Copyright © 2025 World Wide Web Consortium. W3C® liability, trademark and permissive document license rules apply.
本文档定义了一种通过 HTTP 和 DOM 传递的信号,用于传达个人请求网站和服务不要将其个人信息出售或分享给第三方的意愿。本标准旨在配合现有及即将实施的法律框架,使此类请求具有可执行性。
本节描述了本文档在发布时的状态。当前 W3C 出版物列表以及本技术报告的最新修订版可在 W3C 标准与草案索引中找到。
作为工作草案发布,并不代表 W3C 及其成员的认可。
本文档为草案,可能随时被更新、替换或废弃。将本文档作为正式引用是不合适的,仅可视为工作进展。
本文档由遵守 W3C 专利政策 的小组制定。 W3C 维护着 与小组交付物相关的专利公开公示列表; 该页面还包含专利公开的说明。若个人实际知晓某项专利并认为其包含 必要声明 ,则须根据 W3C 专利政策第6节 披露相关信息。
本文档受 2025年8月18日 W3C 流程文档管理。
本节为非规范性内容。
现今构建网站通常涉及依赖于其他企业所提供的服务,而不仅仅是用户选择互动的那家企业。这是由于Web技术日益复杂,以及不同服务之间分工协作的结果。这种架构虽可用于提升Web体验,但也可能被滥用以侵犯隐私([privacy-principles])。数据可以因运维目的被分享给服务提供者,但也可能被用于行为定向,这让许多用户无法接受。
世界各地的司法辖区已经提出或制定了多种法律框架来应对这一问题。有些模式依赖用户对跟踪的同意;而基于数据最小化原则的其他模式,则直接禁止某些数据共享或处理行为。
一些法律和提案赋予用户请求隐私保护的权利,包括“选择退出”请求,要求其数据不被出售或分享至其希望互动的企业之外。但让用户每访问一个网站都手动行使权利并不现实,这实际上给人们强加了“隐私劳动”([privacy-principles])。
本规范正是为这类法律设计,旨在通过提供一种机制,让用户能通过HTTP头或DOM,向所有网站发布者普遍传达其主张——防止其数据被出售、与第三方分享,以及被用于跨场景定向广告。此信号让用户能利用某些以选择退出为基础的法律中的具体条款,例如,加州消费者隐私法案(CCPA)中关于“选择退出偏好信号”的规定来阻止个人信息的出售或共享[CCPA-REGULATIONS],或科罗拉多州及其他州法律中关于“统一选择退出机制”的类似规定,让用户能选择退出其信息被出售或用于跨组织定向广告。
本规范不应被解读为对选择退出型监管模式——或更广泛意义上的跨场景跟踪——的认可,也不是对基于同意或数据最小化等其他模式的否定。它的目标是让用户能在特定司法辖区内行使已被授予的主动权利。
不出售或分享交互,指的是用户在与网站交互时,请求其数据不被出售或分享给任何其不希望互动的第三方,也不被用于跨场景广告定向,除非法律允许。
不出售或分享偏好,指的是用户通过激活全局隐私控制设置(或使用默认如此设置的工具,可能因为这符合该工具用户的普遍预期)提出其“数据不应被出售或分享”的请求。当该偏好被设置时,用户期望以不出售或分享交互的方式浏览Web。
站点可以在 .well-known 路径下生成一个资源,以表明其遵守 GPC 请求,至少在法律要求的情况下。GPC 支持资源的目的是让站点表达其对全局隐私控制的知晓和支持。该支持资源并不用于表示站点是否遵守访问该资源的用户代理的 GPC 请求。默认情况下,源站的支持状态为未知。
GPC 支持资源在源服务器的 URL 下具有专用标识符 /.well-known/gpc.json [RFC8615]。
收到指向其 GPC 支持资源的有效 GET 请求时,源服务器要么返回包含站点范围跟踪状态的机器可读响应(如下定义),要么返回一系列重定向,最终指向这样的响应(该响应可以由其他源服务器提供)。
源服务器必须以 application/json 媒体类型 [RFC8259] 返回 GPC
支持资源,否则该源的支持状态为未知。
GPC 支持表示必须是一个 JSON 对象,否则源站的支持状态为未知。下列清单之外的成员在本规范中无意义,必须被忽略。成员包括:
gpc 成员。其值必须为 true(表示服务器意图至少在法律要求的范围内遵守 GPC 请求)或
false(表示服务器不遵守)。若为其他值,则支持状态为未知。
lastUpdate 成员。其值必须为 RFC3339
full-date(YYYY-MM-DD)或 date-time(YYYY-MM-DDTHH:mm:ss.sssZ)[RFC3339]。此值表示支持声明的时间,后续 GPC
标准含义变更不影响该资源的法律解释。若格式非法,则更新时间未知。
本节为非规范性内容。
GPC 信号旨在让用户能够行使其在法律上停止特定数据分享或处理的权利。因此,GPC 信号的发送和接收可能产生法律效力,具体取决于发送人的所在地、适用法律范围,以及接收方与个人之间的任何单独协议。然而,GPC 并不一定旨在激活每个司法辖区的所有新隐私权。有关法律效力的更多细节,请参阅法律与实现指南。
例如,个人使用 GPC 信号意在传达其希望行使如下权利(如适用):
GPC 最初为利用美国新出台的选择退出隐私法规而创建。自 2018 年加州消费者隐私法案(CCPA)实施起,美国多个州通过了赋予消费者选择退出其数据被出售、共享或用于跨组织定向广告的权利的隐私法规。许多州法律明确允许通过类似 GPC 的统一选择退出机制行使这些权利。至少有四个州明确指出 GPC 是行使法律选择退出权利的有效方式。还有部分州通过规则制定程序允许监管机构细化统一选择退出请求的具体要求;其他州则可能依赖非正式指导或执法行动来明确 GPC 信号相关法律义务的范围。
GPC 也可能用于表明其他司法辖区的权利。例如,GDPR 在第 7 条和第 21 条下可能赋予数据主体限制个人信息分享的权利。世界许多其他国家也采纳了通常以 GDPR 为蓝本的积极隐私立法;这些国家的监管机构可能认定 GPC 激活了需要接收方响应的法律权利。
美国其他州隐私法(如弗吉尼亚州和犹他州)为消费者提供了数据出售和跨组织定向广告的新选择退出权利,但未规定全球选择退出信号的法律效力。监管机构在执行这些法规时,可能认为用户激活 GPC 等信号已足以合法行使选择退出权利。
但 GPC 并不一定旨在激活每个司法辖区的所有新隐私权。例如,GPC 并不意在让用户在每个访问的网站上都能全局行使数据删除权。GPC 也不旨在限制第一方在自身站点内对个人信息的使用(如发布商基于用户在本站的行为投放广告)。
鉴于现有同意框架的复杂性,接受 GPC 信号的发布商应披露其在该司法辖区如何处理 GPC 信号,以及如何处理该信号与用户先前已在发布商处明确选择的其他隐私设置之间的冲突,包括在法律允许或个人指示的情况下向服务提供商/处理者或第三方分享数据。
本文档未规定在激活 GPC 前必须向用户展示哪些信息。当用户代理推广隐私功能或提供隐私设置时,可以根据向用户披露的信息决定是否适合发送 GPC。 用户代理应当尽力表达其对用户全局隐私控制值的最佳判断。尽管研究表明大多数人不希望其数据被出售或分享,但部分司法辖区采用了“选择退出”法律框架,要求消费者主动表达偏好以限制数据分享或用于定向广告。GPC 的设计目的是让用户便捷地利用这些法律。
不同司法辖区对平台启用统一选择退出(如 GPC)前的前置条件不同。美国许多州规定,用户代理不得“默认”发送统一选择退出信号,但至少有一个州认为,只要选择了隐私导向的用户代理即可视为用户意图的充分指示。
不同司法辖区对企业何时可以覆盖或忽略普遍适用的选择退出信号,也有不同规定,例如因为已获得用户同意。
全球选择退出相关法律环境也在变化。已有多个州通过了必须尊重全球选择退出信号的法规,但各州条款差异明显。此外,随着加利福尼亚州已修订 2018 年通过的原始 CCPA,各州可能会修订其法律要求。
除美国外,其他司法辖区也可能认可统一隐私信号,并可能对这些信号生效前施加自身要求。
有关最新法律要求,请查阅法律与实现指南,该指南将提供关于全球选择退出的最新法律指导信息。
在有要求的情况下,用户代理应向用户展示所有适当的通知,以确保其希望享有的权利获得有效保障。
通过 HTTP 头字段或 navigator
对象公开用户偏好,可能会将用户分为两类,从而增加浏览器或设备指纹识别所需的信息量。除非该信号与其他信号完全相关,或为不可配置设置,否则这些额外信息始终可用。因此,视实现方式不同,GPC
信号可能带来隐私成本,尽管这是一种为了发送该信号而带来的合理隐私收益。
本规范中的功能目前无已知安全影响。
| HTTP 方法 | URI 模板 |
|---|---|
| POST | /session/{session id}/privacy |
设置全局隐私控制 扩展命令可修改当前会话的不出售或分享偏好。
远端步骤,给定 session、URL variables 和 parameters 如下:
| HTTP 方法 | URI 模板 |
|---|---|
| GET | /session/{session id}/privacy |
远端步骤,给定 session、URL variables 和 parameters 如下:
本规范中被标记为非规范性的章节,以及所有编写指导、图表、示例和注释均为非规范性内容。规范中的其他内容均为规范性内容。
本文档中的 MAY、MUST、MUST NOT、SHOULD 等关键词,依照 BCP 14 [RFC2119] [RFC8174] 的定义进行解释,仅当其全部大写出现时按照上述含义解释。
需要考虑的是,GPC 信号会附加在对某个站点发起的每一个 HTTP 请求上。渲染一个网页通常需要发起数十次这样的请求。因此,如果每一次 GPC 交互都触发完整的选择退出流程并带有昂贵的审计跟踪,对于所有 GPC 交互都会导致大量的处理,包括那些必须尽可能高效执行的内容分发网络(CDN)资源,这在实际操作中可能并不现实。
鼓励意在支持 GPC 的监管规定考虑此类实现上的难点。应对这些难题的一种方式,是区分为用户在站点上持久请求不出售或分享交互 偏好而提供的用户界面手段,以及由用户代理维护状态的 不出售或分享交互信号。在后者情况下,可以将此交互视为用户此前已请求此不出售或分享交互 偏好且该用户正处于该偏好已激活的状态来处理。
Referenced in:
Referenced in: