3、合法处理基础与同意管理:六大合法处理基础详解、有效同意的标准、Cookie同意的实战落地、同意管理平台(CMP)选型与配置
好,咱们直接进入正题。GDPR 里有个核心问题:你凭什么处理用户数据?
说白了,不能因为你想要,你就拿去用。你得有个“合法理由”。GDPR 给了你六条路,也就是六大合法处理基础。我这些年做合规项目,发现很多团队一上来就只盯着“同意”这一条,结果把自己搞得很累。其实,选对基础,能省掉 80% 的麻烦。
3.1 六大合法处理基础详解
这六条基础,就像六把钥匙。你处理数据,必须至少拿一把。我习惯把它们分成两类:“硬核” 和 “软性”。
| 合法基础 | 适用场景(我眼中的) | 避坑提醒(我踩过的) |
|---|---|---|
| 1. 同意 (Consent) | 营销邮件、Cookie 追踪、非必要数据处理 | 别把“同意”当万能药。用户撤回时,你得能立刻停用。 |
| 2. 合同履行 (Contract) | 电商发货、SaaS 提供服务、员工工资发放 | 注意!合同履行不能无限扩大。比如你卖书,不能因为签了合同,就把他买书的数据拿去做推荐。 |
| 3. 法律义务 (Legal Obligation) | 税务申报、反洗钱、法院传票 | 这个没得选,必须做。但记得,只处理法律要求的最小数据。 |
| 4. 重大利益 (Vital Interests) | 医疗急救、自然灾害预警 | 极少用到。别拿“为了用户好”当借口去处理数据。 |
| 5. 公共利益 (Public Interest) | 公共卫生统计、学术研究(部分) | 通常需要法律明确授权。企业基本用不上。 |
| 6. 正当利益 (Legitimate Interests) | 网络安全防护、防止欺诈、内部管理 | 这是我最喜欢用的基础之一。但必须做“利益平衡测试”,不能想当然。 |
我的实战建议: 优先考虑“合同履行”和“正当利益”。这两个基础不需要用户主动点击“同意”,能极大降低用户交互成本。但前提是,你得把逻辑讲清楚。
3.2 有效同意的标准
好,如果你确实只能用“同意”,那就要小心了。GDPR 对“同意”的要求,比国内《个保法》还要严。我见过太多公司,搞个默认勾选就以为完事了,结果被罚得底裤都不剩。
有效同意,必须满足四个条件:
- 自由给予 (Freely Given): 不能强迫。比如,你不能说“不同意就不让你用 App”。我见过一个案例,某 App 把“同意”作为使用前置条件,直接被罚了 2000 万欧元。
- 具体明确 (Specific): 你得说清楚,同意是用来干嘛的。不能一个同意框,包罗万象。比如“我同意接收营销信息”和“我同意分析我的浏览记录”,这是两码事。
- 知情 (Informed): 用户得知道他在同意什么。别用小字、晦涩的法律术语。我习惯用“一句话 + 详情链接”的方式。
- 明确指示 (Unambiguous): 必须是主动行为。默认勾选、沉默、不操作,都不算同意。必须是用户主动点击“我同意”按钮。
一个小技巧: 我建议把“同意”和“拒绝”做成同样显眼的按钮。别把“拒绝”做成灰色小字,那叫“诱导同意”,也是违规的。
3.3 Cookie 同意的实战落地
Cookie 同意,是 GDPR 合规里最“烦人”的部分。为什么?因为用户每次访问,你都得弹窗。而且,弹窗的设计直接影响转化率。
我参与过一个欧洲电商项目,Cookie 弹窗改了三版。第一版是“全选 + 同意”,结果用户投诉率飙升。第二版是“仅必要 Cookie”,结果营销数据断崖式下跌。第三版,我们做了精细化的分层管理。
实战中,Cookie 通常分三类:
- 严格必要 Cookie: 比如购物车、登录态。这个不需要同意,直接设。
- 功能 Cookie: 比如记住语言偏好。这个需要告知,但可以默认为开启。
- 营销/分析 Cookie: 比如 Google Analytics、Facebook Pixel。这个必须获得明确同意。
嗯,这里要注意:很多公司把 Google Analytics 当成“必要 Cookie”,这是大错特错的。GA 的数据会传到美国,属于跨境传输,必须获得用户同意。
我曾经踩过的坑: 有一次,我们为了省事,把“拒绝所有”按钮藏在了二级菜单里。结果被用户举报到当地 DPA,最后不得不公开道歉并整改。记住,拒绝必须和同意一样容易。
3.4 同意管理平台 (CMP) 选型与配置
手动管理 Cookie 同意?不现实。你需要一个 CMP。市面上的 CMP 很多,我选型时主要看三点:
- 合规性: 是否支持 TCF 2.0(IAB 的透明与同意框架)?是否支持多语言?是否支持实时撤回?
- 性能: 加载速度。CMP 脚本如果太慢,会影响页面首屏加载。我见过一个 CMP,加载需要 3 秒,直接导致跳出率上升 15%。
- 灵活性: 能否自定义 UI?能否做 A/B 测试?能否对接你的 DMP 或 CDP?
我常用的 CMP 有 OneTrust、Cookiebot、Usercentrics。如果你预算有限,也可以考虑开源方案,比如 Osano 的免费版。
配置时,我建议你这样做:
- 第一步:扫描全站 Cookie,列出所有第三方脚本。
- 第二步:给每个 Cookie 打标签(必要、功能、营销)。
- 第三步:配置 CMP 的“默认拒绝”模式。也就是,用户没操作前,只加载必要 Cookie。
- 第四步:设置“同意”和“拒绝”按钮的样式。确保两者视觉权重一致。
- 第五步:测试。用隐私模式、不同浏览器、不同国家 IP 测试一遍。
我的配置心得: 别把 CMP 当成一个“开关”。它应该是一个“阀门”。用户同意后,你才打开对应的数据管道。用户撤回,你立刻关闭。这个逻辑,必须在代码层面实现。
最后,送你一张图。这是我做合规培训时必用的,帮你理清整个同意管理的逻辑。
你看,整个流程其实不复杂。核心就两点:用户选择 + 系统执行。很多公司只做了弹窗,没做执行,结果用户点了拒绝,GA 还在跑。这就是典型的“合规形式主义”,被查到就是实锤。
最后一个小提醒: 记得定期审计你的 CMP 配置。我每季度都会做一次全站 Cookie 扫描,看看有没有新增的第三方脚本没被纳入管理。合规不是一锤子买卖,是持续的过程。