;此外,如果要出于投放个性化广告的目的使用用户的个人数据(例如,如果您的网页/应用中有再营销代码),则需要先征得用户同意。
我的用户意见征求机制/横幅中应该包含什么内容?
建议您查看上面的核对清单,这份清单有助于您遵守该政策,确保您在实现用户意见征求机制/横幅时避免出现常见错误。
Google 的政策并未规定您应向用户提供哪些选项,因为意见征求通知的内容取决于您将数据用于哪些用途。例如,您是将数据用于自身用途,还是用于为您使用的其他服务提供支持。
Google 是否对应用的用户意见征求消息的形式做了具体规定?
发布商需要遵守该规定。使用 Google 服务的发布商在向欧洲经济区 (EEA)、英国和瑞士境内的用户投放个性化广告时,必须使用经 Google 认证的 CMP。
适用于 Google 的广告主合作伙伴:对于来自欧洲经济区 (EEA) 的流量,广告主必须通过意见征求模式或 TCF 向 Google 发送反映最终用户是否表示同意的信号。我们制定了 CMP 合作伙伴计划,以便协助广告主制作和配置用户意见征求横幅。注意:此列表并未详尽无遗地列出所有可供选择的 CMP,并且 Google 并不要求广告主必须使用合作伙伴计划中的 CMP。
合作伙伴应如何选择意见征求管理平台 (CMP) 提供商?
对于广告主合作伙伴,我们制定了 CMP 合作伙伴计划来协助广告主构建和配置意见征求横幅。注意:此列表并未详尽无遗地列出所有可供选择的 CMP。 使用其中任何 CMP 都不能保证您一定符合 Google 的《欧盟地区用户意见征求政策》,因为是否符合该政策取决于 CMP 的实现情况,以及向用户展示的具体用户意见征求消息(如需更多相关指导,请参阅“在实现用户意见征求机制时,合作伙伴可以参考以下核对清单,以避免常见错误”部分)。
适用于发布商合作伙伴:发布商在向欧洲经济区 (EEA)、英国和瑞士境内的用户投放个性化广告时,必须使用经 Google 认证并与 IAB 欧洲透明度和用户意见征求框架 (TCF) 集成的 CMP。
哪些第三方会收集最终用户个人数据?该怎么找出这些第三方?
许多使用 Google 广告系统的广告主和发布商都会通过第三方在网站和应用中投放广告,以及衡量其广告系列的效果。该政策规定,如有任何相关方(除了 Google 之外)因您使用 Google 产品而收集、收到和/或使用最终用户个人数据,您必须明确指出这些相关方。
我的网站/应用不在欧洲,我需要遵守该政策吗?
如果您使用采纳了该政策的 Google 产品,就需要遵守该政策。该政策仅适用于欧洲经济区 (EEA)、英国和瑞士境内的最终用户。
我是发布商,我的所有广告系列均不面向欧洲经济区 (EEA)、英国或瑞士境内的用户投放,我需要遵守这项用户意见征求要求吗?
该政策适用于欧洲经济区 (EEA)、英国和瑞士境内的最终用户。如果您已针对这些国家/地区内的用户移除了网站/应用中的 Google 服务,则无需遵守该政策。
我们组织对这项法律持有不同看法,并希望通过其他方式披露信息和征求用户同意。我们可以这样做吗?
对于我们在欧洲提供的所有服务,Google 始终致力于遵守《GDPR》的规定,包括在相应情况下改为遵守英国法律。我们的《欧盟地区用户意见征求政策》体现了这一宗旨,并参考了欧洲数据保护机构提供的指南。尽管合作伙伴可能对法律有不同的解释,但我们要求其遵守该政策的规定。我们将继续评估这项法律和业界做法,并相应地更新我们的建议和要求。
为什么我们在衡量广告效果之前需要先征得用户同意?
Google 使用 Cookie 和各种广告标识符来协助进行广告效果衡量。现有的电子隐私法律规定,如果用户所在国家/地区的当地法律要求就此类用途先征得用户同意,您必须依法照做。因此,我们的政策规定,如果法律要求在投放个性化广告以及衡量广告效果之前必须先征得用户同意,您必须依法照做。
我必须在触发 Google 的广告主代码之前征得用户同意,还是可以事后征得用户同意?
如果法律要求在投放个性化广告以及使用 Cookie 或存储在本地的其他 ID 之前必须先征得用户同意,那么您必须先征得用户同意,然后才能在自己的网页或应用中触发 Google 的广告主代码。
如果我使用的是点击跟踪广告代码呢?
如果广告主选择使用第三方点击跟踪技术(即如果用户点击广告,在系统加载广告主的着陆页时,用户的浏览器会定向至第三方广告效果衡量供应商),则必须根据适用法律使用此类技术。Google 面向发布商提供的供应商控件未涵盖点击跟踪技术。
我需要保留哪些记录?
我们的政策规定,客户必须保留用户意见征求记录。此类记录至少应包含作为用户意见征求机制的一部分向用户展示的文字内容和选项,以及用户明确表示同意的日期和时间。
我使用的发布商 CMP 是经认证的 CMP,并且已获得 IAB 的认证,为什么被视为不符合政策规定?
使用经认证的 CMP 并不能保证您一定符合 Google 的《欧盟地区用户意见征求政策》,因为是否符合该政策取决于 CMP 的实现情况,以及向用户展示的具体用户意见征求消息(如需更多相关指导,请参阅“在实现用户意见征求机制时,合作伙伴可以参考以下核对清单,以避免常见错误”部分)。
我使用的是 Google 合作伙伴 CMP,为什么我的网站/应用被视为不符合政策规定?
对于广告主合作伙伴,我们制定了 CMP 合作伙伴计划,以便协助广告主在网页/应用中制作和配置意见征求横幅,并支持意见征求模式集成。使用其中任何 CMP 都不能保证您一定符合 Google 的《欧盟地区用户意见征求政策》,因为是否符合该政策取决于 CMP 的实现情况,以及向用户展示的具体用户意见征求消息(如需更多相关指导,请参阅“在实现用户意见征求机制时,合作伙伴可以参考以下核对清单,以避免常见错误”部分)。
如果我使用的产品采用了 Privacy Sandbox API,我需要遵守该政策吗?
是。使用 Privacy Sandbox API(包括 Topics、Protected Audience 和 Attribution Reporting)时,您需要访问存储在本地的 ID。电子隐私法不区分个人数据和非个人数据,因此无论您对数据性质的评估结果是什么,都需要征得用户同意。《欧盟地区用户意见征求政策》规定,如果法律要求在执行这些操作之前必须先征得有效的用户同意,您必须依法照做,正如目前您必须先征得用户同意,然后才能投放个性化广告以及访问存储在本地的非必需 ID 一样。如需详细了解 Privacy Sandbox,请点击此处。
对于英国和瑞士境内的用户,广告主是否需要通过 TCF 或意见征求模式发送有效的同意信号?
对于英国或瑞士境内流量,我们不要求广告主通过意见征求模式或 TCF 向 Google 发送经过验证的同意信号。注意:如果广告主具有来自欧洲经济区 (EEA) 内最终用户的流量,则需要发送经过验证的同意信号。我们建议您与 Google CMP 合作伙伴合作,他们可为您提供实现方面的指导。注意:此列表并未详尽无遗地列出所有可供选择的 CMP,并且 Google 并不要求广告主必须使用合作伙伴计划中的 CMP。
《欧盟地区用户意见征求政策》适用于哪些类型的本地存储 ID?
Google 的《欧盟地区用户意见征求政策》长期以来一直规定,如果法律要求使用 Google 广告产品的客户在使用 Cookie 或存储在本地的其他 ID 之前必须先征得合法有效的同意,他们必须照做。请注意,此义务不仅限于 Cookie 和移动 ID。根据我们对欧洲经济区 (EEA) 和英国适用法律的理解,此义务还适用于更多情况,例如用于实现广告个性化或广告效果衡量的数字“指纹”收集等。
我们建议您与自己的法律团队合作,以便了解根据适用的数据保护和电子隐私监管指南以及《欧盟地区用户意见征求政策》(适用于使用存储在本地的 ID 的行为),您需要承担的义务。如果您依赖透明度和用户意见征求框架 (TCF) 向 Google 发送同意情况信号,可能还会发现这些资源有助于了解 TCF 如何为您提供合规支持。
对本政策的更新
我们于 2018 年 5 月 25 日更新了最初的《欧盟地区用户意见征求政策》。为了体现英国与欧盟之间不断变化的关系,我们在 2019 年 10 月 31 日对该政策进行了一些细微更改。
2024 年 7 月,我们更新了《欧盟地区用户意见征求政策》,并扩大了其适用范围,以将瑞士纳入其中。
预计该政策暂时不会再有其他变更,但如上所述,我们将继续评估法律和业界做法,并相应地更新我们的建议和要求。