40家机构联合发布GEO治理倡议，行业自律规范出台

「明确同意」需要单独的、主动的确认动作，不能隐含在冗长的隐私条款中。具体做法：（1）在首次采集位置数据时弹出专门的「权限申请对话框」，说明「我们为了投放精准广告会采集您的位置信息」；（2）给用户设置「仅在使用时采集」和「始终采集」的选项，默认不采集；（3）对于从第三方购买的 GEO 数据，企业应溯源确认第三方已从原始用户处获得同意。简单的「我同意隐私政策」不符合「明确同意」要求。

建议准备以下合规材料：（1）用户同意的截图和时间戳记录，证明采集数据的时间点和方式；（2）数据影子账户的演示视频，展示用户可查看和删除个人数据；（3）数据治理政策文件和内部审计报告，说明数据最小化和定期清理机制；（4）与第三方数据提供商的合作协议，附上其合规承诺；（5）隐私影响评估（PIA）文件。当平台或监管部门要求证明时，可快速提交这些材料。

是的，企业对采集源有最终责任。根据 GDPR 等法规，企业应视为「数据处理方」，需验证第三方供应商（「数据控制方」）已从原始用户处获得合法同意。建议在采购数据前，要求第三方提供「数据采集同意证明」或「合规承诺书」；如第三方无法提供，企业应拒购或风险自担。倡议同样强调供应链透明，一旦数据源被发现违规，采购企业也会被认定为共谋方，面临平台封禁和法律诉讼。