Отслеживание на стороне сервера и GDPR

Автор
Stape
Опубликовано
December 14, 2021
Также есть

Общий регламент по защите данных (The General Data Protection Regulation - GDPR) и Калифорнийский закон о конфиденциальности потребителей (California Consumer Privacy Act - CCPA) - это свод законов о конфиденциальности в Интернете, которые должны знать и соблюдать все владельцы веб-сайтов. Они устанавливают конкретные правила обработки персональных данных, включая их сбор, хранение и удаление.

GDPR может сильно повлиять на то, какие данные пользователей вы собираете на сайте и как вы их используете. В этой статье блога я хочу рассказать о том, как Google Tag Manager на сервере может помочь адаптировать отслеживание к требованиям GDPR. 

Что такое GDPR?Скопировать ссылку на этот раздел

GDPR - это свод правил, ограничивающий то, какую информацию о пользователях могут собирать веб-сайты, как они должны ею управлять, хранить и обрабатывать. Этот свод правил организован в 99 отдельных статьях законов GDPR.

GDPR вступил в силу 25 мая 2018 года. Однако основные принципы законов GDPR остаются неизменными во всех европейских странах, и каждая страна имеет право изменять их в соответствии со своими потребностями. Именно поэтому вам необходимо знать об аспектах GDPR в вашей стране.

Важно понимать, что правила GDPR распространяются и на вас, если у вас есть бизнес и сайт за пределами ЕС (допустим, в США или Азии). Вы все равно должны соблюдать правила GDPR, если пользователь заходит на ваш сайт из европейской страны.

Что означает GDPR для отслеживания веб-сайтов?Скопировать ссылку на этот раздел

Ключевым моментом, о котором говорят правила GDPR, являются персональные данные. В них описывается, когда и как владельцы сайтов могут собирать персональные данные, хранить и разрешается ли им передавать их третьим лицам.

Хотя каждая страна имеет право изменить значение персональной идентифицируемой информации (Personal Identifiable Information - PII), но все равно - имя пользователя, его адрес, электронная почта, IP и даже файлы cookie могут считаться PII. Более того, данные о здоровье, религиозных и политических предпочтениях пользователей также могут быть PII.

Хотя основной целью GDPR, ePrivacy и CCPA было ограничение крупных рекламных компаний (таких как Google или Facebook) от профилирования пользователей на различных сайтах и защита конфиденциальности пользователей, все чаще небольшие компании стали получать уведомления или даже штрафы за несоблюдение политики GDPR.

cookie consent

Web Google Tag Manager недавно выпустил функцию режима согласия. Эта функция все еще находится в бета-версии, а это значит, что в ближайшем будущем мы можем ожидать много улучшений и изменений. При включенном режиме согласия Google проверяет статус согласия пользователей и реагирует соответствующим образом. В зависимости от того, что пользователь выбрал на вашем баннере cookie, Google поймет, может ли GTM устанавливать cookie.

Режим согласия Web Google Tag Manager должен работать вместе с платформой управления согласием (consent management platform - CMP). Основная цель CMP - позволить пользователям выбирать, какие файлы cookie они разрешают использовать сайтам. Большинство популярных CMP имеют интеграцию с режимом согласия веб-GTM. Это означает, что они автоматически блокируют куки и трекеры до тех пор, пока пользователь не даст свое согласие.

Существует несколько различных требований к баннеру cookie, и каждая страна вносит свои коррективы. Например, правительства некоторых стран требуют, чтобы вы использовали один цвет для всех кнопок. Вы не можете сделать кнопку "Разрешить Cookie" зеленой, а кнопку "Заблокировать Cookie" белой, что делает более естественным нажатие зеленой кнопки.

Еще одним требованием к баннеру cookie является то, что пользователь должен иметь возможность легко просматривать сайт, не нажимая ни на одну кнопку на баннере cookie. Одно из последних обновлений гласит, что вы должны вести журналы регистрации всех решений о согласии пользователя.

2. Согласие на рекламное электронное письмо.Скопировать ссылку на этот раздел

В большинстве случаев существует два типа электронных писем: рекламные и строго необходимые. Вам не разрешается отправлять рекламные электронные письма без согласия пользователя.

Например, вы можете отправить событие в ваше программное обеспечение для маркетинга электронной почты, когда существующий пользователь соглашается получать рекламные материалы. Вы можете использовать веб Google Tag Manager для определения пользователей, которые согласились получать рекламные электронные письма. С другой стороны, если новый пользователь захочет получать маркетинговые письма, веб-GTM не поможет, поскольку большинство программных платформ электронной почты не позволяют создавать новых пользователей в своих системах из Интернета. Это можно сделать только через бэкенд или серверный GTM.

Server-side Google Tag Manager и GDPRСкопировать ссылку на этот раздел

GTM на стороне сервера дает вам лучший контроль над потоком данных, который получает каждый поставщик. Идеальный сценарий того, как должен работать серверный GTM: у вас есть один поток данных в веб-контейнере GTM, который передает данные в серверный GTM. Например, вы можете использовать Google Analytics 4 для отправки данных в серверный контейнер. Серверный GTM обрабатывает запросы GA4 и отображает их в данные событий внутри sGTM. Затем вы можете использовать данные события и HTTP-запросы для дальнейшей отправки информации сторонним инструментам.

server-side configuration

Есть ли у server GTM режим согласия?Скопировать ссылку на этот раздел

В Server GTM не предусмотрено управление согласием, как в веб-GTM. Вы должны настроить платформу управления согласием и интегрировать ее с веб Google Tag Manager. Режим согласия в веб-GTM будет контролировать, какую информацию собирает и отправляет GA4 в зависимости от согласия пользователя. Если пользователь не дает согласия на использование файлов cookie, Google Analytics 4 будет работать в ограниченном режиме и не будет читать или записывать маркетинговые файлы cookie.

Когда пользователь не дает согласия на установку маркетинговых файлов cookie, Google Analytics все равно будет отправлять запросы в серверный контейнер GTM, то есть ваши данные будут доставляться и обрабатываться в серверном GTM. В этом случае разница заключается в том, что GA будет запрещено записывать, хранить или читать файлы cookie.

Этот тип запроса будет иметь новый параметр gcs, который содержит статус согласия. Вы можете использовать этот параметр в серверном GTM для записи режима согласия пользователя.

Требования GDPR к server GTMСкопировать ссылку на этот раздел

Правила GDPR требуют, чтобы все европейские страны хранили информацию о посетителях своих сайтов на серверах, расположенных в Европе. Когда вы настраиваете сервер Google Tag Manager для сайта ЕС, убедитесь, что выбрали европейский регион хостинга. 

Как server GTM помогает соблюдать правила GDPR?Скопировать ссылку на этот раздел

1. Контролируйте, какие данные собирают третьи лица.Скопировать ссылку на этот раздел

При установке сторонних скриптов веб-слежения вы не можете строго контролировать, какую информацию эти скрипты собирают. Они могут соскабливать любые конфиденциальные данные или личные идентификаторы, не ставя вас в известность.

Server Google Tag Manager решает эту проблему. Допустим, вы хотите установить серверное отслеживание для Facebook без использования веб, чтобы ограничить FB от сбора нежелательных данных с вашего сайта. В этом случае серверные теги Facebook будут отправлять только ту информацию, которую вы указали внутри этих тегов. FB не сможет получить доступ к любой другой информации.

Вы можете использовать Исходящие HTTP-запросы, чтобы увидеть, какая информация была отправлена в Facebook. Это не позволит FB собирать какие-либо данные с вашего сайта, которые им не разрешено собирать.

2. Удаление конфиденциальных данных и PII.Скопировать ссылку на этот раздел

Согласно политике Google или Facebook, вы не можете отправлять на эти платформы персонально идентифицируемую информацию (PII). Имя пользователя, электронная почта, номер телефона могут считаться PII.

Есть два способа, как sGTM может помочь с PII. Вы можете либо удалить ее перед отправкой на сторонние платформы, либо хэшировать PII перед отправкой.

Если вы настраивали Facebook CAPI, то знаете, что некоторые параметры необходимо хэшировать перед отправкой на сервер Facebook. То же самое относится и к GA. Например, вы можете хэшировать электронную почту пользователя перед отправкой в GA4, что будет соответствовать политике конфиденциальности GA.

Итак, если отправка пользовательских данных противоречит политике конфиденциальности GA4, а серверный GA4 является одним из самых популярных способов отправки данных с веб-сайта на сервер GTM, как вы должны подходить к этому, не нарушая политику конфиденциальности в отношении PII.

У нас есть несколько решений:

1. Хеширование данных пользователя перед отправкой. 

Каждая платформа имеет свои стандарты хеширования пользовательских данных. Google Analytics утверждает, что необходимо использовать SHA256 + использование соли, состоящей минимум из 8 символов. Facebook также требует SHA256, а MailChimp - MD5.

Тем не менее, вы можете хешировать данные пользователей в веб-версии GTM перед отправкой их какому-либо поставщику. В галерее веб-/серверного GTM доступны пользовательские шаблоны для хеширования пользовательских данных, которые упрощают хеширование.

2. Использование поддельного идентификатора Google Analytics 4

Некоторые люди используют настоящий идентификатор Google Analytics 4 для отслеживания событий, а поддельный идентификатор GA4 используется только для доставки данных в серверный контейнер. Это защищает их основную собственность GA4 от блокировки за несоблюдение политики GA. 

3. Использование Data Tag/Data Client

Вы можете использовать Data Tag/Data Client для отправки информации на сервер GTM. А затем, внутри сервера GTM, хэшировать необходимые данные перед отправкой их поставщику.

3. Модифицируйте PII перед отправкой.Скопировать ссылку на этот раздел

Не только данные пользователя (например, электронная почта или номер телефона) могут считаться PII. У нас есть клиент, который занимается рекламой медицинского оборудования на Facebook. В URL-адресах они указывают названия медицинских приборов, а иногда и заболевания. Facebook жалуется, что они отправляют медицинскую информацию пользователей (считающуюся PII) в Facebook, что противоречит политике FB. FB также уведомил, что их рекламный аккаунт может быть ограничен от рекламы, если они не удалят информацию о здоровье из URL-адресов.

Используя Server GTM, вы можете изменить URL-адрес веб-сайта перед отправкой его любому поставщику. Вы можете вырезать параметры из URL или заменить любое ключевое слово в URL.

Как использовать статус согласия в server GTMСкопировать ссылку на этот раздел

1. Прежде всего, выберите и настройте платформу управления согласием. Для stape.io мы используем cookiebot, поскольку она обладает всеми функциями, которые требует GDPR, разумной ценой и интеграцией с режимом согласия в web GTM. В этом руководстве я буду использовать cookiebot. Некоторые шаги по интеграции могут отличаться, если вы используете другой CMP, но логика должна быть одинаковой. 

 4. Установите tag CMP в Web GTM. Скорее всего, вы найдете свой CMP-тег в галерее шаблонов веб-GTM. В моем случае я добавил тег cookiebot из галереи -> создал новый тег -> добавил ID и определил состояние согласия по умолчанию. Этот тег должен срабатывать при срабатывании триггера "Инициализация согласия". 

куки

5. В Web GTM существуют теги со встроенной проверкой согласия (в основном это продукты Google, такие как Google Ads, Google Analytics и Floodlight). Основное преимущество заключается в том, что эти теги автоматически реагируют на поведение согласия и корректируют свои действия. Никакой дополнительной настройки не требуется.

Имейте в виду, что вам придется настроить дополнительные конфигурации для тех тегов, которые не поддерживают встроенные проверки согласия. Скорее всего, для этого вам придется использовать пользовательские события в GTM. А также настроить параметры согласия.

6. Следующим шагом будет установка или изменение тегов GA4 в контейнере Web GTM. Для этого перейдите в Дополнительные настройки -> Настройка согласия -> включить. Дополнительное согласие не требуется. Измените этот тег так, чтобы он срабатывал на тег Инициализация согласия.

ga4 configurarion

7. Откройте предварительные просмотры Web и Server GTM и протестируйте GA4 как пользователь, который ничего не выбрал на баннере cookie или запретил cookies. В серверном GTM вы должны увидеть gcs=G100 в запросах GA. Параметр Gcs указывает на статус согласия, а gcs=G100 означает, что пользователь не давал никакого согласия. 

http-request details

8. Протестируйте GA4 как пользователь, разрешающий cookies. В этом случае в запросах сервера GA4 вы должны увидеть gcs=G111.

http-request details

9. Допустим, вы хотите установить в контейнере sGTM тег, который не срабатывает, когда пользователь отказывается от хранения cookie. В этом случае создайте новую переменную с типом Query Parameter и добавьте gcs. После этого вы можете создать триггер, который запретит срабатывание тега при gcs=G100, это будет означать, что пользователь отказал в согласии.

variable configuration

Заключение:Скопировать ссылку на этот раздел

С помощью web Google Tag Manager вы сможете легче адаптироваться к правилам GDPR. Все, что вам нужно сделать, - это выбрать одну из различных систем управления согласием или использовать собственное решение, а затем интегрировать его с вашим веб-GTM, чтобы права пользователей на конфиденциальность в Интернете были защищены должным образом и при этом позволяли использовать необходимые файлы cookie для обеспечения бесперебойной работы.

На данный момент серверный GTM не имеет встроенного режима согласия, но вы можете использовать запросы GA для чтения статуса согласия из веб-GTM. GTM запрещает устанавливать и читать куки в режиме согласия "не разрешать", в то время как запросы GA все равно будут обрабатываться.

Серверный GTM позволяет строго контролировать данные, которые получают ваши поставщики. В отличие от браузерного отслеживания, где вы не можете быть на 100% уверены в том, какую информацию собирают скрипты. При использовании серверных тегов стороннему поставщику будут передаваться только настроенные данные. Это не только поможет защитить ваш сайт от нежелательных скриптов, но и ускорит его работу, поскольку в браузере пользователя не будет выполняться никакой работы. SS-отслеживание также позволяет модифицировать и хешировать PII перед отправкой его сторонним инструментам.

Если вы ищете способ оптимизировать работу вашего сайта и обеспечить безопасность пользовательских данных, то отслеживание на стороне сервера - это то, что следует серьезно рассмотреть. Мы поможем установить отслеживание на стороне сервера для любого сайта!

Теги:GTM

Хостите свой сервер GTM на Stape

Регистрируясь, вы соглашаетесь с Условиями использования и Политикой конфиденциальности Stape