Што такое сігнал Global Privacy Control?

Global Privacy Control — гэта браўзерны сігнал, які паведамляе аб перавазе карыстальніка адмовіцца ад продажу або перадачы яго персанальнай інфармацыі. Ён перадаецца двума спосабамі: як HTTP-загаловак запыту (Sec-GPC: 1), які адпраўляецца з кожным зыходным запытам, і як уласцівасць JavaScript (navigator.globalPrivacyControl), якая вяртае булева значэнне. Калі любы з іх прысутнічае і ўсталяваны, карыстальнік выказаў юрыдычна значную перавагу, якую пэўныя законы аб канфідэнцыяльнасці патрабуюць паважаць.

GPC быў распрацаваны для замены праваленага эксперыменту Do Not Track (DNT). У DNT не было юрыдычнай падтрымкі, што азначала, што рэкламадаўцы і выдаўцы ігнаравалі яго без наступстваў. GPC адрозніваецца тым, што каліфарнійскія рэгулятары прапісалі яго прама ў нарматворчасці CPRA, і наступныя законы штатаў пайшлі гэтаму прыкладу.

Якія браўзеры сёння адпраўляюць GPC?

Па стане на 2026 год GPC падтрымліваецца натыўна або даступны праз пашырэнне ва ўсіх асноўных браўзерах:

• Firefox — натыўна, пераключаецца ў наладах канфідэнцыяльнасці
• Brave — уключаны па змаўчанні для ўсіх карыстальнікаў
• DuckDuckGo браўзер і мабільныя праграмы — уключаны па змаўчанні
• Safari — даступны праз пашырэнні і канфігурацыю канфідэнцыяльнасці iOS
• Chrome і Edge — даступны праз афіцыйнае пашырэнне GPC і некалькі дадаткаў для канфідэнцыяльнасці

Ацэнкі мяркуюць, што ад 8 да 15 працэнтаў вэб-трафіку ЗША цяпер нясе сігнал GPC, са значна вышэйшымі паказчыкамі сярод дэмаграфічных груп, арыентаваных на канфідэнцыяльнасць. Для выдаўца сярэдняга памеру гэта прадстаўляе нетрывіяльную долю інвентару, які нельга манетызаваць праз традыцыйны паводніцкі таргетынг без парушэння правоў на адмову.

Якія законы аб канфідэнцыяльнасці робяць GPC юрыдычна абавязковым?

GPC не з'яўляецца адзіным федэральным патрабаваннем. Яго абавязковасць лоскутна сабрана з законаў штатаў, кожны з крыху рознымі сферамі дзеяння і штрафамі.

Каліфорнія — CPRA і CCPA

Канчатковыя рэгламенты CCPA генеральнага пракурора Каліфорніі прама патрабуюць ад бізнесу разглядаць GPC як сапраўдную адмову ад продажу і перадачы. Урэгуляванне Sephora 2022 года, якое прывяло да штрафу ў 1,2 мільёна долараў, спецыяльна спасылалася на неапрацоўку GPC як сігналу адмовы ў якасці аднаго з асноўных парушэнняў. Каліфарнійскае агенцтва па абароне канфідэнцыяльнасці працягвала агрэсіўнае правапрымяненне на працягу 2024 і 2025 гадоў, і апрацоўка GPC цяпер з'яўляецца стандартным фокусам аўдыту.

Закон Каларада аб канфідэнцыяльнасці

CPA патрабуе ад кантролёраў прызнаваць універсальны механізм адмовы (UOOM) пачынаючы з 1 ліпеня 2024 года. Генеральны пракурор Каларада прама прызначыў GPC зацверджаным UOOM у сваіх тэхнічных спецыфікацыях.

Закон Канектыкута аб канфідэнцыяльнасці даных

CTDPA уступіў у сілу 1 студзеня 2025 года з патрабаваннем прызнання UOOM, ідэнтычным па духу Каларада. Бізнес, які працуе ў Канектыкуце, павінен выконваць GPC для адмоваў ад таргетаванай рэкламы і продажу персанальных даных.

Дадатковыя штаты ЗША ў 2026 годзе

• Арэгон — Закон Арэгона аб канфідэнцыяльнасці спажыўцоў прызнае ўніверсальныя механізмы адмовы
• Тэхас — TDPSA патрабуе прызнання ўніверсальнай адмовы да 1 студзеня 2025 года
• Дэлавэр, Нью-Джэрсі, Нью-Гэмпшыр — аналагічныя палажэнні UOOM дзейнічаюць або паэтапна ўводзяцца
• Мантана — дзейнічае з кастрычніка 2024 года, уключае патрабаванні прызнання GPC

А як наконт Еўропы і GDPR?

GPC прама не патрабуецца ў рамках GDPR ЕС або Дырэктывы ePrivacy. Аднак некаторыя еўрапейскія рэгулятары неафіцыйна далі зразумець, што выкананне выразнай адмовы на ўзроўні браўзера ўзгадняецца з духам закона. На практыцы выдаўцам, якія абслугоўваюць глабальную аўдыторыю, варта ставіцца да сігналу GPC ад карыстальнікаў ЕС, як мінімум, як да моцнага сігналу для падаўлення пікселяў адсочвання, якія не маюць прававога падставы.

Як GPC узаемадзейнічае з вашай CMP і Consent Mode

Правільная рэалізацыя GPC патрабуе інтэграцыі з вашай платформай кіравання згодай, сістэмай кіравання тэгамі і сервернай інфраструктурай адсочвання. Наіўная інтэграцыя, якая блакуе толькі кліенцкія cookie, не задаволіць большасць патрабаванняў законаў штатаў, якія прымяняюцца і да перадачы даных «сервер-сервер».

Чатыры крокі адпаведнага GPC-патоку

1. Выявіце сігнал пры загрузцы старонкі, чытаючы navigator.globalPrivacyControl і, на баку сервера, правяраючы загаловак запыту Sec-GPC.
2. Падавіце банер для жыхароў ЗША, дзе GPC дзейнічае як папярэдняя адмова, або адлюструйце банер з ужо ўжытымі адпаведнымі адмовамі.
3. Распаўсюдзіце адмову на ваш менеджэр тэгаў, канфігурацыю consent mode, серверныя канчатковыя кропкі адсочвання і любыя партнёрствы па абмене данымі (рэкламныя сеткі, SSP, пастаўшчыкі аналітыкі).
4. Зарэгіструйце сігнал як артэфакт адпаведнасці з часавай меткай, ідэнтыфікатарам карыстальніка, дзе дастасавальна, і канкрэтнымі ўжытымі адмовамі.

GPC і Google Consent Mode v2

Google Consent Mode v2 увёў два сігналы, якія выразна супастаўляюцца з GPC: ad_user_data і ad_personalization. Калі выяўлены сігнал GPC, абодва павінны быць усталяваны ў denied на час сесіі карыстальніка. Гэта гарантуе, што даныя, якія дасягаюць сэрвісаў Google, паніжаюцца да мадэлявання без cookie, а не выкарыстоўваюцца для персаналізаванай рэкламы. Немагчымасць распаўсюдзіць GPC у Consent Mode — адзін з самых распаўсюджаных прабелаў рэалізацыі, якія мы бачым у аўдытах выдаўцоў.

Серверныя API і API вымярэнняў

GPC прымяняецца да ўсёй апрацоўкі, а не толькі да браўзерных cookie. Калі ваш стэк выкарыстоўвае Meta Conversions API, TikTok Events API або Google Measurement Protocol, гэтыя выклікі таксама павінны паважаць адмову. Распаўсюджаны шаблон збою: кліенцкі банер блакуе Meta Pixel, але серверная інтэграцыя працягвае адпраўляць падзеі з хэшаванымі данымі электроннай пошты. Гэта хрэстаматыйнае парушэнне права CCPA на адмову ад продажу.

Распаўсюджаныя памылкі рэалізацыі

Найбольш частыя збоі адпаведнасці GPC, якія мы бачым падчас аўдытаў выдаўцоў, трапляюць у прадказальныя катэгорыі.

Памылка 1: разглядаць GPC толькі як адмову ад cookie

Многія CMP адключаюць толькі неістотныя cookie пры выяўленні GPC. Але законы штатаў вызначаюць «продаж» і «перадачу» так, каб уключаць серверныя перадачы даных, прафіляванне праграм лаяльнасці і сіндыкацыю даных першага боку. Калі ваш банер cookie выконвае GPC, але ваш бэкэнд працягвае адпраўляць профілі карыстальнікаў брокеру даных, вы не адпавядаеце патрабаванням.

Памылка 2: ігнараваць GPC для аўтэнтыфікаваных карыстальнікаў

Калі карыстальнік увайшоў у сістэму, сігнал GPC усё роўна прымяняецца. Некаторыя выдаўцы разглядаюць аўтэнтыфікаваныя адносіны як няяўнае пераазначэнне. Рэгулятары не згодны. Адмова распаўсюджваецца на экспарт CRM, абмен спісамі электроннай пошты і загрузку аўдыторый рэтаргетынгу.

Памылка 3: адсутнасць логікі геаграфічнага абмежавання

GPC у цяперашні час юрыдычна абавязковы толькі для карыстальнікаў у штатах з законамі аб адмове. Калі вы прымяняеце яго глабальна як жорсткую блакіроўку, вы губляеце манетызацыю трафіку з юрысдыкцый, дзе ён не мае прававога эфекту. Правільна абмежаваная рэалізацыя выкарыстоўвае IP-геалакацыю як першасны фільтр, прымяняе GPC для жыхароў штатаў, дзе ён абавязковы, і паказвае звычайны паток згоды ў іншых месцах.

Памылка 4: забыцца пацвердзіць адмову

Некаторыя законы, асабліва ў Каліфорніі, чакаюць, што карыстальнікі атрымаюць пацвярджэнне апрацоўкі іх адмовы. Невялікае паведамленне — «Мы выявілі сігнал Global Privacy Control і адмовілі ад продажу вашай персанальнай інфармацыі» — гэта недарагі артэфакт адпаведнасці з непрапарцыйна высокай рэгулятарнай каштоўнасцю.

Уплыў на рэкламны даход

Уплыў GPC на даход моцна залежыць ад складу вашага трафіку, стратэгіі манетызацыі і таго, наколькі элегантна ваш стэк апрацоўвае інвентар без cookie. У выдаўцоў, з якімі мы працуем, карыстальнікі з сігналам GPC звычайна манетызуюцца на ўзроўні ад 40 да 70 працэнтаў ад поўнасцю згодных карыстальнікаў пры паказе кантэкстнай, неперсаналізаванай рэкламы. Выдаўцы з моцнымі стратэгіямі даных першага боку, серверным header bidding і дыверсіфікаванымі партнёрамі па попыце скарачаюць гэты разрыў яшчэ больш.

Няправільная рэакцыя на GPC — ігнараваць яго, бо рэгулятарныя рызыкі — шматмільённыя штрафы, грамадзянскія калектыўныя іскі ў рамках прыватнага права на іск CCPA і рэпутацыйная шкода — зацямняюць кароткатэрміновую страту RPM. Правільная рэакцыя — пабудаваць трэк манетызацыі без cookie, які разглядае карыстальнікаў GPC як прэміяльную кантэкстную аўдыторыю, а не як страчаны інвентар.

Чэк-ліст дзеянняў для выдаўцоў у 2026 годзе

• Правядзіце аўдыт вашай CMP, каб пераканацца, што яна выяўляе і navigator.globalPrivacyControl, і HTTP-загаловак Sec-GPC
• Супастаўце распаўсюджванне GPC у Google Consent Mode v2, Meta Conversions API і любыя серверныя канчатковыя кропкі адсочвання
• Прымяніце геаграфічнае абмежаванне, каб GPC разглядаўся як абавязковы ў дастасавальных штатах ЗША і як моцны сігнал у іншых месцах
• Рэгіструйце кожнае выяўленне GPC і ўжытыя адмовы, захоўвайце журналы на працягу тэрміну, патрабуемага дастасавальным законам (звычайна 24 месяцы)
• Адлюстроўвайце бачнае паведамленне-пацвярджэнне, калі GPC выяўлены і выкананы
• Праверце ваш рэкламны стэк на наяўнасць рэзервовага даходу без cookie: кантэкстны таргетынг, аўдыторыі, вызначаныя прадаўцом, ідэнтыфікатары здзелак з кантэкстнымі параметрамі
• Уключыце апрацоўку GPC у ваш штогадовы агляд палітыкі канфідэнцыяльнасці і DPIA, дзе дастасавальна

GPC нікуды не дзенецца. Траекторыя ясная: больш штатаў ЗША прымуць універсальныя патрабаванні адмовы, браўзеры працягнуць пастаўляць GPC па змаўчанні, а рэгулятары працягнуць разглядаць невыкананне сігналу як прыярытэт правапрымянення вышэйшага ўзроўню. Выдаўцы, якія ўбудуюць апрацоўку GPC у ядро свайго стэка згоды і манетызацыі ў 2026 годзе, будуць добра падрыхтаваны да наступнай хвалі заканадаўства аб канфідэнцыяльнасці. Тыя, хто разглядае гэта як нешта другаснае, выявяць, што абараняюцца ад дзеянняў па правапрымяненні, якіх можна было б пазбегнуць некалькімі днямі інжынернай працы.