Tuân thủ25 tháng 5, 2026 | FlexyConsent

Hướng Dẫn Đồng Ý Cookie theo EU-US Data Privacy Framework (DPF) cho Nhà Xuất Bản năm 2026

The EU-US Data Privacy Framework (DPF) là khung pháp lý cho phép dữ liệu cá nhân của châu Âu — bao gồm định danh cookie, địa chỉ IP, email được băm và dữ liệu yêu cầu quảng cáo — được chuyển đến các nhà cung cấp có trụ sở tại Mỹ mà không cần mỗi nhà xuất bản phải đàm phán Điều khoản Hợp đồng Tiêu chuẩn (SCCs) riêng. Được Ủy ban châu Âu thông qua vào tháng 7 năm 2023 và hiện đã được sử dụng trong thực tế nhiều năm, DPF là nỗ lực thứ ba nhằm thay thế Privacy Shield đã bị vô hiệu, và lại đang bị thách thức pháp lý tại Tòa án Công lý Liên minh Châu Âu. Đối với các nhà xuất bản điều phối lưu lượng EU qua các SSP, DSP, công cụ phân tích và CMP có trụ sở tại Mỹ, việc hiểu DPF — và lớp đồng ý đặt phía trên nó — không còn là tùy chọn nữa. Hướng dẫn này giải thích DPF thực sự cho phép gì, đồng ý cookie phù hợp như thế nào, và các bước vận hành giữ cho các lần chuyển dữ liệu của bạn có khả năng bảo vệ nếu khung đó lại bị bãi bỏ.

DPF Thực Sự Làm Gì

DPF là một quyết định mức độ phù hợp do Ủy ban châu Âu ban hành theo Điều 45 của GDPR. Quyết định mức độ phù hợp có nghĩa là một quốc gia thứ ba — trong trường hợp này là Hoa Kỳ — cung cấp mức độ bảo vệ dữ liệu cá nhân về bản chất tương đương với EU, nhưng chỉ đối với các tổ chức chọn tham gia vào một khung cụ thể. DPF là cơ chế đăng ký tham gia. Các công ty Mỹ tự chứng nhận với Bộ Thương mại, cam kết tuân thủ một bộ Nguyên tắc Bảo mật, và trở thành đối tượng chịu sự thực thi của FTC hoặc DOT đối với các cam kết đó.

Đối với nhà xuất bản EU, tác động thực tế là dữ liệu cá nhân có thể được chuyển đến nhà cung cấp Mỹ được chứng nhận DPF mà không cần SCCs riêng, TIA được điều chỉnh riêng cho nhà cung cấp đó, hoặc các biện pháp bổ sung theo kiểu được yêu cầu sau phán quyết Schrems II. DPF thực hiện phần việc nặng nhọc ở tầng cơ sở pháp lý.

Ba điều DPF không làm, và mà các nhà xuất bản thường xuyên hiểu sai:

Nó không thay thế sự đồng ý. Việc đặt cookie không thiết yếu trên khách truy cập EU vẫn đòi hỏi sự đồng ý cấp độ GDPR/ePrivacy bất kể dữ liệu kết thúc ở đâu.
Nó không bao gồm việc chuyển đến các nhà cung cấp Mỹ chưa được chứng nhận. Nếu SSP hoặc nhà cung cấp phân tích của bạn không có trong danh sách DPF đang hoạt động, bạn vẫn cần SCCs và TIA.
Nó không bao gồm việc chuyển đến các công ty con tại Mỹ hoạt động ngoài phạm vi được chứng nhận. Nhiều nhà cung cấp lớn chỉ chứng nhận các dòng kinh doanh cụ thể.

Đồng Ý Cookie Vẫn Là Cửa Trước

DPF giải quyết phần chuyển dữ liệu của hành trình. Nó không làm gì về thời điểm cookie được thả, ID quảng cáo được đọc, hoặc một sự kiện được gửi đến thẻ. Thời điểm đó được quản lý bởi Chỉ thị ePrivacy (Điều 5(3)) và GDPR (Điều 6 và 7). Cả hai đều yêu cầu sự đồng ý trước, được thông báo, cụ thể và được đưa ra tự do cho bất kỳ quyền truy cập nào không hoàn toàn cần thiết vào bộ nhớ thiết bị đầu cuối.

Nói cách khác, ngay cả khi mọi nhà cung cấp trong hệ thống của bạn đều được chứng nhận DPF, bạn vẫn cần Nền tảng Quản lý Đồng ý:

Chặn cookie và thẻ không thiết yếu trước khi thu thập sự đồng ý.
Trình bày lựa chọn rõ ràng với sự ngang bằng từ chối-tất-cả so với chấp nhận-tất-cả (EDPB đã nói rõ về điều này từ năm 2022).
Ghi lại sự kiện đồng ý với dấu thời gian chống giả mạo và bản sao thông báo mà người dùng thực sự đã thấy.
Chuyển tiếp trạng thái đồng ý đến mọi công cụ hạ nguồn qua TCF v2.3, Google Consent Mode v2, hoặc API gốc của nhà cung cấp.

DPF thay thế cơ sở pháp lý cho việc chuyển; CMP cung cấp cơ sở pháp lý cho việc thu thập. Bỏ qua bên nào cũng khiến bạn bị lộ.

Cách Xác Minh Trạng Thái DPF của Nhà Cung Cấp

Bộ Thương mại Hoa Kỳ duy trì danh sách DPF chính thức tại dataprivacyframework.gov. Trước khi bạn dựa vào tuyên bố DPF của nhà cung cấp, hãy kiểm tra ba điều trong danh sách của họ.

Trạng Thái Chứng Nhận Đang Hoạt Động

Chứng nhận phải được gia hạn hàng năm. Nhà cung cấp có trạng thái hiện là Không hoạt động, Đã rút hoặc Đã hết hạn không thể được dựa vào như cơ chế chuyển của bạn, ngay cả khi các trang marketing của họ vẫn hiển thị huy hiệu DPF. Nhập danh sách vào kho nhà cung cấp của bạn và kiểm tra lại hàng quý.

Các Thực Thể và Chi Nhánh Được Bao Phủ

Nhiều công ty mẹ chứng nhận một số công ty con nhưng không phải tất cả. Thực thể hợp đồng trong DPA của bạn phải khớp với thực thể được chứng nhận. Một sai lầm phổ biến là ký kết với Acme Marketing UK Ltd khi chứng nhận DPF được nắm giữ bởi Acme Inc. ở Delaware — luồng dữ liệu khi đó thoát khỏi phạm vi được chứng nhận.

Các Danh Mục Dữ Liệu Được Bao Phủ

DPF cho phép các chứng nhận được giới hạn trong chỉ dữ liệu HR, chỉ dữ liệu không phải HR, hoặc cả hai. Chứng nhận chỉ dữ liệu không phải HR bao gồm dữ liệu quảng cáo và phân tích của bạn; chứng nhận chỉ HR thì không. Đọc kỹ danh sách.

Phải Làm Gì Khi Nhà Cung Cấp Không Được Chứng Nhận DPF

Nhiều nhà cung cấp Mỹ hữu ích — đặc biệt là các nhà chơi ad-tech nhỏ hơn và các công cụ phân tích chuyên biệt — không bao giờ chứng nhận hoặc để chứng nhận hết hạn. Đối với những người đó, DPF không liên quan và bạn quay lại bộ công cụ trước năm 2023:

Điều khoản Hợp đồng Tiêu chuẩn (SCCs) — các phiên bản mô-đun 2 hoặc mô-đun 3 năm 2021, được ký bởi cả hai bên và được kết hợp vào DPA.
Đánh giá Tác động Chuyển dữ liệu (TIA) — phân tích cụ thể cho nhà cung cấp về luật giám sát của Mỹ, các danh mục dữ liệu có rủi ro, và các biện pháp kỹ thuật và tổ chức giảm thiểu rủi ro.
Các biện pháp bổ sung — mã hóa khi truyền tải và khi lưu trữ, ẩn danh hóa, cam kết minh bạch theo hợp đồng, và kế hoạch phản ứng được ghi lại đối với các yêu cầu truy cập của chính phủ Mỹ.

Duy trì một sổ đăng ký liệt kê mọi nhà cung cấp Mỹ trong hệ thống của bạn, cơ sở pháp lý được sử dụng cho từng nhà cung cấp (DPF, SCCs, ngoại lệ), và ngày xem xét gần nhất. Các cơ quan quản lý và kiểm toán viên sẽ yêu cầu sổ đăng ký này; không có nó là một kết quả phát hiện.

Rủi Ro Schrems III và Cách Bảo Vệ Tương Lai

Người vận động quyền riêng tư Max Schrems và tổ chức NOYB của ông đã đệ trình hành động chống lại DPF ngay sau khi nó được thông qua, lập luận rằng cải cách giám sát của Mỹ theo Executive Order 14086 vẫn chưa đáp ứng các tiêu chuẩn quyền cơ bản của EU. Việc chuyển lên CJEU được kỳ vọng rộng rãi, và khung có xác suất không nhỏ bị bãi bỏ — lần thứ ba trong hai mươi năm.

Các nhà xuất bản coi Privacy Shield là cơ chế chuyển duy nhất vào năm 2020 đã phải chạy nước rút qua đêm khi Schrems II vô hiệu hóa nó. Sự chạy nước rút tương tự có thể tránh được lần này bằng cách coi DPF là cơ chế chính với bản dự phòng sẵn sàng kích hoạt.

Giữ SCCs trong Mọi DPA

Nhấn mạnh rằng DPA của bạn phải bao gồm SCCs năm 2021 như một điều khoản dự phòng tự động kích hoạt nếu quyết định mức độ phù hợp DPF bị vô hiệu hóa hoặc chứng nhận của nhà cung cấp hết hạn. Đây là ngôn ngữ tiêu chuẩn hiện nay; nếu nhà cung cấp từ chối, đó là một tín hiệu cảnh báo.

Vẫn Thực Hiện TIA

DPF loại bỏ yêu cầu pháp lý đối với TIA, nhưng thực hiện một TIA nhẹ — đặc biệt đối với các nhà cung cấp xử lý tín hiệu quảng cáo nhạy cảm hoặc dân số EU lớn — cung cấp tài liệu có thể bảo vệ nếu khung sụp đổ. Tái sử dụng cùng một mẫu cho các nhà cung cấp để giữ chi phí thấp.

Nội Địa Hóa Khi Toán Học Có Lợi

Đối với một số trường hợp sử dụng — phân tích bên thứ nhất, dữ liệu hành vi trên người dùng đã đăng nhập, hoặc các trang web có nội dung nhạy cảm — chuyển sang nhà cung cấp được lưu trữ và kiểm soát tại EU sẽ loại bỏ hoàn toàn câu hỏi chuyển dữ liệu. Phân tích chi phí-lợi ích chỉ có ý nghĩa đối với các luồng rủi ro cao hoặc khối lượng lớn, nhưng nên có trong lộ trình như một lựa chọn.

Tích Hợp DPF vào CMP của Bạn

Một CMP hiện đại không thực thi DPF trực tiếp — không có trường GPP hoặc TCF nào nói "lần chuyển này được DPF bao phủ." Điều CMP phải làm là thu thập sự đồng ý cho từng nhà cung cấp theo cách hỗ trợ tài liệu mà cơ quan quản lý cuối cùng sẽ yêu cầu.

Chi Tiết Theo Từng Nhà Cung Cấp

Gộp tất cả nhà cung cấp ad-tech Mỹ vào một nút chuyển "Marketing" duy nhất không còn có thể bảo vệ được nữa. Danh sách nhà cung cấp TCF v2.3, mà hầu hết các CMP được chứng nhận đồng bộ hóa, cung cấp mục đích và cơ sở pháp lý theo từng nhà cung cấp. Sử dụng nó. Khi cơ quan quản lý hỏi "dữ liệu cá nhân chảy đến Nhà cung cấp X vào ngày Y trên cơ sở nào", bạn có thể chỉ ra chuỗi TCF, bản ghi chứng nhận DPF và DPA.

Phản Ánh Thông Báo Quyền Riêng Tư trong Banner

Danh sách người nhận trong thông báo quyền riêng tư của bạn phải khớp chính xác với danh sách nhà cung cấp được tải sau khi đồng ý. Sự không khớp là mục tiêu thực thi dễ nhất — AEPD của Tây Ban Nha và CNIL của Pháp đều đã phạt các nhà xuất bản vào năm 2024 vì danh sách nhà cung cấp bỏ sót đối tác đang hoạt động.

Ghi Lại Trạng Thái Nhà Cung Cấp tại Thời Điểm Đồng Ý

Lưu trữ, cho mỗi sự kiện đồng ý, ảnh chụp nhanh về nhà cung cấp nào nằm trong TCF GVL, nhà cung cấp nào được chứng nhận DPF, và cơ sở pháp lý mà mỗi nhà cung cấp dựa vào. Đây là dấu vết kiểm toán biến một bức thư cơ quan quản lý căng thẳng thành phản hồi thông thường. FlexyConsent và các CMP được Google chứng nhận khác cung cấp tính năng ghi nhật ký này ngay trong hộp; nhiều banner cũ hơn thì không.

Danh Sách Kiểm Tra Di Chuyển Thực Tế

Nếu bạn đang di chuyển một trang web hiện có từ cấu hình trước DPF hoặc DPF một phần sang cấu hình sạch năm 2026, hãy thực hiện theo danh sách này:

Kiểm kê mọi nhà cung cấp Mỹ trong trình quản lý thẻ, hệ thống quảng cáo và vùng chứa phía máy chủ của bạn.
Đối chiếu từng nhà cung cấp với danh sách DPF đang hoạt động. Phân loại thành được DPF bao phủ, được SCC bao phủ, hoặc cần hành động.
Cập nhật DPA để bao gồm SCCs năm 2021 như phương án dự phòng tự động.
Thực hiện TIA cho các nhà cung cấp rủi ro cao bất kể trạng thái DPF.
Xác nhận CMP của bạn hiển thị giao diện đồng ý theo từng nhà cung cấp và hỗ trợ TCF v2.3.
Xác minh Google Consent Mode v2 được kết nối qua GA4, Ads và bất kỳ công cụ mất tín hiệu nào.
Đặt lịch xem xét hàng quý để kiểm tra lại chứng nhận, thành viên GVL và phiên bản DPA.
Thông báo cho bộ phận pháp lý và ad ops cùng nhau về những gì thay đổi nếu DPF bị vô hiệu hóa, để kế hoạch phản ứng không phải được nghĩ ra dưới áp lực.

Những Hiểu Lầm Phổ Biến

Một số lỗi lặp lại trong các cuộc kiểm toán nhà xuất bản và cần được sửa chữa rõ ràng.

"Được chứng nhận DPF có nghĩa là chúng tôi không cần sự đồng ý." Không. DPF là một cơ chế chuyển. Sự đồng ý là yêu cầu thu thập. Chúng nằm trên các tầng pháp lý khác nhau.

"CDN của chúng tôi có trụ sở tại Mỹ, vì vậy DPF bao phủ nó." Chỉ khi CDN đó được chứng nhận DPF cho các danh mục dữ liệu liên quan. Nhiều nhà cung cấp cơ sở hạ tầng cung cấp các vùng EU tránh hoàn toàn câu hỏi này.

"Nhà cung cấp X nói họ đã sẵn sàng DPF." Ngôn ngữ marketing. Kiểm tra danh sách chính thức, tên thực thể được chứng nhận và các danh mục dữ liệu.

"DPF thay thế banner cookie." Không. Quy tắc đồng ý trước của Chỉ thị ePrivacy độc lập với các quy tắc chuyển của GDPR. Cả hai đều áp dụng.

Kết Luận

DPF làm cho ad-tech xuyên Đại Tây Dương năm 2026 đơn giản hơn về mặt vận hành so với năm 2021, nhưng nó không miễn cho các nhà xuất bản khỏi sự đồng ý cookie, thẩm định nhà cung cấp hoặc tài liệu chuyển dữ liệu. Hãy coi DPF là một cơ chế chuyển hợp lệ trong số nhiều cơ chế, giữ SCCs làm phương án dự phòng theo hợp đồng, chạy CMP ghi lại sự đồng ý theo từng nhà cung cấp so với kho nhà cung cấp được duy trì, và giả định rằng sự ổn định pháp lý của khung là có điều kiện. Các nhà xuất bản xây dựng sức bền đó ngay bây giờ sẽ không phải tái thiết kế kiến trúc qua đêm nếu phán quyết Schrems III rơi vào đúng như hai phán quyết trước. Những người coi DPF là câu trả lời vĩnh viễn đang tự chuẩn bị cho cùng một cuộc chạy nước rút sau sự vô hiệu hóa của Privacy Shield — chỉ lần này các cơ quan quản lý ít kiên nhẫn hơn và các khoản phạt thì lớn hơn.