GDPR：管理用户同意

1）目的和领域

创建一个统一、可验证且用户友好的同意和通信偏好管理流程,兼容GDPR和ePrivacy,适用于所有曲面：Web 、移动应用程序/SDK 、电子邮件/SMS/推送、附属登陆、流/社交网络、供应商标签。

2）基本原则

自由，特定，知情和明确的意志表达（无新闻/访问条件）。
目标分离：分析，个性化，营销，地理定位，A/B测试，第三方标签-单独的拨号器。
召回就像同意一样简单。没有"任务"可以拒绝。
没有黑暗模式。没有视觉扭曲/锁定。
可证明性。徽标，文本版本，UI变体的截图，策略哈希。
缺省最小化和私有化。

3）法律依据（简称）

Art.6（1） （a）同意：市场营销,个性化,身份分析,非条件cookies/SDK。
Art.6（1） （b）合同：提供服务所需的业务（严格需要的cookies）。
Art.6（1） （f）法律利益（LIA）：在强有力保障和反对权的情况下有限的生产率计量。
Art.8儿童：儿童同意年龄----国家门槛；在未成年人中-禁止营销。
Art.9特殊类别：生物识别/健康-非市场营销；单独的法律依据/禁令。
ePrivacy：存储/访问设备（cookies/local storage/SDK）-未经同意,只有"严格要求"。其余的是经同意的。

4）角色和RACI

DPO/合规之头-政策，DPIA，投诉/风险控制。(A)

法律-文本，需求本地化，基础矩阵。(R)

产品/UX-横幅/偏好中心，反黑暗模式。(R)

工程/CMP所有者-CMP/SDK，API，版本，GPC/DNT集成。(R)

CRM/Marketing-按同意标志进行细分，表示。(R)

Data/Analytics-识别模式,跟踪限制。(C)

InfoSec-加密，密钥，RBAC/ABAC到同意日志。(C)

内部审计-证据样本，CAPA。(C)

5）同意和偏好的分类法

功能（未经同意）：严格需要（认证、篮子、平衡、防冻）。

1.分析（标识符/跨字节）

2.个性化内容/游戏

3.营销（电子邮件/SMS/push/in-arr/telematics）-分开频道

4.重新销售/Ads（包括像素/第三方SDK）

5.地理位置不严格（城市/地区）

6.A/B测试（如果使用ID）

7.附属标签/附属像素

6）CMP UX模式（Web/mobile）

第一层（横幅）：简要目标+接受全部、拒绝全部、自定义是相同的可见性。
第二层（面板）：按类别分解和反转"阅读更多"（供应商、目标、时间）。
优惠中心（帐户）：营销渠道（电子邮件/SMS/push/电话）-分开；提及"拒绝一切"。
召回/更改：从任何屏幕点击1-2次；不会更改对强制性功能的访问。
可用性：对比度、键盘、屏幕阅读器、位置。
GPC/"Do Not Track"：全局信号被解释为拒绝除严格要求以外的所有信息。
移动SDK：在应用程序中CMP+系统权限（OS prompts） →与服务器配置文件同步。

7) IAB TCF 2.2（实施框架）

支持目标/功能堆栈、供应商列表、客户端TC字符串。
保留TC行，版本，供应商列表；在我们的旗帜上涂抹。
在接收TC （prior consent）之前锁定tag/SDK。
尊重"Deny All"的地位和供应商的终结。
对于非TCF市场，"定制"CMP具有相同的UX和日志记录。

8）未成年人和弱势群体

如果<市场阈值年龄-没有营销渠道和个性化；分析仅严格需要/PII。
在下载SDK/像素之前验证您的年龄。
SE/RG标志：在自我约定中-强制营销支持，无论同意如何。

9）保密、保管及保密

最小化模型：存储操作事实（accept/deny/withdraw）、文本版本、TC字符串/哈希而不是"原始"cookie。
Retence：只要目标/关系+市场时间表有效（通常≤ 24个月没有营销活动）。
访问：RBAC，不变日志（WORM），时间在UTC。
删除：召回→立即停止处理；cron清洁未使用的id/SDK缓存。

10）数据和证据（最低模型）

consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, lawful_basis{consent    contract    legit_interest},
status{accept    deny    withdraw}, source{web    app    email    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

工件：在同意时散列策略文本和横幅，变体截图，活动标签/SDK列表。
链接："consent_id" ↔ CRM/Ads事件以实现可跟踪性。

11） API/SDK和标签锁定

Edge/CMP-SDK：在选择之前-我们只装载严格需要的脚本。

Server-Side API:

`GET /consents?user_id=...`

`POST /consents` (create/withdraw)

"POST/marketing/preferences"（通道标志）

`POST /gpc/signal`

Tag Manager Guards： "fire if consent规则。purpose.marketing == true».

电子邮件/短信：仅通过'营销'发送邮件。电子邮件==true'和"double opt-in"（如果需要市场）。

12）与CRM/Ads/关联公司的兼容性

Suppression流：在CRM、Ads、附属支线（batch+near-real-time）中召回→更新支持。
UTM/后背：仅传输技术参数；在没有单独法律框架的情况下，同意不会&quot；偏离&quot；伙伴。
附属机构：必须显示相同的SMR/Disclamer；没有这个线索，就没有资格了。

13）流程和桉例

通过电子邮件进行反馈：在每封电子邮件中,"Unsubscribe all"和"Configure"。退出-立即在页面/信中确认。
DSAR/呼吁：显示当前的同意标志，行动记录；没有第三方PII的出口。
改变目标：新目标→新的同意请求（不是&quot；追溯性&quot；）。
A/B测试：更改UI CMP-版本/屏幕到伪影中，对没有暗模式进行审核。
事件：未经同意而错误加载标签→立即加载，Logo审计，CAPA。

14） KPI/KRI和dashboard

按目标/市场/设备分列的Opt-in Rate

Withdraw/Change Rate和"Withdraw-Apply"中位数"

GPC荣誉率（正确处理的GPC信号比例）

Tag Firing Violations（未经同意发射）

Suppression Integrity（召回时营销=0）

Complaint Rate и Regulatory Findings

Auditability Score（包含完整工件包的条目百分比）

15）支票单

发射前

• 基础和目标矩阵已商定（法律/DPO）。
• CMP支持"拒绝一切"，GPC，本地。
• 在同意之前,Tag Manager会阻止所有非必需的标签。
• 带有频道的偏好中心（电子邮件/SMS/push/电话）。
• 与CRM/Ads/附属机构的联系，以提供支持。
• WORM中的文本/截图版本。

在操作中

• 监控违反消防规则和GPC的行为。
• DSAR以当前标志和日志进行响应。
• 投诉和事件-SLA和CAPA。

审计/改进

• 按证据完整性分列的季度抽样。
• CMP的深色模式的A/B评论。
• 更新区域/法律文本。

16）模板（快速插入）

17）技术框架和事件

События: `consent_banner_shown`, `consent_given/denied/withdrawn`, `gpc_detected`, `tag_fired_blocked`, `marketing_unsubscribed`, `dsar_fulfilled`.

Fichi： GPC自动读取；SDK门；server-side consent cache;Tag Manager的完整性验证；用于分析的"PII自由"出口。
CI/CD中的测试：标签锁定linter，版本方案迁移，CMP屏幕测试。

18）风险与预防

标签锁定不完整.→ Tag Manager中的"deny by default"规则。
对供应商的依赖。→供应商/目标/司法管辖区列表，DPA和审计。
深色模式。→设计和按钮等价控制。
缺乏证据.→截图、文本哈希、WORM杂志。
CRM/Ads中的状态不匹配。→单一支持服务+每日对账。

19）30天实施计划

第一周

1.批准目标/基础矩阵和文本（lokali）。
2.选择/自定义CMP （TCF 2.2+定制目标）。
3.专门化数据和工件模型,启用WORM。

第二周

4.集成CMP/SDK, Tag Manager "deny by default", GPC。
5.为CRM/Ads构建优先中心和API支持。
6.准备横幅的A/B变体，屏幕修复。

第3周

7.10-20％的交通量飞行员：Opt-in/Withdraw/GPC荣誉测量。
8.关于投诉/事件的复古；UX/文本编辑。
9.将关联连接至强制性CMP层。

第四周

10.完整发行；启用KPI/KRI和Alerta dashboard。
11.季度审计计划和CAPA。
12.计划v1。1： Server consent cache,自动市场报告。

20）相关部分

年龄检查和年龄过滤器

广告标准和禁令/Disclamers和广告真实性

奖励条款的透明度

附属机构和合作伙伴的合规性

跨辖区数据本地化

负责任的游戏和限制/自我体验/现实检查

监管报告和数据格式/内部和外部审计