消费者的个人数据是GDPR的核心。它被定义为与已识别或可识别的活个体相关的任何信息。这可以是，例如，cookie ID、客户编号、IP地址和设备ID。这些是许多联盟和平台在其标准跟踪和重定向工作中捕获的标识符。

使用跟踪的广告主有义务确保其符合法规的法律要求。

企业需要合法依据来处理个人数据。共有六种合法依据。在数字广告领域，最常用的两种是同意和合法利益。

合法利益与同意不同。根据Information Commissioner's Office (ICO)，即英国的GDPR监督机构：

这可能最适用于您以人们合理预期的方式使用其数据，并且对隐私影响最小，或在处理有令人信服的理由的情况下。

如果企业选择合法利益，必须有信心证明这是一个适当的合法依据。

在需要同意的情况下，ICO指出：

同意意味着为个人提供真正的选择和控制。真正的同意应让个人掌控，建立客户信任和参与，并提升您的声誉。

欧盟GDPR规定：

数据主体的“同意”是指数据主体通过声明或明确的肯定行动，自愿、具体、知情和明确地表示同意处理与其相关的个人数据的意愿。

合同也是在某些情况下可能适用的法律依据。它指的是企业与其客户或数据主体之间的特定合同协议，允许企业收集和处理个人数据。

了解更多关于合法依据的信息。

欧盟的电子隐私指令，或称cookie法，主要与在浏览网站时看到的横幅广告和弹出广告有关，这些广告告知消费者关于使用cookie来跟踪在线活动的信息。该指令还适用于电子邮件、短信和电话营销同意，这适用于某些企业。

英国的隐私和电子通信法规（PECR）源自该指令。

两者都是特别法，意味着它们管理特定的主题，类似于GDPR。这意味着电子隐私指令必须在其规则比欧盟GDPR更具体的情况下适用，而PECR必须在其规则比英国GDPR更具体的情况下适用。

电子隐私指令和PECR要求控制者在使用cookie（有某些例外）和直接营销通信时获得同意。

修订旨在增强消费者透明度并加强cookie同意。对于“cookie和类似技术”，同意是必不可少的。这意味着无论在GDPR规则下使用何种法律依据处理个人数据，电子隐私指令和PECR仍然有效。对于许多cookie的使用，同意必须是明确的，因为GDPR仅在同意明确时才认为其足够。您应评估您的同意实践并使其符合法规。

鉴于对所有形式的在线广告可能产生的重大影响，行业已合作创建一般标准和方法。Interactive Advertising Bureau (IAB) Europe提供了在线同意的技术标准，行业利益相关者正在构建一个同意工具，以确保符合GDPR和电子隐私指令。

网上有多种选项和工具可用。我们建议您评估解决方案，以确保它们可以实施以符合法规。