Tại sao Google hiện yêu cầu CMP được chứng nhận

Kể từ tháng 1 năm 2024, Google áp dụng một chính sách nghiêm ngặt: bất kỳ website nào phân phát quảng cáo cho người dùng tại Khu vực Kinh tế Châu Âu (EEA) hoặc Vương quốc Anh đều phải thu thập chấp thuận thông qua một Nền tảng Quản lý Chấp thuận (CMP) được Google chứng nhận. Đây không phải là khuyến nghị tùy chọn. Nếu không có chứng nhận, nhà xuất bản sẽ phải đối mặt với các hậu quả rõ ràng, tác động trực tiếp đến doanh thu và chất lượng dữ liệu.

Yêu cầu này xuất phát từ bối cảnh pháp lý đang phát triển của EU. Đạo luật Thị trường Kỹ thuật số (Digital Markets Act) đã chỉ định Google là một “gatekeeper”, từ đó buộc Google phải chứng minh rằng các t��n hiệu chấp thuận đi qua hệ thống quảng cáo của mình là hợp lệ, có thể kiểm toán và tuân thủ Transparency and Consent Framework (TCF). Giải pháp của Google là tạo ra một chương trình chứng nhận để thẩm định các CMP dựa trên một bộ tiêu chí kỹ thuật và vận hành được xác định rõ.

Đối với nhà xuất bản, điều này có nghĩa là CMP bạn chọn không còn chỉ là vấn đề sở thích hay tiện lợi. Nó trở thành yếu tố then chốt quyết định liệu inventory quảng cáo EEA của bạn có tạo ra doanh thu tối đa hay bị giới hạn chỉ còn một phần nhỏ tiềm năng.

Chứng nhận CMP của Google thực sự có nghĩa là gì

Chứng nhận không phải là con dấu đóng cho có. Google đánh giá các CMP trên nhiều khía cạnh trước khi cấp và duy trì trạng thái được chứng nhận:

• Tích hợp TCF 2.2+: CMP phải là thành viên đã đăng ký của IAB Europe Transparency and Consent Framework, hiện ở phiên bản 2.2 với quá trình chuyển sang TCF 2.3 đang diễn ra. Điều này có nghĩa CMP tạo ra TC String mà các nhà cung cấp phía sau có thể phân tích để xác định trạng thái chấp thuận cho các m���c đích xử lý cụ thể.
• Hỗ trợ Consent Mode V2: CMP phải kích hoạt đúng các tín hiệu chấp thuận của Google — ad_storage, analytics_storage, ad_user_data và ad_personalization — bằng Google Consent Mode API. Bản cập nhật V2 đã bổ sung hai tham số sau, hiện là bắt buộc cho mọi hoạt động phân phát quảng cáo tại EEA.
• Hành vi mặc định phù hợp: Trước khi người dùng tương tác với banner, CMP phải đặt trạng thái chấp thuận mặc định (thường là từ chối đối với người dùng EEA). Google kiểm tra để đảm bảo không có thẻ nào được kích hoạt với trạng thái “được chấp thuận” trước khi người dùng đưa ra lựa chọn.
• Tiêu chuẩn giao diện người dùng: Banner xin chấp thuận phải thể hiện một lựa chọn thực sự. Google xem xét để đảm bảo CMP cho phép người dùng chấp nhận, từ chối hoặc tùy chỉnh chấp thuận mà không dùng các mẫu thiết kế gây hiểu lầm nhằm hướng người dùng đến việc chấp nhận.
• Kiểm toán tuân thủ liên tục: Chứng nhận không phải vĩnh viễn. Google định kỳ đánh giá lại các CMP và có thể thu hồi chứng nhận nếu tiêu chuẩn bị suy giảm hoặc nếu CMP không theo kịp các bản cập nhật của framework.

Danh sách CMP được chứng nhận hiện tại

Google duy trì một danh sách công khai các CMP được chứng nhận trên trang hỗ trợ của mình. Tính đến đầu năm 2026, có khoảng 30 đến 40 nền tảng được chứng nhận. Danh sách bao gồm các nền tảng doanh nghiệp lớn, công cụ cho phân khúc trung bình và các giải pháp chuyên biệt. Một số tên đáng chú ý gồm Cookiebot, OneTrust, Usercentrics, Didomi và FlexyConsent.

Danh sách này không cố định. CMP có thể được thêm vào khi hoàn tất quy trình chứng nhận, và có thể bị loại bỏ nếu không còn tuân thủ. Nhà xuất bản nên kiểm tra CMP của mình với danh sách chính thức tại trang Google CMP Partner Program ít nhất mỗi quý. Nếu CMP của bạn không có trong danh sách, việc phân phát quảng cáo tại EEA sẽ gặp rủi ro, bất kể nhà cung cấp CMP tuyên bố thế nào về tình trạng tuân thủ của họ.

Cũng cần lưu ý rằng có tên trong danh sách không có nghĩa mọi CMP được chứng nhận đều có chất lượng như nhau. Chứng nhận chỉ thiết lập một ngưỡng tuân thủ tối thiểu, còn chất lượng triển khai, mức độ tùy biến, tác động đến hiệu năng và chất lượng hỗ trợ khác nhau rất nhiều giữa các nhà cung cấp. Nhà xuất bản nên đánh giá các CMP đã được chứng nhận dựa trên giá trị thực tế, không chỉ dựa vào chứng nhận.

Điều gì xảy ra nếu không dùng CMP được chứng nhận

Hậu quả của việc vận hành mà không có CMP được chứng nhận tại EEA là đáng kể và gần như tức thời:

• Hạn chế phân phát quảng cáo: Google Ad Manager, AdSense và AdMob sẽ giới hạn quảng cáo hiển thị cho người dùng EEA. Trong nhiều trường hợp, điều này đồng nghĩa chỉ hiển thị quảng cáo phi cá nhân hóa hoặc không hiển thị quảng cáo, tùy cấu hình của bạn. Quảng cáo phi cá nhân hóa thường tạo ra doanh thu thấp hơn 50 đến 70 phần trăm so với quảng cáo cá nhân hóa.
• Không có mô hình hóa chuyển đổi: Các mô hình chuyển đổi nâng cao của Google phụ thuộc vào tín hiệu chấp thuận. Nếu không có tín hiệu Consent Mode V2 phù hợp, bạn sẽ mất quyền truy cập vào chuyển đổi được mô hình hóa trong Google Ads và GA4, tạo ra khoảng trống trong dữ liệu phân bổ, khiến việc tối ưu chiến dịch trở nên thiếu tin cậy.
• Giảm nhu cầu programmatic: Nhiều SSP và DSP trong hệ sinh thái Google kiểm tra TC String hợp lệ. Nếu không có, yêu cầu đấu giá sẽ bị loại bỏ hoặc nhận CPM thấp hơn vì bên mua không thể xác minh trạng thái chấp thuận.
• Rủi ro tuân thủ pháp lý: Vượt ra ngoài việc thực thi của Google, vận hành mà không có chấp thuận phù hợp tại EEA khiến bạn đối mặt với tiền phạt GDPR từ các cơ quan bảo vệ dữ liệu quốc gia. Mức phạt có thể lên tới 4% doanh thu toàn cầu hàng năm hoặc 20 triệu EUR, tùy theo mức nào cao hơn.
• Suy giảm niềm tin của nhà quảng cáo: Các nhà quảng cáo trực tiếp và agency ngày càng thường xuyên kiểm toán tuân thủ của nhà xuất bản. Vận hành mà không có CMP được chứng nhận gửi tín hiệu tới các nhà quảng cáo cao cấp rằng inventory của bạn có thể mang rủi ro pháp lý, khiến bạn mất các hợp đồng trực tiếp.

TCF 2.3 và Consent Mode V2: Yêu cầu kép

Một hiểu lầm phổ biến là chỉ cần tuân thủ TCF là đủ. Điều đó không đúng. Google yêu cầu cả TC String hợp lệ từ CMP đã đăng ký TCF và tín hiệu Consent Mode V2. Hai thành phần này phục vụ các mục đích khác nhau trong hệ sinh thái ad tech:

TC String truyền đạt chi tiết chấp thuận ở cấp độ vendor cho hệ sinh thái quảng cáo programmatic. Nó cho từng vendor trong chuỗi cung ứng biết chính xác những mục đích xử lý nào người dùng đã chấp thuận. Ngược lại, Consent Mode V2 truyền đạt trạng thái chấp thuận cụ thể cho các thẻ của riêng Google (Analytics, Ads, Floodlight). Một CMP được chứng nhận phải xử lý đồng thời cả hai và đảm bảo chúng luôn được đồng bộ.

TCF 2.3, phiên bản framework mới nhất, giới thiệu các tinh chỉnh liên quan đến xử lý “lợi ích hợp pháp” (legitimate interest) và yêu cầu công bố vendor. Nó siết chặt quy tắc về cách vendor có thể viện dẫn lợi ích hợp pháp làm cơ sở pháp lý và yêu cầu minh bạch hơn với người dùng về những vendor nào sẽ xử lý dữ liệu của họ. Các CMP đang theo đuổi hoặc duy trì chứng nhận Google được kỳ vọng sẽ hỗ trợ TCF 2.3 khi nó trở thành tiêu chuẩn trong suốt năm 2026.

FlexyConsent đã đạt chứng nhận Google như thế nào

FlexyConsent được xây dựng ngay từ đầu với mục tiêu cốt lõi là đạt chứng nhận Google, chứ không phải bổ sung sau. Nền tảng này triển khai đầy đủ bốn tham số của Consent Mode V2 với trạng thái mặc định “từ chối” cho lưu lượng EEA. Nó tạo ra TC String tuân thủ tiêu chuẩn với tư cách là một CMP đã đăng ký tại IAB Europe.

Các quyết định kỹ thuật then chốt hỗ trợ chứng nhận bao gồm:

• Tải script trước mọi thẻ khác: Script async gọn nhẹ của FlexyConsent được tải và đặt trạng thái chấp thuận mặc định trước khi Google Tag Manager hoặc gtag.js có thể kích hoạt, đảm bảo không có rò rỉ chấp thuận trong vài mili-giây quan trọng sau khi tải trang.
• Mặc định theo vị trí địa lý: Nền tảng phát hiện vị trí người dùng và áp dụng mặc định chấp thuận phù hợp với khu vực — từ chối cho EEA và Anh, cho phép đối với các khu vực không có yêu cầu chấp thuận rõ ràng, trừ khi nhà xuất bản cấu hình khác đi.
• Lưu trữ chấp thuận minh bạch: Lựa chọn chấp thu��n được lưu trong cookie bên thứ nhất với quy ước đặt tên rõ ràng, giúp Google có thể kiểm toán trong quá trình đánh giá chứng nhận và nhà xuất bản có thể kiểm tra trong các đợt rà soát tuân thủ của riêng mình.
• Hỗ trợ liên tục các phiên bản TCF: Khi framework phát triển từ 2.2 lên 2.3, FlexyConsent tự động cập nhật việc tạo TC String mà không cần thay đổi phía nhà xuất bản hoặc cập nhật script.
• Tác động hiệu năng tối thiểu: Script được tối ưu để tải dưới 50 mili-giây trên các kết nối điển hình, đảm bảo nó không làm suy giảm tốc độ trang đến mức ảnh hưởng đến điểm Core Web Vitals.

Nhà xuất bản nên kiểm tra những gì ngay bây giờ

Nếu bạn đang phân phát quảng cáo tại EEA, dưới đây là một checklist cụ thể để đảm bảo bạn đang tuân thủ:

• Kiểm tra danh sách được chứng nhận: Xác nhận CMP của bạn xuất hiện trong danh sách đối tác CMP được chứng nhận chính thức của Google. Thực hiện việc này mỗi quý, vì danh sách có thể thay đổi.
• Xác minh tín hiệu Consent Mode V2: Sử dụng Google Tag Assistant hoặc console trình duyệt để xác nhận các lệnh consent default và consent update được kích hoạt với đầy đủ bốn tham số (ad_storage, analytics_storage, ad_user_data, ad_personalization).
• Kiểm tra TC String: Sử dụng công cụ giải mã TC String của IAB để xác minh CMP của bạn tạo ra TC String hợp lệ, có thể phân tích với các vendor consent và khai báo mục đích chính xác.
• Kiểm toán thứ tự kích hoạt thẻ: Đảm bảo script CMP của bạn được tải trước các thẻ Google. Nếu thẻ được kích hoạt trước khi chấp thuận được thiết lập, bạn đang có một khoảng trống tuân thủ mà hệ thống của Google sẽ phát hiện.
• Xem lại tỷ lệ chấp thuận: Nếu tỷ lệ chấp thuận tại EEA của bạn cao bất thường (trên 90%), hãy điều tra xem thiết kế banner có thực sự mang lại lựa chọn tự do hay đang “dẫn dắt” người dùng theo cách mà cơ quan quản lý có thể đặt vấn đề.
• Kiểm tra trên nhiều thiết bị: Xác minh luồng chấp thuận hoạt động đúng trên mobile, tablet và desktop. Lỗi chấp thuận trên mobile khá phổ biến và thường bị bỏ sót nếu chỉ kiểm tra trên desktop.

Điểm mấu chốt: Chứng nhận CMP của Google không phải là huy hiệu marketing — đó là cánh cổng kỹ thuật quyết định liệu doanh thu quảng cáo EEA của bạn chảy bình thường hay bị bóp nghẹt. Hãy xác minh trạng thái CMP, kiểm tra triển khai và đảm bảo cả tín hiệu TCF lẫn Consent Mode V2 đều được kích hoạt chính xác.

FlexyConsent cung cấp gói miễn phí bao gồm đầy đủ chức năng CMP được Google chứng nhận, Consent Mode V2 và hỗ trợ TCF 2.3. Đối với các nhà xuất bản cần tuân thủ nhanh, đây là một trong những con đường nhanh nhất từ cài đặt đến thu thập chấp thuận đạt chuẩn chứng nhận.