返回博客
5 分钟阅读privacytrackingarchitecturecompliance

Privacy Sandbox 已死:这对你的分析栈意味着什么

Google 于 2025 年 10 月退役了 Topics、Attribution Reporting 和 Protected Audience。这里讲述这次关停的技术含义,以及为什么第一方分析一直是正确的选择。

2025 年 10 月 17 日,Google 正式退役了 Privacy Sandbox 计划的核心部分。Topics、Attribution Reporting、Protected Audience 以及另外七个 API 在经过六年的开发、监管压力和行业抵制后,正在从 Chrome 和 Android 中移除。这个本应在不损失测量能力的情况下替换第三方 cookie 的项目,最终两个目标都未达成。

对于围绕这些 API 进行规划的开发者来说,后果是立即的。对于基于第一方信号构建的开发者来说,这印证了架构本身已经暗示的内容。

实际上关停了什么

被退役的 API 涵盖了 Privacy Sandbox 试图解决的两个主要问题:基于兴趣的定向和转化归因。

Topics API 通过将用户分配到从浏览历史派生的宽泛兴趣类别——全部在设备上——来替换行为画像。广告商可以请求这些类别而无需查看原始浏览数据。实际上,采用率极低,以至于 Google 将其列为关停的主要原因。W3C 的私有广告技术工作组继承了该问题,正在制定继任标准,但没有确定的时间表。

Attribution Reporting API 是依赖跨站点 cookie 的转化像素的替代品。它允许浏览器私密地匹配广告展示与转化,而不向任何一方暴露用户身份。该 API 复杂精巧——它使用差分隐私噪声以防止个体级重构——但发布商发现收入影响不可接受。英国竞争与市场管理局 2025 年 6 月的报告发现,当依赖 Sandbox 工具而非标准 cookie 时,发布商收入大约降低了 30%

Protected Audience(前身为 FLEDGE)支持设备上的重定向竞价。Private AggregationShared Storage 支持跨站点的聚合报告。所有这些都将消失。

剩下的是一份较短的保留技术清单:CHIPS(Cookies Having Independent Partitioned State),按顶级站点对 cookie 进行分区;FedCM,简化身份联合而不进行跨站点追踪;以及Private State Tokens,帮助标记欺诈而不暴露身份。这些是基础设施功能,不是测量功能。它们并不解决分析问题。

关停为何对分析很重要

Sandbox 失败让分析失去了浏览器原生的第三方追踪替代品。围绕 Attribution Reporting 构建测量架构的开发者现在需要重建。但更重要的后果是结构性的:浏览器不再试图为你解决跨站点测量。

Safari 和 Firefox 从未参与 Sandbox 方案。Apple 的智能追踪防护自 2020 年起默认阻止第三方 cookie。Firefox 紧随其后。Chrome 在 2024 年保留了第三方 cookie,正是因为 Sandbox 替代方案无法匹配它们的测量价值——而现在那些替代方案也消失了。

净效应是跨站点用户追踪,无论是否有 cookie,在浏览器中都没有可靠的未来。扼杀 Sandbox 的执法路径(来自 CMA、欧盟和美国 DOJ 反垄断案的监管压力)并未消失。任何新的跨站点标识符方案都面临同样的监管审查。

留下的第一方数据架构

没有跨站点标识符,测量明确分为两类。

跨站点归因——将一个域名上的广告展示连接到另一个域名上的购买——没有保护隐私的浏览器解决方案。服务器端事件匹配、媒体组合建模和增量测试是剩下的工具,所有这些都需要超出大多数开发者构建产品范围的基础设施和统计能力。

第一方站点分析——理解你自己站点的流量而不将其连接到外部标识符——从来不是 Privacy Sandbox 试图解决的问题。它无需跨站点 cookie 就已经可解决,Sandbox 关停不会改变其工作方式。

最小化的第一方分析架构在边缘处理请求,从请求本身派生聚合信号,并且不存储任何需要持久跨设备标识符的内容。国家来自 request.cf.country。设备类型来自粗略的 User-Agent 解析。浏览器系列来自同一请求头。Referrer 域名——而非完整 URL——来自 Referer 头。一天内的访客去重使用服务器端哈希:

visitor_hash = SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD)

IP 和 User-Agent 从不存储。哈希每日重置。没有跨会话标识符,没有跨站点标识符,浏览器的追踪防护也没有什么可阻止的。这个架构不是为应对 Sandbox 失败而设计的变通方案——它早于 Sandbox 存在,且会比之后到来的任何方案存活得更久。

移除时间表是什么样的

Chrome 144 弃用 Topics;Chrome 150 移除它。Attribution Reporting 和 Protected Audience 遵循类似的分阶段时间表。如果你在生产中运行 Sandbox API 调用,请立即审计——这些 API 在移除完成之前将返回错误或空响应。对于不依赖这些 API 的站点,没有需要迁移的内容。当你的数据模型不依赖于浏览器管理的标识符时,浏览器政策变化无需响应。

六年失败标准化的教训

Sandbox 项目试图解决一个技术上真实的问题——保护隐私的跨站点归因——失败的原因是多方面的:收入影响太大,API 复杂性对于广泛采用太高,以及英国和欧盟的监管机构质疑 Google 能否设计一个既改善用户隐私又不强化自身竞争地位的系统。

教训不是保护隐私的测量不可能。而是具有强隐私保证的跨站点测量需要的行业协调和监管信任水平在浏览器领域并未实现。需要对其流量进行站点级理解的开发者不需要这种协调。他们需要的是一个对所收集内容精确、对未收集内容诚实的数据模型。

第一方、会话范围、非持久化的分析不是一个等待下一个浏览器计划填补的、形状像 Privacy Sandbox 的洞。它是大多数开发者实际正在问的问题的完整答案。