Съгласие в потока на програматичните търгове през 2026 г.: Ръководството на SSP и DSP за TCF, загуба на сигнал и пропастта в поверителността на търговете
Всеки път, когато потребител зарежда страница с програматичен инвентар, заявка за наддаване излиза към десетки платформи от страна на търсенето, обикновено носейки IP адреса на потребителя, идентификатор на устройство или бисквитка, URL адреса на страницата, сигнали за категория на съдържанието, информация за геолокация и — в много текущи конфигурации на търгове — TCF низ за съгласие. Всяка от тези заявки за наддаване е предаване на лични данни между множество администратори. Умножете по стотиците милиарди ежедневни импресии, преминаващи през основните платформи от страна на предлагането, и потокът на програматичните търгове се превръща в един от най-големите и най-непрозрачни потоци на лични данни в интернет. През по-голямата част от десетилетието индустрията работеше при предположението, че рамката IAB TCF е достатъчна за покриване на регулаторните изисквания. Това предположение постепенно се срина през 2024 и 2025 г. Делото на белгийския DPA срещу IAB Europe породи каскадни задължения. Няколко други европейски DPA отвориха собствени разследвания срещу потоците данни при търговете. Насоките на EDPB от 2025 г. изясниха, че предаването на лични данни по времето на търга без валидно правно основание не може да бъде коригирано само от низа TCF. И 2026 г. е годината, в която пропастта в поверителността на търговете спира да се толерира на практика и започва да се прилага. Това ръководство разглежда реалността на потока на търговете през 2026 г., където реално се намират правните рискове, как SSP, DSP и издателите трябва да мислят за комбинираната картина на сигнала и съответствието, и как изглежда работещата стратегия за 2026 г. за операторите, които искат да останат на правилната страна на регулаторите без да срутят приходите.
Какво реално съдържа потокът на програматичните търгове
Разбирането на картината на съответствието започва с честност относно това как изглежда една заявка за наддаване през 2026 г.
Полезният товар на OpenRTB
Типичната заявка за наддаване по OpenRTB 2.6 съдържа: IP адреса на потребителя (или хеширан IP в някои конфигурации), идентификатор на купувача или идентификатор на базата на бисквитки, вида на устройството и операционната система, сигнал за геолокация (обикновено до ниво на град или пощенски код), URL адреса на страницата, таксономията на категориите на съдържанието, формата и размерите на инвентара, цената на пода, и — критично — сигналите GDPR и GPP заедно с всички приложими низове за съгласие и цели.
Слоят за обогатяване
Повечето SSP обогатяват основния полезен товар на OpenRTB с данни за аудиторията: предоставени от издателя сегменти на аудиторията, идентификатори от първа страна като хеширани имейли, универсални идентификатори като RampID или ID5 там, където са налични, контекстуални сигнали, извлечени от съдържанието на страницата, прогнози за видимост и класификации за безопасност на марката. Всяко обогатяване е допълнителен атрибут на лични данни, напускащ прекия контрол на издателя.
Проблемът с разпространението
Една единствена импресия може да се разпространи до 50-200 DSP в зависимост от конфигурацията на търга. Всяка DSP получава пълната заявка за наддаване, включително атрибутите на личните данни. Повечето не печелят търга. Повечето запазват данните от заявката в някаква форма за обучение на модели за наддаване, отчитане или откриване на измами — понякога за продължителни периоди. Това разпространение е в основата на това, което регулаторите наричат пропаст в поверителността на търговете: лични данни се предават на стотици организации за повечето импресии, и много малко от тези организации купуват нещо по въпросната импресия.
Проблемът с правното основание
Рамката TCF е разработена да пренася сигнал за съгласие през потока на търговете и за повечето цели рамката работи. Проблемът е, че съгласието е едно правно основание и няколко компонента на процеса на търга може да не се вписват чисто в списъка с цели за съгласие по начина, по който е структуриран в момента.
Белгийският DPA каскад
Констатацията на белгийския DPA от 2022 г. срещу IAB Europe, потвърдена по съществени въпроси до 2024 г., установи, че IAB Europe е администратор по отношение на архитектурата на TCF и че TC низът е лични данни. IAB Europe работи по план за действие, който се развива през 2023, 2024 и 2025 г. Позицията за 2026 г. е, че TCF е по-здрава рамка, отколкото беше, но все още изисква правилна оперативна употреба от всеки участник, за да бъде съответстваща.
Въпросът за законния интерес
Няколко цели на рекламните технологии исторически разчитаха на законния интерес като правно основание вместо на съгласието. EDPB стана все по-скептичен към законния интерес като основание за поведенческа реклама и няколко решения от 2025 г. стесниха обхвата. Работното предположение за 2026 г. е, че съгласието е по-безопасното основание за всяко профилиране или използване на рекламен идентификатор, като законният интерес е запазен за по-ограничени оперативни цели.
Наслагването на трансграничното предаване
Повечето потоци от данни при търговете пресичат граници — европейските заявки за наддаване достигат до DSP в Съединените щати, Азиатско-тихоокеанския регион и другаде. Всеки трансграничен поток изисква валиден механизъм за предаване съгласно Глава V на GDPR, а позицията на EDPB за 2026 г. е, че механизмите за предаване трябва да покриват реалността на разпространението, а не само посочената договорна страна.
Където реално се намират правните рискове за 2026 г.
Разбирането на кой носи риска е важно, тъй като пътят за отстраняване е различен за всяка роля.
Рискът на издателя
Издателят е администратор за първоначалното събиране на лични данни и отговаря за получаването на валидно съгласие, за правилното генериране на TCF низа или еквивалентен сигнал и за първоначалното разкриване пред доставчиците на рекламни технологии. Рискът на издателя се концентрира около: конфигурацията на CMP, дизайна на банера и избягването на тъмни модели, точността на списъка с разкрити доставчици и правния механизъм за първоначалния поток от данни.
Рискът на SSP
SSP обикновено е обработващ за издателя и администратор за собствените си цели в рекламните технологии. Рискът на SSP се концентрира около: разпространението на заявките за наддаване, съхраняването на данните от заявките, слоя за обогатяване на аудиторията и задълженията за прехвърляне на договорни задължения надолу.
Рискът на DSP
DSP е администратор за обработката от страна на рекламодателя и може да бъде съвместен администратор с издателя за определени цели. Рискът на DSP се концентрира около: съхраняването на данни за загубени наддавания, потоците от данни за обучение на модели за наддаване, трансграничните предавания към дружества майки и дъщерни дружества и съответствието на предоставените от рекламодателя аудитории.
Реалността на съвместното администриране
Решенията от 2024 и 2025 г. изтласкаха голяма част от екосистемата на рекламните технологии към характеристики на съвместното администриране за поне някои дейности по обработка. Съвместните администратори трябва да имат споразумение, разпределящо отговорността за правата на субектите на данни, и прозрачно резюме, достъпно за лицата. Повечето договори за рекламни технологии до 2024 г. не адресираха ясно съвместното администриране и работата по почистване за 2026 г. беше постоянна позиция в бюджета за съответствие в целия бранш.
Оперативната стратегия за 2026 г.
Индустрията се обедини около няколко оперативни модела, работещи в измеренията на съответствието и търговията.
Изходната линия на загубата на сигнал
Приемете, че загубата на сигнал е постоянен факт на програматичната реклама за 2026 г. Бисквитките на трети страни са премахнати в Chrome, интелигентното предотвратяване на проследяването е стандарт в Safari и Firefox, нулирането на мобилните идентификатори е честа практика, а намаляването поради съгласие е значима част от обема на търга. Търговската стратегия трябва да работи с оставащия адресируем инвентар, а не да се преструва, че загубите са временни.
Двойният стек от сигнали TCF и GPP
Стартирайте сигнала TCF v2.3 за трафика от ЕС и Великобритания и IAB GPP за останалите юрисдикции, включително Калифорния, Канада, Вирджиния, Колорадо и нарастващия списък от рамки на американски щати. Двойният стек от сигнали вече е стандартният за сериозните издатели и инструментите са достатъчно зрели за надеждно внедряване.
Обогатяване от първа страна от страна на сървъра
Преместете обогатяването на аудиторията от пожари на пиксели от страна на браузъра към потоци от данни от първа страна от страна на сървъра. Обогатяването все още трябва да е допустимо за съгласие, но позицията на данните от първа страна е по-устойчива на загуба на сигнал от страна на браузъра и произвежда по-чисти одитни следи за съгласие.
Универсални идентификатори с одит на съгласието
Универсалните идентификатори като RampID, ID5, UID2 и другите основни предложения за разрешаване на самоличността продължават да се внедряват, но очакването за 2026 г. е, че следата на съгласие за основния имейл или идентификатор да е проверяема. Няколко действия за правоприлагане от 2025 г. проучиха именно това.
Намалено разпространение на доставчици
Индустрията непрекъснато рационализира броя на доставчиците в разпространението на потока на търговете. Издателите провеждат програми за преглед на доставчиците, премахвайки маргиналните партньори от страна на търсенето, намалявайки повърхността за предаване на данни и опростявайки историята за съответствие. Оптимизацията на пътя на доставката вече е толкова инженерна дисциплина в областта на поверителността, колкото и дисциплина за оптимизация на приходите.
Чиста стая и агрегирано измерване
Когато измерването изисква обединяване на данни от множество страни, чистите стаи и API-тата за агрегирано измерване се превърнаха в предпочитания модел. Тези инструменти разкриват прозренията без обмен на необработени идентификатори, а стекът за измерване за 2026 г. все повече разчита на тях.
Въпросът за прозрачността по времето на търга
Един от повтарящите се въпроси за 2026 г. е колко детайли по времето на търга да се предавате в заявката за наддаване. Моделът преди 2024 г. беше да се предава богат полезен товар с IP, идентификатор, геолокация, URL на страницата и категория на съдържанието. Моделът за 2026 г. е по-консервативен.
Хеширане и замаскиране на IP
Няколко SSP вече предават хеширани или съкратени IP адреси в заявките за наддаване към потребители без съгласие, като пълният IP е достъпен само за търгове със съгласие. Това е конкретно подобрение в инженерството на поверителността спрямо базовата линия от 2023 г.
Замаскиране на URL за чувствителен инвентар
За издатели с инвентар на чувствителни тематични страници — здраве, политика, религиозно съдържание — самото предаване на пълния URL на страницата може да бъде предаване на чувствителни данни. Моделът за 2026 г. за чувствителен инвентар е да се предава идентификатор на категория на съдържанието вместо необработеният URL.
Агрегиране на геолокацията
Геолокацията на ниво град или пощенски код често е по-детайлна, отколкото е необходимо за решението за наддаване. Агрегирането до по-грубо географско ниво за инвентар без съгласие или с ниска стойност намалява излагането на лични данни без значително въздействие върху приходите.
Контролният списък за одит за 2026 г.
- CMP е сертифициран, низовете TCF v2.3 се издават правилно и сигналите GPP покриват всички приложими рамки на американски щати
- Полезните товари на заявките за наддаване зачитат статуса на съгласие — търговете без съгласие не предават атрибути на лични данни извън строго необходимото
- Списъкът с доставчици в CMP съвпада с действителното разпространение и е рационализиран за премахване на неизползваните или маргиналните партньори
- Механизмите за трансгранично предаване покриват пълния поток надолу по веригата, не само посочената договорна страна
- Споразуменията за съвместно администриране са налице с партньорите от SSP и DSP, когато отношенията по обработка го изискват
- Политиките за съхранение на данните от заявките за наддаване са документирани и прилагани в цялата екосистема от партньори SSP и DSP
- URL адресите за чувствителен инвентар са замаскирани или категоризирани на слоя на търга
- Партньорите с универсални идентификатори могат да демонстрират записи с чисто съгласие за графиките на хешираните имейли, които поддържат
- Работният поток за заявки на субектите на данни може да премахне потребителя от идентификацията по времето на търга, сегментите на аудиторията и моделите за наддаване надолу по веригата
- Журналите за съгласие са с времеви печат, могат да се експортират и се съхраняват за приложимия период, включително записа за предаването по времето на търга
Перспективите за 2026 г.
Потокът на програматичните търгове не изчезва, но версията за 2026 г. изглежда значително по-различна от версията за 2022 г. Разпространението е по-тясно, полезният товар е по-опростен, сигналите за съгласие се зачитат по-внимателно и историята за измерването е по-ориентирана към чистата стая. За SSP, DSP и издателите, които са свършили работата, търговското въздействие е управляемо, а позицията на съответствие е значително подобрена. За тези, които все още работят при предположения от преди 2024 г., 2026 г. е годината, в която регулаторният и браузърно-политическият натиск се сближават и маржът за стратегическо забавяне изчерпва. Пропастта в поверителността на търговете се затваря и издателите и операторите на рекламни технологии, които я затворят умишлено, ще намерят по-устойчив бизнес от тези, на които тя е затворена от действия за правоприлагане.