Privacy Sandbox мёртв: что это значит для вашего стека аналитики

17 октября 2025 года Google официально свернул ядро своей инициативы Privacy Sandbox. Topics, Attribution Reporting, Protected Audience и семь других API удаляются из Chrome и Android после шести лет разработки, регуляторного давления и сопротивления отрасли. Проект, который должен был заменить сторонние cookie без потери возможности измерения, закончился, не достигнув ни одной из целей.

Для разработчиков, которые планировали с использованием этих API, последствия немедленны. Для разработчиков, которые строили на собственных сигналах, это подтверждает то, что архитектура уже подразумевала.

Что фактически было свёрнуто

Свёрнутые API охватывают две основные проблемы, которые пытался решить Privacy Sandbox: таргетинг на основе интересов и атрибуция конверсии.

Topics API заменял поведенческое профилирование, назначая пользователям широкие категории интересов, выведенные из истории просмотра — всё на устройстве. Рекламодатели могли запрашивать эти категории, никогда не видя необработанных данных просмотра. На практике принятие было настолько низким, что Google назвал его основной причиной закрытия. Рабочая группа W3C по технологиям приватной рекламы унаследовала проблему и работает над преемниками стандартов без чёткого графика.

Attribution Reporting API был заменой пикселям конверсии, которые полагались на межсайтовые cookie. Он позволял браузеру приватно сопоставлять показ рекламы с конверсией, не раскрывая личность пользователя ни одной из сторон. API был сложным — он использовал шум дифференциальной приватности для предотвращения реконструкции на индивидуальном уровне — но издатели нашли влияние на доход неприемлемым. Отчёт Управления по конкуренции и рынкам Великобритании от июня 2025 года показал, что доход издателей был примерно на 30% ниже при использовании инструментов Sandbox вместо стандартных cookie.

Protected Audience (ранее FLEDGE) включал ремаркетинговые аукционы на устройстве. Private Aggregation и Shared Storage включали агрегированную отчётность между сайтами. Все они уходят.

Остаётся более короткий список сохранённых технологий: CHIPS (Cookies Having Independent Partitioned State), который разделяет cookie по сайту верхнего уровня; FedCM, который упрощает федерацию идентичности без межсайтового отслеживания; и Private State Tokens, которые помогают сигнализировать о мошенничестве, не раскрывая личность. Это инфраструктурные функции, а не функции измерения. Они не решают проблему аналитики.

Почему закрытие важно для аналитики

Провал Sandbox оставляет аналитику без браузерной замены стороннему отслеживанию. Разработчикам, которые построили архитектуру измерения вокруг Attribution Reporting, теперь нужно перестроить её. Но более значительное последствие структурное: браузер больше не пытается решить за вас межсайтовое измерение.

Safari и Firefox никогда не участвовали в подходе Sandbox. Intelligent Tracking Prevention от Apple блокирует сторонние cookie по умолчанию с 2020 года. Firefox последовал. Chrome сохранил сторонние cookie живыми в 2024 году именно потому, что альтернативы Sandbox не могли сравниться с их ценностью измерения — и теперь этих альтернатив тоже нет.

Чистый эффект заключается в том, что межсайтовое отслеживание пользователей, с cookie или без них, не имеет надёжного будущего в браузере. Путь принудительного исполнения, который убил Sandbox (регуляторное давление со стороны CMA, ЕС и антимонопольного дела Министерства юстиции США), никуда не делся. Любая новая схема межсайтового идентификатора сталкивается с тем же регуляторным контролем.

Архитектура собственных данных, которая остаётся

Без межсайтовых идентификаторов измерение чётко делится на две категории.

Межсайтовая атрибуция — соединение показа рекламы на одном домене с покупкой на другом — не имеет браузерного решения, сохраняющего конфиденциальность. Серверное сопоставление событий, моделирование медиамикса и тестирование инкрементальности — оставшиеся инструменты, и все они требуют инфраструктуры и статистической изощрённости, превышающей большинство продуктов, созданных разработчиками.

Собственная аналитика сайта — понимание трафика вашего собственного сайта без связи с внешними идентификаторами — никогда не была проблемой, которую решал Privacy Sandbox. Она уже была решаема без межсайтовых cookie, и закрытие Sandbox ничего не меняет в том, как это работает.

Минимальная архитектура собственной аналитики обрабатывает запрос на краю, выводит агрегированные сигналы из самого запроса и ничего не сохраняет, что требовало бы постоянного межустройственного идентификатора. Страна происходит из request.cf.country. Тип устройства происходит из грубого парсинга User-Agent. Семейство браузеров происходит из того же заголовка запроса. Домен реферера — не полный URL — происходит из заголовка Referer. Дедупликация посетителей в течение дня использует серверный хэш:

visitor_hash = SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD)

IP и User-Agent никогда не сохраняются. Хэш сбрасывается ежедневно. Нет идентификатора между сессиями, нет межсайтового идентификатора, и нечего блокировать средствам защиты от отслеживания в браузере. Эта архитектура не была разработана как обходной путь для провала Sandbox — она предшествует Sandbox и переживёт всё, что придёт следом.

Как выглядит график удаления

Chrome 144 устаревает Topics; Chrome 150 удаляет его. Attribution Reporting и Protected Audience следуют аналогичным поэтапным графикам. Если вы выполняете вызовы API Sandbox в продакшене, проверьте их сейчас — API будут возвращать ошибки или пустые ответы до завершения удаления. Для сайтов без зависимости от этих API нечего мигрировать. Изменения политики браузера не требуют реакции, когда ваша модель данных не зависит от идентификаторов, управляемых браузером.

Урок из шести лет неудавшейся стандартизации

Проект Sandbox пытался решить технически реальную проблему — межсайтовую атрибуцию с сохранением конфиденциальности — и провалился по совокупности причин: влияние на доход было слишком велико, сложность API была слишком высока для широкого принятия, а регуляторы в Великобритании и ЕС задавались вопросом, может ли Google спроектировать систему, которая улучшает конфиденциальность пользователей без укрепления его собственной конкурентной позиции.

Урок не в том, что измерение с сохранением конфиденциальности невозможно. Он в том, что межсайтовое измерение с сильными гарантиями конфиденциальности требует уровня отраслевой координации и регуляторного доверия, которые не материализовались в браузерном контексте. Разработчикам, которым нужно понимание трафика на уровне сайта, не нужна эта координация. Им нужна модель данных, которая точна в отношении того, что собирает, и честна в отношении того, чего не собирает.

Собственная, ограниченная сессией, непостоянная аналитика — это не дыра в форме Privacy Sandbox, ожидающая заполнения следующей браузерной инициативой. Это полный ответ на вопрос, который большинство разработчиков на самом деле задают.