Руководство по согласию на cookie для издателей в рамках Рамочной программы конфиденциальности данных ЕС-США (DPF) в 2026 году
Рамочная программа конфиденциальности данных ЕС-США (DPF) — это юридическая основа, которая позволяет европейским персональным данным — включая идентификаторы cookie, IP-адреса, хешированные электронные письма и полезную нагрузку рекламных запросов — передаваться поставщикам, базирующимся в США, без того, чтобы каждый издатель договаривался о своих стандартных договорных условиях. Принятая Европейской комиссией в июле 2023 года и сейчас уже несколько лет находящаяся в реальном использовании, DPF — это третья попытка заменить признанный недействительным Privacy Shield, и она снова оспаривается в Суде Европейского союза. Для издателей, пропускающих трафик ЕС через SSP, DSP, аналитические инструменты и CMP со штаб-квартирами в США, понимание DPF — и слоя согласия, который сидит поверх неё — больше не является необязательным. Это руководство объясняет, что на самом деле авторизует DPF, как вписывается согласие на cookie и какие операционные шаги делают ваши передачи защитимыми, если фреймворк снова отменят.
Что на самом деле делает DPF
DPF — это решение об адекватности, выпущенное Европейской комиссией согласно статье 45 GDPR. Решение об адекватности гласит, что третья страна — в данном случае Соединённые Штаты — обеспечивает уровень защиты персональных данных, по сути эквивалентный уровню ЕС, но только для организаций, которые присоединяются к конкретному фреймворку. DPF — это механизм присоединения. Американские компании самостоятельно сертифицируются в Министерстве торговли, обязуются соблюдать набор Принципов конфиденциальности и становятся объектом правоприменения этих обязательств со стороны FTC или DOT.
Для издателя из ЕС практический эффект в том, что персональные данные могут быть переданы сертифицированному по DPF поставщику из США без отдельных стандартных договорных условий (SCC), оценок воздействия передачи, адаптированных к этому поставщику, или дополнительных мер того рода, который требовался после решения Schrems II. DPF делает тяжёлую работу на уровне правового основания.
Три вещи, которые DPF не делает и в которых издатели постоянно ошибаются:
- Она не заменяет согласие. Установка необязательного cookie на посетителя из ЕС по-прежнему требует согласия уровня GDPR/ePrivacy независимо от того, куда попадают данные.
- Она не покрывает передачи несертифицированным поставщикам из США. Если ваш SSP или поставщик аналитики не в активном списке DPF, вам по-прежнему нужны SCC и TIA.
- Она не покрывает передачи дочерним компаниям США, работающим вне сертифицированной сферы. Многие крупные поставщики сертифицируют только конкретные направления бизнеса.
Согласие на cookie по-прежнему входная дверь
DPF решает этап передачи в путешествии. Она ничего не делает с моментом, когда cookie устанавливается, рекламный ID читается или событие отправляется тегу. Этот момент регулируется Директивой ePrivacy (статья 5(3)) и GDPR (статьи 6 и 7). Оба требуют предварительного, информированного, конкретного и свободно данного согласия на любой не строго необходимый доступ к хранилищу терминального оборудования.
Другими словами, даже если каждый поставщик в вашем стеке сертифицирован по DPF, вам по-прежнему нужна платформа управления согласием, которая:
- Блокирует необязательные cookie и теги до того, как согласие будет собрано.
- Представляет ясный выбор с паритетом «отклонить всё» и «принять всё» (EDPB был явным об этом с 2022 года).
- Записывает событие согласия с защищённой от подделки временной меткой и копией уведомления, которое пользователь действительно видел.
- Пересылает состояние согласия каждому нижестоящему инструменту через TCF v2.3, Google Consent Mode v2 или нативные API поставщиков.
DPF заменяет правовое основание для передачи; CMP обеспечивает правовое основание для сбора. Пропуск любой стороны оставляет вас уязвимым.
Как проверить статус DPF поставщика
Министерство торговли США ведёт официальный список DPF на dataprivacyframework.gov. Прежде чем полагаться на заявление поставщика о DPF, проверьте три вещи в их листинге.
Активный статус сертификации
Сертификации должны обновляться ежегодно. Поставщик, чей статус читается как Неактивный, Отозванный или Истёкший, не может использоваться как ваш механизм передачи, даже если их маркетинговые страницы по-прежнему отображают значок DPF. Внесите листинг в инвентарь поставщиков и перепроверяйте ежеквартально.
Охваченные организации и аффилированные лица
Многие холдинговые компании сертифицируют некоторые аффилированные лица, а не другие. Контрактная организация в вашем DPA должна совпадать с сертифицированной организацией. Распространённая ошибка — подписание с Acme Marketing UK Ltd, когда сертификация DPF принадлежит Acme Inc. в Делавэре — поток данных тогда выходит за пределы сертифицированной сферы.
Категории охваченных данных
DPF позволяет сертификации, ограниченные только HR-данными, только не-HR-данными или обоими. Сертификация только не-HR покрывает ваши рекламные и аналитические данные; сертификация только HR — нет. Внимательно читайте листинг.
Что делать, когда поставщик не сертифицирован по DPF
Множество полезных поставщиков из США — особенно мелкие игроки ad-tech и нишевые аналитические инструменты — никогда не сертифицировались или позволили своей сертификации истечь. Для них DPF неактуальна, и вы возвращаетесь к набору инструментов до 2023 года:
- Стандартные договорные условия (SCC) — версии модуля 2 или модуля 3 2021 года, подписанные обеими сторонами и включённые в DPA.
- Оценка воздействия передачи (TIA) — анализ, специфичный для поставщика, законодательства США о наблюдении, категорий данных в зоне риска и технических и организационных мер, смягчающих экспозицию.
- Дополнительные меры — шифрование при передаче и в покое, псевдонимизация, контрактные обязательства по прозрачности и документированный план реагирования на запросы доступа правительства США.
Ведите реестр, который перечисляет каждого поставщика из США в вашем стеке, правовое основание, используемое для каждого (DPF, SCC, отступление), и дату последней проверки. Регуляторы и аудиторы будут запрашивать этот реестр; его отсутствие само по себе является нарушением.
Риск Schrems III и как защититься на будущее
Защитник конфиденциальности Макс Шремс и его организация NOYB подали иск против DPF вскоре после её принятия, утверждая, что реформа наблюдения США согласно Указу 14086 всё ещё не соответствует стандартам основных прав ЕС. Передача в CJEU широко ожидается, и фреймворк имеет нетривиальную вероятность быть отменённым — третий за двадцать лет.
Издатели, которые рассматривали Privacy Shield как единственный механизм передачи в 2020 году, должны были суетиться за ночь, когда Schrems II признал его недействительным. Той же суеты можно избежать на этот раз, рассматривая DPF как основной механизм с готовым к включению резервом.
Держите SCC в каждом DPA
Настаивайте, чтобы ваши DPA включали SCC 2021 года в качестве запасной оговорки, которая автоматически активируется, если решение об адекватности DPF признаётся недействительным или сертификация поставщика истекает. Это теперь стандартная формулировка; если поставщик отказывается, это жёлтый флаг.
Всё равно проводите TIA
DPF устраняет юридическое требование TIA, но проведение облегчённой — особенно для поставщиков, обрабатывающих чувствительные рекламные сигналы или большие популяции ЕС — даёт вам защитимую документацию, если фреймворк рухнет. Повторно используйте один и тот же шаблон для разных поставщиков, чтобы держать стоимость низкой.
Локализуйте, где математика работает
Для нескольких сценариев — аналитика первой стороны, поведенческие данные о вошедших в систему пользователях или сайты с чувствительным контентом — переход на поставщика, размещённого в ЕС и контролируемого в ЕС, полностью устраняет вопрос передачи. Соотношение затрат и выгод оправдывается только для высокорисковых или высокообъёмных потоков, но это должно быть в дорожной карте как опция.
Подключение DPF к вашей CMP
Современная CMP не обеспечивает соблюдение DPF напрямую — нет поля GPP или TCF, которое говорит «эта передача покрыта DPF». Что CMP должна делать — это собирать согласие для каждого поставщика способом, который поддерживает документацию, которую регулятор в конечном итоге запросит.
Детализация по каждому поставщику
Объединение всех поставщиков ad-tech из США в один переключатель «Маркетинг» больше не защитимо. Список поставщиков TCF v2.3, с которым синхронизируется большинство сертифицированных CMP, предоставляет цели и правовые основания для каждого поставщика. Используйте его. Когда регулятор спрашивает «на каком основании персональные данные передавались Поставщику X в дату Y», вы должны иметь возможность указать на строку TCF, запись сертификации DPF и DPA.
Отразите уведомление о конфиденциальности в баннере
Список получателей в вашем уведомлении о конфиденциальности должен точно совпадать со списком поставщиков, загружаемых после согласия. Несоответствия — это самая лёгкая цель правоприменения — испанский AEPD и французский CNIL оба штрафовали издателей в 2024 году за списки поставщиков, которые опускали активных партнёров.
Логируйте состояние поставщиков во время согласия
Храните для каждого события согласия снимок того, какие поставщики были в TCF GVL, какие были сертифицированы по DPF и на какое правовое основание каждый опирался. Это аудиторский след, который превращает стрессовое письмо регулятора в рутинный ответ. FlexyConsent и другие сертифицированные Google CMP предлагают это логирование из коробки; многие старые баннеры — нет.
Практический чек-лист миграции
Если вы переводите существующий сайт с настройки до DPF или частичной DPF на чистую конфигурацию 2026 года, проработайте этот список:
- Инвентаризируйте каждого поставщика из США в вашем менеджере тегов, рекламном стеке и серверном контейнере.
- Сверьте каждого с активным списком DPF. Категоризируйте как покрытый DPF, покрытый SCC или требуется действие.
- Обновите DPA, чтобы включить SCC 2021 года как автоматический резерв.
- Проведите TIA для высокорисковых поставщиков независимо от статуса DPF.
- Подтвердите, что ваша CMP предоставляет UI согласия по каждому поставщику и поддерживает TCF v2.3.
- Убедитесь, что Google Consent Mode v2 подключён к GA4, Ads и любым инструментам потери сигнала.
- Поставьте квартальную проверку в календарь для перепроверки сертификаций, членства в GVL и версий DPA.
- Проинструктируйте юристов и ad ops вместе о том, что изменится, если DPF признают недействительной, чтобы план реагирования не изобретался под давлением.
Распространённые заблуждения
Несколько ошибок повторяются в аудитах издателей и нуждаются в явном исправлении.
«Сертификация DPF означает, что нам не нужно согласие». Нет. DPF — механизм передачи. Согласие — требование сбора. Они сидят на разных правовых слоях.
«Наш CDN базируется в США, поэтому DPF покрывает его». Только если CDN сам сертифицирован по DPF для соответствующих категорий данных. Многие поставщики инфраструктуры предлагают регионы ЕС, которые полностью избегают вопроса.
«Поставщик X говорит, что они готовы к DPF». Маркетинговый язык. Проверьте официальный список, имя сертифицированной организации и категории данных.
«DPF заменяет баннер cookie». Нет. Правило предварительного согласия Директивы ePrivacy независимо от правил передачи GDPR. Оба применяются.
Итог
DPF делает трансатлантический ad-tech 2026 года операционно проще, чем было в 2021 году, но она не освобождает издателей от согласия на cookie, должной осмотрительности поставщиков или документации передачи. Рассматривайте DPF как один действительный механизм передачи среди нескольких, держите SCC в качестве контрактного резерва, запускайте CMP, которая логирует согласие по каждому поставщику против поддерживаемого инвентаря поставщиков, и предполагайте, что юридическая стабильность фреймворка условна. Издатели, которые построят эту устойчивость сейчас, не будут вынуждены переархитектурировать за ночь, если решение Schrems III ляжет так же, как два предыдущих. Те, кто рассматривает DPF как постоянный ответ, готовят себя к той же суете, что последовала за признанием недействительным Privacy Shield — только на этот раз регуляторы менее терпеливы, а штрафы больше.