Что такое сигнал Global Privacy Control?

Global Privacy Control — это браузерный сигнал, который сообщает о предпочтении пользователя отказаться от продажи или передачи его персональной информации. Он передаётся двумя способами: как HTTP-заголовок запроса (Sec-GPC: 1), отправляемый с каждым исходящим запросом, и как свойство JavaScript (navigator.globalPrivacyControl), возвращающее булево значение. Когда любой из них присутствует и установлен, пользователь выразил юридически значимое предпочтение, которое определённые законы о конфиденциальности требуют уважать.

GPC был разработан для замены провалившегося эксперимента Do Not Track (DNT). У DNT не было юридической поддержки, что означало, что рекламодатели и издатели игнорировали его без последствий. GPC отличается тем, что калифорнийские регуляторы прописали его прямо в нормотворчестве CPRA, и последующие законы штатов последовали этому примеру.

Какие браузеры сегодня отправляют GPC?

По состоянию на 2026 год GPC поддерживается нативно или доступен через расширение во всех основных браузерах:

• Firefox — нативно, переключается в настройках конфиденциальности
• Brave — включён по умолчанию для всех пользователей
• DuckDuckGo браузер и мобильные приложения — включён по умолчанию
• Safari — доступен через расширения и конфигурацию конфиденциальности iOS
• Chrome и Edge — доступен через официальное расширение GPC и несколько дополнений для конфиденциальности

Оценки предполагают, что от 8 до 15 процентов веб-трафика США теперь несёт сигнал GPC, со значительно более высокими показателями среди демографических групп, ориентированных на конфиденциальность. Для издателя среднего размера это представляет нетривиальную долю инвентаря, который нельзя монетизировать через традиционный поведенческий таргетинг без нарушения прав на отказ.

Какие законы о конфиденциальности делают GPC юридически обязательным?

GPC не является единым федеральным требованием. Его обязательность лоскутно собрана из законов штатов, каждый с немного разными сферами действия и штрафами.

Калифорния — CPRA и CCPA

Окончательные регламенты CCPA генерального прокурора Калифорнии прямо требуют от бизнеса рассматривать GPC как действительный отказ от продажи и передачи. Урегулирование Sephora 2022 года, которое привело к штрафу в 1,2 миллиона долларов, специально ссылалось на необработку GPC как сигнала отказа в качестве одного из основных нарушений. Калифорнийское агентство по защите конфиденциальности продолжало агрессивное правоприменение на протяжении 2024 и 2025 годов, и обработка GPC теперь является стандартным фокусом аудита.

Закон Колорадо о конфиденциальности

CPA требует от контролёров признавать универсальный механизм отказа (UOOM) начиная с 1 июля 2024 года. Генеральный прокурор Колорадо прямо назначил GPC утверждённым UOOM в своих технических спецификациях.

Закон Коннектикута о конфиденциальности данных

CTDPA вступил в силу 1 января 2025 года с требованием признания UOOM, идентичным по духу Колорадо. Бизнес, работающий в Коннектикуте, должен соблюдать GPC для отказов от таргетированной рекламы и продажи персональных данных.

Дополнительные штаты США в 2026 году

• Орегон — Закон Орегона о конфиденциальности потребителей признаёт универсальные механизмы отказа
• Техас — TDPSA требует признания универсального отказа к 1 января 2025 года
• Делавэр, Нью-Джерси, Нью-Гэмпшир — аналогичные положения UOOM действуют или поэтапно вводятся
• Монтана — действует с октября 2024 года, включает требования признания GPC

А как насчёт Европы и GDPR?

GPC прямо не требуется в рамках GDPR ЕС или Директивы ePrivacy. Однако некоторые европейские регуляторы неформально дали понять, что соблюдение чёткого отказа на уровне браузера согласуется с духом закона. На практике издателям, обслуживающим глобальную аудиторию, следует относиться к сигналу GPC от пользователей ЕС, как минимум, как к сильному сигналу для подавления пикселей отслеживания, не имеющих правового основания.

Как GPC взаимодействует с вашей CMP и Consent Mode

Правильная реализация GPC требует интеграции с вашей платформой управления согласием, системой управления тегами и серверной инфраструктурой отслеживания. Наивная интеграция, которая блокирует только клиентские cookie, не удовлетворит большинство требований законов штатов, которые применяются и к передаче данных «сервер-сервер».

Четыре шага соответствующего GPC-потока

1. Обнаружьте сигнал при загрузке страницы, читая navigator.globalPrivacyControl и, на стороне сервера, проверяя заголовок запроса Sec-GPC.
2. Подавите баннер для жителей США, где GPC действует как предварительный отказ, или отобразите баннер с уже применёнными соответствующими отказами.
3. Распространите отказ на ваш менеджер тегов, конфигурацию consent mode, серверные конечные точки отслеживания и любые партнёрства по обмену данными (рекламные сети, SSP, поставщики аналитики).
4. Зарегистрируйте сигнал как артефакт соответствия с временной меткой, идентификатором пользователя, где применимо, и конкретными применёнными отказами.

GPC и Google Consent Mode v2

Google Consent Mode v2 ввёл два сигнала, которые чётко сопоставляются с GPC: ad_user_data и ad_personalization. Когда обнаружен сигнал GPC, оба должны быть установлены в denied на время сессии пользователя. Это гарантирует, что данные, достигающие сервисов Google, понижаются до моделирования без cookie, а не используются для персонализированной рекламы. Невозможность распространить GPC в Consent Mode — один из самых распространённых пробелов реализации, которые мы видим в аудитах издателей.

Серверные API и API измерений

GPC применяется ко всей обработке, а не только к браузерным cookie. Если ваш стек использует Meta Conversions API, TikTok Events API или Google Measurement Protocol, эти вызовы также должны уважать отказ. Распространённый шаблон сбоя: клиентский баннер блокирует Meta Pixel, но серверная интеграция продолжает отправлять события с хешированными данными электронной почты. Это хрестоматийное нарушение права CCPA на отказ от продажи.

Распространённые ошибки реализации

Наиболее частые сбои соответствия GPC, которые мы видим во время аудитов издателей, попадают в предсказуемые категории.

Ошибка 1: рассматривать GPC только как отказ от cookie

Многие CMP отключают только несущественные cookie при обнаружении GPC. Но законы штатов определяют «продажу» и «передачу» так, чтобы включать серверные передачи данных, профилирование программ лояльности и синдикацию данных первой стороны. Если ваш баннер cookie соблюдает GPC, но ваш бэкенд продолжает отправлять профили пользователей брокеру данных, вы не соответствуете требованиям.

Ошибка 2: игнорировать GPC для аутентифицированных пользователей

Если пользователь вошёл в систему, сигнал GPC всё равно применяется. Некоторые издатели рассматривают аутентифицированные отношения как неявное переопределение. Регуляторы не согласны. Отказ распространяется на экспорт CRM, обмен списками электронной почты и загрузку аудиторий ретаргетинга.

Ошибка 3: отсутствие логики географического ограничения

GPC в настоящее время юридически обязателен только для пользователей в штатах с законами об отказе. Если вы применяете его глобально как жёсткую блокировку, вы теряете монетизацию трафика из юрисдикций, где он не имеет правового эффекта. Правильно ограниченная реализация использует IP-геолокацию как первичный фильтр, применяет GPC для жителей штатов, где он обязателен, и показывает обычный поток согласия в других местах.

Ошибка 4: забыть подтвердить отказ

Некоторые законы, особенно в Калифорнии, ожидают, что пользователи получат подтверждение обработки их отказа. Небольшое уведомление — «Мы обнаружили сигнал Global Privacy Control и отказали от продажи вашей персональной информации» — это недорогой артефакт соответствия с непропорционально высокой регуляторной ценностью.

Влияние на рекламный доход

Влияние GPC на доход сильно зависит от состава вашего трафика, стратегии монетизации и того, насколько элегантно ваш стек обрабатывает инвентарь без cookie. У издателей, с которыми мы работаем, пользователи с сигналом GPC обычно монетизируются на уровне от 40 до 70 процентов от полностью согласившихся пользователей при показе контекстной, неперсонализированной рекламы. Издатели с сильными стратегиями данных первой стороны, серверным header bidding и диверсифицированными партнёрами по спросу сокращают этот разрыв ещё больше.

Неправильная реакция на GPC — игнорировать его, потому что регуляторные риски — многомиллионные штрафы, гражданские коллективные иски в рамках частного права на иск CCPA и репутационный ущерб — затмевают краткосрочную потерю RPM. Правильная реакция — построить трек монетизации без cookie, который рассматривает пользователей GPC как премиальную контекстную аудиторию, а не как потерянный инвентарь.

Чек-лист действий для издателей в 2026 году

• Проведите аудит вашей CMP, чтобы убедиться, что она обнаруживает и navigator.globalPrivacyControl, и HTTP-заголовок Sec-GPC
• Сопоставьте распространение GPC в Google Consent Mode v2, Meta Conversions API и любые серверные конечные точки отслеживания
• Примените географическое ограничение, чтобы GPC рассматривался как обязательный в применимых штатах США и как сильный сигнал в других местах
• Регистрируйте каждое обнаружение GPC и применённые отказы, храните журналы в течение срока, требуемого применимым законом (обычно 24 месяца)
• Отображайте видимое сообщение-подтверждение, когда GPC обнаружен и соблюдён
• Проверьте ваш рекламный стек на наличие резервного дохода без cookie: контекстный таргетинг, аудитории, определённые продавцом, идентификаторы сделок с контекстными параметрами
• Включите обработку GPC в ваш ежегодный обзор политики конфиденциальности и DPIA, где применимо

GPC никуда не денется. Траектория ясна: больше штатов США примут универсальные требования отказа, браузеры продолжат поставлять GPC по умолчанию, а регуляторы продолжат рассматривать несоблюдение сигнала как приоритет правоприменения высшего уровня. Издатели, которые встроят обработку GPC в ядро своего стека согласия и монетизации в 2026 году, будут хорошо подготовлены к следующей волне законодательства о конфиденциальности. Те, кто рассматривает это как нечто второстепенное, обнаружат, что защищаются от действий по правоприменению, которых можно было бы избежать несколькими днями инженерной работы.