Phiên bản tóm tắt

TCF v2.3 là một bước tiến hóa từ v2.2, không phải tái kiến trúc. Định dạng TC String vẫn tương thích, các mục đích (purposes) và tính năng hiện có được giữ nguyên, và hầu hết yêu cầu giao diện (UI) hướng tới nhà xuất bản vẫn được kế thừa. Những thay đổi có ý nghĩa tập trung vào bốn mảng:

• Quy tắc rõ ràng hơn về cách CMP phải hiển thị thông tin vendor và thời hạn lưu trữ dữ liệu.
• Yêu cầu mới cho các điều khiển chi tiết (granular) ở lớp thứ hai mà cơ quan quản lý đã yêu cầu kể từ quyết định của Cơ quan bảo vệ dữ liệu Bỉ (Belgian DPA) năm 2022.
• Siết chặt thực thi chính sách xung quanh dark pattern, nguyên tắc “nổi bật ngang nhau” (equal prominence) và các tùy chọn được bật sẵn.
• Điều chỉnh schema Global Vendor List (GVL) và luồng hiển thị thông tin vendor.

Lý do v2.3 ra đời

Mỗi phiên bản TCF là kết quả thương lượng giữa ba nhóm đối tượng: nhà xuất bản cần tiếp tục kiếm tiền, vendor cần một giao diện kỹ thuật ổn định, và cơ quan quản lý liên tục phát hiện các lỗ hổng tuân thủ cụ thể. v2.3 là phản ứng trực tiếp trước ba áp lực:

1. Các biện pháp xử lý việc lạm dụng "lợi ích hợp pháp" (legitimate interest) dưới v2.2. Nhiều cơ quan bảo vệ dữ liệu châu Âu cho rằng quá nhiều vendor khai báo LI cho các mục đích mà trên thực tế chỉ có thể dựa trên consent. v2.3 siết chặt việc vendor khai báo cơ sở pháp lý và đưa thông tin này lên sớm hơn trong giao diện xin consent.
2. Các khiếu nại liên tục về dark pattern. Policies cập nhật làm cho quy tắc equal prominence rõ ràng hơn và bịt các lỗ hổng liên quan đến các nút gạt được bật sẵn ở lớp thứ hai.
3. Phản hồi vận hành từ các CMP và nhà xuất bản lớn. v2.2 đưa vào một số nội dung bắt buộc phải công bố mà rất khó triển khai gọn gàng trên mobile và CTV. v2.3 tinh gọn bộ thông tin bắt buộc và cho phép nhiều nội dung được đưa vào dạng giao diện phân lớp (layered view).

Tương thích TC String

Bản thân TC String vẫn giữ khả năng tương thích ngược. Một CMP v2.3 tạo ra các string mà vendor v2.2 có thể đọc, và một vendor v2.3 có thể xử lý string v2.2 trong giai đoạn chuyển tiếp. Chỉ báo phiên bản trong phân đoạn lõi của string cho biết CMP đang tuyên bố tuân thủ phiên bản policy nào, và con trỏ phiên bản GVL được cập nhật độc lập.

Ý nghĩa thực tế: bạn không cần cập nhật tất cả vendor cùng một lúc, và không cần buộc mọi người dùng phải thực hiện lại sự kiện consent mới ngay ngày bạn triển khai v2.3. Việc rollout theo từng giai đoạn được hỗ trợ rõ ràng.

Các thay đổi kỹ thuật chính

1. Công bố vendor và thời hạn lưu trữ

v2.3 yêu cầu CMP phải hiển thị thời hạn lưu trữ dữ liệu mà từng vendor khai báo ngay trong giao diện phân lớp, chứ không chỉ trong danh sách vendor riêng biệt. Giá trị retention từ trước đến nay đã nằm trong GVL, nhưng v2.2 không bắt buộc người dùng phải nhìn thấy nó cùng với các mục đích xử lý. v2.3 khép lại khoảng trống này vì cơ quan quản lý lập luận rằng người dùng không thể đưa ra lựa chọn có hiểu biết nếu không biết dữ liệu của họ sẽ tồn tại bao lâu.

2. Kiểm soát lớp thứ hai nghiêm ngặt hơn

Ở lớp thứ hai — màn hình "quản lý tùy chọn" — v2.3 quy định rõ rằng các nút gạt cho các mục đích và vendor không thiết yếu phải mặc định ở trạng thái tắt. Các ô được tick sẵn hoặc thanh trượt được bật sẵn là vi phạm policy ngay cả khi người dùng không bao giờ bấm "chấp nhận". Các CMP trước đây dựa vào mô hình "soft opt-in" sẽ phải render lại lớp thứ hai.

3. Thực thi nguyên tắc nổi bật ngang nhau

Quy tắc equal prominence đã tồn tại từ v2.1, nhưng v2.3 định nghĩa với ít khoảng trống diễn giải hơn: nút "từ chối tất cả" phải nằm cùng lớp, cùng mức độ nổi bật về hình ảnh, cùng lớp tương phản màu sắc và cùng khoảng cách tương tác với nút "chấp nhận tất cả". Việc ẩn nút từ chối sau một đường link, một nút nhỏ hơn hoặc một màn hình phụ giờ đây được coi là vi phạm rõ ràng chứ không còn là vấn đề đánh giá chủ quan.

4. Tín hiệu về lợi ích hợp pháp

Các vendor khai báo lợi ích hợp pháp là cơ sở pháp lý theo v2.3 giờ phải khai rõ họ đã đánh giá những mục đích nào và đã hoàn tất Đánh giá Lợi ích Hợp pháp (Legitimate Interests Assessment) cho mục đích nào. CMP bắt buộc phải truyền thông tin này vào giao diện người dùng để người dùng có thể phản đối (object) với đầy đủ thông tin. Trên thực tế, điều này có nghĩa là luồng "phản đối" giờ hiển thị trạng thái LIA theo từng vendor thay vì một nút gạt chung chung.

5. Cập nhật schema GVL

Schema Global Vendor List bổ sung các trường cho độ chi tiết của thời hạn lưu trữ, trạng thái LIA và đường link máy đọc được tới phần chính sách quyền riêng tư của từng vendor cho các mục đích đã khai báo. Các CMP đang cache GVL phải cập nhật bộ phân tích schema để hiểu các trường mới trước khi trỏ sang GVL v2.3.

Các thay đổi về Policy ảnh hưởng đến UX

TCF vừa là một đặc tả kỹ thuật, vừa là một bộ Policies. Một số thay đổi Policy trong v2.3 tác động trực tiếp đến giao diện xin consent:

• Không còn dùng "tiếp tục mà không chấp nhận" như tương đương với từ chối trừ khi nó có hình thức trực quan giống nút chấp nhận và tạo ra cùng một TC String như khi từ chối hoàn toàn.
• Đồng nhất ngôn ngữ — thông báo consent phải có sẵn bằng mọi ngôn ngữ mà chính trang web đó hỗ trợ, không chỉ dựa trên ngôn ngữ trình duyệt của người dùng. CMP phải hỗ trợ ghi đè locale.
• Khả năng truy cập liên tục — người dùng phải có thể truy cập trung tâm tùy chọn (preferences center) từ mọi trang trên site, không chỉ trang đầu tiên, và đường link truy cập phải được gắn nhãn theo cách mà người dùng không chuyên cũng nhận ra là liên quan đến consent.

Nhà xuất bản cần làm gì

1. Xác nhận CMP vendor của bạn hỗ trợ v2.3. Hỏi ngày chính xác bản build được chứng nhận v2.3 sẽ sẵn sàng và version string mà nó sẽ báo cáo.
2. Làm mới logic cache GVL. Nếu bạn tự host bất kỳ bản mirror GVL nào, hãy cập nhật bộ phân tích schema trước khi GVL v2.3 được triển khai, nếu không CMP của bạn sẽ không thể xác thực các vendor mới.
3. Viết lại UI lớp thứ hai để mọi nút gạt mặc định ở trạng thái tắt, nguyên tắc equal prominence được thể hiện rõ ràng về mặt hình ảnh, và thời hạn lưu trữ được hiển thị cạnh từng mục đích.
4. Chạy lại kiểm toán tuân thủ. Những “chiến thắng” dễ dàng nhất cho cơ quan quản lý là các vi phạm dark pattern mà v2.3 giờ đã nêu đích danh. Hãy sửa chúng trước kỳ rà soát tiếp theo.
5. Lên kế hoạch chiến lược re-prompt. Dù TC String tương thích ngược, Policies khuyến khích nhà xuất bản xin lại consent khi phạm vi hoặc nội dung công bố về xử lý dữ liệu thay đổi một cách đáng kể. Hãy quyết định xem rollout v2.3 của bạn có được coi là "đáng kể" đối với người dùng của bạn hay không.

Vendor cần làm gì

1. Hoàn tất Legitimate Interests Assessment cho mọi mục đích mà bạn khai báo LI và gửi kết quả vào GVL.
2. Cập nhật mục GVL của bạn với các trường schema v2.3: độ chi tiết thời hạn lưu trữ, khai báo LIA và deep link đến phần chính sách quyền riêng tư.
3. Kiểm tra bộ phân tích TC String của bạn với các TC String tham chiếu v2.3 do IAB Europe cung cấp.
4. Phối hợp với các đối tác CMP về một ngày chuyển đổi chung, để yêu cầu mua đầu tiên mang TC String v2.3 không rơi vào một vendor chỉ hỗ trợ v2.2.

Các lỗi thường gặp khi chuyển đổi

• Coi v2.3 là cơ hội thiết kế lại UI. Rất hấp dẫn khi gộp cập nhật thương hiệu với rollout v2.3, nhưng làm vậy khiến việc kiểm thử tuân thủ phức tạp hơn. Hãy phát hành trước một bản v2.3 chỉ tập trung vào tuân thủ, rồi mới lặp lại về thiết kế.
• Bỏ sót yêu cầu hiển thị thời hạn lưu trữ. Các nhóm thường cập nhật màn hình danh sách vendor nhưng quên rằng retention giờ cũng phải xuất hiện trong giao diện phân lớp theo từng mục đích.
• Cho rằng chỉ cần TC String là đủ. Một TC String hợp lệ nhưng được tạo ra từ UI không tuân thủ vẫn là không tuân thủ. Cơ quan quản lý đã nhiều lần phạt các đơn vị có string trông ổn nhưng banner lại giấu nút từ chối.
• Bỏ qua CTV và mobile. v2.3 áp dụng cho mọi bề mặt nơi tín hiệu TCF được tạo ra. Nhà xuất bản chỉ cập nhật web mà bỏ qua ứng dụng CTV hoặc mobile sẽ tạo ra một môi trường lai không tuân thủ.

Kết luận

TCF v2.3 không phải là một cú đứt gãy so với v2.2, nhưng là một bước siết chặt có ý nghĩa đối với các quy tắc đang giữ cho hệ sinh thái programmatic châu Âu vận hành. Hướng đi đã rõ: minh bạch hơn, ít dark pattern hơn, kiểm soát chi tiết hơn cho người dùng và ít dung thứ hơn cho các trường hợp “lách luật” từng lọt qua trước đây. CMP và nhà xuất bản nào coi v2.3 chỉ là một bản vá nhanh sẽ sớm phải làm việc lại với cơ quan quản lý. Những đơn vị tận dụng đợt chuyển đổi này để làm sạch UX lớp thứ hai, loại bỏ các lối tắt dựa trên lợi ích hợp pháp và xây dựng lại một luồng consent thực sự tuân thủ equal prominence sẽ bước sang kỷ nguyên v2.3 với inventory thực sự đủ điều kiện giao dịch — và một thế đứng về consent đủ vững để chịu được cả những gì v2.4 mang tới sau này.