Що насправді робить ідентифікація

Ідентифікація — це шар між джерелами даних видавця та інструментами вимірювання й персоналізації видавця. Вона приймає вхідні дані: власні файли cookie, ідентифікатори сеансів на стороні сервера, хешовані адреси електронної пошти із сеансів з авторизацією, мобільні рекламні ID з програми видавця, ідентифікатори пристроїв смарт-телевізора та сузір'я ймовірнісних сигналів, як-от IP-адреса, user agent і поведінковий відбиток — і видає результат: стабільний внутрішній ідентифікатор, що представляє одного споживача на всіх поверхнях, якими керує видавець.

Детерміністичне зв'язування

Найчистіший шлях — детерміністичне зв'язування: коли споживач входить в систему з двох поверхонь, видавець знає, що обидва пристрої належать одній людині, і відповідно об'єднує граф ідентифікаторів. Підписники на розсилку, зареєстровані читачі та платні передплатники природним чином забезпечують детерміністичне зв'язування. Дані мають високу достовірність, правова основа є чіткою (видавець має прямі стосунки), і рішення щодо згоди, прийняті на одній поверхні, можна поширити на іншу без жодного ймовірнісного припущення.

Ймовірнісне зв'язування

Складніший шлях — ймовірнісне зв'язування: висновок про те, що два пристрої належать одній людині, без верифікованого зв'язку. Сигналами є збіг IP-адрес, поведінкова схожість, патерни часу доби, географічне кластеризування та власні моделі, що поєднують усе вищезазначене. Ймовірнісне зв'язування дає видавцям значно більше охоплення: більшість читачів не авторизовані під час більшості відвідувань. Однак правова основа набагато слабша, і регулятори ЄС дедалі активніше протидіють ймовірнісним шарам ідентичності, що функціонують без явної згоди.

Графи ідентичності від постачальників

Третій шлях — придбання або ліцензування графа ідентичності у постачальника: LiveRamp, ID5, Unified ID 2.0 від The Trade Desk або один із численних менших провайдерів. Постачальник підтримує граф, видавець надає хешовані ідентифікатори, а постачальник повертає зв'язаний ідентифікатор, який видавець може використовувати нижче за потоком. Правова позиція тут неоднозначна: вона цілком залежить від власних джерел даних постачальника та договірних умов, а заходи щодо виконання ЄС протягом 2025 року проти кількох великих постачальників ідентичності змусили видавців обережніше підходити до вибору графів для інтеграції.

Питання згоди, яке порушує міжпристроєва ідентифікація

Складне питання, яке порушує ідентифікація, — чи вимагає сам акт зв'язування окремої згоди, на відміну від подальшої реклами або персоналізації, яку живить зв'язаний ідентифікатор.

Саме зв'язування

Відповідно до GDPR ідентифікація є обробкою персональних даних. Необхідна правова основа залежить від мети: для запобігання шахрайству або базового функціонування сервісу законні інтереси іноді можуть застосовуватися; для реклами, персоналізації або розширення аудиторії необхідна згода. ePrivacy додає окремий шар для будь-якого файлу cookie або ідентифікатора пристрою, що зчитується на пристрої користувача, і зчитаний файл cookie або ідентифікатор вимагає згоди незалежно від того, що видавець робить із результатом.

Поширення згоди

Цікавіше питання — як рішення щодо згоди, прийняте на одному пристрої, поширюється на інший. Якщо читач відмовляється від рекламних файлів cookie на ноутбуку, а ідентифікатор ноутбука зв'язаний з ідентифікатором телефону через детерміністичне зіставлення електронних адрес, чи повинен телефон враховувати відмову ноутбука під час наступного відвідування? Опублікований посібник European Data Protection Board чітко вказує, що відповідь — так: рішення щодо згоди прив'язані до суб'єкта даних, а не до пристрою, і зв'язаний граф ідентичності, що дозволяє видавцю впізнати суб'єкта даних, також зобов'язує видавця поважати їхні рішення.

Шлях відкликання

Відкликання також має поширюватися. Читач, який входить в налаштування облікового запису видавця на ноутбуку та натискає «відхилити всю рекламу», повинен бачити той самий стан у програмі телефону, навіть якщо сеанс програми є анонімним і використовує інший файл cookie. CMP і шар ідентичності мають спільно використовувати стан, а поширення має відбуватися майже в реальному часі: відкликання, враховане через тиждень, не є врахованим.

Архітектурний шаблон

Міжпристроєво-орієнтована CMP та стек ідентичності мають невелику кількість відтворюваних елементів, які стабілізувалися серед зрілих видавців до 2026 року.

Єдине джерело істини

Стан згоди зберігається у сервісі згоди, що належить видавцю, а не у базі даних постачальника CMP. Сервіс індексований за розпізнаним ідентифікатором, а не за файлом cookie, що ініціював останнє рішення щодо згоди, і кожен нижченаведений сервіс, що враховує згоду, зчитує з цього єдиного джерела. CMP заповнює сервіс при кожній зміні згоди, а сервіс надає API реального часу, який рекламний стек і шар персоналізації можуть викликати при кожному завантаженні сторінки та кожній події.

Індекс згоди шару ідентичності

Шар ідентифікації підтримує двонаправлений індекс: кожен ідентифікатор пристрою відображається на розпізнану ідентичність, а кожна розпізнана ідентичність відображається назад на набір ідентифікаторів пристроїв, яких вона торкнулася. Коли на будь-якому пристрої відбувається зміна згоди, індекс дозволяє видавцю поширити зміну на кожен інший пристрій, який використовувала та сама ідентичність, із відповідним часом охолодження та веденням журналу поширення.

Інтерфейс згоди для кожної поверхні

Поверхні інтерфейсу згоди на кожному пристрої повинні відображати міжпристроєвий стан. Читач, який дав згоду на ноутбуку, не повинен бачити новий банер на телефоні, якщо зв'язування ідентичності пройшло успішно. Читач, якого раніше ніколи не бачили, повинен бачити банер із параметрами відмови за замовчуванням. CMP повинна вміти зчитувати стан шару ідентичності та відповідно відображати інтерфейс — це реальна інженерна інтеграція, але одноразова інвестиція.

Особливі випадки

Кілька поверхонь і контекстів породжують граничні випадки, які архітектура повинна явно обробляти.

Підключені телевізори та OTT-додатки

Контекст смарт-телевізора та OTT-додатків незвичайний, оскільки пристрій часто є спільним для всього домогосподарства: кілька людей користуються одним телевізором, але тільки один з них має обліковий запис програми видавця на своєму телефоні. Детерміністичне зв'язування від телефону до телевізора є ненадійним, а ймовірнісне зв'язування на пристрої, спільному для домогосподарства, призводить до плутанини зі згодою. Сумісний шаблон полягає в тому, щоб за замовчуванням сприймати додаток телевізора як неавторизовану поверхню, показувати власний банер згоди при першому запуску та зв'язувати з відомим обліковим записом лише тоді, коли користувач виконує явну дію з'єднання.

Incognito та приватний перегляд

Сеанс incognito за визначенням відхиляє ідентифікацію. CMP повинна щоразу розглядати сеанс як абсолютно нового відвідувача, відображати банер із відмовою за замовчуванням і не намагатися зв'язати сеанс із будь-яким відомим ідентифікатором, навіть якщо IP-адреса та поведінковий патерн могли б інакше дати ймовірнісний збіг. Користувач дав сигнал, що хоче ізоляції, і видавець поважає цей сигнал.

Поверхні для дітей

Будь-яка поверхня, де аудиторія може включати неповнолітніх — розділи дитячого контенту, сімейно орієнтовані додатки, облікові записи з самостійно задекларованим віком до вісімнадцяти років — повинна за замовчуванням повністю відмовитися від ідентифікації та встановити параметри згоди на відмову для реклами та персоналізації. Заборона DSA на таргетинг неповнолітніх та обмеження COPPA в США є абсолютними і скасовують будь-яке міжпристроєве поширення з облікового запису дорослого члена домогосподарства.

Типові міжпристроєві помилки, що призводять до висновків

Міжпристроєві розгортання, що призводять до висновків регуляторів, як правило, зазнають невдач за шаблонами, які рішення ЄС щодо правозастосування зробили конкретними. Ймовірнісний граф ідентичності функціонує без явного шлагбауму згоди, виходячи з теорії, що ймовірнісне зіставлення перебуває нижче порогу GDPR — позиція, яка не вижила у нещодавніх рішеннях. Шлях відкликання на одному пристрої займає тиждень, щоб поширитися на інший через пакетний процес, залишаючи вікно, де побажання користувача не враховуються. Інтеграція графа ідентичності постачальника запускається без Оцінки впливу на захист даних і без договірних положень, що поширюють правову основу видавця на обробку постачальника. Додаток підключеного телевізора детерміністично зв'язується з основним телефонним обліковим записом домогосподарства без будь-якої явної дії користувача, імпортуючи рішення одного користувача щодо згоди на іншого. CMP відображає банер, що не відображає міжпристроєвий стан, розчаровуючи тих, хто повертається і вже надав згоду на іншій поверхні, та породжуючи висновки щодо втоми від згоди, які EDPB переслідує протягом 2025 року.

Підсумок

Міжпристроєва згода — це не технологічна проблема і не юридична проблема: це місце, де вони сходяться. Шар ідентифікації, який видавці побудували для забезпечення розширення аудиторії та обмеження частоти, також створює зобов'язання зробити згоду та відкликання узгодженими між поверхнями. Архітектура усталена до 2026 року: власний сервіс згоди видавця, індексований за розпізнаною ідентичністю; двонаправлений індекс у шарі ідентичності; поширення майже в реальному часі; інтерфейс згоди для кожної поверхні, що відображає міжпристроєвий стан; явна обробка граничних випадків спільного домогосподарства, incognito та неповнолітніх. Нічого з цього не є вражаючою інженерією. Все це є операційно конкретним. Видавці, які побудували це протягом циклу відмови від сторонніх файлів cookie, тепер працюють безперебійно на телефонах, ноутбуках і телевізорах; видавці, які розглядали міжпристроєве середовище як оновлення вимірювання без шару згоди, у 2026 році пояснюють EDPB, чому відкликання читача на ноутбуку не дійшло до смарт-телевізора аж до наступного вівторка.