分流链接隐私合规指南：如何合法采集IP与浏览器信息并告知用户

在Telegram Bot运营中，分流链接（Diversion Link，也称魔法链接）是一个强大的引流归因工具。它通过TG-Staff官方短链（如 https://app.tg-staff.com/{code}）在跳转至您的Bot之前，捕获访客的IP地址、浏览器信息（User-Agent、屏幕分辨率等）以及URL参数。这些数据对于广告渠道归因、用户画像和会话分流至关重要。但问题来了：采集IP和浏览器信息，是否触犯了GDPR或《个人信息保护法》？

本文将从合规角度出发，详解使用分流链接时的隐私风险、告知义务与操作清单，帮助您的Telegram Bot团队在利用数据的同时规避法律风险。

---

为什么分流链接会涉及隐私合规问题？

分流链接的工作流程如下：

1. 用户在广告、社交媒体或邮件中点击分流链接。
2. 短链服务器记录访客的IP地址、浏览器信息（User-Agent、语言、屏幕参数等）和URL参数（如 utm_source、utm_campaign）。
3. 用户被重定向至Telegram Bot对话。

IP地址在多数隐私法规（如GDPR）中被明确认定为个人数据，因为它可以定位到特定设备或网络。浏览器信息虽看似匿名，但组合后（如IP + User-Agent）足以产生浏览器指纹，间接识别用户。因此，分流链接的数据采集行为属于处理个人数据，需要合规框架约束。

---

主流隐私法规对IP与浏览器信息采集的要求

不同司法辖区对数据采集的要求存在差异，但核心原则一致：告知、同意、数据最小化、存储期限限制与用户权利保障。

GDPR视角下的IP地址与浏览器信息

• IP地址：欧盟法院（CJEU）在2016年判例中明确，动态IP地址在特定条件下属于个人数据。GDPR第4条将个人数据定义为“与已识别或可识别的自然人相关的任何信息”。
• 法律依据：通常基于“合法利益”（Legitimate Interest）或“同意”（Consent）处理。若用于广告归因，建议获取用户明确同意。
• 处理要求：需告知采集目的、处理方式、存储期限与用户权利。建议对IP进行匿名化（如截断最后一段）或假名化处理，降低风险。
• 数据最小化：仅采集必要字段（如仅保留IP前两段），避免存储完整IP超过必要时间。

中国《个人信息保护法》的合规要点

• IP地址：属于个人信息范畴（可识别网络设备）。《个人信息保护法》第13条要求处理个人信息需取得个人同意或具备其他法定情形。
• 浏览器信息：若用于用户画像（如根据浏览器推送不同内容），可能触发“自动化决策”规则（第24条），需提供拒绝选项。
• 告知要求：需在隐私政策中明确采集的数据类型、目的、存储期限与用户权利（查询、更正、删除）。

---

使用分流链接时的四大合规风险点

运营团队在使用分流链接时，容易忽略以下风险：

1. 未告知用户即采集：用户点击链接时，未在Bot对话或网站中明确说明采集行为，导致违反GDPR第13条（信息义务）。
2. 未提供数据删除渠道：用户无法查询或删除采集的IP与浏览器信息，违反GDPR第15、17条（访问权与删除权）。
3. 数据存储超期：日志保留时间过长（如超过30天），未设置自动清理机制，违反数据最小化原则。
4. 与第三方共享信息未声明：若分流链接服务商（如TG-Staff）处理数据，需在隐私政策中说明第三方角色与数据处理协议。

---

如何在隐私政策中清晰告知分流链接的数据采集行为

隐私政策是合规的核心文档。您需要在网站或Bot的隐私政策中新增专门段落，说明分流链接的作用与数据处理细节。

隐私政策中应包含的关键字段

字段	内容示例
数据类型	IP地址、浏览器类型（User-Agent）、屏幕分辨率、操作系统、URL参数（如 utm_source）
采集方式	通过短链跳转时自动捕获
用途	广告归因、会话分流、用户统计
存储期限	30天后自动删除（或自定义期限）
用户权利	查询、删除、限制处理、数据可携带
第三方处理	TG-Staff（数据处理协议可联系 @tgstaff_robot）

告知文案示例（可直接参考）

以下是一段可直接复用或修改的中文告知文本：

分流链接数据采集说明

当您点击我们提供的短链接（如 https://app.tg-staff.com/xxx）时，系统会自动收集以下信息：您的IP地址（仅用于服务器日志，30天后自动删除）、浏览器类型与版本、操作系统、屏幕分辨率以及URL中的跟踪参数（如 utm_source）。这些数据仅用于广告渠道效果分析和会话分流，不会用于用户画像或自动化决策。您可以通过发送 /privacy 命令联系我们，查询或删除您的数据。如果您位于欧洲经济区，我们基于您的同意（通过点击链接行为视为同意）处理上述数据。数据处理由TG-Staff提供，您可查阅TG-Staff隐私政策了解更多。

---

合规操作检查清单（5步法）

请按以下步骤逐一落实，确保分流链接合规：

1. 审计现有分流链接配置

   • 检查所有分流链接是否启用了跟踪参数（如 utm_source）。
   • 确认日志保留设置（TG-Staff控制台 → 项目设置 → 日志保留期）。

2. 更新隐私政策

   • 新增“分流链接”或“数据采集”段落，包含上述关键字段。
   • 确保隐私政策链接在Bot欢迎语或菜单中可访问。

3. 在Bot首次对话中增加采集告知

   • 在用户首次进入Bot时发送一条简短消息，例如：“我们使用分流链接采集IP与浏览器信息用于广告分析，详情见隐私政策：[链接]。”
   • 可配合TG-Staff的可视化命令流程实现自动化告知。

4. 设置数据删除接口

   • 在Bot中实现 /privacy 或 /delete 命令，引导用户联系客服或通过TG-Staff控制台删除数据。
   • TG-Staff支持导出与删除相关日志，具体操作见文档。

5. 定期审查存储日志

   • 每月检查一次日志保留期是否按计划执行。
   • 若使用内容风控功能中的审计记录，确保合规团队可追溯数据操作。

---

使用TG-Staff分流链接时的隐私设置建议

TG-Staff控制台提供了一些隐私相关的配置选项，帮助您落实合规：

• 日志保留设置：在项目设置中可配置日志保留天数（建议 ≤ 30天）。
• 数据导出与删除：支持导出分流链接点击记录，并批量删除特定时间范围的数据。
• 内容风控审计记录：专业版用户可查看坐席消息触发风险词的记录，用于内控审计。

---

常见问题

问：分流链接采集的IP地址会永久保存吗？
答： 不会。TG-Staff默认不长期存储访客IP，分流链接主要用于即时跳转与归因，日志保留期限可参考文档或联系@tgstaff_robot确认。建议运营团队自行设定数据清理周期。

问：用户如何查询或删除分身链接采集的个人信息？
答： 您需要在Bot中提供数据主体权利请求入口，例如通过 /privacy 命令或联系客服。TG-Staff控制台支持导出与删除相关日志，具体操作可查阅文档。

问：如果我的Bot只服务于中国大陆用户，还需要遵守GDPR吗？
答： 若您的用户包含欧洲经济区（EEA）居民，或服务器部署在EEA国家，则需遵守GDPR。即使仅面向中国用户，也需符合《个人信息保护法》中对自动化采集的告知要求。建议以最严格的法规为基准。

问：分流链接能否设置为不采集浏览器信息？
答： 目前TG-Staff的分流链接默认采集IP与浏览器信息以实现广告归因与引流分析。若您不需要归因功能，可在控制台中关闭分流链接的跟踪参数，或改用普通Bot链接。

问：采集浏览器信息是否属于“自动化决策”？
答： 若您仅用于统计（如浏览器类型分布），通常不属于自动化决策；若用于用户画像并影响服务（如根据不同浏览器推送不同内容），则可能触发GDPR第22条或《个人信息保护法》中的自动化决策规则，需提供拒绝选项。

---

下一步行动

• 立即试用：注册TG-Staff免费试用（https://app.tg-staff.com/），体验分流链接与内容风控功能。
• 查阅文档：访问TG-Staff文档了解隐私相关配置细节。
• 咨询专家：联系@tgstaff_robot，获取合规设置建议。

分流链接隐私合规不是障碍，而是建立用户信任的基石。从今天起，用清晰的告知和透明操作，让数据采集与合规并行。