解读GDPR:全面概述
《通用数据保护条例》(GDPR)是世界上最具影响力的数据隐私法律。由欧盟于2018年颁布,它重塑了全球企业处理个人数据的方式。随着2026年执法力度不断加大,以下是您需要了解的一切。
什么是GDPR?
GDPR是一部全面的数据保护法律,赋予欧盟居民对其个人数据的控制权。它适用于任何处理欧盟居民数据的组织——无论该组织位于世界何处。该条例涵盖数据的收集、存储、处理和共享。
GDPR的核心原则
- 合法性、公平性与透明度:数据必须合法、透明地处理。
- 目的限制:数据只能为特定、合法的目的而收集。
- 数据最小化:只收集严格必要的数据。
- 准确性:个人数据必须保持准确和最新。
- 存储限制:数据不应保存超过必要的时间。
- 完整性与保密性:数据必须安全地处理。
- 问责制:组织必须主动证明合规性。
GDPR适用于哪些人?
GDPR适用于任何处理欧盟内个人数据的组织,无论该组织位于何处。这包括拥有欧盟客户、网站访客或员工的美国、亚洲或其他地区的公司。
GDPR下的个人权利
- 访问权:用户可以请求其数据的副本。
- 更正权:用户可以更正不准确的数据。
- 删除权:"被遗忘权"。
- 数据可携带权:用户可以将其数据转移到另一个服务。
- 反对权:用户可以反对某些类型的处理。
- 限制处理权:用户可以限制其数据的使用方式。
不合规的处罚
违反GDPR可能导致最高€2000万或年度全球营业额4%的罚款,以较高者为准。自2018年以来,监管机构已开出超过€45亿的罚款——大型科技公司收到了一些最大的处罚。2025-2026年执法明显加速,各国数据保护机构加大了处罚的频率和规模。
GDPR与数字市场法(DMA)
自2024年起,欧盟的《数字市场法》与GDPR共同规范大型平台处理用户数据的方式。DMA要求指定的"守门人"(如Google、Apple和Meta)在跨服务合并用户数据之前获得明确同意。这对广告供应链中同意的收集和传递方式有直接影响。
GDPR与Cookie:同意管理的作用
根据GDPR和《电子隐私指令》,网站必须在放置非必要cookie之前获得明确同意。这意味着合规的cookie横幅不是可选的——而是法律要求。主要方面包括:
- 非必要cookie(分析、营销、广告)必须被屏蔽,直到用户明确同意
- 同意必须是自由给予的——没有预先勾选的框或强制接受的cookie墙
- 用户必须能够像给予同意一样容易地撤回同意
- 同意记录必须存储并可供审计
Google Consent Mode V2与GDPR
自2024年3月起,Google要求在欧洲经济区(EEA)投放广告的网站使用Google认证的CMP并实施Consent Mode V2。这一集成确保同意信号被正确传递给Google服务,在通过隐私安全建模保留测量能力的同时实现合规广告投放。
IAB TCF 2.3与GDPR合规
IAB透明度和同意框架(TCF)2.3版本提供了在数字广告生态系统中收集和传达同意的标准化方式。使用符合TCF 2.3的CMP(如FlexyConsent)可确保同意信号被正确格式化并传输到供应链中的所有广告供应商。
2026年如何遵守GDPR
- 审计您的数据收集和处理活动
- 实施Google认证的CMP,如FlexyConsent
- 确保您的CMP支持IAB TCF 2.3和Google Consent Mode V2
- 创建清晰、易于访问的隐私和cookie政策
- 启用数据主体访问请求(DSAR)
- 对团队进行数据保护责任培训
- 如有必要,任命数据保护官(DPO)
- 实施数据泄露通知程序(72小时规则)
- 定期进行数据保护影响评估(DPIA)