跳到内容部分

From July 31, 2024 Google is expanding the scope of our EU User Consent Policy to apply to users in Switzerland. You can preview the updated policy here. Publishers and advertisers can find more information in the section “Updates to this policy” below.

与欧盟地区的用户同意政策相关的帮助

为什么制定这项政策?这项政策的适用范围是什么?

该政策体现了两部欧洲隐私保护法律(《一般数据保护条例》(GDPR) 和《电子隐私指令》)以及所有等效的英国法律的特定要求。请勿将《电子隐私指令》与目前尚在研讨的《电子隐私法规》提案相混淆。这些法律适用于欧洲经济区 (EEA) 内和英国境内的最终用户。欧洲经济区 (EEA) 包括欧盟成员国、冰岛、列支敦士登和挪威。

该政策的原始版本是在 2015 年推出的,并于《一般数据保护条例》(GDPR) 生效之日(2018 年 5 月 25 日)进行了更新。

如果我是欧洲经济区 (EEA) 内或英国境内的发布商或广告主,是否需要针对所有用户遵守该政策?

Google 的《欧盟地区用户意见征求政策》仅适用于欧洲经济区 (EEA) 内或英国境内的最终用户。

Google 如何确保该政策得到遵守?

自 2015 年推出该政策以来,为了确保遵守到位,我们一直在对使用 Google 广告服务的网站和应用进行审核。我们的审核人员会按照消费者的行为方式访问网站或应用,并检查相应网站或应用提供的信息及征得用户同意的方式。

我们的首要目标始终是:与合作伙伴通力协作,助力他们遵守政策。如果发现有合作伙伴未遵守我们的政策,我们首先会与对方联系,指出问题所在,然后再设法协助对方遵守政策。

自 2015 年以来,我们一直采取的做法是:为网站或应用提供合理的整改时间,以便对方进行所有必要的更改,但如果合作伙伴在该时间段内对于我们的要求不予理会,或未尽最大努力来确保遵守该政策,我们可能会对所涉及的帐号采取措施,包括暂停帐号。

除了对网站和应用进行审核之外,我们在 2023 年 5 月宣布,自 2024 年 1 月 16 日起,发布商在向欧洲经济区 (EEA) 内和英国境内的用户投放广告时,必须使用经认证的 CMP,以便遵守该政策。Google 将继续对已在使用经认证 CMP 的发布商合作伙伴网站与应用进行审核。

我需要向最终用户披露哪些信息?

我们的政策规定,如有任何相关方因您使用 Google 产品而收到最终用户的个人数据,您必须明确指出这些相关方。此外,您必须提供关于最终用户个人数据使用方式的信息,并确保这些信息非常醒目且易于找到。我们已发布关于 Google 如何使用此类数据的信息。为了履行披露义务,让用户了解 Google 如何使用此类数据,发布商和广告主必须提供指向该页面的链接。此外,我们还要求集成了 Google 产品的其他广告技术提供商披露相关信息,让用户了解他们如何使用最终用户的个人数据。

在实现用户意见征求机制时,可以参考以下核对清单,以避免常见错误

下面只是列举了一些示例,并不是详尽无遗的。如果发布商已在使用并正确实现了经认证的 CMP,那么相应发布商应该符合此核对清单中的所有内容。请务必始终保持谨慎,确保您实现的机制符合 Google 政策的所有要求。

  • 您有没有向用户说明,在他们同意您通过自己的网站/应用收集其个人数据后,这些数据会用于哪些用途?例如,用户是否了解他们的个人数据将用于实现个性化广告投放,以及您可能会利用 Cookie 来实现个性化和非个性化广告投放?
  • 您有没有核实过,欧洲经济区 (EEA) 内的用户访问您的网站/应用时,是否会看到您的用户意见征求通知?
  • 您有没有为用户提供能够表明其确认同意的选项,例如提供可点击的“确定”按钮或“我同意”按钮?
  • 您有没有披露哪些第三方(包括 Google)也将能够访问您通过自己的网站/应用收集的用户数据?
  • 您有没有向用户说明,在他们同意您通过自己的网站/应用收集其个人数据后,Google 会如何使用这些数据?例如,您有没有提供指向 Google Business Data Responsibility 网站的链接?此外,您有没有说明其他第三方会如何使用这些数据?
  • 如果您仅通过投放非个性化广告创收,那么您有没有核实过,如果法律要求在使用 Cookie 或存储在本地的其他 ID(例如移动设备标识符)之前须先征得用户同意,您是否依法照做了?请注意,我们在网站中投放的非个性化广告仍需使用 Cookie 才能正常展示。
  • 如果您仅通过投放受限广告来利用展示机会创收,Google 不仅会停用出于投放个性化广告的目的而收集、分享和使用个人数据的功能,而且会停用需要使用本地标识符的功能(如频次上限)。仅在启用了程序化受限广告时,才会使用仅用于检测无效流量的 Cookie 和存储在本地的其他 ID,以帮助防范欺诈和滥用行为。请注意,用户的浏览器和移动操作系统在正常运作期间,仍会缓存或安装广告投放技术(我们的 JavaScript 代码和/或 SDK 代码)。您应根据所在管辖区的当地法律评估自己的法规遵从义务,包括需要提供的通知以及需要征得的同意。如需详细了解此功能,请参阅 Ad ManagerAdMob 帮助中心AdSense
  • 如果您使用经过 IAB 认证的意见征求管理平台 (CMP),您有没有将“Google 广告产品”添加为供应商?
  • 您是否已确认没有在未征得用户同意的情况下设置 Google Ads Cookie,而且没有在未征得用户同意的情况下更改非个性化广告的默认状态?

如果我不想将最终用户的个人数据用于实现个性化广告投放,该怎么办?

您可以选择是否希望将最终用户的个人数据用于实现个性化广告投放。请注意,我们在网站或应用中投放的非个性化广告仍需使用 Cookie 或移动标识符才能正常展示。如果法律要求在使用 Cookie 或移动标识符之前须先征得用户同意,您必须依法照做。

对于 Ad ManagerAdSenseAdMob 展示机会,您还可以选择通过投放受限广告创收。您应根据所在管辖区关于投放受限广告和非个性化广告的当地法律评估自己的法规遵从义务,包括需要提供的通知以及需要征得的同意。

我需要为最终用户提供哪些关于撤消同意的说明?

该政策规定,您必须告知最终用户如何针对广告个性化投放撤消同意。您必须确保用户可以像最初表示同意时那样轻松撤消同意。您需要为最终用户提供足够的信息,使他们至少能够轻松找到您的网站或应用的广告控件,以便他们修改已做出的同意/不同意决定。

还有哪些 Google 产品吸纳了该政策?

除了广告产品和效果衡量产品外,《Google Maps Platform 服务条款》、《YouTube API 服务的服务条款》、《reCAPTCHA 服务条款》和 Blogger 等 Google 产品也都引述了该政策。

对于该政策而言,哪些类型的广告会被视为“个性化”广告?

个性化广告(以前称为“针对用户兴趣投放广告”)是一项营销利器,旨在向用户展示更合乎需求的广告,进而提高广告主的投资回报率。我们的发布商产品可以根据用户访问网站或使用应用的记录来推断用户兴趣(具体取决于这些产品的使用方式),以便广告主相应地确定向哪些目标受众投放其广告系列。这让用户和广告主都能获得更好的体验。如需了解详情,请参阅我们针对广告主制定的个性化广告相关政策

如果广告主在决定选择什么广告时,依据的是之前收集的数据或历史数据(包括用户之前的搜索查询内容、活动记录、网站或应用访问记录、受众特征信息或位置信息)或受到了这些数据的影响,Google 便会将投放的广告视为个性化广告。具体而言,按受众特征定位的广告、根据兴趣类别定位的广告、再营销广告、定位目标客户匹配名单的广告、定位在 Google Marketing Platform 中上传的受众群体名单的广告等都属于个性化广告。

我的意见征求横幅在审核过程中被标记为不符合政策规定。最佳解决方式是什么?

如果我们发现不符合该政策的行为,我们的优先措施是,协助合作伙伴符合该政策。我们的审核团队会为您提供违规行为的详细信息,并会提供您需要采取的措施,这些措施有助于使您的网站/应用符合政策规定。

为了确保横幅经过适当配置以尊重用户的选择,我们建议广告主与其使用的第三方 CMP 合作,或者查看适当的意见征求设置管理文档,并确保与意见征求模式进行相应的集成。

为什么该政策要求在使用 Cookie 之前须先征得用户同意,即使将 Cookie 用于个性化广告投放之外的用途(如广告效果衡量)时亦不例外?

对于 Google 投放的个性化广告和非个性化广告,我们会使用 Cookie 或移动标识符,以协助防范欺诈和滥用行为,确保广告展示频次不会超过上限,以及生成汇总的广告报告。我们的政策规定,如果用户所在国家/地区的法律要求在使用 Cookie 或移动标识符之前必须先征得用户同意,您必须依法照做。

如果我是在自己的网站上使用 Google 产品的广告主呢?

如果您在自己的网页上使用 Google Ads 或 Google Marketing Platform 等广告产品的代码,那么对于欧洲经济区 (EEA) 内和英国境内的用户,您需要根据 Google 的《欧盟地区用户意见征求政策》的规定征求其同意。我们的政策规定,如果您要出于衡量广告效果的目的使用 Cookie,以及出于个性化广告投放的目的使用最终用户个人数据(例如,如果您的网页上有再营销代码),则需要先征得用户同意。

我应该在用户意见征求通知中包含什么内容?

Google 的政策并未规定您应向用户提供哪些选项,因为意见征求通知的内容取决于您将数据用于哪些用途。例如,您是将数据用于自身用途,还是用于为您使用的其他服务提供支持。

Google 是否对应用的用户意见征求消息的形式做了具体规定?

是的。我们在 2023 年 5 月宣布,自 2024 年 1 月 16 日起,发布商在向欧洲经济区 (EEA) 内和英国境内的用户投放广告时,必须使用经认证的 CMP。如果您使用的 CMP 未在此列表中,我们建议您与该 CMP 合作,以确保其获得认证。

对于广告主合作伙伴,我们制定了 CMP 合作伙伴计划来协助广告主构建和配置意见征求横幅。注意:此列表并未详尽无遗地列出所有可供选择的 CMP。

合作伙伴应如何选择意见征求管理平台 (CMP) 提供商?

对于广告主合作伙伴,我们制定了 CMP 合作伙伴计划来协助广告主构建和配置意见征求横幅。注意:此列表并未详尽无遗地列出所有可供选择的 CMP。 使用其中任何 CMP 都不能保证您一定符合 Google 的《欧盟地区用户意见征求政策》,因为是否符合该政策取决于 CMP 的实现情况,以及向用户展示的具体用户意见征求消息(如需更多相关指导,请参阅“在实现用户意见征求机制时,合作伙伴可以参考以下核对清单,以避免常见错误”部分)。

哪些第三方会收集最终用户个人数据?该怎么找出这些第三方?

许多使用 Google 广告系统的广告主和发布商都会通过第三方在网站和应用中投放广告,以及衡量其广告系列的效果。该政策规定,如有任何相关方(除了 Google 之外)因您使用 Google 产品而收集、收到和/或使用最终用户个人数据,您必须明确指出这些相关方。借助 AdSense、Google Ad Manager 和 AdMob 中提供的一些控件,您可以选择允许哪些供应商在您的网站或应用中收集数据。

我的网站不是设在欧洲,我需要遵守该政策吗?

如果您使用吸纳了该政策的 Google 产品,并且您的服务的目标受众包括欧洲经济区 (EEA) 内或英国境内的用户,您就需要遵守该政策。

我是发布商,如果我的所有广告系列均不面向欧洲经济区 (EEA) 内或英国境内的用户投放,我还需要遵守这项用户意见征求规定吗?

如果您已针对这些国家/地区内的用户移除了网站上的 Google 服务,则无需征得用户同意。不过,如果您仍在使用 Google 服务,即使不投放任何广告,也仍然需要征得用户同意。这是因为 Google AdMob、AdSense 和 Google Ad Manager 需要使用 Cookie,而且我们的政策规定,即使是出于衡量广告效果的目的使用 Cookie,也需要先征得用户同意。此外,除非您请求投放非个性化广告,并且在“欧盟地区用户意见征求设置”部分或在广告请求中指明这一点,否则 Google Ad Manager 还会收集个人数据。

我们组织对这项法律持有不同看法,并希望通过其他方式披露信息和征求用户同意。我们可以这样做吗?

对于我们在欧洲提供的所有服务,Google 始终致力于遵守《GDPR》的规定,包括在相应情况下改为遵守英国法律。我们的《欧盟地区用户意见征求政策》体现了这一宗旨,并参考了欧洲数据保护机构提供的指南。我们将继续评估这项法律和业界做法,并相应更新我们的建议和要求。

为什么我们在衡量广告效果之前需要先征得用户同意?难道衡量广告效果不是我们的合法权益吗?

Google 使用 Cookie 和各种广告标识符来协助进行广告效果衡量。现有的电子隐私法律规定,如果用户所在国家/地区的当地法律要求就此类用途先征得用户同意,您必须依法照做。因此,我们的政策规定,在投放个性化广告以及衡量广告效果之前,必须先征得用户同意。这包括在线下衡量广告效果的用例(例如实体店销售)。

我必须在代码触发之前征得用户同意,还是可以事后征得用户同意?

如果法律要求在投放个性化广告以及使用 Cookie 或存储在本地的其他 ID 之前须先征得用户同意,那么您必须依法照做,然后才能在自己的网页上触发 Google 的代码。

如果我使用的是点击跟踪广告代码呢?

如果广告主选择使用第三方点击跟踪技术(即如果用户点击广告,在系统加载广告主的着陆页时,用户的浏览器会定向至第三方广告效果衡量供应商),则必须根据适用法律使用此类技术。Google 面向发布商提供的供应商控件未涵盖点击跟踪技术。

我需要保留哪些记录?

我们的政策规定,客户必须保留用户意见征求记录。此类记录至少应包含作为用户意见征求机制的一部分向用户展示的文字内容和选项,以及用户明确表示同意的日期和时间。

我使用的发布商 CMP 是经认证的 CMP,并且已获得 IAB 的认证,为什么被视为不符合政策规定?

使用经认证的 CMP 并不能保证您一定符合 Google 的《欧盟地区用户意见征求政策》,因为是否符合该政策取决于 CMP 的实现情况,以及向用户展示的具体用户意见征求消息(如需更多相关指导,请参阅“在实现用户意见征求机制时,合作伙伴可以参考以下核对清单,以避免常见错误”部分)。

如果我使用的产品采用了 Privacy Sandbox API,我需要遵守该政策吗?

需要。使用 Privacy Sandbox API(TopicsProtected AudienceAttribution Reporting)时,您可能会将用户个人数据用于投放个性化广告,并且/或者可能会访问存储在本地的 ID。根据《欧盟地区用户意见征求政策》的要求,您必须征得有效的用户同意声明才能执行这些操作,正如目前在欧洲经济区和英国,您必须征得用户同意,才能投放个性化广告以及使用存储在本地的非必需 ID。如需详细了解 Privacy Sandbox,请点击此处

对本政策的更新

我们于 2018 年 5 月 25 日更新了最初的《欧盟地区用户意见征求政策》。为了体现英国与欧盟之间不断变化的关系,我们在 2019 年 10 月 31 日对该政策进行了一些细微更改。

2024 年 7 月,我们将更新《欧盟地区用户意见征求政策》,并扩大该政策的适用范围,在其中纳入瑞士。这次更改将不包括要求广告主通过意见征求模式或通过透明度和用户意见征求框架 (TCF) 针对瑞士流量发送经过验证的同意信号。我们还将对使用我们的发布商产品(Google AdSense、Ad Manager 或 AdMob)的合作伙伴提出以下要求:在向瑞士境内的用户投放广告时,需使用经 Google 认证且与 TCF 集成的 CMP。除了欧洲经济区 (EEA) 和英国的要求之外,这些要求也将适用。您可以点击以下链接,获取适用于我们发布商合作伙伴的更多信息:(AdManagerAdMobAdSense)。

预计该政策暂时不会再有其他变更,但如上所述,我们将继续评估法律和业界做法,并相应地更新我们的建议和要求。