Co faktycznie robi rozwiązywanie tożsamości

Rozwiązywanie tożsamości to warstwa między źródłami danych wydawcy a narzędziami pomiaru i personalizacji wydawcy. Przyjmuje dane wejściowe — ciasteczka własne, identyfikatory sesji po stronie serwera, zahashowane adresy e-mail z zalogowanych sesji, mobilne ID reklamowe z aplikacji wydawcy, identyfikatory urządzeń smart TV i konstelację probabilistycznych sygnałów, takich jak adres IP, agent użytkownika i odcisk behawioralny — i generuje wynik: stabilny wewnętrzny identyfikator reprezentujący jednego konsumenta na wszystkich powierzchniach obsługiwanych przez wydawcę.

Łączenie deterministyczne

Najczystszą drogą jest łączenie deterministyczne: gdy konsument loguje się na dwóch powierzchniach, wydawca wie, że oba urządzenia należą do tej samej osoby, i odpowiednio scala ich graf identyfikatorów. Subskrybenci newsletterów, zarejestrowani czytelnicy i płacący abonenci naturalnie generują łączenie deterministyczne. Dane są wysoce wiarygodne, podstawa prawna jest jasna (wydawca ma bezpośrednią relację), a decyzje o zgodzie podjęte na jednej powierzchni mogą być przekazywane do drugiej bez probabilistycznego zgadywania.

Łączenie probabilistyczne

Trudniejszą drogą jest łączenie probabilistyczne: wnioskowanie, że dwa urządzenia należą do tej samej osoby bez uwierzytelnionego łącza. Sygnałami są współwystępowanie adresu IP, podobieństwo behawioralne, wzorce pory dnia, grupowanie geograficzne i zastrzeżone modele łączące wszystkie powyższe elementy. Łączenie probabilistyczne daje wydawcom znacznie większy zasięg — większość czytelników jest wylogowana przez większość wizyt — ale podstawa prawna jest znacznie słabsza, a regulatorzy UE byli coraz bardziej aktywni w sprzeciwianiu się probabilistycznym warstwom tożsamości działającym bez wyraźnej zgody.

Grafy tożsamości dostarczane przez dostawców

Trzecią drogą jest zakup lub licencjonowanie grafu tożsamości od dostawcy — LiveRamp, ID5, Unified ID 2.0 firmy The Trade Desk lub jednego z wielu mniejszych dostawców. Dostawca utrzymuje graf, wydawca dostarcza zahashowane identyfikatory, a dostawca zwraca połączony identyfikator, który wydawca może wykorzystać dalej. Pozycja prawna jest tu mieszana: zależy całkowicie od własnego pochodzenia danych dostawcy i warunków umowy, a działania egzekucyjne UE w 2025 roku przeciwko kilku dużym dostawcom tożsamości sprawiły, że wydawcy stali się ostrożniejsi co do tego, które grafy integrują.

Pytanie o zgodę, które rodzi rozwiązywanie wielourządzeniowe

Trudne pytanie, które rodzi rozwiązywanie tożsamości, brzmi: czy sam akt łączenia wymaga zgody, niezależnie od reklamy lub personalizacji w dole strumienia, którą zasila połączony identyfikator.

Samo łączenie

Na mocy GDPR rozwiązywanie tożsamości jest przetwarzaniem danych osobowych. Wymagana podstawa prawna zależy od celu: do zapobiegania oszustwom lub podstawowej obsługi usług uzasadnione interesy mogą niekiedy mieć zastosowanie; do reklamy, personalizacji lub rozszerzenia odbiorców wymagana jest zgoda. ePrivacy dodaje oddzielną warstwę dla każdego ciasteczka lub identyfikatora urządzenia odczytywanego na urządzeniu użytkownika, a odczytywane ciasteczko lub identyfikator wymagają zgody niezależnie od tego, co wydawca robi następnie z wynikiem.

Propagacja zgody

Bardziej interesującym pytaniem jest, jak decyzja o zgodzie podjęta na jednym urządzeniu jest przekazywana do drugiego. Jeśli czytelnik odrzuca ciasteczka reklamowe na laptopie, a identyfikator laptopa jest połączony z identyfikatorem telefonu przez deterministyczne dopasowanie e-maila, czy telefon musi respektować odrzucenie laptopa przy następnej wizycie? Opublikowane wytyczne European Data Protection Board są jasne: odpowiedź brzmi tak — decyzje o zgodzie są przypisane do osoby, której dane dotyczą, a nie do urządzenia, a połączony graf tożsamości pozwalający wydawcy rozpoznać tę osobę to również graf wymagający od wydawcy respektowania jej decyzji.

Ścieżka wycofania

Wycofanie musi być też propagowane. Czytelnik, który loguje się do ustawień konta wydawcy na laptopie i klika „odrzuć wszystkie reklamy”, musi widzieć ten sam stan po otwarciu aplikacji telefonu, nawet jeśli sesja aplikacji telefonicznej jest anonimowa i używa innego ciasteczka. CMP i warstwa tożsamości muszą dzielić stan, a propagacja musi odbywać się w czasie zbliżonym do rzeczywistego — wycofanie respektowane tydzień później nie jest respektowane.

Wzorzec architektoniczny

Wielourządzeniowo świadoma CMP i stos tożsamości mają niewielką liczbę powtarzalnych elementów, które do 2026 roku ustabilizowały się wśród dojrzałych wydawców.

Pojedyncze źródło prawdy

Stan zgody rezyduje w usłudze zgody należącej do wydawcy, nie w bazie danych dostawcy CMP. Usługa jest kluczowana na rozwiązanym identyfikatorze, a nie na ciasteczku, które uruchomiło ostatnią decyzję o zgodzie, i każda usługa podrzędna świadoma zgody czyta z tego pojedynczego źródła. CMP uzupełnia usługę przy każdej zmianie zgody, a usługa udostępnia API w czasie rzeczywistym, które stos reklamowy i warstwa personalizacji mogą wywoływać przy każdym ładowaniu strony i każdym zdarzeniu.

Indeks zgody warstwy tożsamości

Warstwa rozwiązywania tożsamości utrzymuje dwukierunkowy indeks: każdy identyfikator urządzenia jest mapowany do rozwiązanej tożsamości, a każda rozwiązana tożsamość jest mapowana z powrotem do zestawu identyfikatorów urządzeń, których dotknęła. Gdy na którymkolwiek urządzeniu następuje zmiana zgody, indeks pozwala wydawcy rozesłać zmianę do każdego innego urządzenia używanego przez tę samą tożsamość, z odpowiednim czasem oczekiwania i rejestrowaniem propagacji.

Interfejs zgody per powierzchnia

Powierzchnie interfejsu zgody na każdym urządzeniu powinny odzwierciedlać stan wielourządzeniowy. Czytelnik, który wyraził zgodę na laptopie, nie powinien widzieć nowego banera na telefonie, jeśli łączenie tożsamości powiodło się. Czytelnik, który nigdy wcześniej nie był widziany, powinien zobaczyć baner z domyślnymi ustawieniami odmowy. CMP musi być w stanie odczytać stan warstwy tożsamości i odpowiednio wyrenderować interfejs, co jest prawdziwą integracją inżynierską, ale jednorazową inwestycją.

Przypadki szczególne

Kilka powierzchni i kontekstów generuje przypadki brzegowe, którymi architektura musi jawnie się zajmować.

Telewizja połączona i aplikacje Over-the-Top

Kontekst smart TV i aplikacji OTT jest niezwykły, ponieważ urządzenie jest często współdzielone przez gospodarstwo domowe — wiele osób korzysta z tego samego telewizora, ale tylko jedna z nich ma konto aplikacji wydawcy na swoim telefonie. Deterministyczne łączenie z telefonu z TV jest zawodne, a probabilistyczne łączenie na urządzeniu współdzielonym przez gospodarstwo domowe generuje zamieszanie co do zgody. Zgodny wzorzec polega na tym, aby domyślnie traktować aplikację TV jako nieuwierzytelnioną powierzchnię, wyświetlać własny baner zgody przy pierwszym uruchomieniu i łączyć ze znanym kontem tylko wtedy, gdy użytkownik podejmie wyraźną akcję łączenia.

Incognito i przeglądanie prywatne

Sesja incognito z definicji odrzuca rozwiązywanie tożsamości. CMP powinien traktować sesję jako zupełnie nowego gościa za każdym razem, renderować baner z domyślnymi ustawieniami odmowy i nie próbować łączyć sesji z żadnym znanym identyfikatorem, nawet jeśli adres IP i wzorzec behawioralny dawałyby probabilistyczne dopasowanie. Użytkownik sygnalizował, że chce izolacji, a wydawca respektuje ten sygnał.

Powierzchnie dla dzieci

Każda powierzchnia, w której odbiorcy mogą obejmować nieletnich — sekcje treści dla dzieci, aplikacje zorientowane na rodzinę, konta z samodzielnie zadeklarowanym wiekiem poniżej osiemnastu lat — powinna domyślnie nie stosować żadnego rozwiązywania tożsamości, a domyślne ustawienia zgody powinny być ustawione na odmowę dla reklamy i personalizacji. Zakaz targetowania nieletnich w DSA i ograniczenia COPPA w USA są absolutne i mają pierwszeństwo przed wszelką propagacją wielourządzeniową z konta dorosłego członka gospodarstwa domowego.

Typowe błędy wielourządzeniowe wyzwalające ustalenia

Wdrożenia wielourządzeniowe generujące ustalenia regulatorów zazwyczaj zawodzą we wzorcach, które decyzje egzekucyjne UE uczyniły konkretnymi. Probabilistyczny graf tożsamości działa bez wyraźnej bramki zgody, przy założeniu, że probabilistyczne dopasowanie jest poniżej progu GDPR — stanowisko, które nie przetrwało ostatnich orzeczeń. Ścieżka wycofania na jednym urządzeniu zajmuje tydzień na propagację do drugiego przez proces wsadowy, pozostawiając okno, w którym życzenia użytkownika nie są respektowane. Integracja grafu tożsamości dostawcy uruchamia się bez oceny skutków dla ochrony danych i bez klauzul umownych rozszerzających podstawę prawną wydawcy na przetwarzanie dostawcy. Aplikacja podłączonego TV łączy deterministycznie z głównym kontem telefonicznym gospodarstwa domowego bez żadnej wyraźnej akcji użytkownika, importując decyzję o zgodzie jednego użytkownika na innego. CMP renderuje baner, który nie odzwierciedla stanu wielourządzeniowego, fruststrując powracających czytelników, którzy już wyrazili zgodę na innej powierzchni, i generując ustalenia dotyczące zmęczenia zgodą, które EDPB ściga od 2025 roku.

Konkluzja

Zgoda wielourządzeniowa nie jest problemem technologicznym ani prawnym — to miejsce, w którym oba konwergują. Warstwa rozwiązywania tożsamości zbudowana przez wydawców, aby rozszerzanie odbiorców i ograniczanie częstotliwości działały, tworzy również obowiązek zapewnienia spójności zgody i wycofania na różnych powierzchniach. Architektura jest ustalona do 2026 roku: usługa zgody należąca do wydawcy, kluczowana na rozwiązanej tożsamości, dwukierunkowy indeks w warstwie tożsamości, propagacja w czasie zbliżonym do rzeczywistego, interfejs zgody per powierzchnia odzwierciedlający stan wielourządzeniowy oraz jawna obsługa przypadków brzegowych współdzielonego gospodarstwa domowego, incognito i nieletnich. Nic z tego nie jest dramatyczną inżynierią. Wszystko jest operacyjnie specyficzne. Wydawcy, którzy zbudowali to podczas cyklu wycofywania ciasteczek stron trzecich, działają teraz sprawnie na telefonach, laptopach i telewizorach; wydawcy, którzy traktowali wielourządzeniowość jako aktualizację pomiarową bez warstwy zgody, spędzają 2026 rok na wyjaśnianiu EDPB, dlaczego wycofanie czytelnika na laptopie nie dotarło do smart TV aż do następnego wtorku.