Что на самом деле представляет собой Global Privacy Platform

GPP — это транспортный протокол, а не новая система согласия. Это контейнер, который кодирует множество специфичных для региона сигналов согласия в одну строку Base64, доступную через стандартный JavaScript API (__gpp()), который могут запрашивать SSP, DSP и поставщики измерений. У каждого региона есть собственный раздел внутри строки GPP: раздел 2 несёт TCF EU v2, раздел 6 несёт US Privacy (устаревший), раздел 7 покрывает USNat, а разделы с 8 по 12 покрывают Калифорнию, Вирджинию, Колорадо, Юту и Коннектикут соответственно. Дополнительные разделы для Техаса, Орегона, Монтаны и других штатов добавляются по мере вступления их законов в силу.

Ключевое проектное решение в том, что одна строка GPP может нести несколько разделов одновременно. Европейский посетитель получает данные TCF EU; посетитель из Калифорнии получает данные US-CA; пользователь, чей IP геолоцируется в обеих юрисдикциях (редко, но возможно через VPN), может иметь оба заполненных раздела. Поставщики ad tech читают только релевантные для них разделы и игнорируют остальные.

Почему GPP существует и почему это важно сейчас

До GPP каждый новый закон о приватности штата США вынуждал паблишеров внедрять ещё один сигнал. У Калифорнии был USP. VCDPA Вирджинии требовал иной семантики opt-out. CPA Колорадо признавал браузерный сигнал Global Privacy Control. Юта и Коннектикут каждый добавляли больше нюансов. Поставщикам ad tech приходилось разбирать полдюжины форматов, часто непоследовательно, и риск сигнализировать «пользователь согласился» в одном канале, тогда как пользователь отказался в другом, стал реальной угрозой соответствия.

GPP стандартизирует транспорт. Как только CMP устанавливает строку GPP, каждый нижестоящий вендор читает одну и ту же кодировку. Для паблишеров это важно по трём причинам: политика Google 2024 года теперь требует поддержки GPP для сигналов штатов США в инвентаре Google Ad Manager; Prebid.js 8.x и большинство основных адаптеров SSP ожидают GPP; и регуляторы всё чаще ссылаются на соответствие GPP как на доказательство добросовестного распространения сигналов.

Разделы GPP и что они означают

У каждого раздела GPP свои правила кодирования, отражающие лежащую в основе систему:

Раздел 2: TCF EU v2

Идентичен автономной строке TCF v2.2, которую вы уже генерируете для европейского трафика. Если ваша CMP сертифицирована по TCF, вы уже производите этот раздел — GPP просто оборачивает его.

Раздел 7: US National (USNat)

Новейший раздел, разработанный как единый сигнал, покрывающий все федеральные законы США и законы штатов о приватности. Он кодирует данное уведомление, opt-out продажи, opt-out передачи, opt-out таргетированной рекламы, opt-out конфиденциальных данных и обработку данных известных детей. Вендоры, работающие в нескольких штатах США, должны предпочитать USNat разделам по штатам, когда это возможно.

Разделы 8-12: посекторальные сигналы штатов США

Калифорния (US-CA), Вирджиния (US-VA), Колорадо (US-CO), Юта (US-UT) и Коннектикут (US-CT). Каждый раздел несёт поля, специфичные для закона этого штата — например, US-CA сохраняет более старые opt-out продажи и передачи CCPA/CPRA, тогда как US-CO добавляет флаг согласия на конфиденциальные данные, требуемый Законом о приватности Колорадо. Техас (US-TX в разделе 13 CPA) и Орегон (US-OR в разделе 14 CPA) были добавлены после вступления их законов в силу в июле 2024 года.

Как паблишеры должны мигрировать

У большинства паблишеров уже есть CMP, генерирующая строки TCF для трафика ЕС и строки USP для Калифорнии. Путь миграции на GPP выглядит так:

Шаг 1: обновите вашу CMP

Убедитесь, что ваш вендор CMP указан в списке сертифицированных по GPP CMP IAB. FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics и большинство сертифицированных Google CMP теперь производят валидные строки GPP. Если ваша CMP всё ещё выводит только TCF или USP, запросите дорожную карту поддержки GPP — любой вендор без плана здесь останется позади в 2026 году.

Шаг 2: настройте разделы GPP по географии

Ваша CMP должна автоматически решать, какие разделы GPP заполнять, на основе геолокации по IP. Европейские посетители получают раздел 2 (TCF EU); посетители из США получают раздел 7 (USNat) или посекторальные разделы в зависимости от того, как ваш стек вендоров читает сигнал. Не заполняйте каждый раздел для каждого посетителя — это распространённая ошибка конфигурации, которая утекает нерелевантные для юрисдикции данные.

Шаг 3: проверьте нижестоящее распространение

Строка GPP полезна только если SSP, DSP, аналитика и поставщики пикселей читают её. Проведите аудит вашего ad-стека: в Prebid.js подтвердите, что модуль gppControl включён; в Google Ad Manager подтвердите, что строка GPP передаётся через consent API GAM; в Google Analytics 4 подтвердите, что Consent Mode v2 читает GPP наряду с TCF. Любой вендор, который молча игнорирует GPP, — это пробел в соответствии.

GPP, Consent Mode v2 и требования Google

Обновление политики Google в декабре 2024 года сделало поддержку GPP обязательной для паблишеров, монетизирующих инвентарь США через Google Ad Manager. Это изменение тонкое, но важное: Consent Mode v2 по-прежнему использует свои собственные сигналы ad_storage и analytics_storage, но GAM теперь ожидает наличия строки GPP в рекламном запросе для любого трафика по законам штатов США. Отсутствующие или некорректные строки GPP могут привести к показу рекламы в ограниченном режиме — со значительным влиянием на заполняемость и доход — или, для повторных нарушителей, к исключению инвентаря из аукциона.

Практическое следствие: даже паблишеры, которые исторически игнорировали законы штатов США, потому что их доход был только из Калифорнии, теперь нуждаются в GPP. Вирджиния, Колорадо, Коннектикут, Юта, Техас, Орегон, Монтана и Айова — у всех есть законы, действующие по состоянию на 2026 год, и Google читает строку GPP, чтобы определить, соответствует ли ваш рекламный запрос каждому из них.

Распространённые ловушки миграции

Четыре ошибки, которые мы видим неоднократно, когда паблишеры добавляют GPP:

Дублирующиеся сигналы. Некоторые паблишеры сохраняют автономные строки TCF и USP наряду с GPP, создавая три источника истины, которые могут расходиться. Как только GPP заработает, выведите автономные строки из эксплуатации.

Неправильное заполнение разделов. Заполнение US-CA для каждого посетителя из США независимо от фактического штата утекает географию и может ложно заявлять права opt-out CCPA для жителей не из Калифорнии. Используйте геолокацию по IP, чтобы выбрать правильный раздел.

Игнорирование GPC. Браузерный сигнал Global Privacy Control не является разделом GPP — это отдельный HTTP-заголовок и JS-свойство. Ваша CMP должна читать GPC при загрузке страницы и отражать его как opt-out в соответствующих разделах GPP, иначе вы нарушаете законы Колорадо, Коннектикута и Калифорнии.

Устаревшие адаптеры вендоров. Старые адаптеры Prebid и интеграции SSP могут вырезать строку GPP до того, как она достигнет участника торгов. Протестируйте каждого вендора в вашем ad-стеке с помощью валидатора IAB GPP перед объявлением миграции завершённой.

Долгосрочная перспектива: GPP за пределами США

GPP разработана для расширения за пределы TCF EU и законов штатов США. Новые разделы для Канады (PIPEDA плюс Закон 25 Квебека), Бразилии (LGPD), Южной Кореи (PIPA) и других юрисдикций находятся в активной разработке рабочей группы IAB. Для паблишеров, обслуживающих глобальный инвентарь, GPP становится единым транспортом согласия, который заменяет каждый региональный протокол. Инвестиции в GPP сегодня позиционируют ваш стек для поглощения следующей волны региональных законов о приватности без очередного интеграционного спринта.