Что на самом деле делает разрешение идентичности

Разрешение идентичности — это слой между источниками данных издателя и инструментами измерения и персонализации издателя. Он принимает входные данные — собственные cookie, серверные идентификаторы сеансов, хешированные адреса электронной почты из авторизованных сеансов, мобильные рекламные идентификаторы из приложения издателя, идентификаторы устройств смарт-ТВ и созвездие вероятностных сигналов, таких как IP-адрес, user agent и поведенческий отпечаток, — и выдаёт результат: стабильный внутренний идентификатор, представляющий одного потребителя на всех поверхностях, которыми управляет издатель.

Детерминированное сшивание

Самый чистый путь — детерминированное сшивание: когда потребитель входит на двух поверхностях, издатель знает, что два устройства принадлежат одному человеку, и соответствующим образом объединяет их граф идентификаторов. Подписчики рассылки, зарегистрированные читатели и платные подписчики порождают детерминированное сшивание естественным образом. Данные высоконадёжны, правовое основание чёткое (у издателя есть прямые отношения), и решения о согласии, принятые на одной поверхности, могут распространяться на другую без вероятностной догадки.

Вероятностное сшивание

Более сложный путь — вероятностное сшивание: вывод о том, что два устройства принадлежат одному человеку, без аутентифицированной связи. Сигналами являются совпадение IP-адресов, поведенческое сходство, шаблоны времени суток, географическая кластеризация и проприетарные модели, объединяющие всё вышеперечисленное. Вероятностное сшивание даёт издателям гораздо больший охват — большинство читателей вышли из системы большую часть визитов, — но правовое основание гораздо слабее, и регуляторы ЕС всё активнее противодействуют слоям вероятностной идентичности, работающим без явного согласия.

Графы идентичности, предоставляемые поставщиками

Третий путь — покупка или лицензирование графа идентичности у поставщика — LiveRamp, ID5, Unified ID 2.0 от The Trade Desk или одного из множества более мелких провайдеров. Поставщик поддерживает граф, издатель предоставляет хешированные идентификаторы, а поставщик возвращает сшитый идентификатор, который издатель может использовать далее. Правовая позиция здесь смешанная: она полностью зависит от происхождения данных самого поставщика и условий договора, а правоприменительные действия ЕС в 2025 году против нескольких крупных поставщиков идентичности заставили издателей с большей осторожностью относиться к тому, какие графы они интегрируют.

Вопрос согласия, который поднимает межустройственное разрешение

Сложный вопрос, который поднимает разрешение идентичности, — требует ли согласия сам акт сшивания, отдельно от последующей рекламы или персонализации, которые питает сшитый идентификатор.

Само сшивание

Согласно GDPR, разрешение идентичности является обработкой персональных данных. Требуемое правовое основание зависит от цели: для предотвращения мошенничества или базовой работы сервиса иногда может применяться законный интерес; для рекламы, персонализации или расширения аудитории требуется согласие. ePrivacy добавляет отдельный слой для любого cookie или идентификатора устройства, читаемого на устройстве пользователя, и чтение cookie или идентификатора требует согласия независимо от того, что издатель затем делает с результатом.

Распространение согласия

Более интересный вопрос — как решение о согласии, принятое на одном устройстве, распространяется на другое. Если читатель отклоняет рекламные cookie на ноутбуке, а идентификатор ноутбука сшит с идентификатором телефона через детерминированное сопоставление по электронной почте, должен ли телефон учитывать отказ ноутбука при следующем визите? Опубликованное руководство Европейского совета по защите данных чётко указывает, что ответ — да: решения о согласии привязываются к субъекту данных, а не к устройству, и сшитый граф идентичности, позволяющий издателю распознать субъекта данных, — это также граф, требующий от издателя учитывать его решения.

Путь отзыва

Отзыв также должен распространяться. Читатель, который входит в настройки учётной записи издателя на ноутбуке и нажимает «отклонить всю рекламу», должен видеть то же состояние, когда открывает приложение на телефоне, даже если сеанс приложения на телефоне анонимен и использует другой cookie. CMP и слой идентичности должны разделять состояние, а распространение должно быть почти в реальном времени — отзыв, учтённый неделю спустя, не учтён.

Архитектурная схема

Стек CMP и идентичности с учётом межустройственности имеет небольшое число повторяемых элементов, стабилизировавшихся у зрелых издателей к 2026 году.

Единый источник истины

Состояние согласия хранится в принадлежащем издателю сервисе согласия, а не внутри базы данных поставщика CMP. Сервис привязан к разрешённому идентификатору, а не к cookie, вызвавшему последнее решение о согласии, и каждый учитывающий согласие нижестоящий сервис читает из этого единого источника. CMP заполняет сервис при каждом изменении согласия, а сервис предоставляет API в реальном времени, к которому рекламный стек и слой персонализации могут обращаться при каждой загрузке страницы и каждом событии.

Индекс согласия слоя идентичности

Слой разрешения идентичности поддерживает двунаправленный индекс: каждый идентификатор устройства отображается на разрешённую идентичность, а каждая разрешённая идентичность отображается обратно на набор идентификаторов устройств, которых она касалась. Когда на каком-либо одном устройстве происходит изменение согласия, индекс позволяет издателю распространить изменение на каждое другое устройство, которое использовала та же идентичность, с соответствующим периодом ожидания и журналированием распространения.

Интерфейс согласия на каждой поверхности

Интерфейсы согласия на каждом устройстве должны отражать межустройственное состояние. Читатель, давший согласие на ноутбуке, не должен видеть новый баннер на телефоне, если сшивание идентичности удалось. Читатель, которого никогда раньше не видели, должен видеть баннер с настройками по умолчанию «отклонить». CMP должна уметь читать состояние слоя идентичности и отображать интерфейс соответствующим образом, что является реальной инженерной интеграцией, но одноразовым вложением.

Особые случаи

Несколько поверхностей и контекстов порождают граничные случаи, которые архитектура должна обрабатывать явно.

Подключённое ТВ и приложения Over-the-Top

Контекст смарт-ТВ и OTT-приложений необычен, потому что устройство часто является общим для домохозяйства — несколько человек используют один телевизор, но только у одного из них есть учётная запись приложения издателя на телефоне. Детерминированное сшивание с телефона на ТВ ненадёжно, а вероятностное сшивание на устройстве, общем для домохозяйства, порождает путаницу в согласии. Соответствующая схема — рассматривать приложение ТВ как неаутентифицированную поверхность по умолчанию, показывать собственный баннер согласия при первом запуске и сшивать с известной учётной записью только тогда, когда пользователь предпринимает явное действие связывания.

Инкогнито и приватный просмотр

Сеанс в режиме инкогнито по определению отклоняет разрешение идентичности. CMP должна каждый раз рассматривать сеанс как совершенно нового посетителя, отображать баннер с настройками по умолчанию «отклонить» и не пытаться сшивать сеанс с каким-либо известным идентификатором, даже если IP-адрес и поведенческий шаблон в противном случае дали бы вероятностное совпадение. Пользователь подал сигнал, что хочет изоляции, и издатель уважает этот сигнал.

Поверхности для детей

Любая поверхность, где аудитория может включать несовершеннолетних — детские разделы контента, ориентированные на семью приложения, учётные записи с самостоятельно заявленным возрастом до восемнадцати лет, — должна по умолчанию вообще не использовать разрешение идентичности, а настройки согласия для рекламы и персонализации должны быть установлены на «отклонить». Запрет DSA на таргетинг несовершеннолетних и ограничения COPPA в США абсолютны и имеют приоритет над любым межустройственным распространением из взрослой учётной записи члена домохозяйства.

Распространённые межустройственные ошибки, порождающие нарушения

Межустройственные развёртывания, порождающие нарушения по мнению регулятора, как правило, дают сбой по шаблонам, которые правоприменительные решения ЕС сделали конкретными. Граф вероятностной идентичности работает без явного шлюза согласия, исходя из теории, что вероятностное сопоставление ниже порога GDPR, — позиция, не пережившая недавних постановлений. Путь отзыва на одном устройстве распространяется на другое неделю через пакетный процесс, оставляя окно, в котором желания пользователя не учитываются. Интеграция графа идентичности поставщика запускается без оценки воздействия на защиту данных и без договорных положений, расширяющих правовое основание издателя на обработку поставщика. Приложение подключённого ТВ детерминированно сшивается с основной учётной записью телефона домохозяйства без какого-либо явного действия пользователя, импортируя решение о согласии одного пользователя на другого. CMP отображает баннер, не отражающий межустройственное состояние, расстраивая возвращающихся читателей, которые уже дали согласие на другой поверхности, и порождая нарушения по усталости от согласия, которые EDPB преследует на протяжении 2025 года.

Итог

Межустройственное согласие — это не технологическая проблема и не правовая проблема, это место, где две сходятся. Слой разрешения идентичности, который издатели построили, чтобы заставить работать расширение аудитории и ограничение частоты, также создаёт обязательство сделать согласие и отзыв согласованными между поверхностями. Архитектура устоялась к 2026 году: принадлежащий издателю сервис согласия, привязанный к разрешённой идентичности, двунаправленный индекс в слое идентичности, распространение почти в реальном времени, интерфейс согласия на каждой поверхности, отражающий межустройственное состояние, и явная обработка граничных случаев для общих в домохозяйстве, инкогнито и несовершеннолетних. Ничто из этого не является драматичной инженерией. Всё это операционно конкретно. Издатели, построившие это во время цикла отказа от сторонних cookie, теперь работают чисто на телефонах, ноутбуках и ТВ; издатели, рассматривавшие межустройственность как обновление измерений без слоя согласия, проводят 2026 год, объясняя EDPB, почему отзыв читателя на ноутбуке не достиг смарт-ТВ до следующего вторника.