Copyright © 2026 World Wide Web Consortium. W3C® liability, trademark and permissive document license rules apply.
本文档定义了一种通过 HTTP 和 DOM 传递的信号,用于传达个人请求网站和服务不要将其个人信息出售或分享给第三方的意愿。本标准旨在配合现有及即将实施的法律框架,使此类请求具有可执行性。
本节描述了本文档在发布时的状态。当前 W3C 出版物列表以及本技术报告的最新修订版可在 W3C 标准与草案索引中找到。
作为工作草案发布,并不代表 W3C 及其成员的认可。
本文档为草案,可能随时被更新、替换或废弃。将本文档作为正式引用是不合适的,仅可视为工作进展。
本文档由遵守 W3C 专利政策 的小组制定。 W3C 维护着 与小组交付物相关的专利公开公示列表; 该页面还包含专利公开的说明。若个人实际知晓某项专利并认为其包含 必要声明 ,则须根据 W3C 专利政策第6节 披露相关信息。
本文档受 2025年8月18日 W3C 流程文档管理。
本节为非规范性内容。
当今构建网站常常需要依赖除用户选择交互的企业之外的其他企业所提供的服务。 这是由于 Web 技术日益复杂以及不同服务之间的分工所导致的结果。 虽然这种架构可以用于提供更好的 Web 体验,但也可能被滥用以侵犯 privacy ([privacy-principles]). While data can be shared with service providers for limited operational purposes, it can also be shared or used for behavioral targeting in ways that many users find objectionable.
世界各地的司法管辖区已提出或颁布了若干不同的法律框架来应对这一问题。 有些模式依赖用户对跟踪的同意。 基于数据最小化原则的其他模型则干脆完全禁止某些数据共享或数据处理。
一些法律和提案授予用户请求保护其隐私的权利,包括 "opt out" 请求,要求其数据不 被出售或共享给超出其意图交互的企业。 然而,要求人们对他们访问的每个网站都手动表达其权利既不切实际,也给人们施加了 "privacy labor"([privacy-principles)。
本规范针对最后一类法律而设计,并通过 HTTP 头或 DOM 向所有网站发布者提供一种通用信号,传达个人声明其适用权利以阻止其数据被出售、与第三方共享以及用于跨上下文定向广告,从而解决了扩展用户选择难以实施的问题。 该信号使用户能够利用某些基于 "global opt-out" 的法律中的具体条款,例如加利福尼亚消费者隐私法案中关于 “opt out preferences signals” 的条款,以阻止个人信息的出售或共享,[CCPA-REGULATIONS],或科罗拉多及其他州法律中关于 “universal opt-out mechanisms” 的类似条款,使用户能够选择退出其信息的出售或将其用于跨组织定向广告。
然而,虽然 Global Privacy Control 的设计是让用户表达选择退出数据共享和跨上下文定向广告的偏好,但该控制并不打算行使所有可能的隐私权,甚至不涵盖关于广告或广告定位的所有选择退出权。 例如,GPC 并非用于行使删除权。 GPC 也不用于解决同一 context 内的数据收集或广告定位。 更多细节,请参见 Legal and Implementation Considerations Guide。
本规范不应被解释为对选择退出监管模式——或更广泛的跨情境跟踪——的认可,也不应被视为对基于同意或数据最小化的其他模式的否定。 相反,其旨在使用户能够在某些司法管辖区行使赋予他们的积极权利。
一个 不出售或不共享的交互 是与网站的交互, 在该交互中,个人请求其数据不被出售给或与其打算交互的实体以外的任何方共享,或其数据不被用于跨上下文广告定位。 根据 W3C 的 隐私原则,该人至少 请求只有一个 数据控制者 ,并且数据不得被用于在另一个 上下文 中进行广告定位, 即使该 上下文 属于 同一企业。
不出售或分享偏好,指的是用户通过激活全局隐私控制设置(或使用默认如此设置的工具,可能因为这符合该工具用户的普遍预期)提出其“数据不应被出售或分享”的请求。当该偏好被设置时,用户期望以不出售或分享交互的方式浏览Web。
站点可以在 .well-known 路径下生成一个资源,以表明其遵守 GPC 请求,至少在法律要求的情况下。GPC 支持资源的目的是让站点表达其对全局隐私控制的知晓和支持。该支持资源并不用于表示站点是否遵守访问该资源的用户代理的 GPC 请求。默认情况下,源站的支持状态为未知。
GPC 支持资源在源服务器的 URL 下具有专用标识符 /.well-known/gpc.json [RFC8615]。
收到指向其 GPC 支持资源的有效 GET 请求时,源服务器要么返回包含站点范围跟踪状态的机器可读响应(如下定义),要么返回一系列重定向,最终指向这样的响应(该响应可以由其他源服务器提供)。
源服务器必须以 application/json 媒体类型 [RFC8259] 返回 GPC
支持资源,否则该源的支持状态为未知。
GPC 支持表示必须是一个 JSON 对象,否则源站的支持状态为未知。下列清单之外的成员在本规范中无意义,必须被忽略。成员包括:
gpc 成员。其值必须为 true(表示服务器意图至少在法律要求的范围内遵守 GPC 请求)或
false(表示服务器不遵守)。若为其他值,则支持状态为未知。
lastUpdate 成员。其值必须为 RFC3339
full-date(YYYY-MM-DD)或 date-time(YYYY-MM-DDTHH:mm:ss.sssZ)[RFC3339]。此值表示支持声明的时间,后续 GPC
标准含义变更不影响该资源的法律解释。若格式非法,则更新时间未知。
本节为非规范性内容。
GPC 信号旨在让用户能够行使其在法律上停止特定数据分享或处理的权利。因此,GPC 信号的发送和接收可能产生法律效力,具体取决于发送人的所在地、适用法律范围,以及接收方与个人之间的任何单独协议。然而,GPC 并不一定旨在激活每个司法辖区的所有新隐私权。有关法律效力的更多细节,请参阅法律与实现指南。
例如,个人使用 GPC 信号意在传达其希望行使如下权利(如适用):
监管机构和实施者若希望了解如何在 给定的司法辖区中最佳地应用 GPC 信号,建议查阅 全局退出(global opt-out) 机制的语义, 这些语义在 W3C 的 隐私原则 中有详细说明,因为具体细节可能 对不太熟悉 Web 上用户代理期望的人而言并不熟悉。
GPC 最初为利用美国新出台的选择退出隐私法规而创建。自 2018 年加州消费者隐私法案(CCPA)实施起,美国多个州通过了赋予消费者选择退出其数据被出售、共享或用于跨组织定向广告的权利的隐私法规。许多州法律明确允许通过类似 GPC 的统一选择退出机制行使这些权利。至少有四个州明确指出 GPC 是行使法律选择退出权利的有效方式。还有部分州通过规则制定程序允许监管机构细化统一选择退出请求的具体要求;其他州则可能依赖非正式指导或执法行动来明确 GPC 信号相关法律义务的范围。
GPC 也可能被用来表示其它司法辖区中的权利。例如,GDPR 可能赋予数据主体在第 7 条和第 21 条下限制个人信息共享的权利。世界上许多其他国家已通过积极的隐私立法——通常以 GDPR 为模型;这些国家中的监管机构可能认定 GPC 引发了一项需要接收方作出某种回应的法律权利。
其它美国州的隐私法律,例如弗吉尼亚州和犹他州的法律,赋予消费者有关数据出售和跨组织定向广告的新选择退出权,但对全局选择退出信号的法律效力保持沉默。执行这些法规的监管机构可能会认定,用户启用像 GPC 这样的信号即可在这些司法辖区内合法行使选择退出权。
然而,GPC 并不一定旨在触发每个司法辖区的所有新隐私权利。例如,GPC 并非旨在在用户访问的每个网站上全局触发数据删除权。GPC 也不旨在限制第一方在相同上下文中对个人信息的使用(例如,出版商基于该用户在同一上下文中的先前活动在其网站上向用户定向广告)。
鉴于现有同意框架的复杂性,接受 GPC 信号的发布者应披露其在该司法辖区如何处理 GPC 信号,以及在该信号与该人已直接与发布者做出的其他特定隐私选择发生冲突时如何处理,包括允许第三方共享的实例,例如向服务提供者/处理者的共享、基于法律的共享或按个人指示的共享。
本文档未规定在激活 GPC 前必须向用户展示哪些信息。当用户代理推广隐私功能或提供隐私设置时,可以根据向用户披露的信息决定是否适合发送 GPC。 用户代理应当尽力表达其对用户全局隐私控制值的最佳判断。尽管研究表明大多数人不希望其数据被出售或分享,但部分司法辖区采用了“选择退出”法律框架,要求消费者主动表达偏好以限制数据分享或用于定向广告。GPC 的设计目的是让用户便捷地利用这些法律。
不同司法辖区对平台启用统一选择退出(如 GPC)前的前置条件不同。美国许多州规定,用户代理不得“默认”发送统一选择退出信号,但至少有一个州认为,只要选择了隐私导向的用户代理即可视为用户意图的充分指示。
不同司法辖区对企业何时可以覆盖或忽略普遍适用的选择退出信号,也有不同规定,例如因为已获得用户同意。
全球选择退出相关法律环境也在变化。已有多个州通过了必须尊重全球选择退出信号的法规,但各州条款差异明显。此外,随着加利福尼亚州已修订 2018 年通过的原始 CCPA,各州可能会修订其法律要求。
除了美国之外,其他司法管辖区也可能认可通用隐私信号,并且可能会在此类信号被视为具有法律约束力之前,施加其自身的要求。
有关最新法律要求,请查阅法律与实现指南,该指南将提供关于全球选择退出的最新法律指导信息。
在有要求的情况下,用户代理应向用户展示所有适当的通知,以确保其希望享有的权利获得有效保障。
通过 HTTP 头字段或 navigator
对象公开用户偏好,可能会将用户分为两类,从而增加浏览器或设备指纹识别所需的信息量。除非该信号与其他信号完全相关,或为不可配置设置,否则这些额外信息始终可用。因此,视实现方式不同,GPC
信号可能带来隐私成本,尽管这是一种为了发送该信号而带来的合理隐私收益。
本规范中的功能目前无已知安全影响。
| HTTP 方法 | URI 模板 |
|---|---|
| POST | /session/{session id}/privacy |
设置全局隐私控制 扩展命令可修改当前会话的不出售或分享偏好。
远端步骤,给定 session、URL variables 和 parameters 如下:
| HTTP 方法 | URI 模板 |
|---|---|
| GET | /session/{session id}/privacy |
远端步骤,给定 session、URL variables 和 parameters 如下:
本规范中被标记为非规范性的章节,以及所有编写指导、图表、示例和注释均为非规范性内容。规范中的其他内容均为规范性内容。
本文档中的 MAY、MUST、MUST NOT、SHOULD 等关键词,依照 BCP 14 [RFC2119] [RFC8174] 的定义进行解释,仅当其全部大写出现时按照上述含义解释。
需要考虑的是,GPC 信号会附加在对某个站点发起的每一个 HTTP 请求上。渲染一个网页通常需要发起数十次这样的请求。因此,如果每一次 GPC 交互都触发完整的选择退出流程并带有昂贵的审计跟踪,对于所有 GPC 交互都会导致大量的处理,包括那些必须尽可能高效执行的内容分发网络(CDN)资源,这在实际操作中可能并不现实。
鼓励意在支持 GPC 的监管规定考虑此类实现上的难点。应对这些难题的一种方式,是区分为用户在站点上持久请求不出售或分享交互 偏好而提供的用户界面手段,以及由用户代理维护状态的 不出售或分享交互信号。在后者情况下,可以将此交互视为用户此前已请求此不出售或分享交互 偏好且该用户正处于该偏好已激活的状态来处理。
Referenced in:
Referenced in: