Што на самай справе робіць вырашэнне ідэнтычнасці

Вырашэнне ідэнтычнасці — гэта слой паміж крыніцамі даных выдаўца і інструментамі вымярэння і персаналізацыі выдаўца. Ён прымае ўваходныя даныя — уласныя cookie, серверныя ідэнтыфікатары сеансаў, хэшаваныя адрасы электроннай пошты з аўтарызаваных сеансаў, мабільныя рэкламныя ідэнтыфікатары з дадатку выдаўца, ідэнтыфікатары прылад смарт-ТБ і сузор'е імавернасных сігналаў, такіх як IP-адрас, user agent і паводніцкі адбітак, — і выдае вынік: стабільны ўнутраны ідэнтыфікатар, які прадстаўляе аднаго спажыўца на ўсіх паверхнях, якімі кіруе выдавец.

Дэтэрмінаванае сшыванне

Самы чысты шлях — дэтэрмінаванае сшыванне: калі спажывец уваходзіць на дзвюх паверхнях, выдавец ведае, што дзве прылады належаць аднаму чалавеку, і адпаведным чынам аб'ядноўвае іх граф ідэнтыфікатараў. Падпісчыкі рассылкі, зарэгістраваныя чытачы і платныя падпісчыкі спараджаюць дэтэрмінаванае сшыванне натуральным чынам. Даныя высоканадзейныя, прававая падстава выразная (у выдаўца ёсць прамыя адносіны), і рашэнні аб згодзе, прынятыя на адной паверхні, могуць распаўсюджвацца на іншую без імавернаснай здагадкі.

Імавернаснае сшыванне

Больш складаны шлях — імавернаснае сшыванне: вывад аб тым, што дзве прылады належаць аднаму чалавеку, без аўтэнтыфікаванай сувязі. Сігналамі з'яўляюцца супадзенне IP-адрасоў, паводніцкае падабенства, шаблоны часу сутак, геаграфічная кластэрызацыя і прапрыетарныя мадэлі, што аб'ядноўваюць усё вышэйпералічанае. Імавернаснае сшыванне дае выдаўцам значна большы ахоп — большасць чытачоў выйшлі з сістэмы большую частку візітаў, — але прававая падстава значна слабейшая, і рэгулятары ЕС усё актыўней супрацьдзейнічаюць слаям імавернаснай ідэнтычнасці, што працуюць без яўнай згоды.

Графы ідэнтычнасці, прадастаўляныя пастаўшчыкамі

Трэці шлях — пакупка ці ліцэнзаванне графа ідэнтычнасці ў пастаўшчыка — LiveRamp, ID5, Unified ID 2.0 ад The Trade Desk ці аднаго з мноства драбнейшых правайдэраў. Пастаўшчык падтрымлівае граф, выдавец прадастаўляе хэшаваныя ідэнтыфікатары, а пастаўшчык вяртае сшыты ідэнтыфікатар, які выдавец можа выкарыстоўваць далей. Прававая пазіцыя тут змешаная: яна цалкам залежыць ад паходжання даных самога пастаўшчыка і ўмоў дагавора, а праваахоўныя дзеянні ЕС у 2025 годзе супраць некалькіх буйных пастаўшчыкоў ідэнтычнасці прымусілі выдаўцоў з большай асцярожнасцю ставіцца да таго, якія графы яны інтэгруюць.

Пытанне згоды, якое ўзнімае міжпрыладнае вырашэнне

Складанае пытанне, якое ўзнімае вырашэнне ідэнтычнасці, — ці патрабуе згоды сам акт сшывання, асобна ад наступнай рэкламы ці персаналізацыі, якія сілкуе сшыты ідэнтыфікатар.

Само сшыванне

Згодна з GDPR, вырашэнне ідэнтычнасці з'яўляецца апрацоўкай персанальных даных. Патрэбная прававая падстава залежыць ад мэты: для прадухілення махлярства ці базавай работы сэрвісу часам можа прымяняцца законны інтарэс; для рэкламы, персаналізацыі ці пашырэння аўдыторыі патрабуецца згода. ePrivacy дадае асобны слой для любога cookie ці ідэнтыфікатара прылады, які счытваецца на прыладзе карыстальніка, і счытванне cookie ці ідэнтыфікатара патрабуе згоды незалежна ад таго, што выдавец затым робіць з вынікам.

Распаўсюджванне згоды

Больш цікавае пытанне — як рашэнне аб згодзе, прынятае на адной прыладзе, распаўсюджваецца на іншую. Калі чытач адхіляе рэкламныя cookie на ноўтбуку, а ідэнтыфікатар ноўтбука сшыты з ідэнтыфікатарам тэлефона праз дэтэрмінаванае супастаўленне па электроннай пошце, ці павінен тэлефон улічваць адмову ноўтбука пры наступным візіце? Апублікаванае кіраўніцтва Еўрапейскага савета па абароне даных выразна паказвае, што адказ — так: рашэнні аб згодзе прывязваюцца да суб'екта даных, а не да прылады, і сшыты граф ідэнтычнасці, які дазваляе выдаўцу распазнаць суб'екта даных, — гэта таксама граф, што патрабуе ад выдаўца ўлічваць яго рашэнні.

Шлях адклікання

Адкліканне таксама павінна распаўсюджвацца. Чытач, які ўваходзіць у наладкі ўліковага запісу выдаўца на ноўтбуку і націскае «адхіліць усю рэкламу», павінен бачыць той жа стан, калі адкрывае дадатак на тэлефоне, нават калі сеанс дадатку на тэлефоне ананімны і выкарыстоўвае іншы cookie. CMP і слой ідэнтычнасці павінны падзяляць стан, а распаўсюджванне павінна быць амаль у рэальным часе — адкліканне, улічанае праз тыдзень, не ўлічана.

Архітэктурная схема

Стэк CMP і ідэнтычнасці з улікам міжпрыладнасці мае невялікую колькасць паўторных элементаў, што стабілізаваліся ў сталых выдаўцоў да 2026 года.

Адзіная крыніца ісціны

Стан згоды захоўваецца ў сэрвісе згоды, які належыць выдаўцу, а не ўнутры базы даных пастаўшчыка CMP. Сэрвіс прывязаны да вырашанага ідэнтыфікатара, а не да cookie, што выклікаў апошняе рашэнне аб згодзе, і кожны сэрвіс, што ўлічвае згоду, чытае з гэтай адзінай крыніцы. CMP запаўняе сэрвіс пры кожнай змене згоды, а сэрвіс прадастаўляе API у рэальным часе, да якога рэкламны стэк і слой персаналізацыі могуць звяртацца пры кожнай загрузцы старонкі і кожнай падзеі.

Індэкс згоды слоя ідэнтычнасці

Слой вырашэння ідэнтычнасці падтрымлівае двухнакіраваны індэкс: кожны ідэнтыфікатар прылады адлюстроўваецца на вырашаную ідэнтычнасць, а кожная вырашаная ідэнтычнасць адлюстроўваецца назад на набор ідэнтыфікатараў прылад, якіх яна датыкалася. Калі на якой-небудзь адной прыладзе адбываецца змена згоды, індэкс дазваляе выдаўцу распаўсюдзіць змену на кожную іншую прыладу, якую выкарыстоўвала тая ж ідэнтычнасць, з адпаведным перыядам чакання і журналаваннем распаўсюджвання.

Інтэрфейс згоды на кожнай паверхні

Інтэрфейсы згоды на кожнай прыладзе павінны адлюстроўваць міжпрыладны стан. Чытач, які даў згоду на ноўтбуку, не павінен бачыць новы банер на тэлефоне, калі сшыванне ідэнтычнасці ўдалося. Чытач, якога ніколі раней не бачылі, павінен бачыць банер з наладкамі па змаўчанні «адхіліць». CMP павінна ўмець чытаць стан слоя ідэнтычнасці і адлюстроўваць інтэрфейс адпаведным чынам, што з'яўляецца рэальнай інжынернай інтэграцыяй, але аднаразовым укладаннем.

Асаблівыя выпадкі

Некалькі паверхняў і кантэкстаў спараджаюць гранічныя выпадкі, якія архітэктура павінна апрацоўваць яўна.

Падлучанае ТБ і дадаткі Over-the-Top

Кантэкст смарт-ТБ і OTT-дадаткаў незвычайны, таму што прылада часта з'яўляецца агульнай для хатняй гаспадаркі — некалькі чалавек выкарыстоўваюць адзін тэлевізар, але толькі ў аднаго з іх ёсць уліковы запіс дадатку выдаўца на тэлефоне. Дэтэрмінаванае сшыванне з тэлефона на ТБ ненадзейнае, а імавернаснае сшыванне на прыладзе, агульнай для хатняй гаспадаркі, спараджае блытаніну ў згодзе. Адпаведная схема — разглядаць дадатак ТБ як неаўтэнтыфікаваную паверхню па змаўчанні, паказваць уласны банер згоды пры першым запуску і сшываць з вядомым уліковым запісам толькі тады, калі карыстальнік прадпрымае яўнае дзеянне звязвання.

Інкогніта і прыватны прагляд

Сеанс у рэжыме інкогніта па вызначэнні адхіляе вырашэнне ідэнтычнасці. CMP павінна кожны раз разглядаць сеанс як зусім новага наведвальніка, адлюстроўваць банер з наладкамі па змаўчанні «адхіліць» і не спрабаваць сшываць сеанс з якім-небудзь вядомым ідэнтыфікатарам, нават калі IP-адрас і паводніцкі шаблон у адваротным выпадку далі б імавернаснае супадзенне. Карыстальнік падаў сігнал, што хоча ізаляцыі, і выдавец паважае гэты сігнал.

Паверхні для дзяцей

Любая паверхня, дзе аўдыторыя можа ўключаць непаўналетніх — дзіцячыя раздзелы кантэнту, арыентаваныя на сям'ю дадаткі, уліковыя запісы з самастойна заяўленым узростам да васемнаццаці гадоў, — павінна па змаўчанні наогул не выкарыстоўваць вырашэнне ідэнтычнасці, а наладкі згоды для рэкламы і персаналізацыі павінны быць устаноўлены на «адхіліць». Забарона DSA на таргетынг непаўналетніх і абмежаванні COPPA ў ЗША абсалютныя і маюць прыярытэт над любым міжпрыладным распаўсюджваннем з даросллага ўліковага запісу члена хатняй гаспадаркі.

Распаўсюджаныя міжпрыладныя памылкі, што спараджаюць парушэнні

Міжпрыладныя разгортванні, што спараджаюць парушэнні на думку рэгулятара, як правіла, даюць збой па шаблонах, якія праваахоўныя рашэнні ЕС зрабілі канкрэтнымі. Граф імавернаснай ідэнтычнасці працуе без яўнага шлюза згоды, зыходзячы з тэорыі, што імавернаснае супастаўленне ніжэй парога GDPR, — пазіцыя, што не перажыла нядаўніх пастаноў. Шлях адклікання на адной прыладзе распаўсюджваецца на іншую тыдзень праз пакетны працэс, пакідаючы акно, у якім жаданні карыстальніка не ўлічваюцца. Інтэграцыя графа ідэнтычнасці пастаўшчыка запускаецца без ацэнкі ўздзеяння на абарону даных і без дагаворных палажэнняў, што пашыраюць прававую падставу выдаўца на апрацоўку пастаўшчыка. Дадатак падлучанага ТБ дэтэрмінавана сшываецца з асноўным уліковым запісам тэлефона хатняй гаспадаркі без якога-небудзь яўнага дзеяння карыстальніка, імпартуючы рашэнне аб згодзе аднаго карыстальніка на іншага. CMP адлюстроўвае банер, што не адлюстроўвае міжпрыладны стан, расстройваючы чытачоў, што вяртаюцца і ўжо далі згоду на іншай паверхні, і спараджаючы парушэнні па стомленасці ад згоды, якія EDPB пераследуе на працягу 2025 года.

Вынік

Міжпрыладная згода — гэта не тэхналагічная праблема і не прававая праблема, гэта месца, дзе дзве сыходзяцца. Слой вырашэння ідэнтычнасці, які выдаўцы пабудавалі, каб прымусіць працаваць пашырэнне аўдыторыі і абмежаванне частаты, таксама стварае абавязацельства зрабіць згоду і адкліканне ўзгодненымі паміж паверхнямі. Архітэктура ўсталявалася да 2026 года: сэрвіс згоды, які належыць выдаўцу і прывязаны да вырашанай ідэнтычнасці, двухнакіраваны індэкс у слоі ідэнтычнасці, распаўсюджванне амаль у рэальным часе, інтэрфейс згоды на кожнай паверхні, што адлюстроўвае міжпрыладны стан, і яўная апрацоўка гранічных выпадкаў для агульных у хатняй гаспадарцы, інкогніта і непаўналетніх. Нічога з гэтага не з'яўляецца драматычнай інжынерыяй. Усё гэта аперацыйна канкрэтна. Выдаўцы, што пабудавалі гэта падчас цыкла адмовы ад староннх cookie, цяпер працуюць чыста на тэлефонах, ноўтбуках і ТБ; выдаўцы, што разглядалі міжпрыладнасць як абнаўленне вымярэнняў без слоя згоды, праводзяць 2026 год, тлумачачы EDPB, чаму адкліканне чытача на ноўтбуку не дасягнула смарт-ТБ да наступнага аўторка.