Consent Mode v2 перестал быть необязательным 2024-03-06. С этой даты трафик из ЕС и ЕЭЗ в рекламные продукты Google должен передавать два новых сигнала — ad_user_data и ad_personalization — наряду с оригинальными ad_storage и analytics_storage. Эти изменения продиктованы не GDPR, а Законом о цифровых рынках (Regulation (EU) 2022/1925), а именно DMA Art. 5(2), который запрещает назначенным «гейткиперам» объединять или перекрестно использовать персональные данные в разных сервисах без явного согласия.
Для сервиса сокращения ссылок это создает сложности на уровне редиректа (data plane). Короткая ссылка — это то, по чему кликнул пользователь; состояние согласия на целевой странице определяет, можно ли атрибутировать этот клик. Эти два события происходят на разных доменах, в разных контекстах cookie и часто в разных сессиях. Разрыв между ними — это место, где сейчас происходит основная потеря данных атрибуции.
Этот пост — взгляд юриста по комплаенсу на то, что изменилось, что на самом деле означают эти четыре сигнала для сервиса редиректов, где серверное восстановление данных законно согласно текущим руководствам EDPB, а где — нет. Большая часть инженерной работы по серверному отслеживанию через редиректы допустима в рамках GDPR, но некоторые аспекты нарушают DMA.
DMA в одном абзаце#
Digital Markets Act (DMA) вступил в силу 2024-03-07. Он определяет «гейткиперов» (gatekeepers) — Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking — и накладывает на них обязательства ex ante. Для трекинга важна статья DMA Art. 5(2): гейткипер не должен обрабатывать персональные данные конечных пользователей сторонних сервисов для онлайн-рекламы, а также объединять персональные данные в своих сервисах без согласия.
Consent Mode v2 — это механизм Google для соблюдения Art. 5(2). Два новых сигнала — ad_user_data и ad_personalization — позволяют гейткиперу видеть, получил ли издатель согласие уровня Art. 5(2) перед тем, как телеметрия клика будет использована для рекламы или персонализации. Без этих сигналов в состоянии granted рекламные продукты Google переходят на использование агрегированных или моделируемых конверсий без привязки к конкретному пользователю.
DMA не заменяет GDPR. Он действует поверх него. Контроллеру по-прежнему нужно законное основание согласно Art. 6 GDPR; Consent Mode v2 добавляет второй барьер, который закрывается для рекламных данных, передаваемых гейткиперу, даже если «ворота» GDPR открыты.
Четыре сигнала простыми словами#
Consent Mode v2 передает четыре булевых сигнала. Каждый может быть granted (разрешено) или denied (запрещено). Значения по умолчанию могут быть заданы для конкретных регионов.
ad_storage — оригинальный сигнал из v1. Управляет записью cookie или других данных в хранилище для целей рекламы. Если установлено denied, теги Google срабатывают без идентификаторов; измерение конверсий деградирует до моделируемых агрегатов без использования cookie. Редирект определяет, какие UTM и идентификаторы кликов попадут на страницу, и именно к этим ключам привязывается согласие. Документация платформы тегов по согласию является каноническим справочником того, что делает каждый сигнал в цепочке.
ad_user_data — новый сигнал в v2. Определяет, могут ли пользовательские данные вообще отправляться в Google для рекламы. Это и есть сигнал DMA Art. 5(2). При denied тег не может передавать пользовательские данные — включая хэшированные идентификаторы, IP, user-agent — в Google Ads. Серверное тегирование не обходит это правило: сигнал передается вместе с событием.
ad_personalization — также новый сигнал. Управляет тем, могут ли переданные данные использоваться для персонализированной рекламы, включая ремаркетинг. Обычная конфигурация: ad_user_data=granted плюс ad_personalization=denied, что позволяет выполнять атрибуцию, но блокирует ремаркетинг.
analytics_storage — управляет записью данных в хранилище для аналитики. Тег GA4 учитывает этот сигнал; при denied GA4 работает без cookie и использует моделирование через режим согласия для восстановления атрибуции на агрегированном уровне. Для моделирования требуется минимальный объем трафика и 7-дневный период обучения.
Ни один из этих четырех сигналов не определяется на уровне сокращателя ссылок. Сокращатель фиксирует клик; целевая страница считывает сигналы; тег на целевой странице решает, что с ними делать. Задача сокращателя — обеспечить «чистое» состояние: сохраненные UTM, сохраненный идентификатор клика и быстрый редирект, чтобы баннер согласия успел загрузиться до срабатывания тегов.
Что идет не так на уровне данных редиректа#
На каждом сервисе сокращения ссылок, который серьезно относится к редиректам, проявляются три режима отказа.
Идентификатор клика сохраняется, а сигнал согласия — нет. Клик по рекламе в Meta попадает на s.elido.me/abc123?fbclid=… и перенаправляется на https://customer.example/landing?fbclid=…. Параметр fbclid сохранен. Страница загружается, появляется баннер, пользователь нажимает «отклонить». Meta CAPI уже получила клик, привязанный к этому fbclid, — но пользователь запретил использование данных в рекламе. Сокращатель не сделал ничего плохого; контроллеру нужно решить проблему дедупликации CAPI на своей стороне.
Сокращатель добавляет идентификаторы, которые целевая страница не понимает. Некоторые сервисы (например, bitly_session у Bitly или _branch_match_id у Rebrandly) добавляют специфические для вендора параметры, которые нужно удалять или специально обрабатывать при отсутствии согласия. Elido пересылает только UTM-метки и собственный идентификатор клика клиента.
Состояние согласия на целевой странице невозможно узнать с позиции редиректа. Сокращатель не может видеть баннер, который еще не загрузился. Решения о серверном «запасном» варианте (fallback) не могут зависеть от состояния согласия, которого еще не существует. Единственный честный вариант по умолчанию: не запускать никакие серверные события в рекламных целях в момент редиректа; дать баннеру загрузиться, а затем позволить странице или ее прокси отправить данные с прикрепленным состоянием согласия.
Вендоры, которые отправляют события Measurement Protocol или CAPI напрямую с «границы» (edge), делают ставку на то, что пользователь даст согласие. Согласно DMA Art. 5(2), это не их право делать такую ставку. В Рекомендациях EDPB 02/2023 о технической сфере применения статьи 5(3) ePrivacy подчеркивается аналогичный момент относительно внедрения идентификаторов до получения согласия: это обработка, для нее нужно основание, и отсутствие баннера таким основанием не является.
Допустимые серверные методы оптимизации#
Приведенные ниже методы являются законными как с точки зрения GDPR, так и DMA. Их объединяет одна общая черта: состояние согласия должно быть зафиксировано до того, как какие-либо данные будут переданы гейткиперу или использованы для рекламы.
Measurement Protocol с прикрепленным состоянием согласия. GA4 Measurement Protocol принимает те же параметры consent, что и клиент gtag. Схема: целевая страница обрабатывает выбор в баннере, отправляет состояние согласия на собственный сервер клиента, и этот сервер пересылает запрос mp/collect в GA4 с установленными consent.ad_user_data и consent.ad_personalization. Это серверное решение, но оно следует после подтверждения согласия. Форвардер Elido (рассмотренный в GA4 server-side tracking via redirects) применяет состояние согласия к исходящей полезной нагрузке.
Conversion API со строками согласия. Meta CAPI принимает data_processing_options и opt_out; LinkedIn Conversions API принимает enlli; TikTok Events API принимает limited_data_use. Все они передают состояние согласия платформе. Схема идентична: страница загружается, отправляет данные на сервер, сервер отправляет их дальше с пометкой о согласии.
Агрегированная серверная отчетность. В случаях, когда согласие на рекламу или аналитику отклонено, серверная отчетность, которая является по-настоящему агрегированной и не содержит идентификаторов пользователей, обычно допустима согласно DMA Art. 5(2) и GDPR Art. 6 на основании законного интереса. Рекомендации EDPB 04/2023 по анонимизации подтверждают, что псевдонимизированные данные не являются анонимными и что слабая k-анонимность всё равно позволяет идентифицировать личность. Консервативная практика — публиковать отчеты на уровне воркспейса с порогом ≥10.
Разрешение идентификаторов первой стороны (first-party) на целевой странице. Самый устойчивый подход — идентифицировать пользователя через сигнал GDPR Art. 6(1)(b) (он вошел в систему, заполнил форму, перешел по подтвержденной ссылке в письме) и восстановить атрибуцию в обратном порядке. Это вообще не зависит от ad_storage или ad_user_data. Пост про атрибуцию кликов после Safari ITP описывает эту схему; это правильный ответ и для мира после введения DMA.
Незаконные серверные методы оптимизации#
Эти паттерны часто встречаются в предложениях вендоров инструментов, но их следует избегать.
Запуск событий CAPI с «границы» (edge) до подтверждения согласия на целевой странице. Это тот самый режим отказа, описанный выше. Состояния согласия для прикрепления не существует; запуск события подразумевает, что контроллер получил согласие, хотя это не так. Некоторые вендоры называют это «детерминированной атрибуцией»; согласно DMA Art. 5(2), это операция объединения данных, которую пользователь не разрешал.
Хэширование IP и отношение к хэшу как к анонимным данным. EDPB четко высказался в Мнении 4/2007 о концепции персональных данных и подтвердил в Рекомендациях 04/2023, что хэшированные идентификаторы остаются персональными данными, если хэш может быть обращен кем-либо, имеющим доступ к исходной выборке. Хэши IP-адресов легко обратимы в больших масштабах; хэш не меняет юридический характер обработки.
Серверная синхронизация идентификаторов с гейткиперами. Пересылка события клика в Google или Meta с хэшированным email или номером телефона в расчете на то, что гейткипер сопоставит его со своим графом идентификаторов — это именно та операция, которую ограничивает DMA Art. 5(2). Сопоставление является объединением данных из разных сервисов гейткипером. Согласие на это должно быть явным и на уровне пользователя. Наличие хэша не делает операцию законной; отсутствие согласия делает ее незаконной.
Последние решения CJEU и рекомендации EDPB#
Два недавних шага регуляторов проясняют картину.
Решение CJEU по Делу C-621/22 (Royal Lichtervelde, 2024) подтвердило анализ совместного владения данными (joint-controller) из дел Wirtschaftsakademie (C-210/16) и Fashion ID (C-40/17). Когда издатель интегрирует сторонний тег и этот тег передает данные пользователя третьей стороне, издатель и третья сторона являются совместными контроллерами этой обработки. GDPR Art. 26 требует прозрачного соглашения между ними. Для клиента Consent Mode v2 соглашение по Art. 26 с Google должно быть в силе, а состояние согласия должно передаваться честно. Подделка ad_user_data=granted для восстановления атрибуции — это риск совместной ответственности для обеих сторон.
Рекомендации EDPB 03/2024 по сигналам согласия в рекламном контексте (черновик для консультаций, финал ожидается в Q3 2026) напрямую затрагивают Consent Mode v2. В черновике утверждается, что сигнал ad_user_data согласно GDPR Art. 7(4) обусловлен добровольно данным согласием, и что баннеры, объединяющие ad_storage с ad_user_data без гранулярного контроля, не проходят тест Art. 7 на добровольность. Большинство текущих баннеров объединяют их. Задача редизайна ложится на клиента; сокращатель предоставляет «чистое» состояние, но не проектирует баннер.
Что касается более широкой картины передачи данных (согласие дано, но данные покидают ЕС) — пост про Schrems II и пиксели отслеживания освещает угол TIA. DMA не решает эту проблему, а добавляет еще одно ограничение.
Что Elido делает (и чего не делает) на уровне редиректа#
Elido является обработчиком (processor); контроллер определяет политику согласия и управляет баннером. Уровень редиректа выполняет минимум:
- Сохраняет UTM-метки и собственный идентификатор клика клиента. Специфические для вендоров рекламные идентификаторы (
fbclid,gclid,msclkid,ttclid) пересылаются по умолчанию, так как они являются поверхностью атрибуции контроллера; доступно отключение на уровне воркспейса. - Не запускает никаких серверных рекламных событий в момент редиректа. Внутреннее событие клика, записываемое в ClickHouse, содержит IP, усеченный до /24 или /48, и только обработанные поля устройства согласно минимизации данных GDPR. Оно не передается никаким третьим лицам.
- Поддерживает серверную пересылку конверсий с учетом согласия в GA4, Meta CAPI, LinkedIn, TikTok и Reddit, ограниченную состоянием согласия, которое передает целевая страница. Форвардер находится в
/features/conversion-tracking; настройка описана в руководстве по отслеживанию конверсий. - Требует передачи данных
consentс целевой страницы, когда включена пересылка с учетом согласия; при отсутствии этих данных событие отбрасывается, а не отправляется со значениями по умолчанию.
Панель аналитики в /features/analytics показывает разбивку по состояниям согласия для каждой кампании — разрешено (granted), отклонено (denied), не задано (unset) — так что маркетинговая команда видит, сколько данных атрибуции теряется из-за отказов.
Чего Elido не делает: не внедряет баннер, не принимает решение о согласии заранее и не имитирует согласие для пользователей, которые его не давали. Эти решения остаются за контроллером, как того требуют и GDPR, и DMA.
Вопрос закупок и выбора решения#
Для контроллера, оценивающего сервис сокращения ссылок в контексте DMA Art. 5(2), есть три вопроса.
Передает ли сервис данные клика каким-либо сторонним рекламным или аналитическим службам в момент редиректа, независимо от состояния согласия на целевой странице? Если да — это риск нарушения DMA Art. 5(2), который нужно устранить.
Поддерживает ли сервис передачу состояния согласия на свои серверные конечные точки конверсий? Если нет, контроллеру потребуется отдельный серверный прокси для тегов (GTM server container, Stape, Snowplow) между целевой страницей и API гейткиперов.
Делится ли аналитический слой сокращателя агрегированными данными с какими-либо третьими лицами? Некоторые маркетинговые сервисы публикуют «отраслевые бенчмарки», которые на поверку оказываются данными о кликах клиентов с подграфами, идентифицируемыми по структуре трафика — каков анализ совместного владения данными согласно Wirtschaftsakademie и Fashion ID?
Сервис сокращения ссылок, который уклоняется от ответов на эти вопросы, создает для контроллера риск нарушения DMA, который придется защищать при аудите.
Итоги#
Consent Mode v2 — это не маркетинговая инициатива. Это механизм обеспечения соответствия DMA Art. 5(2), который поставляется через платформу тегов Google. Четыре сигнала честно сообщают о том, какое согласие было получено; серверные методы оптимизации работают, когда состояние согласия передается вместе с событием; потеря атрибуции в мире с отклоненным согласием реальна, но она меньше, чем кажется, если внедрено разрешение идентификаторов первой стороны. Сокращатель обеспечивает передачу «чистого» состояния через редирект и предоставляет возможность пересылки с учетом согласия, которую контроллер связывает со своим баннером.
Ожидаемые в Q3 2026 рекомендации EDPB поднимут планку. Ориентироваться только на текущий минимум — недальновидно; проектирование с учетом целей Art. 5(2) — явного, гранулярного и добровольного согласия на объединение данных между сервисами — это позиция, которая выдержит следующий раунд правоприменения.
Полезные материалы#
- GDPR для сервисов сокращения ссылок: что на самом деле хочет видеть ваш DPO — основа комплаенс-кластера.
- Атрибуция кликов после Safari ITP — параллельная история потери атрибуции на стороне браузера.
- Безкукисовая (cookieless) атрибуция — паттерны идентификаторов первой стороны, которые работают при отклоненном согласии.
- GA4 серверное отслеживание через редиректы — структура Measurement Protocol, на которой строится пересылка согласия.
- Schrems II и пиксели отслеживания — что происходит с данными после того, как они пересекают Атлантику.
- Функционал продукта:
/features/analyticsдля просмотра разбивки по состояниям согласия. - Практическое руководство: инструкция по отслеживанию конверсий по настройке форвардера с учетом согласия.