为什么Google现在要求认证CMP

自2024年1月起，Google执行了一项严格的政策：任何向欧洲经济区（EEA）或英国用户投放广告的网站，都必须通过Google认证的同意管理平台来收集用户同意。这不是可选的建议。没有认证，发布商将面临直接影响收入和数据质量的实际后果。

这一要求源于欧盟不断变化的监管环境。《数字市场法》将Google指定为守门人，这就要求Google证明通过其广告技术栈传输的同意信号是合法的、可审计的，并且符合透明度与同意框架（TCF）。Google的解决方案是创建一个认证计划，根据一套明确的技术和运营标准来审核CMP。

对于发布商而言，这意味着您选择的CMP不再只是偏好或便利性的问题。它是决定您的EEA广告库存是产生全额收入还是被限制到极小份额的关键因素。

Google CMP认证到底意味着什么

认证不是随便盖个章。Google会从多个维度评估CMP，然后才会授予和维持认证状态：

• TCF 2.2+集成：CMP必须是IAB Europe透明度与同意框架的注册成员，当前版本为2.2，正在向TCF 2.3过渡。这意味着CMP会生成TC字符串，下游供应商可以解析这些字符串来确定特定处理目的的同意状态。
• Consent Mode V2支持：CMP必须使用Google Consent Mode API触发正确的Google同意信号——ad_storage、analytics_storage、ad_user_data和ad_personalization。V2更新增加了后两个参数，现在对所有EEA广告投放都是强制性的。
• 正确的默认行为：在用户与横幅交互之前，CMP必须设置默认同意状态（对EEA用户通常为拒绝）。Google会检查在用户做出选择之前没有标签以授予同意的状态触发。
• 用户界面标准：同意横幅必须呈现真正的选择。Google会审查CMP是否允许用户接受、拒绝或自定义其同意，而不是使用欺骗性设计模式引导用户接受。
• 持续合规审计：认证不是永久的。Google会定期重新评估CMP，如果标准下降或CMP未能跟上框架更新，可以撤销认证。

当前认证CMP名单

Google在其支持页面上维护一份公开的认证CMP名单。截至2026年初，大约有30至40个平台持有认证。名单包括大型企业平台、中端市场工具和专业解决方案。知名的名字包括Cookiebot、OneTrust、Usercentrics、Didomi和FlexyConsent。

名单不是固定的。CMP完成认证流程后可以被添加，如果不合规也可以被移除。发布商应至少每季度在Google的CMP合作伙伴计划页面上验证其CMP。如果您的CMP不在名单上，您的EEA广告投放就面临风险，无论CMP供应商对其合规状态声称了什么。

还需要注意的是，在名单上并不意味着所有认证CMP的质量都相同。认证建立了合规的基线，但实施质量、自定义选项、性能影响和支持在不同供应商之间差异很大。发布商应在认证之外根据实际优点来评估认证CMP。

没有认证CMP会怎样

在EEA运行没有认证CMP的后果是严重且即时的：

• 受限的广告投放：Google Ad Manager、AdSense和AdMob会限制向EEA用户展示的广告。在很多情况下，这意味着只有非个性化广告或根本没有广告，取决于您的配置。非个性化广告通常产生的收入比个性化广告少50%到70%。
• 没有转化建模：Google的高级转化建模依赖于同意信号。没有正确的Consent Mode V2信号，您将无法访问Google Ads和GA4中的建模转化，造成归因数据的空白，使广告系列优化变得不可靠。
• 程序化需求减少：Google生态系统中的许多SSP和DSP会检查有效的TC字符串。没有这些，竞价请求要么被过滤掉，要么获得较低的CPM，因为买家无法验证同意状态。
• 合规风险暴露：除了Google的执行之外，在EEA没有适当同意的情况下运营会使您面临各国数据保护机构的GDPR罚款。这些罚款可达年度全球营业额的4%或2000万欧元，以较高者为准。
• 广告商信任侵蚀：直接广告商和代理机构越来越多地审核发布商的合规性。没有认证CMP运行向高端广告商表明您的库存可能存在法律风险，可能会使您失去直接交易。

TCF 2.3和Consent Mode V2：双重要求

一个常见的误解是，仅TCF合规就足够了。事实并非如此。Google要求来自TCF注册CMP的有效TC字符串和Consent Mode V2信号两者都必须具备。这些在广告技术生态系统中服务于不同的目的：

TC字符串向程序化广告生态系统传达细粒度的供应商级别同意。它告诉供应链中的每个供应商用户到底同意了哪些处理目的。而Consent Mode V2则专门向Google自己的标签（Analytics、Ads、Floodlight）传达同意状态。认证CMP必须同时处理两者，并确保它们保持同步。

TCF 2.3，最新的框架版本，引入了围绕合法利益处理和供应商披露要求的改进。它收紧了供应商声称合法利益作为法律依据的规则，并要求向用户更清楚地披露哪些供应商将处理其数据。追求或维持Google认证的CMP预计将在2026年全年支持TCF 2.3作为标准。

FlexyConsent是如何获得Google认证的

FlexyConsent从一开始就以Google认证作为核心设计目标来构建，而非事后的补充。该平台实现了所有四个Consent Mode V2参数，对EEA流量使用正确的默认拒绝状态。它作为注册的IAB Europe CMP生成符合标准的TC字符串。

支持认证的关键技术决策包括：

• 在任何其他标签之前加载脚本：FlexyConsent的轻量级异步脚本在Google Tag Manager或gtag.js触发之前加载并设置默认同意状态，确保在页面加载后的关键毫秒内没有同意泄漏。
• 地理感知默认值：该平台检测用户位置并应用适合区域的同意默认值——对EEA和英国拒绝，对没有明确同意要求的地区授予，除非发布商另外配置。
• 透明的同意存储：同意选择存储在具有清晰命名约定的第一方cookie中，使其在认证审查期间可被Google审计，在发布商自己的合规检查期间也可被审计。
• 持续TCF版本支持：随着框架从2.2演进到2.3，FlexyConsent自动更新其TC字符串生成，无需发布商端的更改或脚本更新。
• 最小性能占用：脚本经过优化，在典型连接上加载时间不到50毫秒，确保不会导致影响Core Web Vitals分数的页面速度下降。

发布商现在应该验证什么

如果您在EEA投放广告，这里有一份具体的检查清单来确保合规：

• 检查认证名单：确认您的CMP出现在Google的官方认证CMP合作伙伴名单上。每季度做一次检查，因为名单会变化。
• 验证Consent Mode V2信号：使用Google Tag Assistant或浏览器控制台确认consent default和consent update命令正在触发，包含所有四个参数（ad_storage、analytics_storage、ad_user_data、ad_personalization）。
• 测试TC字符串：使用IAB的TC字符串解码器验证您的CMP生成的是有效的、可解析的TC字符串，具有正确的供应商同意和目的声明。
• 审核标签触发顺序：确保您的CMP脚本在Google标签之前加载。如果标签在同意设置之前触发，您就有一个Google系统会检测到的合规缺口。
• 检查同意率：如果您的EEA同意率异常高（超过90%），请调查您的横幅设计是否真正提供了自由选择，还是以监管机构可能质疑的方式引导用户。
• 跨设备测试：验证同意流程在手机、平板和桌面端都正确运行。移动端同意问题很常见，往往在仅桌面端测试中不会被发现。

关键要点：Google CMP认证不是一个营销徽章——它是一个技术门槛，决定了您的EEA广告收入是正常流动还是被限制。验证您的CMP的状态，测试您的实施，并确保TCF和Consent Mode V2信号都正确触发。

FlexyConsent提供免费套餐，包括完整的Google认证CMP功能、Consent Mode V2和TCF 2.3支持。对于需要快速合规的发布商而言，它是从安装到认证级别同意收集的最快途径之一。