Global Privacy Control теперь обязательный сигнал отказа в десяти штатах

Браузер теперь может сообщить вашему серверу одним HTTP-заголовком, что посетитель отказался от продажи или передачи своих данных — и в десяти штатах США вы по закону обязаны подчиниться. Этот сигнал — Global Privacy Control (GPC), и после года мер принуждения он перестал быть любезностью и стал обязанностью, которую разработчики должны реализовать в коде.

Большинство команд не написали ни строки обработки GPC. Этот пробел теперь — мишень для надзорных органов.

Что на самом деле представляет собой сигнал

GPC — это две поверхности, описывающие одно предпочтение. На уровне сети это HTTP-заголовок запроса:

Sec-GPC: 1

Спецификация W3C допускает ровно одно значение — буквальный символ 1. Заголовок отправляется при каждом запросе браузера, пока GPC включён: загрузка страниц, вызовы API, загрузка изображений и скриптов. Значения Sec-GPC: 0 не существует; отсутствие заголовка означает отсутствие сигнала, а не согласие.

В JavaScript то же предпочтение доступно через navigator:

const optedOut = navigator.globalPrivacyControl === true

Это свойство возвращает true, когда GPC активен, false, когда поддерживается, но выключен, и undefined в браузерах, не реализующих спецификацию. Определение заголовка на сервере и чтение свойства на клиенте невзаимозаменяемы: заголовок приходит раньше, чем выполнится любой JavaScript, поэтому всё, что собирает данные на границе сети, должно читать заголовок.

Почему он стал обязательным

Универсальные механизмы отказа перешли из разряда необязательных в обязательные в целой волне законов штатов. Калифорния (CPRA), Колорадо, Коннектикут, Делавэр, Монтана, Небраска, Нью-Гэмпшир, Нью-Джерси, Орегон и Техас теперь требуют от подпадающих под действие закона компаний соблюдать утверждённый сигнал предпочтения об отказе, и каждый из этих регуляторов признал GPC действительным. По состоянию на середину 2025 года это десять штатов с действующей правовой обязанностью.

Принуждение последовало за правилами. В сентябре 2025 года Калифорнийское агентство по защите конфиденциальности, генеральный прокурор Колорадо и генеральный прокурор Коннектикута объявили о совместной следственной проверке, нацеленной именно на компании, игнорирующие сигналы отказа, — и выделили сайты, которые показывали подтверждение, выглядящее как соответствующее требованиям, продолжая при этом обрабатывать данные в фоновом режиме.

В феврале 2026 года генеральный прокурор Калифорнии достиг урегулирования на 2,75 миллиона долларов с компанией The Walt Disney Company за систематическое несоблюдение запросов об отказе — крупнейшее урегулирование по CCPA на сегодняшний день. Более раннее урегулирование на 1,2 миллиона с Sephora закрепило GPC как действительный сигнал; Disney закрепил, что игнорировать его в масштабе дорого.

Траектория задана. Калифорнийский Opt Me Out Act (AB 566), подписанный в октябре 2025 года, требует, чтобы сами браузеры предоставили встроенный элемент управления сигналом отказа к 1 января 2027 года. Трафик GPC отсюда будет только расти.

Что требуется для его соблюдения

Для стека аналитики или рекламы, который продаёт или передаёт данные, реализация — это реальная работа. Вы должны обнаружить заголовок на границе сети до того, как сработает любое отслеживание, подавить передачу данных для этого запроса и — согласно правилам CCPA, действующим с 1 января 2026 года — быть способны доказать, что сигнал был обработан, а не просто получен.

if request.headers["Sec-GPC"] == "1":
    # do not sell or share; do not load ad/attribution tags
    # log that the signal was honored

Сложная часть — не оператор if. Это аудит каждого тега, пикселя и скрипта конверсии на странице, подтверждение того, что каждый из них останавливается, и предоставление доказательств по запросу. Типичный сайт загружает релевантные для отказа сторонние компоненты, которые он не полностью контролирует, — именно эту поверхность зондировала межштатная проверка.

Почему аналитика без cookie стоит вне вопроса

GPC — это отказ от продажи или передачи персональной информации для таргетированной рекламы. Обязанность возникает, только если вы делаете что-то, от чего посетитель может отказаться.

Privacy-first трекер не продаёт и не передаёт данные, не строит межсайтовые профили и изначально не хранит никакого персонального идентификатора. Ниже по цепочке нет рекламной биржи и нет третьей стороны, которую нужно подавлять. Ежедневный хеш посетителя построен специально так, чтобы не существовало стабильного идентификатора для передачи:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

IP и User-Agent читаются только в памяти, используются для вычисления хеша, а затем отбрасываются. Ввод даты приводит к тому, что хеш меняется каждый день, поэтому межсессионной идентичности, которую можно было бы продать, не существует даже в принципе. Эндпоинт /collect получает запрос, выводит агрегированный счётчик и не сохраняет ничего, что вело бы обратно к человеку.

Это не освобождает вас от чтения Sec-GPC из соображений добросовестности: соблюдать сигнал, по которому у вас технически нет данных для действий, дёшево и демонстрирует намерение. Но это означает, что дорогая часть соблюдения GPC — та часть, в которой Disney ошибся, — никогда не применяется. Нет продажи данных, которую нужно остановить, потому что архитектура никогда не производила продаваемых данных.

Закономерность в обоих режимах

Европейская модель «согласие-до-отслеживания» и американская модель «отказ-по-сигналу» выглядят противоположными, и процедурно они таковы. Но они сходятся на одном техническом факте: оба режима регулируют создание и движение устойчивого, связанного с человеком идентификатора. GDPR требует согласия до того, как вы его установите; закон штата позволяет браузеру отозвать его продажу постфактум.

Система, которая никогда не создаёт межсессионный идентификатор, отвечает на оба вопроса одинаково. Баннеру согласия нечего ограничивать, а сигналу отказа нечего обеспечивать — потому что регулируемый объект так и не был создан.