你的CMP合规吗？

更新时间：2024年7月13号

在今年3月份，欧洲的DMA开始实行的时候，很多出海的网站都在安装CMP/Cookie Consent，但你用的这个产品合规了吗？

什么是CMP

CMP全称是Consent Management Platform，中文名同意管理平台 ，也可以称为隐私管理平台。

它的作用就是记录一些用户的授权信息，在网站打开的时候，会弹出一个Cookie Banner，告诉用户要跟踪什么，用途是什么

• 用户同意，分析类和广告类才可以生成Cookie，跟踪数据
• 用户拒绝，分析类和广告类不做跟踪

很简单的，但也不容易做好，曾有欧洲的公司是自己开发CMP，判定为不符合要求，违规，被罚款。

建议是使用IAB注册认证的CMP，可以在https://iabeurope.eu/cmp-list/ 上面查询。

如何检查CMP是否合规

打开网站，可以看到Cookie Banner，至少要有同意或拒绝的两个按钮入口，如果没有拒绝的选项，是有问题的。

然后检查Cookie，看是会否有分析类、广告类的Cookie，如果有，那就默认生成，是有问题的，如果没有，那就是正常。

• 点击同意，看到Cookie会生成对应分析类或广告类的Cookie，数据正常跟踪，点其他页面，都可以正常跟踪。
• 点击拒绝，Cookie无变化，数据不能跟踪，点击其他页面，均不能跟踪。

最后检查修改授权的入口，网页上要提供给用户修改授权的入口。

案例

合规案例

没授权前的，只有必要的cookie，没有分析类和广告类的cookie:

用户同意后，分析类和广告类的的cookie才生成和跟踪数据：

注意：CLID和MUID是微软热力图，这个属于分析类的，没授权就跟踪，这个有问题。

不合规案例

国内也有厂家推出CMP产品，但没在IAB注册的，我看一下官网，是有弹出Cookie Banner，但我还没点击同意，GA4的Cookie就已经生成：

GA4的在正常跟踪：

看起来这家CMP厂家在自己官网都没部署对，用户没同意就直接生成Cookie和跟踪数据，妥妥的违规。

违规的风险

• GDPR第83条规定了对企业处以行政罚款的一般条件，并划分了两类处罚标准，分别是：①Ⅰ类标准：对违法企业处以最高10,000,000欧元或上一财经年度全球营业总额2%的行政罚款（以较高者为准）；②Ⅱ类标准：对违法企业处以最高20,000,000欧元或上一财经年度全球营业总额4%的行政罚款（以较高者为准）。
• DMA规定，企业违规将面临高达其全球年营收10%的罚款，如果再犯这一比例则提高至20%

常见错误

在CMP的安装使用过程中，以下错误是比较常见的：

• 第三方跟踪没获取授权就跟踪：虽然有弹出Cookie Banner，出于数据收集考虑，但没有完全集成，这种做法是完全不合规的。
• 页面刷新：用户同意的时候，页面做了刷新，这会导致Referral跟踪不到，可能会将流量错误是被为直接渠道
• 漏跟踪第一个页面：会导致渠道信息全丢失，流量绝大部分会划分到直接渠道

延伸阅读：

• CMP，广告里一个细分行业
• 国内的CMP产品有哪些？