什么是全球隐私控制？

全球隐私控制（GPC）是一种浏览器层面的信号，让人们能够自动告知他们访问的每个网站不要出售或共享其个人数据。用户无需在每个网站上逐一点击 cookie 横幅上的"拒绝"，而是只需启用 GPC 一次 — 在其浏览器或一个扩展程序中 — 而这一偏好便会随他们贯穿整个网络。

可以把它想象成一个通用的拒绝开关。当 GPC 开启时，浏览器会在每个请求上附加一个信号，并将其暴露给 JavaScript。您的网站理应读取该信号，并将其视为一项有效的、具有法律约束力的隐私选择，无需任何横幅交互。

为何 GPC 在法律上至关重要

GPC 不只是一种礼貌。在越来越多的司法管辖区，尊重它是一项法律义务，而监管机构已经对忽视它的公司采取了强制执行行动。

加利福尼亚州（CCPA/CPRA）

根据经 CPRA 修订的 CCPA，企业必须将一项拒绝偏好信号视为拒绝出售或共享个人信息的请求。加利福尼亚州总检察长和加利福尼亚州隐私保护局已确认 GPC 是一项必须得到尊重的有效拒绝信号，而未能尊重它已经导致了公开的强制执行。

美国其他州

科罗拉多州、康涅狄格州、得克萨斯州、俄勒冈州、蒙大拿州以及其他若干州现在要求承认通用拒绝机制。这份名单每年都在增长，而 GPC 是这些法律所指向的事实标准 — 一次性构建支持便能让您与所有这些法律保持一致。

欧洲与 GDPR

GDPR 并未明确点名 GPC，但它确实要求同意必须是自由给予的，且撤回同意应当与给予同意一样容易。一个清晰的、自动化的拒绝信号正好契合这一原则，而欧盟监管机构正对机器可读的偏好信号表现出日益浓厚的兴趣。

GPC 在技术上如何工作

GPC 在设计上刻意保持简单。当用户启用它时，浏览器会以三种互补的方式传达该偏好：

• 一个 HTTP 标头 — 每个请求都包含 Sec-GPC: 1，因此您的服务器可以在任何一行页面 JavaScript 运行之前检测到该信号。
• 一个 JavaScript 属性 — navigator.globalPrivacyControl 返回 true，让客户端脚本和同意工具能够在浏览器中作出响应。
• 一份可发现的政策 — 网站可以发布一个 /.well-known/gpc.json 文件，描述它们如何解释该信号。

由于该信号在服务器端和客户端都可用，您可以在最适合您技术栈的那一层来执行它。

如何在您的网站上检测并尊重 GPC

尊重 GPC 意味着自动应用用户的拒绝选择，而不必让他们触碰您的横幅。一个稳健的实现看起来是这样的：

• 尽早检测。 在服务器上读取 Sec-GPC 标头，或在您的同意脚本加载后立即检查 navigator.globalPrivacyControl。
• 应用拒绝。 默认情况下，对该访客抑制非必要的 cookie、广告与分析标签，以及任何数据出售或共享。
• 反映状态。 以已拒绝的状态显示横幅，让用户能够看到他们的选择已被理解，并且在他们确实愿意时仍可授予同意。
• 记录它。 记录该决定是由一个 GPC 信号驱动的，并附上时间戳，以便您拥有可审计的合规证据。

GPC 与 Cookie 横幅：您是否仍然两者都需要？

是的。GPC 和同意横幅解决的是相互重叠但又不同的问题。GPC 是一种主要针对美国式"不得出售或共享"规则的拒绝信号，而欧盟采用的是一种选择加入模式，其中您必须在设置非必要 cookie 之前收集明确同意。一个合规的网站使用 GPC 来预先应用用户的全局偏好，并使用横幅在法律要求之处收集明确同意。两者应当相互强化，绝不应相互矛盾。

需要避免的常见错误

• 完全忽略该标头 而仅在客户端检查，导致数据在 GPC 被评估之前就已离开。
• 检测到 GPC 却什么也不做 — 仅有识别而无执行并不是合规。
• 覆盖用户的意愿，用一个把 GPC 访客推回跟踪的横幅再次提示他们。
• 忘记记录文档 — 没有日志，您就无法向监管机构证明该信号已被尊重。

FlexyConsent 如何处理 GPC

FlexyConsent 会在服务器端和客户端自动检测 GPC 信号，在任何非必要脚本触发之前应用相匹配的拒绝选择，并为每位访客记录一份可审计的同意日志。您无需自己编写检测逻辑，便能开箱即获得通用拒绝支持、多司法管辖区覆盖以及合规证据 — 尊重全球隐私控制正迅速成为基本门槛，而把它做对的网站会与其用户建立起持久的信任。