GDPR是全球隱私權法規的黃金標準,他的特色是要求在處理使用者的個人資料之前取得明確同意。許多其他國家的法案皆從 GDPR 取得了靈感,例如巴西的 LGPD、加州的 CPRA、加拿大的 CPPA 和德國的TTDSG /TDDDG 等。
而針對企業的 GDPR 合規這件事,前陣子,夏格飛介紹了什麼是 Cookie Consent 以及如何安裝自託管 Cookie 同意視窗的教學。
但裡面也提到,如果有要在歐盟國家打廣告,就不能使用自託管同意視窗,而是要尋求專業 CMP 供應商的支援。今天,夏格飛替大家介紹幾間較有名的 CMP 供應商,讓有意進軍歐盟市場的企業做為參考。
- 關於隱私法規與 CMP 供應商
- CMP 知名廠商介紹
- 結論
本文章目次
關於隱私法規與 CMP 供應商
Consent management platforms (同意管理平台) 指的是藉由提供一種軟體,允許企業定義 cookie 策略、設定地理位置規則、記錄用戶同意並維護審計跟蹤,目的是遵守 GDPR、CCPA 等特定隱私法規。
CMP 定義
IAB Europe 將 CMP 定義為:
一家負責收集並儲存發布者偏好的供應商和其用途的公司,並通過第三方 cookie 提供給所有 CMP,來檢索或設定用戶的供應商同意狀態。
[原文] A company that captures and stores a Publisher’s preferred vendors and purposes and will also retrieve or set the vendor consent status of a user through a third-party cookie available to all CMPs.
白話文就是,如果一個網站使用了某個 CMP 廠商的 Cookie 同意視窗,這個 CMP 廠商要收集關於該網站所使用的第三方套件、供應商等等的資訊(例如 GA、廣告分析等等),以及使用者是否同意使用這些第三方服務等等資訊。收集起來後,要能共享給所有的其他 CMP 廠商。
CMP 提供什麼服務
以下是大多數 CMP 提供的關鍵功能:
Cookie 掃描: CMP 將掃描網站以尋找正在使用的所有第一方和第三方 Cookie,並根據其使用案例對它們進行分類,例如功能 Cookie、目標 Cookie、效能 Cookie 和絕對必要 Cookie。
隱私權通知: CMP 將通知網站使用者其有關收集、儲存和處理使用者資料(PII 和非 PII)的政策。
提供使用者選擇: 使用彈出視窗或滑入窗口,CMP 允許使用者在首次登陸網站時設定其隱私設定和 Cookie 首選項。這些設定最好保存在符合 IAB 的 cookie 中。
資料存取請求: 多項隱私法規要求企業回應使用者存取和刪除其個人資料的請求。 CMP 允許使用者建立此類資料存取請求,並為企業提供工作流程,以便在規定的時間範圍內回應和解決這些請求。
合規證明: 任何企業都可以被要求提交合規證明,CMP 保留用戶同意的記錄,可以使用日誌資料或報告進行訪問,使企業能夠證明其合規性。審計追蹤可以包括以下資訊:
誰給的同意?
什麼時候給予同意?
用戶同意了什麼?
同意是否以及何時更改或撤回
以上除了同意視窗可以自託管以外,其他服務都需要靠 CMP 廠商幫您做到,例如掃描、合規證明與 IAB cookie 規範等等,都無法靠自託管視窗達成。因此 CMP 產業在歐盟成為必要需求而蓬勃發展。
什麼情況下必須使用 CMP 服務?
首先,要了解什麼樣的企業受到隱私法規監管,下面舉 GDPR 與 CCPA 為例。
GDPR 的監管規定
企業必須在歐盟國家/地區開展業務,或位於歐盟境外但從事歐盟居民個人資料的處理。此外,GDPR 對下列組織具有約束力:
超過250名員工
員工人數少於 250 名,但其資料處理會影響資料主體的權利和自由,且並非偶然,或包含某些類型的敏感個人數據
CCPA 的監管規定
企業必須收集或出售加州居民的個人信息,此外,企業還必須滿足另外三個標準之一:
年收入達到或超過 2500 萬美元;或者
擁有超過 50,000 個「消費者、家庭或設備」的個人數據,或
其年收入的一半以上來自銷售消費者個人資料。
假設符合上面的條件,就會受到該地區的隱私法規監管。
那麼什麼情況下,企業一定要找合規的 CMP 進行服務呢? 以 GDPR 為例,網站在執行以下行為時就必需要 CMP 服務:
處理個人數據,包括將數據用於行為廣告、重新導向、分析、內容個人化和電子郵件行銷等
資料海外傳輸,即公司收集與歐盟居民相關的資料並將其轉移到伺服器或與歐盟以外的資料合作夥伴共享
自動化決策,例如行為分析、客戶細分和行銷自動化
簡而言之,除非您經營個人部落格或小型企業,或者您的網站只有純形象用途,否則幾乎都會觸及需要 CMP 的範圍。
值得注意的是第三項「自動化決策」這件事,若影響到使用者的生活決策或職涯發展等,在未來也有可能被納入廣義的 AI 監管範圍,請見我們的另一篇文章
企業可不可以自建 CMP?
若企業要自己建置整套 Consent Management 架構也不是不行,但風險很高,畢竟該企業若不是資安與隱私相關的領域,只要微小的規則偏差,就有可能被依法起訴。
2017 年,法國廣告科技公司 Vectaury 因內部 CMP 實施中的法律不一致而被法國資料保護機構國家資訊與自由委員會 (CNIL) 起訴,理由包括:
**術語問題:**使用的術語複雜且不清楚
**無效的選擇權:**雖然該工具提供了接受/拒絕供應商的能力,但它在初始加載期間進行了預先檢查,因此並不肯定同意
**只有二元選擇:**該工具無法對多項功能的同意與否進行精細控制,而是提供了全面接受/拒絕選項。(對,所以常見的簡易 Yes/No 視窗,可能是違反法令的)
而根據 AdZerk 的分析,從2019 年第一季到 2020 年第四季,美國排名前 1萬的企業中,採用 CMP 服務的比率從 28% 成長到40%,直到 2021 又再成長了5.8%。
另外,由於世界各國陸續制定出新的隱私法規,並且合規選項也不斷增加,專家建議所有企業都應該盡量採用 CMP 服務來確保能符合各國繁多且複雜的隱私法規要求。
CMP 廠商是否符合 IAB
在選擇 CMP 供應商時,是否符合 IAB 也很重要。IAB Europe 的 TCF (透明度同意框架) 目的是檢視企業、CMP 供應商等等,是否正確遵守 GDPR 的措施。
TCF v2.0 由以下元素組成:
一份供應商列表,稱為全球供應商清單 (GLV) ,企業可以使用該清單來檢查與他們合作的CMP 供應商是否包含在內
一個技術標準,包含如何捕獲、儲存和檢索使用者對每個供應商和用途的選擇
與 GLV 中列出的供應商相關的政策以及服務條款
可以與企業合作的 CMP 供應商列表
由於 IAB 是廣告技術行業領先的貿易組織,選擇已經通過 IAB 審查的 CMP 供應商可以讓人放心,這可以證明該廠商的產品、技術與能力符合 GDPR 的要求。
另外,如果網站有在歐盟或GDPR規範地區對外打 Google Ads 廣告,就必須要找受 Google 認證且整合 IAB TCF 的 CMP 廠商,詳細請見:
CMP 知名廠商介紹
前面講了這麼多 CMP 的基礎知識,接下來終於要介紹一些知名或受歡迎的 CMP 供應商了。
OneTrust
OneTrust 是早期第一波成立的 CMP 供應商之一,可以算是全球最有名且規模最大的 CMP 之一,客戶包含許多財星 500 大。其提供隱私管理和行銷合規技術,協助組織遵守全球法規。該平台可讓您視覺化和管理進入組織的數據,同時確保合規性並尊重客戶權利、選擇和透明度。
詳細報導: 抓住全球「隱私商機」,OneTrust躋身5,000大快成長公司之首
UniConsent
UniConsent 也是另一家知名的的 CMP,致力於提供簡單易用且合規的同意管理解決方案。
其幫助企業和行銷人員遵守 ePrivacy、GDPR 和 CCPA 等隱私權法。它提供了各種附加功能,例如 Cookie 掃描和揭露、Cookie 橫幅和資料主體請求管理,以及同意分析和見解。
Osano
Osano 提供一系列工具和解決方案,以確保遵守資料保護法規並有效管理使用者同意。它支援用於分析和減輕與第三方供應商相關的風險的增值服務,以及可自訂的 cookie 同意橫幅。
Osano 的特色在於其直觀的儀表板和自動化的合規監控,能夠即時識別潛在風險並提供相應建議。此外,Osano 也提供詳細的合規報告和第三方風險評估工具,使企業能夠全方位管理其隱私政策和數據處理流程,確保每一步都符合法規要求。
Ketch
Ketch 是一個專注於隱私和數據治理的 CMP 平台,提供高度可客製的 Consent 視窗和資料存取解決方案。Ketch 的特色在於其先進的自動化功能,能夠實現全方位的資料合規管理,從同意收集到資料存取控制,皆能自動化進行。
Ketch 還提供強大的 API 支援,使企業能夠輕鬆整合其隱私管理流程至現有系統中,確保資料處理和合規性在業務流程中的無縫銜接。
Quantcast
Quantcast 提供了一個高效的 CMP 平台,專注於數據隱私管理和精準廣告投放。
Quantcast 的主要特色在於其先進的 AI 和機器學習技術,能夠在保障用戶隱私的前提下,為企業提供精準的受眾分析和廣告投放建議。這使得企業能夠在隱私法規的框架內,最大化廣告的影響力和轉換率。此外,Quantcast 的平台還支援多國語言和多地區的隱私法規要求,是全球化企業的理想選擇。
Crownpeak
Crownpeak 是一個專注於網站合規和數據隱私管理的 CMP 平台,為企業提供全面的同意管理解決方案。其特色在於快速部署和即時更新功能,使企業能夠迅速適應不斷變化的隱私法規。
此外,Crownpeak 的平台還提供詳細的數據合規報告和風險分析工具,幫助企業全面了解其合規狀況,並做出必要的調整。Crownpeak 也支援多語言和多地區的合規需求,適合全球性業務。
TrustArc
TrustArc 是一個全面的隱私管理平台,提供廣泛的合規解決方案和數據隱私管理工具。
TrustArc 的特色在於其高度可定制的同意管理介面和強大的合規監控功能,能夠滿足企業在全球隱私法規下的合規需求。
其平台還提供全面的風險管理和隱私影響評估工具,幫助企業預測和減輕潛在的隱私風險。
Cookiebot
Cookiebot 是一個專注於網站同意管理的 CMP 解決方案,主要特色在於其簡單易用的界面和強大的自動化功能。
Cookiebot 能夠自動掃描網站上的 Cookie,並根據各地的隱私法規生成相應的同意管理工具。其平台支援多語言和多地區的合規需求,適合不同規模的企業使用。Cookiebot 還提供詳細的同意記錄和報告,幫助企業確保其網站符合 GDPR、CCPA 等隱私法規。
CookieYes
CookieYes 是一個專為中小型網站開發的 CMP 平台,專注於簡化同意管理過程並確保隱私法規合規。CookieYes 的特色在於其簡單、低成本、快速部屬的特行,使其成為中小企業的理想解決方案。此外,CookieYes 也提供定期的法規更新,幫助企業隨時保持合規狀態。
其他廠商
如果最後您還想尋求更多其他廠商,這裡有一份通過 IAB 的 CMP 供應商列表。
結論
這篇文章落落長的介紹了各國隱私法規, CMP 服務與相關規範等等,其實這代表了歐盟對隱私權的重視,以及他們如何一板一眼的規範企業必須做到的規定,其複雜度高到需要有專門的 CMP 廠商與 IAB 認證來確保沒有失誤。
由於國內的資安法規僅強制規定公家單位,企業端大多還停留在各自為政的狀態,很多時候企業並沒有把合規作為重要的優先事項,類似觀念如果沒有改掉,一旦進入歐盟市場,就會有很高的風險。
夏木樂長年幫客戶打造國際型網站,也經手不少合規處理案件。同時我們也有堅強的資安與法律合作夥伴,精通 GDPR / HIPPA / CPRA 等等法案合規與流程健檢工作。若您的企業正要步入歐盟市場,或正打算開始建置合規工作,歡迎與我們聯繫。
![[Secure101] 從歷史到分級, 一篇文章看懂什麼是 SSL](https://lyrasoft.s3.amazonaws.com/simular/images/article/3c59dc048e8850243be8079a5c74d079.jpg)
