全球隐私平台究竟是什么

GPP 是一种传输协议，而非新的同意框架。它是一个容器，将多个地区特定的同意信号编码为一个 Base64 字符串，通过标准 JavaScript API（__gpp()）公开，供 SSP、DSP 和测量供应商查询。每个地区在 GPP 字符串中拥有自己的节：第 2 节承载 TCF EU v2，第 6 节承载 US Privacy（已弃用），第 7 节涵盖 USNat，第 8 至 12 节分别覆盖加利福尼亚、弗吉尼亚、科罗拉多、犹他和康涅狄格。德克萨斯、俄勒冈、蒙大拿等州的法律生效后，对应节也在陆续添加中。

关键设计选择在于，单个 GPP 字符串可以同时携带多个节。欧洲访客获得 TCF EU 数据；加利福尼亚访客获得 US-CA 数据；通过 VPN 地理定位到多个司法管辖区的用户（罕见但可能）可以同时填充两个节。广告技术供应商仅读取与自身相关的节，忽略其余内容。

GPP 为何存在以及为何现在至关重要

在 GPP 出现之前，每项新的美国州隐私法都迫使出版商实施另一种信号。加利福尼亚有 USP，弗吉尼亚的 VCDPA 要求不同的退出语义，科罗拉多的 CPA 认可全球隐私控制浏览器信号，犹他和康涅狄格各自增加了更多细节要求。广告技术供应商必须解析六种不同格式，往往不一致，在一个渠道显示"用户已同意"而用户实际上已在另一个渠道退出，成为真实的合规风险。

GPP 对传输进行了标准化。一旦 CMP 设置了 GPP 字符串，所有下游供应商均读取相同的编码。对出版商而言，这有三个重要原因：Google 的 2024 年政策现在要求 Google Ad Manager 库存支持 GPP 美国州信号；Prebid.js 8.x 和大多数主要 SSP 适配器期望 GPP；监管机构也越来越将 GPP 合规视为善意信号传播的证据。

GPP 各节及其含义

每个 GPP 节都有自己的编码规则，反映底层框架：

第 2 节：TCF EU v2

与您已为欧洲流量生成的独立 TCF v2.2 字符串完全相同。如果您的 CMP 已通过 TCF 认证，您已经在生成此节——GPP 只是将其包装起来。

第 7 节：美国全国（USNat）

最新的节，设计为覆盖所有美国联邦和州隐私法的单一信号。它编码了告知情况、出售退出、共享退出、定向广告退出、敏感数据退出和已知儿童数据处理。在多个美国州运营的供应商应尽可能优先使用 USNat 而非各州独立节。

第 8-12 节：美国各州信号

加利福尼亚（US-CA）、弗吉尼亚（US-VA）、科罗拉多（US-CO）、犹他（US-UT）和康涅狄格（US-CT）。每个节包含该州法律特有的字段——例如，US-CA 保留了较旧的 CCPA/CPRA 销售和共享退出，而 US-CO 增加了科罗拉多隐私法要求的敏感数据同意标志。德克萨斯（CPA 第 13 节下 US-TX）和俄勒冈（CPA 第 14 节下 US-OR）在 2024 年 7 月法律生效后已添加。

出版商应如何迁移

大多数出版商已有 CMP 为欧盟流量生成 TCF 字符串、为加利福尼亚生成 USP 字符串。迁移到 GPP 的路径如下：

第一步：升级您的 CMP

确认您的 CMP 供应商已列入 IAB GPP 认证 CMP 名单。FlexyConsent、OneTrust、Didomi、Sourcepoint、Usercentrics 和大多数 Google 认证的 CMP 现在均可生成有效的 GPP 字符串。如果您的 CMP 仍仅输出 TCF 或 USP，请向其索取 GPP 支持路线图——在 2026 年，没有相关计划的供应商将被淘汰。

第二步：按地理位置配置 GPP 各节

您的 CMP 应根据 IP 地理定位自动决定填充哪些 GPP 节。欧洲访客获得第 2 节（TCF EU）；美国访客根据供应商堆栈读取信号的方式获得第 7 节（USNat）或各州节。不要为所有访客填充每个节——这是常见的错误配置，会泄露与司法管辖区无关的数据。

第三步：验证下游传播

GPP 字符串只有在 SSP、DSP、分析和像素供应商均读取时才有实际意义。审核您的广告堆栈：在 Prebid.js 中，确认 gppControl 模块已启用；在 Google Ad Manager 中，确认 GPP 字符串通过 GAM 同意 API 传递；在 Google Analytics 4 中，确认 Consent Mode v2 在读取 TCF 的同时也读取 GPP。任何静默忽略 GPP 的供应商都是合规缺口。

GPP、Consent Mode v2 与 Google 的要求

Google 2024 年 12 月的政策更新要求通过 Google Ad Manager 变现美国库存的出版商必须支持 GPP。这一变化看似细微但十分重要：Consent Mode v2 仍使用其自身的 ad_storage 和 analytics_storage 信号，但 GAM 现在期望在涉及美国州法律流量的广告请求中存在 GPP 字符串。缺失或格式错误的 GPP 字符串可能导致广告以受限模式投放——对填充率和收益产生显著影响——或者对于屡次违规者，库存可能被排除在竞价之外。

实际含义是：即使是历史上因收益主要来自加利福尼亚而忽略美国其他州法律的出版商，现在也需要 GPP。到 2026 年，弗吉尼亚、科罗拉多、康涅狄格、犹他、德克萨斯、俄勒冈、蒙大拿和爱荷华的法律均已生效，Google 通过读取 GPP 字符串来判断您的广告请求是否符合每个州的合规要求。

常见迁移陷阱

我们反复观察到出版商在添加 GPP 时犯的四种错误：

重复信号。部分出版商在 GPP 之外继续保留独立的 TCF 和 USP 字符串，导致三个可能相互矛盾的真相来源。GPP 上线后，应停用独立字符串。

错误节填充。不论实际所在州，对所有美国访客填充 US-CA，会泄露地理信息，并可能错误地为非加利福尼亚居民主张 CCPA 退出权利。应使用 IP 地理定位来选择正确的节。

忽视 GPC。全球隐私控制浏览器信号不是 GPP 节——它是独立的 HTTP 标头和 JS 属性。您的 CMP 必须在页面加载时读取 GPC，并在相关 GPP 节中将其反映为退出，否则将违反科罗拉多、康涅狄格和加利福尼亚的法律。

陈旧的供应商适配器。较旧的 Prebid 适配器和 SSP 集成可能在 GPP 字符串到达竞价方之前将其剥离。在宣布迁移完成之前，使用 IAB GPP 验证工具测试广告堆栈中的每个供应商。

长远视角：GPP 超越美国

GPP 的设计使其能够超越 TCF EU 和美国州法律进行扩展。加拿大（PIPEDA 加上魁北克第 25 号法案）、巴西（LGPD）、韩国（PIPA）等司法管辖区的新节正由 IAB 工作组积极开发中。对于服务全球库存的出版商，GPP 正在成为替代所有区域协议的单一同意传输方式。现在投资 GPP，将使您的堆栈能够吸纳下一波区域隐私法浪潮，而无需再次进行集成冲刺。