Cookie政策和用户同意
1)为什么需要Cookie政策
Cookie策略是对您收集的内容、原因、期限、与谁共享以及如何管理同意的透明描述。对于iGaming/fintech来说,由于数据的敏感性,监管机构和合作伙伴(支付提供商,广告网络,附属机构)的要求,这是至关重要的。
主要目标:- 合法性(符合GDPR/ePrivacy,CCPA/CPRA,LGPD等)。
- 透明度和用户控制(opt-in/opt-out)。
- 风险管理(罚款,广告平台块,失去信心)。
- 稳定度量(横幅转换,对营销的影响)。
2) Cookie/追踪器类别(推荐分类法)
注意:移动应用程序的SDK/像素也属于这些类别。
3)横幅和偏好中心(UX模式)
横幅要求:- 清晰的按钮:"接受所有"、"拒绝所有"、"自定义"(同等可见度)。
- 短公告+链接到详细策略。
- 即时激活设置(不延迟)。
- 不要阻止访问强制功能。
- 颗粒拨号器按类别和(可选)供应商。
- 使用时间戳保存选择,显示状态。
- 能够随时更改选择(在futer/profile中链接)。
- 单独的部分:GPC/"Do Not Sell or Share",极限感官数据(用于CA),同意撤销。
4)Consent Management Platform(CMP): 功能
横幅和偏好中心渲染(web+移动SDK)。
同意日志(政策版本,类别,供应商,时间,地区)。
Geotargeting规则(欧盟/加利福尼亚/巴西等)。
与标签管理器集成:在同意之前锁定标签(prior consent)。
应用程序和服务器系统的API(同意状态传输)。
支持全球隐私控制(GPC),并在接收信号时强制关闭共享/营销。
5)管辖权和差异(简述)
EU/EEA(ePrivacy+GDPR):用于分析/营销的选择;未经同意,可以使用"强制性"。需要明智的选择,易于更改/撤回。
加利福尼亚(CCPA/CPRA):"销售"和共享(行为广告)的选择权;GPC约束;ссылка «Do Not Sell or Share My Personal Information».对于儿童<16-opt-in。
巴西(LGPD):类似原则:透明度,合法理由;市场跟踪器同意,召回权,可移植性,删除。
6)跟踪器启用/锁定架构
1.装载前后卫:在获得同意之前,仅装载强制性脚本。
2.Tag Manager集成:每个标签都标注类别;在CMP信号后激活。
3.服务器侧分析(最好):减少浏览器中的个人数据量,集中化掩码。
4.移动SDK gating:严格按照同意状态初始化SDK;更改时更新。
5.附属像素:只有在同意营销/归因的情况下才开火;服务器后背是首选。
6.Logs and Audition:记录激活的内容、时间、依据。
7)透明度和政策内容
建议的结构是:1.什么是cookies/SDK,为什么需要它们。
2.类别和目标(表)。
3.使用的cookies/SDK的完整列表:名称、提供商、目标、保留期、类型(1st/3rd party)。
4.处理理由(同意/LI/合同)和管理方式。
5.GPC和区域权利(opt-in/opt-out,"Do Not Sell or Share","极限感官数据")。
6.保留时间和标准。
7.转让给第三方和其他国家(一般保护机制)。
8.如何撤回/更改选择;DPO/支持联系人。
9.上次升级日期和版本。
8)存储和最小化
Retention Schedule:对于每个类别-截止日期(例如分析师13个月,市场营销6-13个月,功能6-12个月)。
最小化:将字段缩小到必要程度;对于分析-聚合和别名化。
Dev/Stage:不使用真实标识符;应用"dummy"或掩码。
9) GPC и «Do Not Sell or Share»
收到GPC后,自动关闭共享/营销并将其捕获到日志中。
Futer中的单独链接:"Do Not Sell or Share My Personal Information"是针对美国(加利福尼亚州)用户的。
在首选项中心,显示GPC处于活动状态,因此哪些类别不可用。
10)措辞示例(现成片段)
短横幅(EU):- "我们使用cookies来确保网站的运行,以及分析和个性化广告。单击"接受全部"或配置类别。您可以随时更改选择"
- "我们处理汇总的出勤率和事件指标。分析师Cookie仅在您同意的情况下发布。保质期长达13个月"
- "营销Cookie允许您展示个性化广告并衡量其有效性。您可以在首选项中心或通过GPC选择退出。如果发生故障,我们不会发布此类文件,并限制将数据传输给第三方"
11)度量与质量控制
Consent Rate(按地区/来源分列)。
Reject Rate和Adjust Rate(用户更改设置)。
时间到同意(接受率)。
GPC荣誉率(有多少会话经过正确处理)。
后一致性火灾Accuracy(正确标签激活的比例)。
Impact on Conversion(前/后-注册,存款,FTD)。
事件率(未经授权的火灾,ID泄漏)。
12)实施支票单
政策和桉文
- 带有"接受所有/拒绝所有/设置"的简短横幅。
- 包含类别/供应商/时间表的Cookie政策。
- 链接"Do Not Sell or Share……"(针对美国)和GPC部分。
- 每次更改时更新日期和版本。
技术和标签
- CMP连接到任何非必需标签。
- Tagger Manager在同意(prior consent)之前阻止消防。
- 如果可能的话,服务器分析师和分支机构的后备人员。
- 与地区,版本,时间达成协议的日志。
操作和控制
- 地理认识和不同规则(欧盟/美国/巴西)。
- GPC和opt-out脚本测试。
- 供应商列表/SDK的季度审核。
- 萨波特培训(如何帮助改变同意)。
13)频繁的错误以及如何避免错误
在获得同意之前下载分析/营销→使用先验块和服务器端。
按钮的不平等可见性→增加了投诉/罚款的风险。
令人困惑的类别→按目标而不是供应商名称划分。
没有GPC →美国(加利福尼亚)的不匹配。
缺乏同意日志→很难证明合法性。
无关的供应商列表→自动化审核和更新。
14)矩阵"类别→基础→按地区分列的行动"
15)策略中的分区模板(骨架)
1.操作员/DPO的定义和联系方式。
2.Cookie类别和目标(表)。
3.具有分配和保留期限的供应商/SDK列表。
4.如何管理同意(横幅,中心,GPC,浏览器中的链接)。
5.区域权利:欧盟(opt-in/召回),美国(opt-out/"Do Not Sell or Share"/GPC),巴西(同意/主体权利的召回)。
6.转让给第三方和其他国家(一般保护措施)。
7.策略更新、日期和版本。
16)实施路线图(6个步骤)
1.跟踪器地图:Cookie/SDK/像素清单,目标,供应商,时间表。
2.CMP:选择,与标签管理器和移动SDK,地理制图集成。
3.文字:横幅,偏好中心,Cookie政策,GPC/"Do Not Sell or Share"部分。
4.Techcontur: prior-blocking,服务器分析/后背,同意日志。
5.测试计划:A/B横幅,回火,GPC脚本/儿童/召回。
6.运营:供应商季度审计/截止日期,向管理层报告指标。
结果
强大的Cookie策略不仅仅是一个横幅:它是同意的体系结构,透明的类别和时机,正确的标签锁定技术,GPC支持和可理解的界面来更改选择。通过将这些元素嵌入到产品和操作中,您将遵守不同司法管辖区的要求,降低风险并保持用户转换和信任。