إدارة الموافقة

1) شروط وحدود المسؤولية

الموافقة: التعبير الطوعي والمستنير والمحدد والواضح عن الإرادة ؛ يمكن إلغاؤها.
الأساس القانوني: الموافقة ليست سوى أحد الخيارات (العقد، والأساس القانوني، والمصلحة المشروعة، وما إلى ذلك). يجب أن يخزن النموذج كل من القاعدة والهدف.
الغرض: السبب الذري: التحليلات والتخصيص والإعلانات email_marketing data_sharing_vendor_X.
الخصوصية: يتم تخزين الموافقات حسب الأهداف والقنوات والبائعين والمناطق وفئات البيانات.
الموضوع: الشخص، الجهاز، الأسرة المعيشية، حساب الطفل (قواعد خاصة للقصر).

2) دورة حياة الموافقة

1. المجموعة: لافتة/CIW، إعدادات في الملف الشخصي، API/SDK، قناة غير متصلة بالإنترنت (مركز الاتصال).
2. التحقق: العمر، المنطقة، توافر البدائل (بدون «أنماط مظلمة»).
3. سجل لإنشاء حدث الاشتراك واللقطة الحالية للأهداف.
4. التوزيع: نشر الأحداث على الحافلة، وتحديث المخابئ على حافة الهاوية، والتزامن مع البائعين.
5. التنفيذ: التطبيق في الوقت الفعلي (بوابات/بكسل/SDK)، على شكل دفعة (ETL/analytics)، في خطوط أنابيب ML.
6. التغيير/الإلغاء: حظر فوري على الجمع/التنشيط الجديد، «تطهير» بيانات السياسة التاريخية فيما بعد.
7. مراجعة الحسابات/الإبلاغ: إمكانية إثبات الموافقة وقت التجهيز (من، متى، ما هي صيغة النص).

3) المكونات المعمارية

CMP (منصة إدارة الموافقة): UI/SDK + API تنسيق خيارات الموافقة لـ UX/الولايات القضائية ؛ مصدر الحقيقة بالنصوص والنسخ.
سجل الموافقة: مستودع موثوق به لحالات الموافقة والأحداث (يومية مرفقة فقط + الإسقاط الحالي).
الموافقة PDP/PEP: قرار السياسة/نقطة الإنفاذ. PDP يقرر "هل هذا ممكن ؟ "تطبق PEP الحل على بوابة API و ETL و SDK وما إلى ذلك.
مخبأ الحافة للموافقات: زمن انتقال منخفض لفحص المحيط.
بوابة الشركاء/برنامج البرنامج العالمي/المكتب الدولي للمعلومات: ترجمة الأهداف المحلية إلى إشارات الشركاء والعكس صحيح.
نسب البيانات ووضع العلامات: وضع علامات على البيانات مع الموافقة/الأعلام الأساسية في جميع أنحاء السلسلة.

4) نموذج البيانات (الرسوم البيانية)

json
{
"subject_id": "usr_123",
"subject_scope": "user",
"region": "EU",
"legal_basis": {
"analytics": "consent",
"personalization": "consent",
"security": "legitimate_interest",
"contract_core": "contract"
},
"purposes": {
"analytics": {"status": "granted", "version": "v5", "updated_at": "2025-10-31T13:20:10Z"},
"personalization": {"status": "denied", "version": "v5", "updated_at": "2025-10-31T13:21:31Z"},
"ads": {"status": "denied", "version": "v5", "updated_at": "2025-10-31T13:21:31Z"},
"email_marketing": {"status": "granted", "channel":"email","updated_at":"2025-10-31T13:22:05Z"}
},
"text_bundle": {"locale":"uk-UA","policy_version":"2025-09"},
"evidence": {"capture_ip":"203. 0. 113. 5","capture_ua":"Chrome/142"}
}

json
{
"event_id": "cse_987",
"subject_id": "usr_123",
"purpose": "personalization",
"previous": "denied",
"current": "granted",
"legal_basis": "consent",
"policy_version": "2025-09",
"captured_at": "2025-10-31T13:21:31Z",
"channel": "web",
"evidence": {
"banner_id": "cmp_v3",
"text_hash": "sha256:...",
"ip": "203. 0. 113. 5",
"ua": "Chrome/142",
"locale": "uk-UA"
}
}

5) بروتوكولات الإشارة وتوزيعها

الويب/التطبيق/SDK: ملفات تعريف الارتباط/التخزين المحلي/التخزين الآمن + فحص التوقيع/السلامة ؛ إعادة الربط التلقائي عند تسجيل الدخول.
Server-side: headers' X-Access-Token "/' X-Programes '، تبادل ثنائي الاتجاه مع عرض SSR/edge.
الشركاء/البائعون: الترجمة إلى صيغهم (على سبيل المثال، متجه الهدف، الإشارة العامة «GPP/TCF») ؛ في حالة الفشل - إشارة صفرية/وضع مقيد.
القناة غير متصلة بالإنترنت: تسجيل الموافقة الصوتية/صندوق التحقق من قبل المشغل مع التحقق اللاحق والارتباط بـ 'الموضوع _ معرف'.

6) التنفيذ: أين وكيف يتم «قطع» حركة المرور

• قطع نقاط النهاية/الحقول دون موافقة (/profile/erich ،/ads/،/events/track).
• Mutate response/request: cut trackers, personalization fields, identifiers.
• تعيين سياق الموافقة لطلب الخلف (طوابع JWT أو الرؤوس الفردية).

• يقوم محول الحدث بإزالة/أقنعة الحقول بواسطة أعلام الموافقة.
• علامة مجموعة البيانات: "مجموعة البيانات. consent_scope=analytics:granted; الإعلانات: مرفوضة '.
• في خط أنابيب ML، يتم استبعاد السجلات بدون الموافقة المناسبة ؛ يعطل التدريب/التفعيل لأغراض محظورة.

7) Cseudocode: حل البوابة

python def enforce_consent(request, consent_snapshot):
purpose = map_endpoint_to_purpose(request. path) # /ads/ -> "ads"
basis  = consent_snapshot. legal_basis. get(purpose)
status = consent_snapshot. purposes. get(purpose, {}). get("status", "denied")

if basis! = "consent": # e.g. security/contract - allowed without return ALLOW banner

if status!= "granted":
return DENY # or ALLOW with redaction if degradation is allowed

return ALLOW

8) الإصدار وإمكانية الإثبات

نسخة نص الموافقة: احتفظ بـ "policy _ version", "text _ hash", "banner _ id'.
Locale and region: what text and with may language is evided.
لقطة في وقت المعالجة: فرصة للإجابة "لماذا تم عرض الإعلان 2025-10-15 في 09:03 ؟ ».
سجل ثابت: WORM/الملحق فقط مع توقيع حدث التشفير.

9) حالات خاصة

القاصرون: التحقق من السن، وموافقة الوالدين، والأهداف الفردية والمواعيد النهائية.
تسجيل الدخول → الضيف: دمج رمز مجهول مع الحساب ؛ في النزاع (المكاسب الأكثر صرامة).
أجهزة متعددة: resync متسقة ؛ عند الإلغاء - رموز معطلة بالضغط على جميع الأجهزة.
الأوضاع الإقليمية: «صارمة» (الاتحاد الأوروبي) مقابل «إلغاء الاشتراك» (بعض الأسواق) - تبديل التعيينات المسبقة لـ CMP.
الاختبارات ألف/باء: التجارب على البيانات هي هدف منفصل للتجريب ؛ بدونها - اختبارات وظيفية فقط بدون بيانات شخصية.
الحق في الحذف: يمكن أن يؤدي الاستدعاء إلى حذف/إخفاء هوية البيانات المستهدفة التاريخية (سياسة «التطهير من الإلغاء»).

10) الأنماط المضادة

صندوق شيكات واحد «شائع» لكل شيء.
عدم وجود نسخ نصية وإمكانية إثبات العرض.
قم بتخزين علم ملفات تعريف الارتباط فقط بدون سجل الخادم.
تطبيق الموافقة فقط في واجهة المستخدم، وليس في ETL/ML/الصادرات.
تضارب مصادر الحقيقة (SDK ≠ backend).
الأنماط المظلمة، فرض الموافقة: المخاطر القانونية والسمعة.

11) إمكانية الرصد والمقاييس

التغطية: نسبة حركة المرور مع رمز موافقة صالح.
الكمون PDP: وقت قرار المحيط.
الانجراف: عدم التطابق بين SDK ولقطة الخادم.
إلغاء SLA: وقت الإلغاء → التعطيل الكامل/وقت واضح.
امتثال البائعين - النسبة المئوية لمكالمات الشركاء بالإشارة الصحيحة.
الحوادث: محاولات معالجة المكالمات دون موافقة ومنع المكالمات.

لوحات القيادة: «قمع الموافقة»، خريطة المناطق/القنوات، خرائط الفشل الحراري.

12) الاختبار والتحقق

اختبارات عقد PDP/PEP: جدول الحقيقة حسب مجموعات الأهداف/المنطقة.
اختبارات الفوضى/الانجراف: تنص اختبارات SDK غير المتزامنة ↔ خادم ؛ انتهاء صلاحية مخبأ TTL.
إصدارات CMP: التحقق من صحة النصوص والحياد UX (لا توجد أنماط مظلمة).
تتبع E2E: حدث إلغاء المستخدم → عدم إرسال إلى شريك بكسل وخطوط الأنابيب.

13) القدرات المترابطة

إخفاء الهوية/التسمية المستعارة: تنفيذ حالات الفشل قبل تجريد الهوية وبعده.
التشفير ورمز KMS/حماية السجل.
التوجيه الجغرافي: اختيار النصوص/القواعد الإقليمية.
إمكانية الملاحظة: لوحات معلومات خاصة بدون بيانات شخصية ؛ الارتباط بالرموز فقط.
نسب البيانات: في كل مجموعة بيانات - بصمة الموافقات.

14) وصفات صغيرة

yaml purposes:
analytics:
legal_basis: consent enforcement: redact_fields: [ad_id, gaid, idfa]
personalization:
legal_basis: consent enforcement: deny_endpoints: [/recs/, /profile/enrich]
security:
legal_basis: legitimate_interest enforcement: allow email_marketing:
legal_basis: consent channel: email

event. meta. consent. analytics = granted    denied event. meta. consent. ads    = denied event. meta. legal_basis    = consent    contract    li

on user_revoke(purpose):
mark subject_id + purpose as "purge_pending"
schedule purge jobs over datasets with lineage(purpose)
emit audit_event("purge_started", scope=purpose)

15) قائمة مرجعية للمهندس المعماري

1. هل هناك سجل واحد ومجلة موافقة غير قابلة للتغيير ؟

2. هل الأهداف محددة ذريًا ورأسيًا في كل مكان ؟

3. هل هناك تنفيذ على المحيط، في الجداول، في التحليلات وفي ML ؟

4. تنفيذ سياسة التغذية المرتدة وتنظيف البيانات التاريخية ؟

5. هل لقطات واجهة المستخدم/SDK/الخادم وآليات إعادة التشغيل متسقة ؟

6. التغطية/الانجراف/إلغاء مقاييس SLA والإبلاغ ؟

7. هل هناك كتيب عن الحوادث (الانتهاكات والشكاوى والجهة التنظيمية) ؟

8. هل يتم دعم النظم الخاصة (الأطفال والمناطق والشركاء B2B) ؟

خامسا - الاستنتاج

إدارة الموافقة ليست نافذة وسيطة، ولكنها وظيفة معمارية شاملة: من إعلان الأهداف وتحرير النصوص إلى التنفيذ الآلي للقرارات في الوقت الفعلي والتقارير اللاحقة. نموذج بيانات صارم، وسجل واحد، و PDP/PEP على جميع الطبقات، والقياس عن بعد الكامل وإجراءات التنظيف تحول الامتثال إلى ميزة تنافسية - منصة موثوقة.