APUS研究院：Google的开源Consent解决方案解析

如我们之前介绍，一方面，GDPR对有效的“同意”设置了比较严格的条件；另一方面，“同意”是处理用户数据最为稳妥的法律依据（请参考前作《“同意”，没那么简单》）。很多人认为，因为条件的苛刻，“同意”作为传统的用户让渡数据权利的途径，在GDPR的语境下已经丧失了存活的空间。但我们观察到，大量的互联网企业仍然把取得“同意”作为处理用户数据、提供互联网服务的重要依据。

此页面包含四个元素：元素一：应用的名称和应用icon。元素二：提示应用通过展示广告保持软件免费，并提问是否可以使用数据提供个性化广告内容。元素三：提示用户可以查看200多个广告技术提供商以及它们对应的隐私页信息。

如上图步骤二页面，可点击任意一个广告商的气泡框进入其对应的隐私页面（如上图步骤三）；点击“HowAppusesyourdata”按键可以进入应用自身的隐私协议页面（如上图步骤四）；点击“Back”键可以返回到步骤一页面。03点击授权按钮区域在授权页面，禁用back按键，用户必须明确做出选择，才能继续进行后续的操作。在点击授权按钮区域，有三个选项（如下图）：

·当选择选项一“Yes,continuetoseerelevantads”——同意查看个性化广告，关闭对话框。·当选择选项二“No,seeadsthatarelessrelevant”——同意查看非个性化广告，会出现App的挽留页面（如下图页面一）。

·当选择选项三“Payforthead-freeversion”——购买无广告版本时，会跳转至GooglePlay界面（如下图选项三），用户可以根据需要购买App付费无广告版本。

综上分析，ConsentSDK要求用户必须在给定的选项中做出选择。在保证透明度的前提下（比如用户可以仔细阅读各个广告技术提供商的隐私信息），引导用户授权“同意”或者付费。ConsentSDK提供接口可以控制三个按钮的展示，如果产品没有付费版，可以控制SDK不展示付费跳转的按钮。·我们继续从技术的维度剖析实现上述逻辑的路径：01执行的总体流程

如上图，每次启动应用时，优先调用requestConsentInfoUpdate()接口，从云端获取一些基础数据。比如是否是欧盟用户、广告技术提供商信息等。然后基于上述基础数据，通过consentForm接口构建授权页。授权页是一个全屏对话框，是以webview打开的全屏可配置的表单。

·请求数据：

·请求样例：正常请求：https://adservice.google.com/getconfig/pubvendors?pubs=pub-XXXXXX&es=2&plat=android&v=1.0.6调试直接当成欧洲用户请求：https://adservice.google.com/getconfig/pubvendors?

·返回样例

03ConsentForm接口ConsentForm是用于构建授权页的关键类，通过方法：1）withPersonalizedAdsOption()2）withNonPersonalizedAdsOption()3）withAdFreeOption()可以组合出来上面产品分析的授权按钮区域的组合。它的工作流程如下：

04isRequestLocationInEeaOrUnknown接口该接口会返回该用户是否属于欧盟用户，但是必须要正确执行requestConsentInfoUpdate接口后，才能够真实有效，否则返回的都是false。实验证明，判断是否是欧盟用户的依据是通过IP判断的。在Google《欧盟地区用户意见征求政策》可以找到这样的描述【2】：EEA包括欧盟成员国、冰岛、列支敦士登和挪威。

以上是我们以Google产品为例，从产品和技术维度就取得用户“同意”进行的分析。