3、合法处理基础与同意管理:六大合法处理基础详解、有效同意的标准、Cookie同意的实战落地、同意管理平台(CMP)选型与配置

好,咱们直接进入正题。GDPR 里有个核心问题:你凭什么处理用户数据?

说白了,不能因为你想要,你就拿去用。你得有个“合法理由”。GDPR 给了你六条路,也就是六大合法处理基础。我这些年做合规项目,发现很多团队一上来就只盯着“同意”这一条,结果把自己搞得很累。其实,选对基础,能省掉 80% 的麻烦。

3.1 六大合法处理基础详解

这六条基础,就像六把钥匙。你处理数据,必须至少拿一把。我习惯把它们分成两类:“硬核”“软性”

合法基础 适用场景(我眼中的) 避坑提醒(我踩过的)
1. 同意 (Consent) 营销邮件、Cookie 追踪、非必要数据处理 别把“同意”当万能药。用户撤回时,你得能立刻停用。
2. 合同履行 (Contract) 电商发货、SaaS 提供服务、员工工资发放 注意!合同履行不能无限扩大。比如你卖书,不能因为签了合同,就把他买书的数据拿去做推荐。
3. 法律义务 (Legal Obligation) 税务申报、反洗钱、法院传票 这个没得选,必须做。但记得,只处理法律要求的最小数据。
4. 重大利益 (Vital Interests) 医疗急救、自然灾害预警 极少用到。别拿“为了用户好”当借口去处理数据。
5. 公共利益 (Public Interest) 公共卫生统计、学术研究(部分) 通常需要法律明确授权。企业基本用不上。
6. 正当利益 (Legitimate Interests) 网络安全防护、防止欺诈、内部管理 这是我最喜欢用的基础之一。但必须做“利益平衡测试”,不能想当然。

我的实战建议: 优先考虑“合同履行”和“正当利益”。这两个基础不需要用户主动点击“同意”,能极大降低用户交互成本。但前提是,你得把逻辑讲清楚。

3.2 有效同意的标准

好,如果你确实只能用“同意”,那就要小心了。GDPR 对“同意”的要求,比国内《个保法》还要严。我见过太多公司,搞个默认勾选就以为完事了,结果被罚得底裤都不剩。

有效同意,必须满足四个条件:

  • 自由给予 (Freely Given): 不能强迫。比如,你不能说“不同意就不让你用 App”。我见过一个案例,某 App 把“同意”作为使用前置条件,直接被罚了 2000 万欧元。
  • 具体明确 (Specific): 你得说清楚,同意是用来干嘛的。不能一个同意框,包罗万象。比如“我同意接收营销信息”和“我同意分析我的浏览记录”,这是两码事。
  • 知情 (Informed): 用户得知道他在同意什么。别用小字、晦涩的法律术语。我习惯用“一句话 + 详情链接”的方式。
  • 明确指示 (Unambiguous): 必须是主动行为。默认勾选、沉默、不操作,都不算同意。必须是用户主动点击“我同意”按钮。

一个小技巧: 我建议把“同意”和“拒绝”做成同样显眼的按钮。别把“拒绝”做成灰色小字,那叫“诱导同意”,也是违规的。

3.3 Cookie 同意的实战落地

Cookie 同意,是 GDPR 合规里最“烦人”的部分。为什么?因为用户每次访问,你都得弹窗。而且,弹窗的设计直接影响转化率。

我参与过一个欧洲电商项目,Cookie 弹窗改了三版。第一版是“全选 + 同意”,结果用户投诉率飙升。第二版是“仅必要 Cookie”,结果营销数据断崖式下跌。第三版,我们做了精细化的分层管理。

实战中,Cookie 通常分三类:

  • 严格必要 Cookie: 比如购物车、登录态。这个不需要同意,直接设。
  • 功能 Cookie: 比如记住语言偏好。这个需要告知,但可以默认为开启。
  • 营销/分析 Cookie: 比如 Google Analytics、Facebook Pixel。这个必须获得明确同意。

嗯,这里要注意:很多公司把 Google Analytics 当成“必要 Cookie”,这是大错特错的。GA 的数据会传到美国,属于跨境传输,必须获得用户同意。

我曾经踩过的坑: 有一次,我们为了省事,把“拒绝所有”按钮藏在了二级菜单里。结果被用户举报到当地 DPA,最后不得不公开道歉并整改。记住,拒绝必须和同意一样容易

3.4 同意管理平台 (CMP) 选型与配置

手动管理 Cookie 同意?不现实。你需要一个 CMP。市面上的 CMP 很多,我选型时主要看三点:

  1. 合规性: 是否支持 TCF 2.0(IAB 的透明与同意框架)?是否支持多语言?是否支持实时撤回?
  2. 性能: 加载速度。CMP 脚本如果太慢,会影响页面首屏加载。我见过一个 CMP,加载需要 3 秒,直接导致跳出率上升 15%。
  3. 灵活性: 能否自定义 UI?能否做 A/B 测试?能否对接你的 DMP 或 CDP?

我常用的 CMP 有 OneTrust、Cookiebot、Usercentrics。如果你预算有限,也可以考虑开源方案,比如 Osano 的免费版。

配置时,我建议你这样做:

  • 第一步:扫描全站 Cookie,列出所有第三方脚本。
  • 第二步:给每个 Cookie 打标签(必要、功能、营销)。
  • 第三步:配置 CMP 的“默认拒绝”模式。也就是,用户没操作前,只加载必要 Cookie。
  • 第四步:设置“同意”和“拒绝”按钮的样式。确保两者视觉权重一致。
  • 第五步:测试。用隐私模式、不同浏览器、不同国家 IP 测试一遍。

我的配置心得: 别把 CMP 当成一个“开关”。它应该是一个“阀门”。用户同意后,你才打开对应的数据管道。用户撤回,你立刻关闭。这个逻辑,必须在代码层面实现。

最后,送你一张图。这是我做合规培训时必用的,帮你理清整个同意管理的逻辑。

同意管理核心逻辑流程图 用户访问网站 CMP 弹窗:选择同意/拒绝 仅加载必要 Cookie 加载营销/分析 Cookie 记录拒绝日志 记录同意日志 + 开始追踪

你看,整个流程其实不复杂。核心就两点:用户选择 + 系统执行。很多公司只做了弹窗,没做执行,结果用户点了拒绝,GA 还在跑。这就是典型的“合规形式主义”,被查到就是实锤。

最后一个小提醒: 记得定期审计你的 CMP 配置。我每季度都会做一次全站 Cookie 扫描,看看有没有新增的第三方脚本没被纳入管理。合规不是一锤子买卖,是持续的过程。

专注资料整理