15步合规清单

1. 安装认证CMP

您的同意管理平台必须通过Google认证并在IAB Europe注册。这确保符合Consent Mode V2和TCF 2.3的合规要求。

2. 审计所有Cookie和追踪器

扫描您网站上的每个Cookie、像素、SDK和本地存储项目。将每项分类为严格必要类、分析类或广告类。删除任何无法说明理由的项目。

3. 配置同意横幅

确保接受/拒绝按钮大小相同，以访客的母语清晰呈现，且无预先勾选的复选框。横幅必须在任何非必要追踪触发之前显示。

4. 默认同意设为拒绝

对于EEA访客，所有非必要同意类别必须默认设为拒绝。只有严格必要的Cookie才可以在未获同意的情况下触发。

5. 发布隐私政策

您的隐私政策必须说明您收集什么数据、原因、法律依据、谁接收数据、保留期限以及用户如何行使权利。

6. 发布Cookie政策

列出每个Cookie、其用途、持续时间以及是第一方还是第三方Cookie。在同意横幅中链接到此政策。

7. 启用Google Consent Mode V2

配置高级模式，使Google标签在同意前以受限模式触发，同意后切换到完整追踪。

8. 启用IAB TCF 2.3

如果您运行程序化广告，您的CMP必须生成有效的TC字符串。使用IAB的TCF验证工具进行验证。

9. 签署数据处理协议

从您网站接收个人数据的每个第三方都需要签署DPA。Google、Meta、分析提供商、电子邮件平台——所有这些。

10. 维护处理活动记录

记录每项数据处理操作：什么数据、什么目的、什么法律依据、什么接收方、什么保留期限。

11. 实施数据主体权利

建立访问请求、删除请求、数据可携性和异议的处理流程。在30天内响应。

12. 配置数据保留

不要将个人数据保留超过必要时间。在Google Analytics、您的CRM、电子邮件平台和数据库中设置保留期限。

13. 保护数据安全

全面HTTPS、加密数据库、访问控制、定期安全审计。数据泄露必须在72小时内向您的监管机构报告。

14. 培训团队

每个处理个人数据的人都需要GDPR培训——营销、销售、支持、工程。记录培训情况。

15. 安排定期审计

每季度审查合规状况。添加工具时会出现新Cookie。政策需要更新。同意率需要监控。

不合规的代价

FlexyConsent自动覆盖步骤1-8