Cookie同意的DPIA:出版商何时必须开展数据保护影响评估
大多数出版商认为数据保护影响评估是别人的合规任务——数据保护官、外部法律顾问,或偶尔涉及生物特征识别的工程项目。但实际上,GDPR对需开展DPIA的活动范围远超大多数广告技术运营者的认知,许多cookie同意和行为广告流程完全落入触发条件之列。监管机构在审计和投诉调查中向出版商提出的问题十分直接:在部署此类追踪之前,您是否开展了DPIA,能否向我们出示相关文件。本指南解释DPIA何时为强制要求、须包含哪些内容,以及如何编写一份能通过监管审查的DPIA。
DPIA的定义与存在意义
数据保护影响评估由GDPR第35条加以界定。控制者在启动任何可能对自然人权利和自由造成高风险的处理活动之前,必须完成一项书面分析。DPIA要求控制者描述处理活动、评估其必要性和相称性、识别风险,并记录为降低风险所采取的措施。若残余风险仍然较高,控制者必须在正式上线前向监管机构进行事先咨询。
对于出版商而言,DPIA并非一次性的法律文件,而是监管机构在调查cookie或追踪投诉时首先索取的核心文件,也是出版商能否根据Article 5(2)证明问责制的关键所在。若缺少该文件,举证责任将明显向不利于您的方向倾斜。
cookie及同意流程中DPIA的强制触发条件
Article 35(3)列举了三种明确的DPIA触发情形。Article 29 Working Party指引(现已被EDPB采纳)另列九项指示性标准。满足其中任意两项的处理活动即推定需要开展DPIA。在cookie和广告技术流程中,最相关的标准包括:
- 系统性和广泛性评估——包括用于广告投放和内容个性化的用户画像。
- 大规模处理——以数据量、数据主体数量、地理覆盖范围和持续时长衡量。月访问量达七位数的出版商网站几乎无一例外符合此标准。
- 技术创新应用——涵盖设备指纹识别、跨设备识别、联邦学习、注意力测量及基于人工智能的行为推断。
- 位置或行为追踪——直接涵盖行为广告和再营销。
- 数据集的合并或匹配——包括服务器端数据增强、身份图谱、数据洁净室及客户数据平台拼接。
一个使用行为广告并运行多个第三方像素的典型中型出版商网站,往往会同时满足上述至少三项标准。在实践中,推定需要开展DPIA几乎是必然结果。多个国家数据保护机构已发布各自的DPIA强制清单,意大利Garante、法国CNIL和德国DSK均将程序化广告和跨站点用户画像列为默认的DPIA触发情形。
DPIA文档须包含的内容
Article 35(7)规定了四项强制性内容。缺少任何一项,监管机构均视为未开展评估。
对处理活动的系统性描述
这不是一段简短的概述。描述须涵盖每一类个人数据、每一项处理目的、每一位接收方、每一项保留期限以及每一项跨境传输。对于广告技术流程,这意味着需要列出TCF字符串中的每一个供应商、各供应商接收的数据,以及为每项数据主张的合法依据。将TCF v2.2供应商列表直接纳入DPIA附录的出版商提交了有效文件;仅用两句话加以概括的出版商则未能满足要求。
必要性和相称性评估
必要性评估要求审查是否可以使用更少的数据或非个人数据实现相同目的。对于行为广告流程,这意味着需要诚实地评估情境广告是否能实现相同目的。EDPB Opinion 28/2024明确指出,DPIA不能仅用一句话否定情境广告——控制者必须证明已考虑该替代方案,并说明拒绝理由。
对数据主体风险的评估
风险分析须考虑非法访问、未经授权的披露、数据篡改、数据丢失以及用户画像带来的更广泛社会风险——包括寒蝉效应、歧视和锁定效应。对于每项已识别的风险,评估须说明可能性、严重程度及采取缓解措施后的残余风险水平。
为应对风险所采取的措施
同意管理平台正是在此环节出现在DPIA中。细粒度同意采集、按供应商逐一退出、便捷撤回、保留期限设置、传输及静态加密、数据处理者合同保障——每项措施均须与已识别的具体风险相对应。泛泛声明出版商使用CMP并不构成具体措施。
数据保护官的角色
Article 35(2)要求控制者在开展DPIA时征求DPO的意见。对于已指定DPO的出版商,这一要求较为简单。对于规模较小、未设DPO的出版商,DPIA仍可开展,但须有书面记录的外部意见支撑——可来自外部法律顾问、行业顾问或CMP供应商的合规团队。DPO的职责在于质疑控制者的必要性分析,而非仅作盖章背书。
何时需要事先咨询
Article 36规定,若DPIA显示处理活动存在控制者无法缓解的高风险,则须事先向监管机构进行咨询。在实践中,cookie和同意流程鲜少出现这种情况——大多数风险可通过细粒度同意、减少供应商、设置保留期限及合同保障加以缓解。但并非绝无可能。2024年和2025年触发事先咨询的两个案例:一是在未集成TCF的情况下部署基于指纹识别的标识符,二是将第一方数据与第三方数据经纪商数据合并的跨设备身份图谱。正在探索上述两种模式的出版商应为六至十二周的咨询周期做好规划。
监管机构如何在调查中使用DPIA
当cookie投诉进入正式调查阶段时,DPIA是监管机构首先索取的单一文件。意大利Garante、法国CNIL、比利时APD和巴伐利亚BayLDA均在程序文件开立之初即要求提交涵盖相关活动的DPIA。近期决定呈现出三种规律:
事后补交的DPIA将被大幅降权
日期晚于监管机构要求的DPIA将不被视为事前评估的证据。2025年的多项决定已明确指出相关文件系事后制作,并据此降低其证明效力。DPIA必须早于处理活动的启动,且文件的元数据或版本历史应能证明这一点。
通用DPIA将被视为缺失
从CMP供应商门户直接复制、未经网站专项分析的模板DPIA正越来越多地遭到拒绝。2025年Garante针对一家意大利出版商集团的决定点名了六家涉案网站,认定一份涵盖所有网站的共用DPIA不满足Article 35的要求。
缓解措施须与实际部署情况相符
若DPIA描述的cookie保留期为60天,但实际部署的cookie生命周期为24个月,监管机构将认定DPIA内容不实。定期对已部署配置与DPIA描述进行季度审计已不再是可选项。
综合建议
对于大多数出版商而言,实践答案是相同的:DPIA是必需的,应在任何新的追踪活动上线前完成起草,并应每季度对照已部署配置进行审查。文件无需冗长,但必须针对特定网站、在上线前撰写、经DPO或有书面记录的外部顾问签署认可,并与实际运行中的生产环境保持一致。能够做到这四点的出版商,将把DPIA从合规负担转化为监管机构来询时最有力的抗辩依据。