Ką iš tiesų daro Meta sekimas

Prieš tinkamai filtruojant reikia turėti aiškų vaizdą, ką Meta sekimas siunčia, iš kur ir pagal kokius identifikatorius. Meta Pixel ir CAPI nėra alternatyvos — gamybinėje aplinkoje jie veikia kartu, stiprindami vienas kito signalą.

Meta Pixel

Meta Pixel yra „JavaScript" ištrauka, kuri paleidžia įvykius iš naršyklės: PageView, ViewContent, AddToCart, Purchase ir bet kokius jūsų apibrėžtus pasirinktinius įvykius. Jis skaito ir rašo _fbp pirmos šalies slapuką, skaito _fbc paspaudimo ID slapuką ir siunčia įvykius į facebook.com/tr. Kiekvienas įvykis perduoda slapukų identifikatorius, vartotojo agentą, puslapio URL ir bet kokius jūsų diegime nurodytus įvykių parametrus.

Conversions API (CAPI)

CAPI yra serverio pusės kanalas. Jūsų serveris POST metodu tiesiogiai siunčia įvykius į graph.facebook.com su ištrintais vartotojo identifikatoriais (el. paštas, telefonas, išorinis ID), IP adresu, vartotojo agentu ir bet kokiais pasirinktiniais įvykių duomenimis. CAPI dažnai diegiamas naudojant „Google Tag Manager" serverio pusės konteinerius, „Segment" integraciją arba natyvią serverio diegimo metodą.

Kodėl abu kartu

Pixel įvykiai, išgyvenę reklamos blokatorius ir slapukų apribojimus, sudaro maždaug 50–60 procentų istorinio kiekio. CAPI užpildo spragą, suteikdamas Meta reklamos optimizavimo varikliui išsamesnį vaizdą. Meta Event Match Quality (EMQ) balas atlygina už abiejų siuntimą ir event_id lauko naudojimą dublikatams šalinti. 7–8 ar aukštesnis balas yra tipiškas gerai suderinto diegimo atveju.

Kodėl Meta rinkinys yra atitikties minų laukas

Reguliuotojai buvo ypač konkretūs nurodydami, kur Meta sekimas peržengia ribą, tai reiškia, kad yra gerai dokumentuotas rizikų rinkinys, aplink kurį reikia projektuoti.

GDPR ir Schrems II problema

Meta serveriai yra JAV, o duomenų perdavimai į JAV buvo ne kartą pažymėti kaip neteisėti pagal Schrems II. Keletas Europos DPT nusprendė, kad Meta Pixel vykdymas be aiškaus sutikimo — ir be galiojančio perdavimo mechanizmo — yra GDPR pažeidimas. Austrijos ir Prancūzijos DPT abi priėmė sprendimus, kad bet koks slapuku pagrįstas Meta sekimas reikalauja išankstinio sutikimo prieš bet kokį tinklo skambutį. Data Privacy Framework suteikia dalinę priemonę, tačiau ji apima tik formaliai sertifikuotas įmones ir vis dar yra aktyviai ginčijama teisiškai.

ePrivacy direktyva

Net neatsižvelgiant į GDPR, ePrivacy direktyva bet kokio nebūtino slapuko — įskaitant _fbp ir _fbc — skaitymą ar rašymą laiko reguliuojamu veiksmu, reikalaujančiu išankstinio sutikimo visose ES/EEE jurisdikcijose. Tai griežta atsakomybė: jokio teisėtų interesų balansavimo, jokio švelniojo sutikimo.

CCPA, CPRA ir pasiklausymo grupiniai ieškiniai

JAV Meta Pixel buvo grupinių ieškinių bangos, remiančios valstijų dvišalius pasiklausymo įstatymus, objektas — teorija ta, kad vartotojų sąveikų siuntimas į Meta be sutikimo yra neteisėtas perėmimas. Sveikatos priežiūros ir mokesčių paruošimo leidėjai susidūrė su didžiausiais susitarimais. CPRA aiškiai laiko Meta Pixel duomenų srautus „bendrijimu" kontekstų kirtimosi elgesio reklamai, kas suaktyvina atsisakymo teises.

Sutikimo srautas, kurio reikia jūsų Pixel ir CAPI

Suderinta 2026 m. diegimas reikalauja, kad sutikimo sluoksnis filtruotų ir naršyklės pikselį, ir serverio pusės CAPI — ir signalo pokyčius seanso metu platintų.

1 žingsnis: Blokuoti iki sutikimo

ES/EEE ir JK srautui Pixel neturi krauti, nustatyti slapukų ar paleisti jokių įvykių, kol neįrašytas sutikimas. Tai reiškia, kad fbq('init', ...) iškvietimas ir fbevents.js scenarijaus žymė turi būti atidėti CMP filtruojamame scenarijaus lizdė. Nėra PageView prieš sutikimą. Nėra automatinio sekimo prieš sutikimą.

2 žingsnis: Sukonfigūruoti Consent Mode v2 susiejimą

Google Consent Mode v2 tapo de facto keitimosi formatu sutikimo signalams tarp CMP, žymių tvarkyklių ir serverio konteinerių. Susieti savo Meta Pixel ir CAPI su šiais signalais:

• ad_storage — valdo _fbp ir _fbc slapukus. Jei atmesta, išjungti abu.
• ad_user_data — valdo, ar ištrinti el. paštas, telefonas ir išorinis ID siunčiami į Meta. Jei atmesta, pašalinti tuos laukus iš CAPI naudingų apkrovų.
• ad_personalization — kontroliuoja, ar įvykiai maitina personalizavimą ir pakartotinį taikymą. Jei atmesta, siųsti įvykį su data_processing_options apribojimo žyma.

3 žingsnis: Naudoti Meta SDK Consent Mode

Meta 2024 m. pabaigoje išleido savo Consent Mode. Gavus signalą su fbq('consent', 'revoke'), Pixel toliau teikia agreguotus, be slapukų modeliuotus konversijas Meta reklamos sistemai. CAPI pusėje įtraukite data_processing_options: ['LDU'] lauką su tinkamais šalies ir valstijos kodais CCPA riboto duomenų naudojimo atveju. Tai atspindi Pixel elgseną serverio pusėje.

4 žingsnis: Tvarkyti atsisakymus realiu laiku

Jei vartotojas seanso viduryje atšaukia sutikimą arba suaktyvina Global Privacy Control signalą, turite paleisti fbq('consent', 'revoke'), baigti _fbp slapuko galiojimą, išvalyti bet kokią CAPI eilę ir nustatyti LDU žymes tolimesniems serverio pusės įvykiams. Tai dažniausiai laužomas žingsnis paskelbtose diegimo metodikose.

Svarbios CAPI diegimo detalės

Kadangi CAPI veikia serverio pusėje, daugelis komandų klaidingai mano, kad jis veikia už sutikimo režimo ribų. Reguliuotojai tam ryžtingai prieštarauja.

Ištrinti PII vis dar yra PII

Meta CAPI naudoja SHA-256 ištrintus el. pašto adresus, telefono numerius ir išorinius ID kaip tapatybės inkarais. Ištrinimas yra pseudonimizavimas, o ne anoniminimas. Tiek pagal GDPR, tiek pagal CCPA, ištrinti PII išlieka asmenine informacija, nes jie gali būti sujungti ir grąžinti bet kurio kito duomenų rinkinio, kuriame yra paprastas tekstas, atžvilgiu. Jums reikia teisinio pagrindo jam siųsti, o sutikimas yra švariausia kelias.

IP adresas ir vartotojo agentas

CAPI perduoda kliento IP ir vartotojo agentą kiekviename įvykyje. Abu ES laikomi asmens duomenimis. Jei vartotojas atsisakė sutikimo, pašalinkite IP naudodami tinklų srauto lygio taisyklę arba siųskite action_source: 'other' reikšmę be tinklo lygio identifikatorių.

Įvykių dublikatų šalinimas

Teisingas šablonas: sugeneruokite event_id serveryje, perduokite klientui Pixel įvykiui ir per CAPI siųskite tą patį event_id. Meta šalina dublikatus per 48 valandas. Jei paleistumėte Pixel be sutikimo ir CAPI su sutikimu, vis tiek pažeistumėte ePrivacy — sutikimas filtruoja abu arba nė vieną.

2026 m. audito kontrolinis sąrašas

• Pixel kraunamas tik gavus patvirtinantį sutikimą ES/EEE/JK ir tik jurisdikcijose, kuriose Meta duomenų bendrinimą apima jūsų Data Privacy Framework sertifikavimas arba lygiavertis perdavimo mechanizmas
• fbq('consent', 'revoke') išduodamas CMP atmetant, atšaukiant sutikimą ir aptikus GPC
• CAPI naudingos apkrovos pašalina ištrintą el. paštą, telefoną, išorinį ID, kai ad_user_data atmesta
• CAPI įvykiai perduoda data_processing_options: ['LDU'] su teisingomis šalies ir valstijos reikšmėmis JAV atsisakymams
• _fbp ir _fbc slapukai baigiasi, kai sutikimas atšaukiamas
• Event Match Quality stebimas ir nekrenta žemiau apibrėžtos ribos po sutikimo pakeitimų
• Privatumo politika nurodo Meta Platforms Ireland (ES srautui) arba Meta Platforms, Inc. (JAV srautui) su teisiniu pagrindu ir perduodamų duomenų kategorijomis
• Duomenų tvarkymo priedas su Meta pasirašytas ir pateiktas
• Tvarkymo įrašai (30 straipsnis) nurodo Pixel ir CAPI srautus kaip atskiras tvarkymo veiklas
• Dokumentuota DPIA apima Meta sekimą bet kuriame puslapyje, kuriame gali būti renkami specialių kategorijų duomenys (sveikatos, politiniai, religiniai, biometriniai)

Ko nedaryti

Trys šablonai nuolat pasirodo leidėjų audituose, ir visi trys traukia reguliuotojų dėmesį.

CAPI paleidimas kaip atitikties sprendimas

Kai kurios komandos sukonfigūruoja CAPI paleisti net tada, kai CMP blokuoja naršyklės pikselį. Logika: «CAPI yra serverio pusė, todėl slapukų teisė netaikoma.» Tai neteisinga dviem aspektais. Pirma, ePrivacy aprėptis yra vartotojo galinio įrenginio duomenų tvarkymas, o ne tik slapukai. Antra, CCPA/CPRA «bendrinimas» taikomas nepriklausomai nuo kanalo. Jei Pixel blokuojamas dėl sutikimo priežasčių, CAPI taip pat turi būti nutildytas tam vartotojui.

Tik PageView prieš sutikimą

Dažnas kompromisas: «Mes paleidžiame tik PageView prieš sutikimą, likusieji filtruojami.» Reguliuotojai tai atmetė — PageView vis tiek nustato _fbp, vis tiek perduoda URL ir vis tiek prisideda prie Meta profiliavimo. Jam reikia sutikimo kaip ir bet kuriam kitam įvykiui.

Pasikliovimas naršyklės Do-Not-Track

Meta Pixel gerbia GPC tik tada, jei jį prijungiate. GPC tvarkytojo įgalinimas jūsų CMP, kuris perduoda į fbq('consent', 'revoke'), yra penkių eilučių pakeitimas, kurį daugelis diegimų praleidžia.

2026 m. perspektyvos

Meta sekimo rinkinys nepaprastės. Data Privacy Framework ginčijamas Europos teismuose, CAPI tampa numatytuoju reklamos optimizuotiems leidėjams, o JAV valstijų įstatymai ir toliau laiko Meta duomenų srautus didžiausios rizikos bendrinimo kategorija. Teisingas investavimas 2026 m. yra laikyti sutikimą pirmos klasės Meta integracijos dalimi: paleisti Pixel ir CAPI kartu, kai sutikimas leidžia, juos abu aiškiai slopinti, kai neleidžia, ir išlaikyti Meta modeliuotą konversijos signalą per Meta Consent Mode be slapukų srautui. Leidėjai, tinkamai tai sujungę, išlaiko didžiąją dalį savo reklamos signalo stovėdami ant tvirto teisinio pagrindo. Tie, kurie naudojasi trumpiniais, toliau paveldi antraščių lygio vykdymo riziką.