Режим согласия Google

3 сентября 2020 года Google запустил режим согласия, предлагающий более гибкое использование тегов Google и измерение конверсий в зависимости от выбора пользователя в соответствии с требованиями GDPR. В этой статье подробно разберем режим consent mode и предпосылки к его созданию.

Начнем с предыстории. 25 мая 2018 года в Евросоюзе вступил в силу общий регламент защиты персональных данных (General Data Protection Regulation, сокр. GDPR), который предоставляет резидентам Евросоюза (ЕС) возможность управлять своими персональными данными - спрашивать у компаний цель сбора и обработки информации, месте хранения, а в случае необходимости, сделать запрос на ее удаление. Под такие данные попадают IP-адреса, идентификаторы устройств, данные о местоположении и файлы cookie.

Другими словами: все компании, которые обрабатывают личные данные пользователей, находящихся на территории ЕС, обязаны соблюдать GDPR. И это вовсе не значит, что соблюдение регламента не распространяется на российские компании. Напротив, требования GDPR имеют отношения к компаниям в любой стране, деятельность которых направлена на физических лиц в ЕС. Если вы не знаете, обязана ли ваша организация соблюдать GDPR, вы можете пройти короткий тест.

Google в мае 2018 года также обновил свою Политику конфиденциальности и Условия использования, а в Universal Analytics появился дополнительный раздел Хранение данных. Начиная с 25 мая 2018 года в Analytics автоматически начали удаляться данные пользователей, которые старше 26 месяцев, если вручную не был изменен период хранения.

Подробнее об этом я писал в этой статье. Таким образом, вступление в силу данного регламента стало поворотным моментом в цифровой экономике, обеспечив баланс между конфиденциальностью данных пользователей и интернет-рекламой.

Примерно за месяц до GDPR Европейское бюро интерактивной рекламы (IAB Europe) с целью единообразия в процессе сбора данных разработало стандарт Transparency and Consent Framework (сокр. TCF), позволяющий получать согласие от пользователей и делиться им с остальным партнерами - издателями (publishers), поставщиками технологий (vendors, такие, как DSP, SSP, DMP, рекламные серверы и т.д), агентствами и рекламодателями.

Принцип работы основан на трех основных шагах:

1. издатель (вы) выбирает поставщиков технологий из глобального списка поставщиков (Global Vendor List), с которыми планирует сотрудничать и делиться данными своей аудитории;
2. когда пользователь впервые заходит к вам на сайт или в мобильное приложение, его просят выбрать компании, с которыми издатель (вы) может поделиться данными. Эта информация будет храниться в основном файле cookie (first-party cookies) в браузере пользователя;
3. после того, как пользователь сделал свой выбор, издатель (вы) может поделиться данными пользователя с выбранными поставщиками технологий из глобального списка.

Примечание: подробнее о том, как работает структура прозрачности и согласия IAB GDPR с технической точки зрения (TCF 1.0 и TCF 2.0), вы можете прочитать в этой статье (на английском языке).

В свою очередь, нововведения привели к тому, что стали появляться так называемые CMP-провадейры (Consent Management Platform). Это специальные сервисы, которые мы как владельцы сайтов, можем использовать для:

• запроса, получения и хранения согласия пользователей (благодаря всплывающему окну);
• настройки конфиденциальности пользователей (пользователь сам выбирает, какими данными он разрешает поделиться);
• хранения списка поставщиков технологий из глобального списка поставщиков (Global Vendor List);
• обновления информации о согласии (если пользователь вдруг решил изменить свой выбор).

Другими словами: прежде, чем собирать данные о своих пользователях и предоставлять таргетинг персонализированной рекламы, необходимо получить разрешение на эти действия от самого пользователя. В этом как раз и помогают CMP.

Наиболее популярными решениями на рынке, которые соответствуют всем требованиям и регламентам ЕС, являются:

• Cookiebot;
• OneTrust;
• Quantcast;
• Osano;
• Usercentrics;

Подробный список CMP-провайдеров доступен по ссылке.

Примечание: сам режим согласия Google не является платформой для управления согласием (Consent Management Platform).

Примерно через год (в августе 2019) вышла новая версия Transparency and Consent Framework v2.0 (TCF v2.0). В разработке фреймворка принимал участие Google как член рабочей группы TCF Working Group. В нем были учтены отзывы и пожелания всех участников рынка, а также изменены возможности пользователей и издателей. Подробнее о различиях TCF v 1.0 и TCF v 2.0 читайте в этой публикации. Применяя этот стандарт, владельцы сайтов должны информировать своих пользователей о том, какие данные собираются, какие поставщики услуг (вендоры) их будут использовать и в каких целях.

Благодаря TCF v 2.0 и CMP-провайдерам появилась возможность обеспечить большую прозрачность для пользователей путем детального описания целей обработки данных. Например, у OneTrust окно с настройками конфиденциальности выглядит так:

В августе 2020 года рекламные системы Google были интегрированы с IAB Europe’s Transparency and Consent Framework (TCF) v2.0. Однако для тех, кто предпочитал не использовать TCV v2.0, Google в сентябре 2020 года представил новый Режим согласия (Consent Mode).

В этом режиме представлены две новые настройки тегов, которые управляют файлами cookie в рекламных и аналитических целях для рекламодателей, использующих Global Site Tag (gtag.js) или Google Tag Manager. Это:

1. ad_storage (для рекламных инструментов);
2. analytics_storage (для Google Analytics);

И обе имеют два состояния - granted (предоставлено) и denied (отказано). Их можно использовать для настройки активации тегов Google до и после принятия пользователями решения о согласии.

Google Consent Mode поддерживает:

• Google Реклама (отслеживание конверсий и ремаркетинга включена, а звонков-конверсий на момент написания данной статьи ожидается);
• Floodlight;
• Google Analytics;
• Google Tag Manager;
• Gtag;
• Тег "Связывание конверсий" (Conversion Linker).

Режим согласия для рекламных инструментов (ad_storage)

Режим согласия Google интегрирован с рекламными платформами компании. Это важно, поскольку рекламодатель хочет видеть по каким рекламным кампаниям были совершены конверсии, чтобы потом оптимизировать свои ставки и перераспределить рекламный бюджет в сторону наиболее эффективных комбинаций.

С помощью режима согласия рекламодатели получают более детальное представление о том, как совершались конверсии по рекламе с привязкой к тем вариантам согласия пользователей для рекламных файлов cookie, которые они выбрали после захода на сайт.

После внедрения режима согласия рекламодатели получают доступ к настройке тега ad_storage, который управляет поведением рекламных файлов cookie, включая отслеживание конверсий. Например, если пользователь не дает согласие (ad_storage = 'denied'), теги Google не будут использовать рекламные файлы cookie. Вы по-прежнему будете получать данные о конверсиях, но на агрегированном уровне, а не на уровне отдельно взятого пользователя. В этом случае:

• запись новых файлов cookie, связанных с показом рекламы, не выполняется;
• чтение существующих основных файлов cookie рекламных предпочтений не выполняется;
• сторонние файлы cookie (third-party cookies), ранее установленные для google.com и doubleclick.net, могут передаваться в заголовках оповещений, но они используются только для предотвращения спама и мошенничества;
• Google Analytics не считывает и не записывает файлы cookie Google Ads, а данные для сигналов Google не собираются.
• IP-адреса используются для определения страны, но не регистрируются системой Google Рекламы и Floodlight и сразу же удаляются;
• полный URL страницы, в том числе информация о клике по объявлению в параметрах URL (например, GCLID/DCLID).

В случае, когда пользователь дает согласие (ad_storage = 'granted'), теги Google выполняются в обычном режиме.

Схематично работа Google Consent Mode и соответствующие статусы granted/denied для рекламных инструментов представлены ниже:

В режиме согласия рекламные кампании, запущенные в Google Ads, Campaign Manager, Display & Video 360 и Search Ads 360 смогут продолжать регистрировать конверсии, учитывая при этом согласие пользователей на использование файлов cookie рекламных предпочтений.

Чтобы удалять данные рекламы, когда ad_storage = 'denied', необходимо присвоить параметру ads_data_redaction значение true:

Если ad_storage='denied' и ads_data_redaction=true, то идентификаторы кликов по объявлениям (например, gclid/dclid), переданные в сетевом запросе соответствующим тегом Google Рекламы или Floodlight, удаляются. Сетевые запросы также будут отправляться через домен, не использующий файлы cookie.

Режим согласия для Google Analytics (analytics_storage)

В дополнение к параметру тега ad_storage, Google Consent Mode предоставляет рекламодателям новый параметр тега analytics_storage, который контролирует использование файлов cookie Google Analytics.

И вот здесь возникает самое интересное. Если пользователь не дает свое согласие (analytics_storage='denied'):

• Google Analytics не сможет читать или записывать основные файлы cookie (first-party cookies);
• ваш счетчик по-прежнему будет получать агрегированные и неидентифицирующие данные (временные метки посещения, User-Agent, URL перехода и случайное число, сгенерированное при загрузке страницы), но без файлов cookie и привязки к конкретному пользователю;
• вы не сможете использовать ремаркетинг на собранную аудиторию;
• настройка не влияет на Google Optimize.

Это означает, что все обращения, которые совершает пользователь перед перезагрузкой страницы или переходом на другую, будут иметь один и тот же идентификатор клиента (Client ID). Но как только пользователь уйдет с текущей страницы или перезагрузит ее, новый идентификатор клиента будет отправлен вместе с данным обращением. Другими словами, Google Analytics не будет читать или записывать основной файл cookie _ga даже если он уже существует. Вместо этого он будет использовать "временный" идентификатор, который существует только на период загрузки текущей страницы.

В случае, если пользователь дал согласие и на рекламные файлы cookie (ad_storage = 'granted'), и на аналитические (analytics_storage='granted'):

• файлы cookie, связанные с показом рекламы, доступны для чтения и записи;
• IP-адреса пользователей для определения страны собираются;
• полный URL страницы, в том числе информация о клике по объявлению в параметрах URL (gclid/dclid), собирается;
• сторонние файлы cookie (third-party cookies), ранее установленные для google.com и doubleclick.net, и собственные файлы cookie конверсии (например, _gcl_*) доступны.

Если пользователь не дает согласия на использование рекламных файлов cookie (ad_storage = 'denied'), но дает согласие на использование файлов cookie Google Analytics (analytics_storage='granted'), рекламодатели по-прежнему смогут отслеживать и измерять поведение пользователей на сайте и конверсии в Google Analytics.

Для настройки режима согласия необходимо добавить несколько строк кода над глобальным тегом сайта (gtag.js) или контейнером GTM.

Официальная документация Google:

• Режим согласия (бета)
• Как настроить алгоритм работы тегов с учетом согласия

Также можно воспользоваться CMP-провайдерами, с которыми Google сотрудничает и имеет прямые интеграции.

Среди них: Cookiebot, Iubenda, OneTrust, Osano, Sourcepoint и др. Многие из них имеют подробные руководства по настройке, а некоторые даже свои собственные шаблоны тегов в галерее шаблонов сообщества Google Tag Manager.