«Нет» значит «да». Кнопка отказа от Cookie оказалась лишь красивой болванкой
Аудит выявил массовый обман, в котором участвуют крупнейшие корпорации.
Популярные сайты в Калифорнии, похоже, продолжают собирать рекламные данные даже после явного запрета со стороны пользователей. Новый аудит webXray рисует неприятную картину: механизм Global Privacy Control, который должен останавливать передачу данных для рекламы, на практике часто игнорируют и сами сайты, и крупнейшие технологические платформы.
По данным webXray, в марте 2026 года команда проверила 7634 популярных сайта с калифорнийского IP-адреса и сравнила их поведение при включённом и отключённом сигнале GPC. Выяснилось, что 194 рекламных сервиса всё равно устанавливали рекламные cookie-файлы, хотя пользователь заранее запретил такую обработку. В сумме аудит зафиксировал 125 106 таких случаев, а на 55 процентах сайтов рекламные cookie-файлы появлялись вопреки отказу.
Отдельно авторы отчёта изучили крупнейшие платформы. У Google частота нарушения достигла 86 процентов, у Meta — 69 процентов, у Microsoft — 50 процентов. В webXray утверждают, что серверы Google и Microsoft получали стандартный сигнал Sec-GPC: 1, но всё равно возвращали команды на установку cookie-файлов для рекламного отслеживания. В случае Meta проблема, по оценке команды, заложена прямо в коде пикселя: скрипт срабатывает без проверки статуса отказа.
Проверка затронула и баннеры согласия. Все 11 изученных платформ управления согласием, включая решения с сертификацией Google, хотя бы на части сайтов не блокировали рекламные cookie-файлы после включения GPC. У трёх крупнейших анонимизированных поставщиков доля сбоев составила от 77 до 91 процента. В webXray считают, что такие инструменты создают ложное ощущение защиты, хотя фактически не перекрывают передачу данных.
Авторы отчёта связывают проблему не только с приватностью, но и с деньгами. Они взяли шесть публичных дел по CCPA, где нарушение отказа от передачи данных уже приводило к взысканиям, и вывели средний штраф в 1,39 миллиона долларов. Если применить такую оценку к 4170 сайтам, которые продолжили ставить рекламные cookie-файлы после отказа, совокупный риск достигает 5,8 миллиарда долларов.
В отчёте напоминают, что калифорнийские регуляторы уже наказывали компании за игнорирование GPC, а закон требует прекращать продажу или передачу персональных данных после получения такого сигнала. webXray подчёркивает, что выводы аудита не являются юридическим заключением, но собранные данные, по мнению компании, указывают на промышленный масштаб несоблюдения требований.