Вы нажали «отказаться от слежки через куки». Google нажал «игнорировать». В 87% случаев

Независимая проверка трафика более чем 7000 популярных сайтов в Калифорнии показала неприятную вещь: даже после отказа пользователя от слежки рекламные куки нередко всё равно устанавливаются. Аналитики webXray считают, что из-за этого Microsoft, Meta* и Google могут нарушать калифорнийские правила защиты данных и в теории попасть на штрафы в миллиарды долларов. Все три компании с такими выводами не согласились.

webXray ищет нарушения приватности в интернете. В марте компания проверяла, как сайты и рекламные системы реагируют на сигнал Global Privacy Control, или глобальный контроль конфиденциальности. Такой сигнал можно отправить через браузер или расширение. По сути, пользователь сообщает сайту и его партнёрам, что не разрешает использовать свои данные для отслеживания и передачи рекламным платформам. В Калифорнии у такого отказа есть юридическая опора: California Consumer Privacy Act, закон штата о конфиденциальности потребителей.

Дальше, по данным webXray, начинается самое интересное. Браузер отправляет сигнал отказа, а сервер в ответ всё равно присылает команду на установку рекламного куки. В случае Google исследователи пишут, что при запросе с заголовком sec-gpc: 1 сервер компании всё равно создаёт рекламный куки IDE через команду set-cookie. По подсчётам webXray, Google игнорировал отказ в 87% проверенных случаев. У Microsoft доля таких сбоев составила 50%, у Meta - 69%. С Meta претензия немного другая: аудит утверждает, что издателям предлагают код отслеживания, который вообще не проверяет наличие сигнала GPC, а просто загружается, отправляет событие отслеживания и ставит куки независимо от выбора пользователя.

Отдельный вопрос касается баннеров с запросом на согласие, которые видит почти каждый пользователь интернета. Формально баннер должен дать выбор: какие куки разрешить, а какие отклонить. На практике за такими окнами стоят платформы управления согласием, или CMP. Они показывают всплывающее окно и передают решение пользователя дальше по цепочке. webXray отдельно проверила три такие системы и пришла к выводу, что надёжно не работает ни одна. Частота ошибок при отказе от отслеживания составила 77%, 91% и 90%. Аудиторы отдельно подчёркивают, что речь идёт о CMP, сертифицированных в партнёрской программе Google. После таких результатов сам баннер уже не кажется гарантией того, что выбор пользователя действительно исполнят.

Основатель webXray Тимоти Либерт раньше отвечал в Google за направление, связанное с политикой куки и соблюдением требований. В 2023 году он ушёл из компании, а позже запустил собственный сервис. По его словам, крупные платформы давно привыкли к штрафам за нарушения приватности и не считают их серьёзной угрозой. Либерт уверен, что разовые взыскания мало что меняют: компании могут просто платить снова и снова, не меняя саму систему по существу.

webXray при этом утверждает, что технически проблему можно решить очень просто. В отчёте приводят пример с Microsoft: если рекламный сервер получает запрос с Sec-GPC: 1, достаточно вернуть код 451 Unavailable For Legal Reasons и не отдавать рекламный контент вместе с куки. Тогда цепочка обрывается сразу: сервер ничего не ставит и не продолжает отслеживание. Авторы аудита считают, что бить нужно именно в эту точку. Иначе вокруг правил будет много разговоров, а рекламная система продолжит работать по-старому.

Компании отвечают по-разному, но смысл их реакции примерно одинаковый: аудит, по их мнению, неверно описывает работу сервисов. В Google заявили, что исследование основано на фундаментальном непонимании того, как устроены продукты компании, и добавили, что требования закона соблюдаются, когда через издателей и рекламодателей приходят корректные сигналы отказа. Meta назвала публикацию маркетинговым ходом и заявила, что GPC ограничивает только часть сценариев использования сторонних данных, а владельцы сайтов могут переопределять такой сигнал. Компания также сослалась на механизм Limited Data Use, который, по её версии, помогает сайтам указывать допустимые режимы работы с данными. Microsoft заявила, что при получении GPC-сигнала отключает передачу персональных данных третьим лицам для персонализированной рекламы, но часть куки может оставаться необходимой для работы собственных сервисов.

По сути, вопрос очень простой. Пользователь нажимает отказаться от слежки или отправляет сигнал через браузер, а дальше нужно понять, кто реально контролирует поток данных. webXray говорит, что сигнал слишком часто теряется или игнорируется внутри рекламной инфраструктуры. Компании отвечают, что всё работает по правилам и с учётом технических исключений. Для обычного пользователя разница между этими версиями сводится к одной проверке: браузер попросил не отслеживать, а трекинговый куки всё равно появился.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.