谷歌将在英欧地区用IP地址进行广告个性化:隐私合规与技术转向
作者 Mag-Info Tech editorial · 2026-06-18
谷歌日前通知广告商,计划于2026年8月3日(或之后)在英国、欧洲经济区(EEA)和瑞士地区启用一项新的广告服务机制:将用户的IP地址用于广告测量与个性化推送。这一变动看似技术细节,实则涉及数据合规、用户隐私与商业模式的重大调整。对用户而言,原本被视为“个人数据”的IP地址将被直接用于识别设备,并在此基础上进行广告定向。对行业而言,这标志着谷歌在隐私保护与广告效率之间寻找新平衡的一次重要转向。尽管公司强调使用了“隐私增强技术”(PETs),但从法律框架到用户体验,都将面临前所未有的挑战与合规压力。
从技术实现到合规逻辑:IP地址何以成为“设备标识”?
IP地址是互联网通信的基础协议,几乎每一次网络请求都会向服务器传输这一信息。在全球多数地区,IP地址被广泛用于流量路由、广告投放、反欺诈等场景,但通常被视为“辅助性数据”,而非核心用户标识。然而在英国、欧盟和瑞士,IP地址被明确归类为《通用数据保护条例》(GDPR)下的“个人数据”,其使用受到严格限制。谷歌此次将IP地址从单纯的网络标记升级为“设备识别”的核心依据,意味着它将直接成为广告个性化的基础信号之一。这一转变与国际广告协会欧洲分会(IAB Europe)的《透明度与同意框架》(TCF)第三功能(Feature 3)“基于自动传输信息识别设备”完全吻合。在TCF体系中,Feature 3并非独立的同意步骤,而是附属于“个性化”目的,后者需要用户明确授权。因此,当用户看到广告个性化选项时,实际上是在批准基于IP地址的设备识别与后续的定向推送。
这种合规逻辑的背后,是广告生态对第三方Cookie逐步退场的适应。随着Safari、Firefox等浏览器率先限制第三方Cookie,以及Chrome计划在2025年完全淘汰第三方Cookie,广告商和技术平台亟需新的用户标识手段。IP地址因其普遍性和稳定性,成为替代方案之一。然而,IP地址的识别能力远超传统Cookie:它不仅难以被用户清除或重置,还能在不同设备、浏览器甚至网络环境下保持相对稳定。这正是2019年谷歌Chrome工程总监Justin Schuh所批评的“指纹追踪”(fingerprinting)问题——用户无法像清除Cookie那样简单地“重置”自己的IP地址,因此这种识别方式被认为削弱了用户的选择权。然而,仅仅五年后,谷歌在2024年12月公开改变立场,不再将指纹追踪视为“不当行为”。这一转向不仅反映了技术现实,也体现了监管与商业博弈的复杂演变。
隐私增强技术(PETs)如何掩盖合规风险?
为缓解用户与监管对IP地址直接使用的担忧,谷歌在公告中反复提及“隐私增强技术”(PETs)作为技术支撑。具体而言,公司提到将采用“设备端处理”(on-device processing)、“可信执行环境”(Trusted Execution Environment, TEE)和“安全多方计算”(Secure Multi-Party Computation, SMPC)等技术。这些技术的核心理念是将用户数据的处理与识别过程尽可能限制在本地或受保护的硬件环境中,减少数据在传输或云端集中处理时的暴露风险。例如,设备端处理意味着IP地址可能不会被上传到远程服务器进行分析,而是在用户设备上直接完成特征提取与广告匹配;TEE则通过硬件级隔离确保即使数据被处理,也无法被未授权的进程访问;SMPC则允许多个参与方在不共享原始数据的情况下,协作完成计算任务,从而保护用户隐私。
然而,这些技术的实际效果与合规性仍有待观察。首先,PETs本身并不改变IP地址作为个人数据的法律属性——无论处理发生在何处,只要IP地址被用于识别自然人,就必须满足GDPR的合规要求。其次,部分PETs方案(如TEE)需要硬件支持,这意味着用户设备必须满足特定条件,否则功能可能无法正常使用。此外,广告个性化的最终目的是“推送”,这意味着即使特征提取在设备端完成,匹配结果仍需返回广告网络进行展示。这一过程可能涉及数据的二次传输,从而引入新的隐私风险。因此,PETs更多是一种“降低风险”的技术手段,而非完全消除合规责任的灵丹妙药。用户和监管机构仍需密切关注谷歌如何在实际部署中平衡效率与隐私保护。
用户同意机制:从“隐性”到“显性”的转变
根据TCF框架,谷歌将IP地址的使用附属于“个性化”目的,这意味着用户必须在明确知情的情况下授予同意。然而,这一机制的具体实现方式尚未完全公开。在公司的公告中,仅提到部分个性化功能将在“今年晚些时候或明年初”推出,届时用户将在其自有产品(如搜索、YouTube等)上看到相关选择界面。这表明谷歌可能采用渐进式推出策略,先在自有平台试点,再逐步扩展到合作伙伴网络。从用户体验角度看,这意味着用户可能面临频繁的同意请求弹窗,尤其是在跨平台浏览时。考虑到TCF框架的复杂性,用户可能难以理解“不同个性化目的”之间的区别,从而导致盲目同意或拒绝。
更值得关注的是,IP地址的使用是否会成为默认开启的选项。在以往的广告设置中,许多平台将“个性化广告”默认开启,仅提供关闭选项。如果谷歌沿用这一模式,可能引发用户隐私团体的强烈反对。相反,如果采用“默认关闭”策略,则可能影响广告投放效果和商业收入。因此,用户同意机制不仅是技术实现问题,更是商业模式与隐私保护的平衡艺术。监管机构,特别是英国信息专员公署(ICO),正在审视这一变化是否符合《英国数据保护法》和GDPR的要求。如果ICO认为IP地址的使用构成过度收集或强制同意,可能会要求谷歌进行调整或暂停相关功能。
反欺诈与效率:IP地址在广告生态中的“老角色”新使命
实际上,IP地址在广告生态中并非全新角色。多年来,广告商和反欺诈公司一直使用IP地址来识别异常流量、机器人点击或虚假账户。例如,通过比对IP地址与已知的恶意IP库,可以快速过滤掉来自数据中心或代理服务器的虚假流量。谷歌在公告中也强调,IP信号在全球其他地区已被广泛用于反垃圾邮件和反欺诈。然而,技术使用场景的扩展并不意味着合规性的自动满足。在欧盟和英国,IP地址的反欺诈用途必须符合“最小化原则”——即仅在必要情况下收集和处理,且不得超出目的范围。如果IP地址被同时用于反欺诈与广告个性化,可能需要分别说明这两种用途的合法依据。
此外,IP地址的反欺诈效果正在受到新技术的挑战。随着移动互联网的普及和NAT(网络地址转换)技术的广泛应用,多个用户可能共享同一公网IP地址,导致IP地址的识别精度下降。同时,VPN、代理和隐私网络(如Tor)的使用也在增加,这使得IP地址的准确性进一步受限。因此,仅依赖IP地址进行设备识别和反欺诈,可能无法满足长期需求。这正是谷歌寻求PETs等新技术的原因之一——在保留IP地址作为基础信号的同时,结合其他设备特征(如硬件指纹、行为模式等)来提升识别准确性和隐私保护水平。
监管环境:ICO的新动向与行业合规压力
英国信息专员公署(ICO)正在审查谷歌的新做法,特别是IP地址是否构成GDPR意义上的“个人数据”以及是否符合“合法处理”的条件。ICO此前对Cookie和指纹追踪的态度较为严格,多次对未经充分同意的追踪行为进行处罚。例如,ICO在2022年对一家广告公司开出了300万英镑的罚单,原因是其通过Cookie和设备指纹进行用户追踪时未获得充分同意。因此,谷歌此次变动极有可能面临ICO的详细审查。如果ICO认为IP地址的使用构成“过度收集”或“强制同意”,可能会要求谷歌暂停相关功能,或提供更明确的用户选择机制。
MEFAI的AI带来真实成果。专业版立减50美元。
赞助内容 · 过往表现不代表未来结果。非财务建议。
欧盟方面,欧洲数据保护委员会(EDPB)也在关注这一趋势。随着GDPR实施多年,欧洲监管机构对数据处理的合规要求愈发严格,特别是在涉及“自动化决策”或“用户画像”时。IP地址作为设备识别的基础,可能被视为构建用户画像的关键环节。因此,谷歌需要证明其处理过程符合GDPR的“透明度”、“目的限制”和“数据最小化”原则。此外,瑞士作为非欧盟成员但GDPR等效的地区,其监管机构也可能对谷歌的做法进行评估。这意味着谷歌需要在三个不同的监管框架下(英国、欧盟、瑞士)实现合规,增加了技术与运营的复杂性。
对广告商与开发者的实际影响:成本、效果与适应性
对于依赖谷歌广告生态的广告商而言,这一变动将带来直接的影响。首先,广告测量与个性化的精度可能因用户拒绝同意而下降。根据行业数据,在欧盟地区,用户同意率通常在60%至80%之间,这意味着有相当比例的用户可能无法被精准定向。其次,广告商需要重新评估其广告系列的ROI(投资回报率),特别是在高价值用户群体中。如果IP地址成为主要的识别手段,而用户又频繁使用VPN或隐私工具,广告效果可能进一步受损。此外,广告商还需要更新其同意管理平台(CMP),以确保符合TCF框架的要求,并与谷歌的新机制兼容。
对于开发者和技术供应商而言,这意味着需要重新设计广告SDK和数据收集流程。例如,原本依赖第三方Cookie的广告网络可能需要迁移到基于IP地址或其他设备标识符的方案。这将涉及代码重构、合规审计和新的测试流程,增加了开发成本和时间周期。同时,开发者还需要考虑PETs技术的集成,例如如何在设备端完成特征提取,或如何利用TEE保护数据处理过程。对于中小型开发者而言,这一转变可能面临更大的挑战,因为他们可能缺乏足够的技术资源或合规专业知识。因此,行业内可能出现新的技术服务提供商,专门为开发者提供IP地址合规解决方案。
用户体验与隐私保护:双重挑战下的权衡
从用户角度看,这一变动将在便利性与隐私保护之间形成新的权衡。一方面,基于IP地址的个性化广告可能提升广告相关性,减少无效展示,从而改善用户体验。例如,用户可能更少看到与其当前地理位置或语言环境无关的广告。另一方面,用户需要面对频繁的同意请求,以及对IP地址被用于追踪的担忧。特别是在公共Wi-Fi或共享网络环境下,IP地址可能泄露用户的大致位置或网络活动,增加隐私风险。此外,如果用户选择拒绝IP地址的使用,可能导致广告投放的精度下降,甚至出现更多无关广告。
为了缓解用户焦虑,谷歌可能需要提供更透明的解释和更灵活的控制选项。例如,用户可以选择仅允许基于IP地址的地理定向,而不进行个性化推荐;或者提供“记住我的选择”功能,避免反复弹窗。同时,用户教育也变得至关重要——许多人可能尚未意识到IP地址的法律地位变化,或不知道如何通过浏览器设置、VPN工具等手段保护隐私。因此,行业与监管机构可能需要联合推出用户指南,帮助公众理解这一变化的影响及应对策略。
未来趋势与监管前瞻:合规之路漫长且复杂
展望未来,IP地址在广告生态中的作用预计将持续扩大,但其合规路径仍充满不确定性。首先,随着GDPR和英国数据保护法的进一步实施,监管机构可能出台更详细的指导意见,明确IP地址使用的边界。例如,是否允许IP地址用于跨境广告投放?是否允许在设备端长期存储IP地址特征?这些问题都将影响谷歌及其他广告平台的技术设计。其次,新的隐私技术(如联邦学习、差分隐私等)可能逐步取代IP地址,成为广告个性化的主流方案。这些技术在保护用户隐私的同时,能够提供更精准的广告匹配能力,从而满足广告商与用户的双重需求。
同时,行业标准化进程也将加速。IAB Europe的TCF框架可能在未来几年内进行更新,以适应IP地址等新型标识符的使用场景。此外,欧盟的《数字服务法案》(DSA)和《数字市场法案》(DMA)也将对大型平台的数据处理行为产生约束,进一步推动行业向更透明、更可控的方向发展。对于谷歌而言,这意味着需要在技术创新、合规风险与商业利益之间找到微妙的平衡。而对于整个广告生态系统,这一变动可能成为一个转折点——推动行业从“以数据换效果”的粗放模式,向“以隐私换效果”的精细化模式转型。
实用建议:用户、广告商与开发者如何应对?
面对这一变动,不同角色的参与者应采取相应的应对策略。对于普通用户,首先应关注广告设置页面中的“个性化广告”选项,并根据自身隐私偏好进行调整。其次,考虑使用VPN、浏览器隐私模式或隐私保护扩展(如uBlock Origin、Privacy Badger)来减少IP地址的追踪风险。同时,用户应定期检查设备的权限设置,限制不必要的数据收集。对于广告商,建议重新评估广告系列的目标受众策略,并考虑增加对首方数据(如用户注册信息、行为数据)的投资,以减少对第三方标识符的依赖。同时,更新同意管理流程,确保符合TCF框架的要求,并与合作伙伴共享合规最佳实践。
对于开发者和技术供应商,首先应审查现有的广告SDK和数据收集代码,确保符合GDPR和英国数据保护法的要求。其次,考虑采用PETs技术(如设备端处理、TEE)来降低隐私风险,并与合规团队合作进行技术审计。同时,建立用户同意管理系统,确保同意请求的透明度和可操作性。对于中小型开发者,可以考虑使用第三方合规工具或服务,降低技术门槛。最后,持续关注监管动态和行业标准更新,及时调整技术方案以适应新的合规要求。
结论:隐私与效率的永恒拉锯战
谷歌在英欧瑞士地区启用IP地址进行广告个性化,是广告生态在第三方Cookie退场后的一次重大技术与合规调整。这一变动既反映了行业对新标识符的迫切需求,也暴露了隐私保护与商业效率之间的固有矛盾。尽管公司强调使用了隐私增强技术,但IP地址作为个人数据的法律地位,以及用户同意机制的有效性,仍将面临监管与用户的严格审视。未来,随着技术的演进和监管的完善,广告生态可能找到更平衡的发展路径——既能保护用户隐私,又能维持广告行业的可持续发展。然而,这条路注定漫长而复杂,每一步都需要技术、法律与商业智慧的深度融合。
更多相关内容 网络安全与隐私
加密剪贴板劫持新骗局:AI 配音、刷单与跨平台“Ghost Network”合谋
一种以加密货币持有者和网络博彩用户为目标的新型剪贴板劫持活动正在通过付费推广、AI 配音教程、刷单评分与跨平台“Ghost Network”来构建虚假信任链,最终植入植根于Solana与Pump.fun的嗅探机器人与收益预测工具中。
微软确认Defender零日漏洞「RoguePlanet」并承诺推送修复补丁
微软确认Defender引擎存在名为RoguePlanet的零日漏洞(CVE-2026-50656,CVSS 7.8),允许权限提升。攻击者可借此获取SYSTEM级别权限。官方正在开发补丁,建议用户及时更新。
Rokarolla 新型 Android 木马:217款银行与加密应用沦为目标
Rokarolla 是一款新型 Android 木马,可窃取锁屏凭据、短信与联系人,并针对217款银行与加密应用投放假登录框。本文拆解其技术特征、传播路径与防护要点。