Meta Pixel و Facebook Conversions API: راهنمای اجرای رضایت GDPR و CCPA برای سال ۲۰۲۶
پشته تبلیغاتی متا در چهار سال گذشته در مرکز اجرای حریم خصوصی قرار داشته است. Meta Pixel، که زمانی بدون تأمل دوم بر روی صفحات قرار میگرفت، موجب شکایات NOYB، جریمههای مراجع حفاظت از دادههای آلمان و فرانسه و دعاوی دستهجمعی تحت قوانین استراق سمع ایالات آمریکا شده است. در پاسخ، متا Conversions API (CAPI) را ساخت، یک کانال ردیابی سرور به سرور که محدودیتهای کوکی سطح مرورگر را دور میزند — اما قانون رضایت را دور نمیزند. اگر در سال ۲۰۲۶ ردیابی متا را بدون یک پشته رضایت به درستی سیمکشی شده ارسال کنید، در هر جبهه اصلی حریم خصوصی در معرض خطر هستید: GDPR، ePrivacy، CCPA، CPRA و قوانین جدید ایالات آمریکا. این راهنما دقیقاً توضیح میدهد که چگونه Pixel، CAPI و دروازه رضایت مدرن آنها را پیکربندی کنید تا بهینهسازی متا قوی بماند و موضع انطباق شما قابل دفاع باشد.
ردیابی متا در واقع چه میکند
قبل از اینکه بتوانید آن را به درستی دروازهبندی کنید، نیاز به تصویر روشنی از آنچه ردیابی متا ارسال میکند، از کجا و با چه شناسههایی دارید. Meta Pixel و CAPI گزینههای جایگزین نیستند — در یک راهاندازی تولید، آنها با هم اجرا میشوند و سیگنال یکدیگر را تقویت میکنند.
Meta Pixel
Meta Pixel یک قطعه کد JavaScript است که رویدادها را از مرورگر فعال میکند: PageView، ViewContent، AddToCart، Purchase و هر رویداد سفارشی که تعریف میکنید. کوکی طرف اول _fbp را میخواند و مینویسد، کوکی شناسه کلیک _fbc را میخواند و رویدادها را به facebook.com/tr ارسال میکند. هر رویداد شناسههای کوکی، عامل کاربر، URL صفحه و هر پارامتر رویدادی که پیادهسازی شما شامل میشود را حمل میکند.
Conversions API (CAPI)
CAPI یک کانال سمت سرور است. پشتیبان شما رویدادها را مستقیماً به graph.facebook.com با شناسههای کاربر هششده (ایمیل، تلفن، شناسه خارجی)، آدرس IP، عامل کاربر و هر داده رویداد سفارشی POST میکند. CAPI اغلب از طریق کانتینرهای سمت سرور Google Tag Manager، یکپارچهسازی Segment یا پیادهسازی پشتیبان بومی مستقر میشود.
چرا هر دو با هم
رویدادهای Pixel که از مسدودکنندههای تبلیغات و محدودیتهای کوکی جان سالم به در میبرند تقریباً ۵۰ تا ۶۰ درصد از حجم تاریخی هستند. CAPI شکاف را پر میکند و دید کاملتری به موتور بهینهسازی تبلیغات متا میدهد. امتیاز Event Match Quality (EMQ) متا ارسال هر دو و استفاده از فیلد event_id برای حذف تکراری را پاداش میدهد. امتیاز ۷ تا ۸ یا بالاتر برای یک راهاندازی خوب تنظیم شده معمول است.
چرا پشته متا یک میدان مین انطباق است
تنظیمکنندگان به طور قابل توجهی در مورد اینکه ردیابی متا کجا از مرز میگذرد مشخص بودهاند، که یعنی مجموعهای از خطرات به خوبی مستند شده وجود دارد که باید طراحی اطراف آنها انجام شود.
GDPR و مشکل Schrems II
سرورهای متا در آمریکا قرار دارند و انتقال داده به آمریکا بارها تحت Schrems II غیرقانونی اعلام شده است. چندین DPA اروپایی حکم دادهاند که اجرای Meta Pixel بدون رضایت صریح — و بدون مکانیزم انتقال معتبر — نقض GDPR است. DPAهای اتریش و فرانسه هر دو تصمیماتی صادر کردهاند که هر ردیابی مبتنی بر کوکی متا نیاز به رضایت opt-in قبل از هر تماس شبکهای دارد. Data Privacy Framework یک راهحل جزئی ارائه میدهد، اما تنها شرکتهایی را که به طور رسمی گواهینامه دریافت کردهاند پوشش میدهد و تحت چالش قانونی فعال باقی میماند.
دستورالعمل ePrivacy
حتی جدا از GDPR، دستورالعمل ePrivacy خواندن یا نوشتن هر کوکی غیرضروری — از جمله _fbp و _fbc — را به عنوان یک عمل تنظیم شده که نیاز به رضایت قبلی در تمام حوزههای قضایی EU/EEA دارد تلقی میکند. این مسئولیت سخت است: بدون موازنه منافع مشروع، بدون opt-in نرم.
CCPA، CPRA و دعاوی دستهجمعی استراق سمع
در آمریکا، Meta Pixel موضوع موجی از دعاوی دستهجمعی بوده است که قوانین استراق سمع دو طرفه ایالتی را ذکر میکنند — نظریه این است که ارسال تعاملات کاربر به متا بدون رضایت، رهگیری غیرمجاز را تشکیل میدهد. ناشران بهداشت و تهیه اظهارنامه مالیاتی با بزرگترین توافقنامهها روبرو شدهاند. CPRA صریحاً جریان دادههای Meta Pixel را به عنوان «اشتراکگذاری» برای تبلیغات رفتاری متقاطع تلقی میکند که حقوق opt-out را فعال میکند.
جریان رضایتی که Pixel و CAPI شما نیاز دارند
پیادهسازی سازگار ۲۰۲۶ نیاز به لایه رضایت دارد که هم پیکسل مرورگر و هم CAPI سمت سرور را دروازهبندی کند — و تغییرات سیگنال را در میان جلسه منتشر کند.
مرحله ۱: تا رضایت مسدود کنید
در ترافیک EU/EEA و UK، Pixel نباید بارگذاری کند، کوکی تنظیم کند یا هیچ رویدادی را قبل از ثبت رضایت opt-in فعال کند. این به این معنی است که فراخوانی fbq('init', ...) و تگ اسکریپت fbevents.js باید در یک اسلات اسکریپت دروازهبندی شده توسط CMP به تأخیر بیفتند. بدون PageView پیش از رضایت. بدون ردیابی خودکار پیش از رضایت.
مرحله ۲: نگاشت Consent Mode v2 را پیکربندی کنید
Google Consent Mode v2 به فرمت تبادل de facto برای سیگنالهای رضایت بین CMPها، مدیران تگ و کانتینرهای سرور تبدیل شده است. Meta Pixel و CAPI خود را به سیگنالهای زیر نگاشت کنید:
- ad_storage — کوکیهای
_fbpو_fbcرا کنترل میکند. اگر رد شد، هر دو را غیرفعال کنید. - ad_user_data — کنترل میکند که آیا ایمیل، تلفن و شناسه خارجی هششده به متا ارسال میشوند. اگر رد شد، آن فیلدها را از محمولههای CAPI حذف کنید.
- ad_personalization — کنترل میکند که آیا رویدادها شخصیسازی و هدفگذاری مجدد را تغذیه میکنند. اگر رد شد، رویداد را با پرچم محدودیت
data_processing_optionsارسال کنید.
مرحله ۳: از حالت رضایت Meta SDK استفاده کنید
متا Consent Mode خود را در اواخر ۲۰۲۴ منتشر کرد. هنگامی که با fbq('consent', 'revoke') سیگنال داده میشود، Pixel به ارائه تبدیلهای مدلشده مجموعبندی شده و بدون کوکی به سیستم تبلیغاتی متا ادامه میدهد. در سمت CAPI، فیلد data_processing_options: ['LDU'] را با کدهای کشور و ایالت مناسب برای استفاده محدود داده CCPA اضافه کنید. این رفتار Pixel را در سمت سرور منعکس میکند.
مرحله ۴: Opt-Outها را در زمان واقعی مدیریت کنید
اگر کاربر رضایت را در میان جلسه لغو کند یا سیگنال Global Privacy Control را فعال کند، باید fbq('consent', 'revoke') را فعال کنید، کوکی _fbp را منقضی کنید، هر صف CAPI را پاک کنید و پرچمهای LDU را بر رویدادهای سمت سرور بعدی تنظیم کنید. این رایجترین مرحله شکسته در پیادهسازیهای منتشر شده است.
جزئیات پیادهسازی CAPI که اهمیت دارند
از آنجا که CAPI سمت سرور اجرا میشود، بسیاری از تیمها به اشتباه فرض میکنند که خارج از رژیم رضایت عمل میکند. تنظیمکنندگان به شدت مخالفند.
PII هششده همچنان PII است
CAPI متا از آدرسهای ایمیل، شمارههای تلفن و شناسههای خارجی هششده SHA-256 به عنوان لنگرهای هویت استفاده میکند. هشکردن شبهناشناسایی است، نه ناشناسایی. هم تحت GDPR و هم CCPA، PII هششده اطلاعات شخصی باقی میماند زیرا قابل ترکیب و قابل برگشت در برابر هر مجموعه داده دیگری است که حاوی متن ساده است. برای ارسال آن به یک مبنای قانونی نیاز دارید و رضایت پاکترین مسیر است.
آدرس IP و عامل کاربر
CAPI IP کلاینت و عامل کاربر را در هر رویداد منتقل میکند. هر دو در EU به عنوان داده شخصی تلقی میشوند. اگر کاربری رضایت را رد کرده، IP را از طریق یک قانون سطح دروازه حذف کنید یا مقدار action_source: 'other' را بدون شناسههای سطح شبکه ارسال کنید.
حذف تکراری رویداد
الگوی صحیح: یک event_id روی سرور تولید کنید، آن را به کلاینت برای رویداد Pixel منتقل کنید و همان event_id را از طریق CAPI POST کنید. متا در ۴۸ ساعت تکراریها را حذف میکند. اگر Pixel را بدون رضایت و CAPI را با رضایت فعال کنید، همچنان ePrivacy را نقض میکنید — رضایت هر دو یا هیچکدام را دروازهبندی میکند.
فهرست بررسی ممیزی برای ۲۰۲۶
- Pixel تنها پس از رضایت تأییدی در EU/EEA/UK بارگذاری میشود و تنها در حوزههایی که اشتراکگذاری داده متا تحت گواهینامه Data Privacy Framework یا مکانیزم انتقال معادل شما پوشش داده شده
fbq('consent', 'revoke')در رد CMP، لغو رضایت و تشخیص GPC صادر میشود- محمولههای CAPI ایمیل، تلفن و شناسه خارجی هششده را هنگامی که
ad_user_dataرد میشود حذف میکنند - رویدادهای CAPI
data_processing_options: ['LDU']با مقادیر کشور و ایالت صحیح برای opt-outهای آمریکا حمل میکنند - کوکیهای
_fbpو_fbcهنگام لغو رضایت منقضی میشوند - Event Match Quality نظارت میشود و پس از تغییرات رضایت زیر آستانه تعریف شده کاهش نمییابد
- سیاست حریم خصوصی Meta Platforms Ireland (برای ترافیک EU) یا Meta Platforms, Inc. (برای ترافیک آمریکا) را با مبنای قانونی و دستهبندیهای داده ارسال شده نام میبرد
- ضمیمه پردازش داده با متا امضا و ثبت شده است
- سوابق پردازش (ماده ۳۰) جریانهای Pixel و CAPI را به عنوان فعالیتهای پردازشی جداگانه فهرست میکنند
- یک DPIA مستند ردیابی متا را در هر صفحهای که ممکن است دادههای دسته خاص جمعآوری شوند (سلامت، سیاسی، مذهبی، بیومتریک) پوشش میدهد
چه نباید کرد
سه الگو در ممیزیهای ناشران همچنان ظاهر میشوند و هر سه توجه تنظیمکننده را جلب میکنند.
فعالسازی CAPI به عنوان راهحل انطباق
برخی تیمها CAPI را حتی زمانی که پیکسل مرورگر توسط CMP مسدود شده پیکربندی میکنند تا فعال شود. منطق: «CAPI سمت سرور است، پس قانون کوکی اعمال نمیشود.» این در دو نقطه اشتباه است. اول، حوزه ePrivacy پردازش داده ترمینال کاربر است، نه فقط کوکیها. دوم، «اشتراکگذاری» CCPA/CPRA صرف نظر از کانال اعمال میشود. اگر Pixel به دلایل رضایت مسدود شده، CAPI نیز باید برای آن کاربر خاموش شود.
فقط PageView پیش از رضایت
یک سازش رایج: «ما فقط PageView را قبل از رضایت فعال میکنیم، بقیه دروازهبندی شده است.» تنظیمکنندگان این را رد کردهاند — PageView همچنان _fbp را تنظیم میکند، همچنان URL را منتقل میکند و همچنان به پروفایلسازی متا کمک میکند. مانند هر رویداد دیگری نیاز به رضایت دارد.
اتکا به Do-Not-Track مرورگر
Meta Pixel تنها در صورتی GPC را احترام میگذارد که آن را سیمکشی کرده باشید. فعالسازی یک کنترلکننده GPC در CMP شما که به fbq('consent', 'revoke') ارجاع میدهد یک تغییر پنج خطی است که بسیاری از پیادهسازیها آن را رد میکنند.
چشمانداز ۲۰۲۶
پشته ردیابی متا ساده نخواهد شد. Data Privacy Framework در دادگاههای اروپایی مورد چالش است، CAPI برای ناشران بهینه شده با تبلیغات به پیشفرض تبدیل میشود و قوانین ایالتهای آمریکا به تلقی جریان دادههای متا به عنوان بالاترین دسته ریسک اشتراکگذاری ادامه میدهند. سرمایهگذاری درست در ۲۰۲۶ این است که رضایت را به عنوان بخش اول درجه از یکپارچهسازی متا خود در نظر بگیرید: Pixel و CAPI را با هم فعال کنید زمانی که رضایت اجازه میدهد، هر دو را به صورت تمیز وقتی اجازه نمیدهد سرکوب کنید و سیگنال تبدیل مدلشده متا را از طریق Meta Consent Mode در ترافیک بدون کوکی حفظ کنید. ناشرانی که این را به درستی سیمکشی میکنند بیشتر سیگنال تبلیغاتی خود را حفظ میکنند در حالی که بر زمین قانونی محکمی ایستادهاند. آنهایی که کوتاه میآیند ریسک اجرایی در سطح عنوان را به ارث میبرند.