Tổng quan về GDPR và cách tạo thông báo thu thập sự đồng ý của người dùng tại EEA và UK

“Kể từ ngày 16 tháng 1 năm 2024, những nhà xuất bản và nhà phát triển đang dùng Google AdSense, Ad Manager hoặc AdMob sẽ phải sử dụng một Nền tảng quản lý sự đồng ý (CMP) đã được Google chứng nhận và có tích hợp với Khuôn khổ về tính minh bạch và sự đồng ý (TCF) của Cục Quảng cáo tương tác (IAB) khi phân phát quảng cáo cho người dùng ở Khu vực kinh tế Châu Âu hoặc Vương quốc Anh.” – Hãy cùng chúng tôi đi sâu và tìm hiểu về thông báo này!

Phần 1: Tổng quan về GDPR & CMP 

GDPR là viết tắt của “General Data Protection Regulation” (Nghị định Bảo vệ Dữ liệu Tổng quát), là một quy định của Liên minh châu Âu nhằm bảo vệ quyền riêng tư và quản lý việc sử dụng thông tin cá nhân của người dân EU, áp dụng cho tất cả các tổ chức trên thế giới hiện đang xử lý dữ liệu của người EU.

CMP là gì? 

CMP là viết tắt của “Consent Management Platform” (Nền tảng Quản lý Sự đồng thuận). CMP được sử dụng để quản lý và đảm bảo sự đồng thuận của người dùng về việc thu thập, xử lý, và sử dụng thông tin cá nhân của họ trong các hoạt động trực tuyến, đặc biệt là trong lĩnh vực quảng cáo số và quản lý cookie.

Google cũng đưa ra một policy chi tiết về sự đồng ý của người dùng tại EU. Bạn có thể đọc TẠI ĐÂY

GPDR có thể tác động như thế nào đến ngành mobile app?

Để quảng cáo hiển thị đúng với nhu cầu của user, bạn cần sử dụng cookie và các dữ liệu cục bộ có liên quan để cá nhân hóa quảng cáo. Nhưng hiện nay, bạn cần sử dụng CMP để xin sự đồng ý của người dùng.

Nếu người dùng đồng ý cấp phép, quảng cáo trong ứng dụng sẽ được cá nhân hóa và hiển thị bình thường. Tuy nhiên, nếu người dùng không đồng ý cấp phép, bạn có thể phân phối quảng cáo không được cá nhân hóa và quảng cáo bị hạn chế. Hãy cùng đi sâu vào hai hình thức quảng cáo này.

1. Phân phối quảng cáo không được cá nhân hóa. 

Quảng cáo không được cá nhân hóa sẽ chỉ sử dụng thông tin tùy theo bối cảnh, bao gồm vị trí chung (cấp thành phố) và nội dung trên trang web hoặc ứng dụng hiện tại. Việc nhắm mục tiêu không dựa trên hồ sơ hoặc hành vi trước đây của người dùng. ​Bạn có thể lựa chọn chỉ phân phát quảng cáo không được cá nhân hóa cho tất cả người dùng ở Khu vực kinh tế Châu Âu (EEA) và Vương quốc Anh. 

Tuy nhiên, có một điểm cần lưu ý: Các quảng cáo này không sử dụng cookie để cá nhân hóa quảng cáo, nhưng có sử dụng cookie để triển khai chức năng giới hạn tần suất, báo cáo quảng cáo tổng hợp cũng như chống gian lận và lạm dụng. Vì vậy, bạn vẫn cần có sự đồng ý của người dùng cho những mục đích đó ở các quốc gia áp dụng điều khoản sử dụng cookie theo Chỉ thị về quyền riêng tư và truyền thông điện tử. Vậy nên, việc xin phép vẫn là cần thiết!

2. Phân phối quảng cáo bị hạn chế

Mới đây, Google đã ra mắt quảng cáo bị hạn chế (LTD) để cho phép phân phát quảng cáo có hạn chế trong trường hợp không thể sử dụng cookie hoặc dữ liệu lưu trữ khác trên thiết bị khi không có sự đồng ý của người dùng

Bạn có thể sử dụng tính năng này theo chính sách ngay cả khi bạn chưa yêu cầu sự đồng ý của người dùng cuối hoặc người dùng cuối không đồng ý. Tuy nhiên, Google rất không khuyến khích điều này, vì họ vẫn cần một cơ sở pháp lý để thực hiện những tính năng như đo lường hay phân phát quảng cáo cơ bản

Quảng cáo bị hạn chế sẽ vô hiệu hóa tất cả hoạt động cá nhân hóa và các tính năng yêu cầu sử dụng cookie hoặc dữ liệu khác lưu trữ trên thiết bị (bao gồm cả giá trị nhận dạng thiết bị di động). Điều này có nghĩa là bạn sẽ không thể sử dụng tất cả các tính năng cho quảng cáo bị hạn chế

Để biết thông tin chi tiết về quảng cáo hạn chế nói chung và tất cả các tính năng không được sử dụng cho quảng cáo bị hạn chế, hãy đọc TẠI ĐÂY

Tất cả thông tin chi tiết về GDPR và các quy định từ Google, bạn có thể đọc TẠI ĐÂY

Phần 2: Hướng dẫn chi tiết về cách tạo thông báo thu thập sự đồng ý của người dùng thông qua CMP mặc định của Google trên Admob.

Trong phần này, chúng tôi sẽ đi từng bước 1 chi tiết phần hướng dẫn setup để thực hiện thu thập sự đồng ý của người dùng:

Bước 1: Truy cập vào Google Admob, phần quyền riêng tư và thông báo, sau đó chọn phần Quy định của châu Âu

Bước 2: Trong phần quy định của châu Âu, nhấn Tạo thông báo

Bước 3: Chọn ứng dụng

Bước 4: Thêm URL về chính sách quyền riêng tư trước khi phát hành thông báo

Bước 5: Chọn ngôn ngữ phù hợp. 

Tại đây, chúng tôi đang chọn đầy đủ tất cả các ngôn ngữ để đảm bảo mọi người dùng đều có thể hiểu rõ nội dung của thông báo

Lưu ý: Bạn chỉ có thể chọn 1 ngôn ngữ đầu tiên, sau đó hệ thống sẽ hiển thị thêm phần chọn những ngôn ngữ khác.

Bước 6: Thiết lập lựa chọn của người dùng

Tại đây, bạn có thể setup những thành phần sẽ hiển thị với người dùng. Cụ thể, bạn có thể điều chỉnh để bật/ tắt các thành phần như: Quản lý các lựa chọn, Không đồng ý, Đóng (không đồng ý)

Bước 7: Tùy chỉnh giao diện

Bước 8: Tùy chỉnh nhắm mục tiêu

Bước 9: Chọn các đối tác quảng cáo

Sau khi đã tùy chỉnh tất cả các thông số mong muốn, bạn sẽ tiếp tục chọn đối tác quảng cáo. Xin hãy lưu ý rằng khi bạn chọn tất cả các đối tác, thì thông tin về các đối tác cũng sẽ được hiển thị đầy đủ ở phía người dùng. Họ hoàn toàn có thể chọn bật/tắt các đối tác họ mong muốn. 

Cuối cùng, để đo lường xem lượt xem trang có hiển thị thông báo, tỷ lệ lưu lượng truy cập từ Khu vực kinh tế Châu Âu (EEA) và Vương Quốc Anh cũng như tỷ lệ người dùng đã cung cấp sự đồng ý, bạn có thể xem ngay trong phần quy định của châu Âu.

Phần 3: Cách triển khai CMP trong ứng dụng

Sau khi đã hoàn tất việc setup thông qua Admob, các developer có thể tiếp nối công việc bằng cách triển khai trong ứng dụng.

Bước 1: Tạo một loại thông báo

Tạo thông báo cho người dùng bằng một trong các các loại thông báo cho người dùng hiện có trong thẻ Quyền riêng tư và thông báo trong tài khoản AdMob của bạn.

Bước 2: Cài đặt bằng Gradle

Thêm phần phụ thuộc cho SDK Nền tảng thông báo cho người dùng của Google vào tệp Gradle ở cấp ứng dụng trong mô-đun của bạn, thường là app/build.gradle:

dependencies {
  implementation("com.google.android.ump:user-messaging-platform:2.1.0")
}

Sau khi thay đổi build.gradle của ứng dụng, hãy nhớ đồng bộ hoá dự án của bạn với các tệp Gradle.

Bước 3: Yêu cầu thông tin về sự đồng ý

Bạn nên yêu cầu cập nhật thông tin về trạng thái đồng ý của người dùng mỗi lần chạy ứng dụng, bằng cách sử dụng requestConsentInfoUpdate(). Chế độ này xác định liệu người dùng của bạn có cần phải đưa ra sự đồng ý nếu họ chưa làm vậy hay nếu trạng thái đồng ý của họ đã hết hạn.

Bước 4: Tải và hiển thị biểu mẫu đồng ý nếu cần

Quan trọng: Các API sau đây tương thích với SDK Nền tảng thông báo cho người dùng (UMP) phiên bản 2.1.0 trở lên.

Sau khi bạn nhận được trạng thái đồng ý mới nhất, hãy gọi loadAndShowConsentFormIfRequired() trên lớp ConsentForm để tải biểu mẫu lấy sự đồng ý. Nếu cần phải có trạng thái đồng ý, SDK sẽ tải một biểu mẫu và ngay lập tức hiển thị biểu mẫu đó từ activityđược cung cấp. Biểu callback được gọi sau khi biểu mẫu bị loại bỏ. Nếu người dùng không cần phải có được sự đồng ý, thì quy trình callback sẽ được gọi ngay lập tức.

Trước khi yêu cầu quảng cáo trong ứng dụng của bạn, hãy kiểm tra xem bạn đã nhận được sự đồng ý của người dùng bằng cách sử dụng canRequestAds()hay chưa. Có 2 nơi bạn cần kiểm tra trong quá trình thu thập sự đồng ý:

1. Sau khi thu thập sự đồng ý trong phiên hiện tại.
2. Ngay sau khi bạn gọi điện cho requestConsentInfoUpdate(). Có thể bạn đã nhận được sự đồng ý trong phiên trước đó. Một phương pháp hay nhất về độ trễ là bạn không nên đợi lệnh gọi lại hoàn tất để có thể bắt đầu tải quảng cáo càng sớm càng tốt sau khi ứng dụng khởi chạy.

Bước 5: Xem lại Các chế độ về quyền riêng tư

Một số biểu mẫu lấy sự đồng ý yêu cầu người dùng sửa đổi sự đồng ý của mình bất cứ lúc nào. Hãy làm theo các bước sau đây để triển khai nút tuỳ chọn quyền riêng tư nếu cần.

Để thực hiện điều này:

1. Triển khai một thành phần trên giao diện người dùng (chẳng hạn như nút trên trang cài đặt của ứng dụng) có thể kích hoạt biểu mẫu tuỳ chọn về quyền riêng tư.
2. Sau khi loadAndShowConsentFormIfRequired() hoàn tất, hãy kiểm tra privacyOptionsRequirementStatus() để xác định xem có hiển thị thành phần trên giao diện người dùng có thể hiển thị biểu mẫu tuỳ chọn quyền riêng tư hay không.
3. Khi người dùng tương tác với phần tử trên giao diện người dùng, hãy gọishowPrivacyOptionsForm() để hiển thị biểu mẫu nhằm giúp người dùng có thể cập nhật các tuỳ chọn quyền riêng tư của họ bất cứ lúc nào.

Bước 6: Kiểm thử

Nếu bạn muốn kiểm thử tính năng tích hợp trong ứng dụng khi đang phát triển, hãy làm theo các bước dưới đây để đăng ký thiết bị kiểm thử theo phương thức lập trình.

1. Gọi requestConsentInfoUpdate().
2. Kiểm tra đầu ra nhật ký để tìm một thông báo trông giống như bên dưới. Thông báo này cho bạn biết mã thiết bị của bạn và cách thêm thiết bị đó làm thiết bị thử nghiệm

Use new ConsentDebugSettings.Builder().addTestDeviceHashedId("33BE2250B43518CCDA7DE426D04EE231") to set this as a debug device.

3. Sao chép mã thiết bị thử nghiệm vào bảng nhớ tạm.

Sửa đổi mã của bạn để gọi  ConsentDebugSettings.Builder().addTestDeviceHashedId() và truyền vào danh sách mã thiết bị thử nghiệm của bạn.

Xem cụ thể hướng dẫn chi tiết từ Google TẠI ĐÂY

Trên đây là hướng dẫn chi tiết về cách tạo thông báo thu thập sự đồng ý của người dùng thông qua mẫu mặc định của Google. Ngoài mẫu mặc định này, bạn hoàn toàn có thể sử dụng mẫu được thiết kế riêng, phù hợp với nhu cầu, dựa trên các tiêu chí: Giúp người đọc nắm bắt rõ ràng thông tin và có thể cấp/ từ chối cấp quyền đồng ý. 

Ngoài ra, bạn cũng có thể sử dụng CMP của bên thứ 3, thay vì sử dụng CMP của Google. Nếu sử dụng một CMP có sẵn, bạn nên tham khảo ý kiến của bộ phận pháp chế để có được một giải pháp yêu cầu sự đồng ý phù hợp với các tình huống, cũng như đảm bảo rằng giải pháp này cho phép họ điều chỉnh để phản ánh tình huống đó.

Hy vọng bài viết này đã cho bạn một cái nhìn tổng quát hơn về GDPR và cách cài đặt thông báo đơn giản nhất!