Vad identitetsupplösning faktiskt gör

Identitetsupplösning är lagret mellan utgivarens datakällor och utgivarens mät- och personaliseringsverktyg. Det tar in indata — förstapartscookies, serversidans sessions-ID:n, hashade e-postadresser från inloggade sessioner, mobila reklam-ID:n från utgivarens app, smarta TV-enhetsidentifierare och en konstellation av probabilistiska signaler som IP-adress, user agent och beteendeavtryck — och producerar ett resultat: en stabil intern identifierare som representerar en enda konsument över alla ytor utgivaren driver.

Deterministisk sammanfogning

Den renaste vägen är deterministisk sammanfogning: när konsumenten loggar in på två ytor vet utgivaren att de två enheterna tillhör samma person och slår samman deras identifierardiagram i enlighet med det. Nyhetsbrevsprenumeranter, registrerade läsare och betalande prenumeranter producerar naturligt deterministisk sammanfogning. Datan är tillförlitlig, den rättsliga grunden är tydlig (utgivaren har en direkt relation), och samtycksbeslut som fattats på en yta kan spridas till den andra utan någon probabilistisk gissning.

Probabilistisk sammanfogning

Den svårare vägen är probabilistisk sammanfogning: att dra slutsatsen att två enheter tillhör samma person utan en autentiserad länk. Signalerna är IP-adresssamförekomst, beteendelikhet, tid-på-dygnet-mönster, geografisk klustring och proprietära modeller som kombinerar allt det ovanstående. Probabilistisk sammanfogning ger utgivare mycket mer räckvidd — de flesta läsare är utloggade under de flesta besöken — men den rättsliga grunden är mycket svagare, och EU-regulatorer har blivit alltmer aktiva i att motarbeta probabilistiska identitetslager som verkar utan explicit samtycke.

Leverantörstillhandahållna identitetsdiagram

Den tredje vägen är att köpa eller licensiera ett identitetsdiagram från en leverantör — LiveRamp, ID5, The Trade Desk:s Unified ID 2.0, eller någon av de många mindre leverantörerna. Leverantören underhåller diagrammet, utgivaren tillhandahåller hashade identifierare och leverantören returnerar en sammanfogad identifierare som utgivaren kan använda nedströms. Den rättsliga ställningen här är blandad: det beror helt på leverantörens egna dataursprung och de avtalsenliga villkoren, och EU:s verkställighetsåtgärder under 2025 mot flera stora identitetsleverantörer har gjort utgivare mer försiktiga med vilka diagram de integrerar.

Samtycksfrågan som tvärenhetslösning väcker

Den svåra frågan som identitetsupplösning väcker är om själva sammanfogningshandlingen kräver samtycke, separat från den efterföljande reklam eller personalisering som den sammanfogade identifieraren matar.

Sammanfogningen i sig

Enligt GDPR är identitetsupplösning behandling av personuppgifter. Den nödvändiga rättsliga grunden beror på syftet: för bedrägeriförebyggande eller grundläggande servicedrift kan berättigade intressen ibland gälla; för reklam, personalisering eller målgruppsutvidgning krävs samtycke. ePrivacy lägger till ett separat lager för varje cookie eller enhetsidentifierare som läses på användarens enhet, och cookien eller identifieraren som läses kräver samtycke oavsett vad utgivaren sedan gör med resultatet.

Spridning av samtycke

Den mer intressanta frågan är hur samtyckesbeslutet som fattas på en enhet sprids till den andra. Om en läsare avvisar reklamcookies på den bärbara datorn och den bärbara datorns identifierare kopplas ihop med telefonens identifierare via deterministisk e-postmatchning, måste telefonen då respektera den bärbara datorns avvisande vid nästa besök? European Data Protection Board:s publicerade vägledning är tydlig med att svaret är ja — samtycksbeslut är kopplade till den registrerade, inte till enheten, och ett sammanfogat identitetsdiagram som låter utgivaren känna igen den registrerade är också ett diagram som kräver att utgivaren respekterar deras beslut.

Återkallningsvägen

Återkallelse behöver också spridas. En läsare som loggar in på utgivarens kontoinställningar på den bärbara datorn och klickar på 'avvisa all reklam' måste se samma status reflekterad när de öppnar telefonappen, även om telefonappens session är anonym och använder en annan cookie. CMP:n och identitetslagret måste dela status, och spridningen måste ske nära realtid — en återkallelse som respekteras en vecka senare är inte respekterad.

Det arkitektoniska mönstret

Den tvärenhetsmässiga CMP:n och identitetsstacken har ett litet antal upprepningsbara element som har stabiliserats hos mogna utgivare till 2026.

Den enda källan till sanning

Samtycksstatus lever i en utgivarägd samtyckestjänst, inte i CMP-leverantörens databas. Tjänsten är nyckelindexerad på den upplösta identifieraren, inte på cookien som utlöste det senaste samtyckesbeslut, och varje samtyckesmedveten nedströmstjänst läser från denna enda källa. CMP:n fyller på tjänsten vid varje samtyckeändring, och tjänsten tillhandahåller ett realtids-API som annonsstacken och personaliseringslagret kan anropa vid varje sidladdning och varje händelse.

Identitetslagrets samtyckesindex

Identitetsupplösningslagret upprätthåller ett bidirektionellt index: varje enhetsidentifierare mappas till en upplöst identitet och varje upplöst identitet mappas tillbaka till den uppsättning enhetsidentifierare den har berört. När en samtyckeändring sker på en enhet låter indexet utgivaren sprida förändringen till varje annan enhet som samma identitet har använt, med lämplig avkylning och spridningsloggning.

Samtycksgränssnitt per yta

Samtycksgränssnittet på varje enhet bör återspegla tvärenhetsstatus. En läsare som samtyck på den bärbara datorn bör inte se en ny banner på telefonen om identitetssammanfogningen har lyckats. En läsare som aldrig setts tidigare bör se bannern med standardinställningar för nekande. CMP:n måste kunna läsa identitetslagrets status och rendera gränssnittet i enlighet med detta, vilket är en verklig ingenjörsmässig integration men en engångsinvestering.

Specialfall

Flera ytor och sammanhang ger upphov till kantfall som arkitekturen måste hantera explicit.

Ansluten TV och OTT-appar

Den smarta TV:n och OTT-appens sammanhang är ovanligt eftersom enheten ofta delas av ett hushåll — flera personer använder samma TV men bara en av dem har utgivarens app-konto på sin telefon. Den deterministiska sammanfogningen från telefon till TV är opålitlig, och probabilistisk sammanfogning på en hushållsdelad enhet skapar samtyckesförvirring. Det kompatibla mönstret är att behandla TV-appen som en oautentiserad yta som standard, visa sin egen samtycksbanner vid första start och bara koppla ihop med ett känt konto när användaren vidtar en explicit länkningsåtgärd.

Inkognito och privat surfning

En inkognitosession avvisar per definition identitetsupplösning. CMP:n bör behandla sessionen som en helt ny besökare varje gång, visa bannern med standardnekande och inte försöka koppla sessionen till någon känd identifierare även om IP-adressen och beteendemönstret annars skulle ge en probabilistisk matchning. Användaren har signalerat att de vill ha isolering, och utgivaren respekterar den signalen.

Barninnehållsytor

Varje yta där målgruppen kan inkludera minderåriga — barninnehållssektioner, familjeorienterade appar, konton med självdeklarerad ålder under arton år — bör som standard inte ha någon identitetsupplösning alls och samtyckesstandarder inställda på nekande för reklam och personalisering. DSA:s förbud mot annonsering riktad mot minderåriga och COPPA:s begränsningar i USA är absoluta och åsidosätter all tvärenhetsspridning från ett hushållsmedlems vuxenkonto.

Vanliga tvärenhetsmissar som utlöser fynd

De tvärenhetsdriftsättningar som ger upphov till regulatorsfynd tenderar att misslyckas i mönster som EU:s verkställighetsbeslut har gjort specifika. Det probabilistiska identitetsdiagrammet verkar utan en explicit samtycksgrindfunktion, med teorin att probabilistisk matchning är under GDPR-tröskeln — en ståndpunkt som inte har överlevt nyliga domar. Återkallningsvägen på en enhet tar en vecka att spridas till den andra via en batchprocess, vilket lämnar ett fönster där användarens önskemål inte respekteras. Leverantörens identitetsdiagramintegration aktiveras utan en konsekvensbedömning för dataskydd och utan avtalsenliga klausuler som utvidgar utgivarens rättsliga grund till leverantörens behandling. Den anslutna TV-appen kopplas deterministiskt till hushållets primära telefonkonto utan någon explicit användaråtgärd, vilket importerar en användares samtycksbeslut till en annan användare. CMP:n renderar en banner som inte återspeglar tvärenhetsstatus, vilket frustrerar återkommande läsare som redan samtyckt på en annan yta och producerar de samtykeströtthetsresultat som EDPB har drivit under 2025.

Slutsatsen

Samtycke över enheter är varken ett teknologiproblem eller ett juridiskt problem — det är platsen där de två konvergerar. Det identitetsupplösningslager som utgivare byggde för att få målgruppsutvidgning och frekvensbegränsning att fungera skapar också skyldigheten att göra samtycke och återkallelse koherenta över ytor. Arkitekturen är etablerad till 2026: en utgivarägd samtyckestjänst nyckelindexerad på upplöst identitet, ett bidirektionellt index i identitetslagret, nära realtidsspridning, samtycksgränssnitt per yta som återspeglar tvärenhetsstatus och explicit hantering för hushållsdelade, inkognito- och mindreårigakantfall. Inget av detta är dramatisk ingenjörskonst. Allt är operativt specifikt. De utgivare som byggde det under cykeln med utfasning av tredjepartscookies opererar nu smidigt över telefoner, bärbara datorer och TV-apparater; de utgivare som behandlade tvärenhet som en mätuppgradering utan samtyckeslagret tillbringar 2026 med att förklara för EDPB varför en läsares återkallelse på den bärbara datorn inte nådde den smarta TV:n förrän nästföljande tisdag.