Mitä identiteetin selvittäminen todella tekee

Identiteetin selvittäminen on kerros julkaisijan tietolähteiden ja julkaisijan mittaus- ja personointityökalujen välillä. Se ottaa syötteet — ensimmäisen osapuolen evästeet, palvelinpuolen istuntotunnisteet, hashatut sähköpostiosoitteet kirjautuneista istunnoista, mobiilimainostunnisteet julkaisijan sovelluksesta, älytelevisioiden laitetunnisteet ja todennäköisyyssignaalien kokonaisuuden kuten IP-osoitteen, käyttäjäagentin ja käyttäytymiseen perustuvan sormenjäljen — ja tuottaa tuloksen: vakaan sisäisen tunnisteen, joka edustaa yhtä kuluttajaa kaikilla pinnoilla, joilla julkaisija toimii.

Deterministinen yhdistäminen

Puhtain polku on deterministinen yhdistäminen: kun kuluttaja kirjautuu sisään kahdella pinnalla, julkaisija tietää, että kaksi laitetta kuuluvat samalle henkilölle, ja yhdistää heidän tunnistegraafin sen mukaisesti. Uutiskirjeen tilaajat, rekisteröityneet lukijat ja maksavat tilaajat tuottavat deterministisen yhdistämisen luonnollisesti. Tiedot ovat korkean luotettavuuden, oikeudellinen perusta on selkeä (julkaisijalla on suora suhde), ja yhdellä pinnalla tehdyt suostumuspäätökset voidaan välittää toiselle ilman todennäköisyysarvausta.

Todennäköisyyteen perustuva yhdistäminen

Vaikeampi polku on todennäköisyyteen perustuva yhdistäminen: päätteleminen, että kaksi laitetta kuuluvat samalle henkilölle ilman todennettua linkkiä. Signaalit ovat IP-osoitteen samanaikaisuus, käyttäytymisen samankaltaisuus, vuorokauden ajankohdan mallit, maantieteellinen klusterointi ja omisteiset mallit, jotka yhdistävät kaikki yllä mainitut. Todennäköisyyteen perustuva yhdistäminen antaa julkaisijoille paljon laajemman kattavuuden — useimmat lukijat ovat kirjautuneena ulos useimmilla käynneillä — mutta oikeudellinen perusta on paljon heikompi, ja EU:n viranomaiset ovat olleet yhä aktiivisemmin vastustamassa todennäköisyysidentiteettikerroksia, jotka toimivat ilman nimenomaista suostumusta.

Toimittajan tarjoamat identiteettigraafat

Kolmas polku on identiteettigraafin ostaminen tai lisensointi toimittajalta — LiveRamp, ID5, The Trade Desk's Unified ID 2.0 tai yksi monista pienemmistä tarjoajista. Toimittaja ylläpitää graafaa, julkaisija tarjoaa hashattuja tunnisteita, ja toimittaja palauttaa yhdistetyn tunnisteen, jota julkaisija voi käyttää alempana. Oikeudellinen asema tässä on sekoittunut: se riippuu täysin toimittajan omien tietojen alkuperästä ja sopimusehdoista, ja EU:n täytäntöönpanotoimet vuonna 2025 useita suuria identiteettitoimittajia vastaan ovat tehneet julkaisijoista varovaisempia siinä, mitä graafeja he integroivat.

Suostumuskysymys, jonka laitekohtainen selvittäminen herättää

Vaikea kysymys, jonka identiteetin selvittäminen herättää, on se, vaatiiko itse yhdistäminen suostumusta erillään alatason mainonnasta tai personoinnista, jota yhdistetty tunniste syöttää.

Itse yhdistäminen

GDPR:n nojalla identiteetin selvittäminen on henkilötietojen käsittelyä. Vaadittu oikeudellinen perusta riippuu tarkoituksesta: petostentorjuntaan tai peruspalvelun toimintaan voidaan joskus soveltaa oikeutettuja etuja; mainontaan, personointiin tai yleisön laajentamiseen tarvitaan suostumus. ePrivacy lisää erillisen kerroksen jokaiselle evästeelle tai laitetunnisteelle, joka luetaan käyttäjän laitteesta, ja eväste tai tunniste tarvitsee suostumuksen riippumatta siitä, mitä julkaisija tekee tuloksella.

Suostumuksen välittyminen

Mielenkiintoisempi kysymys on, miten yhdellä laitteella tehty suostumuspäätös välittyy toiselle. Jos lukija hylkää mainosevästeet kannettavalla tietokoneella ja kannettavan tietokoneen tunniste on yhdistetty puhelimen tunnisteeseen deterministisen sähköpostimäärittelyn kautta, onko puhelimen noudatettava kannettavan tietokoneen hylkäystä seuraavalla käynnillä? European Data Protection Boardin julkaisema ohjeistus on selkeä siinä, että vastaus on kyllä — suostumuspäätökset kiinnittyvät rekisteröityyn, eivät laitteeseen, ja yhdistetty identiteettigraafi, jonka avulla julkaisija voi tunnistaa rekisteröidyn, on myös graafi, joka vaatii julkaisijaa kunnioittamaan heidän päätöksiään.

Peruuttamispolku

Peruuttamisen on myös välityttävä. Lukijan, joka kirjautuu sisään julkaisijan tilitietoihin kannettavalla tietokoneella ja napsauttaa 'hylkää kaikki mainokset', on nähtävä sama tila heijastuneena, kun hän avaa puhelinsovelluksen, vaikka puhelinsovelluksen istunto olisi anonyymi ja käyttäisi eri evästettä. CMP:n ja identiteettikerroksen on jaettava tila, ja välityksen on tapahduttava lähes reaaliajassa — viikon kuluttua kunnioitettu peruuttaminen ei ole kunnioitettu.

Arkkitehtuurinen malli

Laitekohtaisesti tietoisella CMP:llä ja identiteettipinolla on pieni määrä toistuvia elementtejä, jotka ovat vakiintuneet kypsien julkaisijoiden keskuudessa vuoteen 2026 mennessä.

Yksittäinen totuuden lähde

Suostumustila asuu julkaisijan omistamassa suostumustpalvelussa, ei CMP-toimittajan tietokannassa. Palvelu on avainnettu selvitetyllä tunnisteella, ei evästeellä, joka laukaisi viimeisimmän suostumuspäätöksen, ja jokainen suostumuksesta tietoinen alitason palvelu lukee tästä yhdestä lähteestä. CMP täydentää palvelua jokaisessa suostumuksen muutoksessa, ja palvelu tarjoaa reaaliaikaisen API:n, jota mainospino ja personointikerros voivat kutsua jokaisella sivun latauksen ja jokaisen tapahtuman yhteydessä.

Identiteettikerroksen suostumusindeksi

Identiteetin selvittämisen kerros ylläpitää kaksisuuntaista indeksiä: jokainen laitetunniste kartoittuu selvitettyyn identiteettiin, ja jokainen selvitetty identiteetti kartoittuu takaisin laitetunnisteiden joukkoon, joita se on koskettanut. Kun suostumuksen muutos tapahtuu millä tahansa yhdellä laitteella, indeksi antaa julkaisijalle mahdollisuuden levittää muutos jokaiselle muulle laitteelle, jota sama identiteetti on käyttänyt, asianmukaisella jäähtymisajalla ja välityslokituksella.

Pintakohtainen suostumus-UI

Jokaisen laitteen suostumus-UI:n pitäisi heijastaa laitekohtaista tilaa. Kannettavalla tietokoneella suostuneelle lukijalle ei pidä näyttää uutta banneria puhelimessa, jos identiteetin yhdistäminen on onnistunut. Lukijalle, jota ei ole koskaan nähty ennen, pitäisi näyttää banneri oletuksena-hylkää-asetuksilla. CMP:n on voitava lukea identiteettikerroksen tila ja renderöidä UI sen mukaisesti, mikä on todellinen tekninen integraatio, mutta kertaluonteinen investointi.

Erityistapaukset

Useat pinnat ja kontekstit tuottavat reunatapauksia, joita arkkitehtuurin on käsiteltävä nimenomaisesti.

Yhdistetty TV ja OTT-sovellukset

Älytelevision ja OTT-sovelluksen konteksti on epätavallinen, koska laite on usein jaettu kotitalouden kesken — useampi henkilö käyttää samaa televisiota, mutta vain yhdellä heistä on julkaisijan sovellustilin puhelimessaan. Deterministinen yhdistäminen puhelimesta televisioon on epäluotettavaa, ja todennäköisyyteen perustuva yhdistäminen kotitaloudessa jaetussa laitteessa tuottaa suostumussekavuutta. Noudattava malli on kohdella TV-sovellusta oletuksena todentamattomana pintana, näyttää oma suostumisbanneri ensimmäisellä käynnistyksellä, ja yhdistää tunnettuun tiliin vasta, kun käyttäjä tekee nimenomaisen linkitystoiminnon.

Inkognito ja yksityinen selaus

Inkognito-istunto määritelmällisesti hylkää identiteetin selvittämisen. CMP:n pitäisi kohdella istuntoa joka kerta uutena kävijänä, renderöidä banneri oletuksena-hylkää-asetuksilla, eikä yrittää yhdistää istuntoa mihinkään tunnettuun tunnisteeseen, vaikka IP-osoite ja käyttäytymismalli muuten tuottaisivat todennäköisen osuman. Käyttäjä on ilmaissut haluavansa eristyksen, ja julkaisija kunnioittaa tätä signaalia.

Lasten pinnat

Mikä tahansa pinta, jolla yleisö voi sisältää alaikäisiä — lasten sisältöosiot, perhesuuntautuneet sovellukset, tilit, joissa on alle kahdeksantoistavuotiaan itse ilmoitettu ikä — pitäisi oletuksena olla ilman identiteetin selvittämistä ja suostumuksen oletusasetukset asetettu kieltoon mainonnalle ja personoinnille. DSA:n alaikäisille suunnatun mainonnan kielto ja COPPA:n rajoitukset Yhdysvalloissa ovat ehdottomia ja ohittavat kaikki laitekohtaiset välitykset kotitalouden jäsenen aikuisten tililtä.

Yleiset laitekohtaiset virheet, jotka laukaisevat löydöksiä

Laitekohtaiset käyttöönotot, jotka tuottavat viranomaislöydöksiä, epäonnistuvat tyypillisesti malleissa, jotka EU:n täytäntöönpanopäätökset ovat tehneet spesifisiksi. Todennäköisyysidentiteettigraafi toimii ilman nimenomaista suostumuksen porrasta, sillä teorialla, että todennäköisyysmäärittely on GDPR-kynnyksen alapuolella — asema, joka ei ole selvinnyt viimeisistä tuomioista. Peruuttamispolku yhdessä laitteessa kestää viikon välittyäkseen toiseen eräprosessin kautta, jättäen ikkunan, jossa käyttäjän toiveet eivät ole kunnioitettu. Toimittajan identiteettigraafin integrointi käynnistyy ilman tietosuojavaikutusarviointia (DPIA) ja ilman sopimuslausekkeita, jotka laajentavat julkaisijan laillisen perustan toimittajan käsittelyyn. Yhdistetty TV-sovellus yhdistää deterministisesti kotitalouden ensisijaiseen puhelintiliin ilman nimenomaista käyttäjätoimintoa, tuomalla yhden käyttäjän suostumuspäätöksen toiselle käyttäjälle. CMP renderöi bannerin, joka ei heijasta laitekohtaista tilaa, turhauttaen palaavia lukijoita, jotka jo suostuivat eri pinnalla, ja tuottaen suostumusväsymyslöydöksiä, joita EDPB on seurannut vuoden 2025 aikana.

Yhteenveto

Laitekohtainen suostumus ei ole teknologiaongelma eikä oikeudellinen ongelma — se on paikka, jossa nämä kaksi kohtaavat. Identiteetin selvittämiskerros, jonka julkaisijat rakensivat saadakseen yleisön laajentamisen ja taajuuden rajoittamisen toimimaan, luo myös velvollisuuden tehdä suostumus ja peruuttaminen johdonmukaisiksi eri pinnoilla. Arkkitehtuuri on vakiintunut vuoteen 2026 mennessä: julkaisijan omistama suostumustpalvelu, joka on avainnettu selvitetyllä identiteetillä, kaksisuuntainen indeksi identiteettikerroksessa, lähes reaaliaikainen välitys, pintakohtainen suostumus-UI, joka heijastaa laitekohtaista tilaa, ja nimenomainen käsittely kotitaloudessa jaetuille, inkognito- ja alaikäisten reunatapauksille. Mikään näistä ei ole dramaattista tekniikkaa. Kaikki on operatiivisesti tarkkaa. Julkaisijat, jotka rakensivat tämän kolmannen osapuolen evästeen poistumiskierroksen aikana, toimivat nyt puhtaasti puhelimien, kannettavien tietokoneiden ja televisioiden välillä; julkaisijat, jotka käsittelivät laitekohtaista ratkaisua mittauspäivityksenä ilman suostumustkerrosta, viettävät vuoden 2026 selittämällä EDPB:lle, miksi lukijan peruuttaminen kannettavalla tietokoneella ei saavuttanut älytelevisiotaan seuraavaan tiistaihin asti.