返回博客
5 分钟阅读privacycompliancetrackingdata

Global Privacy Control 现已成为十个州具有约束力的选择退出信号

GPC 不再只是建议。在 Disney 和解案与三州联合执法行动之后,Sec-GPC 标头在美国十个州具有法律约束力——而无 cookie 分析没有任何需要遵守的内容。

浏览器现在可以通过单个 HTTP 标头告诉你的服务器:访问者已选择退出其数据的出售或共享——而在美国十个州,你在法律上必须遵守。这个信号就是 Global Privacy Control(GPC),经过一年的执法行动,它已不再是一种礼节,而成为开发者必须在代码中实现的义务。

大多数团队从未写过一行 GPC 处理代码。如今,这一缺口已成为执法目标。

该信号究竟是什么

GPC 是描述同一种偏好的两个层面。在网络层面,它是一个 HTTP 请求标头:

Sec-GPC: 1

W3C 规范只允许一个值——字面字符 1。只要 GPC 处于启用状态,浏览器发出的每个请求都会发送该标头:页面加载、API 调用、图像和脚本获取。不存在 Sec-GPC: 0;标头缺失意味着没有信号,而非同意。

在 JavaScript 中,同一偏好通过 navigator 暴露:

const optedOut = navigator.globalPrivacyControl === true

当 GPC 处于活动状态时,该属性返回 true;当受支持但已关闭时返回 false;在未实现该规范的浏览器中返回 undefined。服务器端的标头检测与客户端的属性读取不可互换:标头在任何 JavaScript 运行之前就已到达,因此任何在边缘收集数据的环节都必须读取该标头。

它为何变得具有约束力

通用选择退出机制在一波州法律中从可选变为强制。加利福尼亚(CPRA)、科罗拉多康涅狄格、特拉华、蒙大拿、内布拉斯加、新罕布什尔、新泽西、俄勒冈和得克萨斯现在都要求适用范围内的企业遵守经批准的选择退出偏好信号,而上述每一个监管机构都已将 GPC 指定为有效信号。截至 2025 年中,这就是十个州负有现行的法律义务。

执法紧随规则而来。2025 年 9 月,加州隐私保护局、科罗拉多州总检察长和康涅狄格州总检察长宣布了一项联合调查行动,专门针对忽视选择退出信号的企业——并点名那些显示看似合规的确认信息、却在后台继续处理数据的网站。

2026 年 2 月,加州总检察长与华特迪士尼公司达成了一项 275 万美元的和解,理由是系统性地未能遵守选择退出请求,这是迄今为止最大的 CCPA 和解案。此前与 Sephora 达成的 120 万美元和解确立了 GPC 作为有效信号;Disney 则确立了大规模忽视它代价高昂。

发展方向已经确定。加州于 2025 年 10 月签署的 **Opt Me Out Act(AB 566)**要求浏览器自身在 2027 年 1 月 1 日前提供内置的选择退出信号控制。GPC 流量从此只会增长。

遵守它需要什么

对于出售或共享数据的分析或广告技术栈而言,实现是实打实的工作量。你必须在任何跟踪触发之前在边缘检测该标头,针对该请求抑制数据共享,并且——根据自 2026 年 1 月 1 日起生效的 CCPA 法规——能够证明该信号已被处理,而不仅仅是被接收。

if request.headers["Sec-GPC"] == "1":
    # do not sell or share; do not load ad/attribution tags
    # log that the signal was honored

困难的部分不是那条 if 语句,而是审查页面上的每一个标签、像素和转化脚本,确认每一个都会停止,并按需提供证据。一个典型的网站会加载它无法完全控制的、与选择退出相关的第三方——这正是这次多州行动所探查的层面。

为何无 cookie 分析根本不在此问题之列

GPC 是对为定向广告而出售或共享个人信息的选择退出。只有当你在做访问者可以选择退出的事情时,该义务才会成立。

隐私优先的跟踪器不出售或共享数据,不构建跨站点画像,从一开始就不存储任何个人标识符。下游没有广告交易市场,也没有需要抑制的第三方。每日访客哈希正是这样构建的,使得不存在任何可供共享的稳定标识符:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

IP 和 User-Agent 仅在内存中读取,用于计算哈希,然后被丢弃。日期输入使哈希每天轮换,因此即便在原则上也不存在可供出售的跨会话身份。/collect 端点接收一个请求,推导出一个聚合计数,不保留任何可追溯到个人的内容。

这并不免除你出于善意读取 Sec-GPC 的责任:遵守一个你在技术上根本没有数据可据以行动的信号成本很低,且彰显诚意。但这确实意味着 GPC 合规中代价高昂的部分——即 Disney 弄错的那部分——永远不适用。没有需要停止的数据出售,因为这套架构从未产生可出售的数据。

两种制度共通的模式

欧盟的「跟踪前同意」模式与美国的「按信号选择退出」模式看似相反,在程序上确实如此。但它们汇聚于同一个技术事实:两种制度都在规范一个持久的、与个人关联的标识符的创建与流动。GDPR 要求在你设置之前先获得同意;州法律则允许浏览器在事后撤销其出售。

一个从不铸造跨会话标识符的系统,对这两个问题的回答是相同的。同意横幅没有什么可拦截,选择退出信号也没有什么可执行——因为受监管的对象从未被构建出来。