Что такое Global Privacy Control?

Global Privacy Control (GPC) — это сигнал на уровне браузера, который позволяет людям автоматически сообщать каждому сайту, который они посещают, не продавать и не делиться их персональными данными. Вместо того чтобы нажимать «отклонить» на баннере cookie сайт за сайтом, пользователь включает GPC один раз — в своём браузере или расширении — и это предпочтение путешествует с ним по всей сети.

Думайте об этом как об универсальном переключателе отказа. Когда GPC включён, браузер прикрепляет сигнал к каждому запросу и показывает его JavaScript. Ожидается, что ваш веб-сайт прочитает этот сигнал и будет относиться к нему как к действительному, юридически обязательному выбору конфиденциальности, без необходимости взаимодействия с баннером.

Почему GPC имеет значение с юридической точки зрения

GPC — это не просто вежливость. Во всё большем числе юрисдикций его уважение является юридической обязанностью, и регуляторы уже приняли правоприменительные меры против компаний, которые его игнорировали.

Калифорния (CCPA/CPRA)

Согласно CCPA с поправками CPRA, бизнес должен относиться к предпочтению отказа как к запросу об отказе от продажи или совместного использования персональной информации. Генеральный прокурор Калифорнии и Агентство по защите конфиденциальности Калифорнии подтвердили, что GPC — это действительный сигнал отказа, который должен уважаться, и неспособность его уважать уже привела к публичной правоприменительной мере.

Другие штаты США

Колорадо, Коннектикут, Техас, Орегон, Монтана и несколько других штатов теперь требуют признания универсальных механизмов отказа. Список растёт каждый год, и GPC — это де-факто стандарт, на который указывают эти законы — построение поддержки один раз согласовывает вас со всеми ними.

Европа и GDPR

GDPR не называет GPC явно, но он требует, чтобы согласие было свободно данным и чтобы его отзыв был так же лёгок, как его предоставление. Ясный, автоматизированный сигнал отказа вписывается точно в этот принцип, и европейские регуляторы показывают растущий интерес к машинно-читаемым сигналам предпочтений.

Как GPC работает технически

GPC намеренно прост. Когда пользователь включает его, браузер сообщает предпочтение тремя взаимодополняющими способами:

• HTTP-заголовок — каждый запрос включает Sec-GPC: 1, так что ваш сервер может обнаружить сигнал до того, как выполнится хотя бы одна строка JavaScript страницы.
• Свойство JavaScript — navigator.globalPrivacyControl возвращает true, позволяя скриптам на стороне клиента и инструментам согласия реагировать в браузере.
• Обнаруживаемая политика — сайты могут публиковать файл /.well-known/gpc.json, описывающий, как они интерпретируют сигнал.

Поскольку сигнал доступен как на стороне сервера, так и на стороне клиента, вы можете принудительно применять его на любом слое, который лучше подходит вашему стеку.

Как обнаруживать и уважать GPC на вашем сайте

Уважение GPC означает автоматическое применение отказа пользователя без того, чтобы заставлять его трогать ваш баннер. Надёжная реализация выглядит так:

• Обнаруживайте рано. Читайте заголовок Sec-GPC на сервере, или проверяйте navigator.globalPrivacyControl, как только ваш скрипт согласия загружается.
• Применяйте отказ. Подавляйте неосновные cookie, рекламные и аналитические теги, и любую продажу или совместное использование данных для этого посетителя по умолчанию.
• Отражайте состояние. Показывайте баннер в состоянии отказа, чтобы пользователь мог видеть, что его выбор был понят, и всё ещё мог дать согласие, если он действительно этого хочет.
• Логируйте это. Записывайте, что решение было управляемо сигналом GPC, с временной меткой, чтобы у вас было проверяемое доказательство соответствия.

GPC против баннеров cookie: нужны ли вам всё ещё оба?

Да. GPC и баннеры согласия решают пересекающиеся, но разные проблемы. GPC — это сигнал отказа, который в основном касается правил «не продавать и не делиться» в стиле США, в то время как ЕС работает на модели opt-in, где вы должны собрать подтверждающее согласие перед установкой неосновных cookie. Соответствующий сайт использует GPC для предварительного применения глобального предпочтения пользователя и баннер для захвата явного согласия там, где этого требует закон. Оба должны подкреплять друг друга, никогда не противоречить.

Распространённые ошибки, которых нужно избегать

• Игнорирование заголовка целиком и проверка только на клиенте, так что данные уходят до того, как GPC когда-либо оценивается.
• Обнаружение GPC, но ничего с ним не делание — признание без принудительного применения не является соответствием.
• Переопределение пользователя путём повторного запроса посетителей GPC баннером, который подталкивает их обратно к отслеживанию.
• Забывание документации — без логов вы не можете доказать регулятору, что сигнал был уважён.

Как FlexyConsent обрабатывает GPC

FlexyConsent обнаруживает сигнал GPC автоматически как на сервере, так и на клиенте, применяет соответствующий отказ до того, как сработает любой неосновной скрипт, и записывает проверяемый лог согласия для каждого посетителя. Вы получаете универсальную поддержку отказа, многоюрисдикционное покрытие и доказательство соответствия из коробки — без написания логики обнаружения самостоятельно. Уважение Global Privacy Control быстро становится базовым требованием, и сайты, которые делают это правильно, строят прочное доверие со своими пользователями.