Как GDPR изменит рекламную индустрию: мнение российских специалистов

В марте этого года в сети разразился один из крупнейших скандалов в сфере безопасности данных. The New York Times и The Guardian обнаружили, что компания Cambridge Analytica смогла через приложение получить данные 87 млн пользователей Facebook.

После обнаружения утечки данных события развивались стремительными темпами. Менее чем через месяц Марк Цукерберг уже предстал перед сенатом США, где на протяжении почти пяти часов отвечал на вопросы политиков. Facebook лишился части рекламодателей, оказался под пристальным надзором, а виновная в утечке Cambridge Analytica была закрыта.

Скандал с персональными данными Facebook заставил общество вновь заговорить о безопасности личной информации, которой пользователи делятся в сети. Люди все больше понимают, что данные в интернете при ненадлежащем обращении могут попасть в руки злоумышленников. Даже если такие крупные корпорации не в состоянии обеспечить надежную безопасность, то данные на стороне малого и среднего бизнеса еще менее защищены.

В особенности этот вопрос волнует государства, которые в последние годы ужесточают требования к бизнесу и вводят все новые ограничения на использование персональной информации граждан. Но, как показывает практика, самих граждан этот вопрос волнует не так сильно.

Данные в обмен на скидки

В начале 2018 года маркетинговая компания Acxiom и Американская ассоциация директ-маркетинга (DMA) представили результаты совместного исследования. Согласно опросу, несмотря на громкие скандалы и призывы к защите пользователей от вторжения компаний в их личную жизнь, люди в целом не против делиться своими данными.

По результатам исследования, примерно 58% опрошенных американцев относятся к своим персональным данным весьма прагматично и могут при правильных обстоятельствах передать их компаниям. Например, они не против предоставить бренду свой e-mail в обмен на скидку или разрешить собирать данные о своей геолокации. Еще 18% опрошенных вообще нет дела до того, как распоряжаются их персональными данными, и лишь 24% респондентов скептически относятся к передаче данных даже в обмен на повышение качества сервиса.

Безусловно, активная новостная повестка сыграла свою роль. С каждым годом все большее число пользователей понимает, что их данные активно собираются компаниями.

62% опрошенных считают, что обмен данными и персональной информацией — часть современной экономики. Стоит отметить, что США по этому вопросу опережает остальной мир. В исследовании указано, что аналогичного мнения придерживаются 51% канадцев и около 46% французских потребителей. Примерно двое из пяти американцев верят в то, что обмен данными необходим для бесперебойного функционирования общества. Чуть более половины указывают, что довольны тем объемом персональных данных, которые они предоставляют компаниям.

Из приведенных результатов исследования можно сделать вывод, что, несмотря на громкие скандалы и обеспокоенность со стороны государства, многие современные потребители вполне лояльны к идее делиться своими данными с компаниями, которым они готовы довериться.

Согласно опросу, именно доверие является решающим фактором в пользу того, согласится ли человек предоставить данные или нет. 34% опрошенных ставят данный критерий на первое место, 11% ­ — на второе и 9% — на третье. Два других лидирующих фактора — получение бонусов и скидок. Также среди причин, по которым пользователи готовы поделиться своей информацией с компанией, — рекомендации друзей и близких, общая известность бренда, улучшение качества обслуживания, экономия времени и т. д. Это те пункты, на которых следует сосредоточить свое внимание любому бизнесу, планирующему работать с персональной информацией пользователей.

Регулирование отношений

C 25 мая 2018 года в Европе вступил в силу Общий регламент по защите данных (GDPR). Регламент вводит новые правила обработки персональных данных граждан Европейского союза (ЕС), а также имеет экстерриториальное действие — то есть теоретически любые компании в мире, которые обрабатывают данные граждан ЕС, автоматически попадают под этот закон.

В Европе почти половина компаний оказалась не готова к внедрению GDPR, 50% уже приступили к выполнению плана, сообщается в глобальном исследовании SAP Hybris. При этом 19% считают, что у них еще есть время на принятие мер для соответствия регламенту. В день вступления в силу законопроекта рекламный рынок ЕС сильно просел, писал Digiday. По данным издания, утром 25 мая на рекламных биржах спрос на рекламу по геолокации «Европа» упал на 25–40%, а некоторые американские рекламодатели и вовсе прекратили закупку programmatic-рекламы на европейских сайтах. В свою очередь Google проинформировал клиентов сервиса DoubleClick Bid Manager, что до момента завершения интеграции с IAB будут сложности с размещением рекламы, использующих 3d party data.

Если российская компания имеет представительство в Европе, то она обязана соблюдать GDPR. Но также под действие регламента попадают, например, онлайн-магазины, авиакомпании и другие организации, которые предлагают свои услуги, в том числе, жителям ЕС. Сейчас как на европейском, так и на российском рынке компании ждут разъяснения законодательства от регулирующих органов. Несмотря на жесткие правила и штрафы, представители ведомств в странах-участницах Евросоюза отмечают, что на данный момент они не обладают полномочиями для осуществления штрафных санкций, и не совсем ясно, как в дальнейшем будет осуществляться контроль над выполнением требований. Эксперты в России также ожидают официальную позицию российских регуляторов в отношении применения общего регламента по защите и охране данных.

Стоит уточнить, что речь идет лишь о персональных данных. При этом не все организации ими пользуются. Есть много информации о человеке, которая напрямую не указывает на его личность. Подобные сведения называются обезличенными, и их бизнес может использовать по своему усмотрению.

Но где та грань между персональными и обезличенными данными? Некоторые считают, что после принятия GDPR даже IP-адреса и cookies уже можно считать персональными данными, в то же время другие уверяют, что все куда проще и соблюдение GDPR не станет проблемой для тех, кто уже выполняет требования российского законодательства о персональных данных.

Чтобы прояснить ситуацию, мы обратились к представителям российского рекламного рынка.

Александр Рыбак, директор по развитию сервиса видеопосева «Вибум Европа» 

Грань между персональными и обезличенными данными — давняя причина споров. Еще в 2016 году Высшим судом ЕС динамический IP-адрес был приравнен к персональным данным. Нам же кажется, что было бы более логично приравнять не просто IP-адрес, а набор данных, включающих IP-адрес. Например, IP-адрес + время + ОС позволяют более точно определить пользователя, что может привести к деанонимизации.

С персональными данными работает практически любой бизнес. Записная книжка с номерами телефонов клиентов — это уже персональные данные, которые подпадают под защиту в соответствии с GDPR. У нас есть два типа данных, которые мы собираем. Первым типом являются данные зарегистрировавшихся клиентов. Чтобы соответствовать GDPR, мы обновили политику конфиденциальности, сделав ее более понятной и прозрачной. Мы изменили алгоритмы подписок на наши рассылки, создали простой способ удаления аккаунтов пользователей и многое другое. Так как наши сервера и так находятся в ЕС, то вопрос о передаче данных жителей ЕС в страны, находящиеся вне ЕС, для нас не актуален.

Вторым типом данных является информация, которую мы получаем, когда люди смотрят видео. Чтобы соответствовать новым законам ЕС, мы изменили две вещи. Во-первых, перестали собирать ненужные данные, набор которых можно было трактовать как необезличенный. Во-вторых, мы свели к минимуму время хранения.

Если говорить о законах GDPR, то надо понимать, что они не идеальны, а многие из них допускают двойную трактовку. Эти правила в первую очередь направлены на крупные компании, особенно на те, которые активно работают в ЕС. Чиновники ЕС говорили, что штрафы — это крайняя мера. Сначала будут пытаться объяснить и заставить соответствовать законам. Чтобы понимать всю сложность соблюдения этих законов обычными бизнесами, можно привести один пример. У слесаря Ганса из Берлина 200 клиентов, с которыми он общается в WhatsApp. До 25 мая он должен был получить разрешение от всех своих клиентов, так как он дает доступ к своей телефонной книге стороннему бизнесу, в данном случае – WhatsApp, без их согласия. А это нарушение. Будут штрафовать за такие нарушения? Разумеется, нет.

Валерий Кашин, CEO & co-founder Auditorius

Где грань между персональными и обезличенными данными? На эту тему есть много дискуссий. Я сторонник того, что IP-адрес и геоположение пользователя очень сложно отнести к персональным данным, хотя кто-то считает наоборот. Рассмотрим этот вопрос с технической стороны. На рынке используется адресное пространство IP v.4. Оно ограничено по своему объему, и из-за этого ограничения невозможно дать каждому устройству уникальный IP-адрес. Поэтому все те IP-адреса, которые видят собирающие данные системы, не относятся к конкретному устройству. Это, скорее, адреса устройств на весь дом или даже на весь район.

Однако в мире активно внедряется новый формат IP-адресов —  IP v.6. Он позволяет делать огромное количество вариаций IP-адресов и этим упрощает процесс сбора данных. В таком раскладе можно дать каждому устройству уникальный IP-адрес. Но даже в этом случае его сложно назвать элементом персональных данных. Скорее, это всего лишь метрика, позволяющая точнее таргетироваться, когда есть сложности с использованием cookies. А сложности иногда возникают. Например, есть закрытые экосистемы, такие как Apple и частично Google, которые не позволяют использовать cookies либо это использование сильно ограничивают.

Отдельно стоит сказать, что сами пользователи (как и доказывает исследование) не против «поделиться» своими персональными данными в разумных и благонадежных целях. Они понимают, что в этом есть польза для всех: и для рекламодателей, и для потребителей, и для общества в целом. Да, проблемы с использованием данных в незаконных целях будут периодически возникать, но я уверен, что со временем законодательство стран, используя прецедентное право, сможет отрегулировать процесс сбора и обработки данных с пользой для всех.

В России закон о защите персональных данных существует с 2006 года. Он очень похож (за исключением некоторых технических аспектов) на принципы, декларированные в GDPR. Поэтому внедрение GDPR принципиально ничего не меняет для российских компаний. Очевидно, что тренд на обработку data будет только расти. Еще пару лет назад data использовали только компании, работающие непосредственно с персональными данными (например, банки). Сейчас же их начали использовать даже те, чья деятельность, казалось бы, не должна с подобной информацией соприкасаться (например, FMCG-бренды). Более того, увеличилось количество механик в рекламных кампаниях, направленных на сбор персональных данных с целью, например, обогащения профайла потребителя в CRM.

Что подразумевает собой закон о персональных данных? В первую очередь это работа только с теми компаниями, которые имеют право на обработку данных, обладают соответствующей лицензией от Минкомсвязи и прочих подобных организаций. Таким образом, все международные бренды, которые выходят на российский рынок и параллельно работают с рынком ЕС, должны сотрудничать только с лицензированными российскими компаниями, выполняющими требования GDPR.

Мы не используем персональные данные в рекламных кампаниях наших клиентов, работаем исключительно в правовом поле, с обезличенными сегментами аудиторий, все наши данные деперсонализированы. И это не мешает нам сотрудничать с большим объемом рекламодателей.

Михаил Балакин, директор по развитию бизнеса и стратегии programmatic-платформы Getintent

Programmatic как метод закупки медиа целиком и полностью полагается на использование данных о пользователях. И всем участникам этого рынка уже пришлось столкнуться с требованиями GDPR. Пока это все выразилось в подписании дополнений к контрактам, обновлении пользовательских соглашений и политик конфиденциальности. Сложно говорить, выиграли ли от этого простые пользователи, но юристы и консультанты по GDPR точно остались в хорошем плюсе.

Нужно отметить, что определение персональных данных, которое дает GDPR, существенно жестче, чем формулировки российского законодательства. В частности, в одном из разъяснений указано, что даже динамический IP-адрес является персональными данными, потому что, будучи сопоставлен с логами интернет-провайдера, может однозначно идентифицировать пользователя. Такой подход в принципе исключает понятие «обезличенные» данные.

Нам как компании, активно работающей на европейском рынке, естественно, пришлось привести все свои регламенты по работе с данными и нормативную базу в соответствие с требованиями GDPR, зарегистрироваться в Global Vendor List европейского IAB и даже назначить Cheef Data Protection Officer.

Как будет развиваться практика применения настоящего закона — покажет время. Лично мне кажется, что в конечном итоге это приведет только к необходимости для пользователя ставить побольше галочек «согласен», а для рекламодателя — оплатить более высокий CPM, что в конечном итоге снова придется делать пользователю.

Екатерина Шинкевич, генеральный директор платформы CPAExchange

Работа с персональными данными ведется в нашей компании очень аккуратно. В большинстве случаев лендинги (посадочные страницы), рекламу которых мы размещаем, находятся на стороне заказчика. Генерируя лиды, мы не видим данные пользователей, которые оставляют заявки. Вся полученная информация попадает напрямую к заказчику, а в нашей платформе отбивается факт совершения лида, источник и дата, когда произошел этот лид.

Мы сталкиваемся с персональными данными, когда, например, потенциальный клиент заполняет нашу форму клиентского брифа или когда веб-мастер регистрируется у нас в платформе в качестве поставщика. На всех наших сайтах размещены ссылки на политику конфиденциальности, а также ссылка на документ, зачем мы просим согласие на обработку персональных данных. Также у нас на всех сайтах всплывает дисклеймер о том, что мы имеем право использовать cookies.

Глобально мы не используем большие массивы персональных данных пользователей, потому что нам просто это не нужно. Посадочные страницы (лендинги) создаются отдельные, специально под СРА-кампании, то есть на них еще нет пользователей. Наша задача найти в нужный момент горячего или подогретого пользователя для рекламируемого продукта или услуги и побудить его (рекламным сообщением) совершить нужное действие (оставить контакты, позвонить или заполнить регистрационную форму на сайте).

Сергей Ефимов, директор по маркетинговым технологиям OMD OM Group

С прикладной точки зрения я могу сказать, что пока GDPR влияет на два направления нашей работы: во-первых, есть международные игроки рекламного рынка, такие как Google и Facebook, которые вносят коррективы в свою работу для соответствия новому закону во всех странах, и отдельной коррективы на Россию с их стороны, очевидно, не будет. Для нас это означает временный отток с рынка некоторого количества данных о потребителях, доступных для таргетинга через Google и Facebook, но так как оба этих игрока не являются для России основополагающими, мы не видим в этом какой-либо проблемы для нас и наших клиентов. Для Европы, конечно, последствия будут существенно серьезнее. На мой взгляд, одним из главных последствий введения регламента GDPR для Европы станет большее развитие рынка предиктивной аналитики, то есть выводов об аудитории не на основе персональных данных, а на основе анализа «кликстрима» и других вариантов «digital-следа» человека в сети.

Вторым важным изменением для России в результате возникновения регламента GDPR станет, на мой взгляд, создание новых стандартов. Имею в виду, что в GDPR есть те принципы работы с данными, которых нам сейчас очень не хватает, а именно: «Законность, справедливость и прозрачность», «Ограничение», «Минимизация данных», «Точность», «Ограничение хранения», «Целостность и конфиденциальность». Регламент описывает также «право на забвение», принципы «переносимости» данных. Для российского рынка все эти вопросы пока почти никак не регулируемы, не стандартизированы, а главное — совершенно не обсуждаемы. Применение новых принципов в Европе создаст стандарты диалога для данной темы и для России. В частности, это может продиктовать внесение изменений в текущее российское законодательство в части закона о защите персональных данных, возможно, в закон о связи и другие законы, регулирующие действия отдельных отраслей, обладающих массовым объемом данных о потребителях.

Также эксперты отмечают расхождение в российском и европейском законодательстве, что понимать под персональными данными. Например, у нас в это понятие входят файлы cookie и другие сетевые идентификаторы, чего нет в ЕС.

Александр Сафронов, директор по стратегическому планированию АДВ Диджитал

Для российской рекламной индустрии наиболее важным фактом является отличие ФЗ №52 от GDPR: под персональными данными в России понимаются в том числе файлы cookie и другие сетевые идентификаторы.

Поэтому в наших реалиях европейский закон наиболее критично отразится на работе DMP — платформ управления, отвечающих за обработку данных третьих сторон. В краткосрочной перспективе это может привести к удешевлению трафика за счет того, что DMP перестанут обрабатывать сведения от аккаунтов, хоть сколько-то похожих на пользователей из Европейского Союза, то есть увеличится объем доступного инвентаря без верификации.

Если говорить про мир, то введение GDPR повлечет за собой огромное количество операционных расходов на правильное и своевременное исполнение закона. Это, в свою очередь, уже привело к созданию единых фреймов для регулирования и стандартизации, например, OpenGDPR. Подобные инициативы — безусловно, положительное явление, так как позволяют быстрее приводить бизнес-процессы к новому единому стандарту.

Андрей Турчин, Digital Products Director Wavemaker

GDPR положительно повлияет на отношение потребителей к тому факту, что бренды и маркетинговые компании используют в своем бизнесе данные о них. Теперь законодательство ЕС наделяет их большим объемом прав вплоть до права на запрет сбора данных, а также выдвигает серьезные требования к операторам персональных данных по обеспечению безопасности персональных данных. Все это должно наделить потребителей уверенностью в том, что они в достаточной мере управляют ситуацией и что бренды ответственно подходят к защите их данных и к принятию решений на основе этих самых данных. Как следствие, к рекламной индустрии будет больше доверия.

Если же говорить о технологических компаниях, агентствах и рекламодателях, то в краткосрочной перспективе вырастут издержки на приведение процессов, IT-инфраструктуры, договоров с контрагентами и проч. в соответствие с требованиями GDPR. Примером того, какой масштаб это может принять, является случай компании MediaMath: в западных медиа сообщалось о том, что в течение полугода 60 ее инженеров (что составляет 30% от их общей численности) занимались апгрейдом IT-инфраструктуры компании, исходя из требований GDPR. Интернет-компании уже столкнулись с тем, что вступление в силу GDPR вызвало снижение продаж их инвентаря (рекламные площадки) или темпов роста количества зарегистрированных пользователей (как WhatsApp, который повысил минимальный возраст для использования приложения с 13 до 16 лет).

В долгосрочной перспективе выработанные бизнес-практики в целом должны будут сохраниться, и мы не ожидаем принципиальных изменений в работе тех компаний, которые смогут привести свою работу в соответствие с требованиями GDPR.

Дмитрий Лазарев, CEO рекламно-технологической группы OTM

Объем данных, с которыми работают медиаагентства и интернет-компании, в последние годы стремительно растет. В результате даже не самая большая с точки зрения своих финансовых показателей рекламно-технологическая или data-компания может после вступления в силу GDPR оказаться в поле зрения контролирующих органов Евросоюза благодаря объемам проходящего через нее трафика. У группы OTM в первом полугодии 2018 года доля европейского трафика доходила до 5% — немного в относительных цифрах. В абсолютных картина другая. В случае с платформами, которые разработаны и эксплуатируются нами, речь идет о 30–50 млн запросов в сутки для платформ, торгующих рекламным инвентарем или рекламными позициями интернет-площадок (SSP), и от 100 млн запросов в сутки для платформ по управлению данными (DMP). Если выделить уникальные запросы, то их 30–40% от общего количества. Таким образом, для SSP это от 9 млн до 20 млн, а для DMP — 30–40 млн запросов в сутки. Получается, что через принадлежащую нам платформу SSP ежедневно проходили от 450 тысяч до 1 млн запросов, которые потенциально могли бы заинтересовать европроверяющих. Для DMP этот показатель был еще выше — 1,5–2 млн запросов.

Разумеется, большую их часть обеспечивали выехавшие в Европу россияне. Однако не думаю, что это стало бы для нас оправданием, попади мы в поле зрения контролирующих органов ЕС. IP-адрес и трекинговая cookie теперь рассматриваются европейским законодательством как персональные данные, а ведь это настольные инструменты для любого, кто размещает рекламу в сети. Первый идентификатор ценен тем, что может быть привязан к устройству пользователя, а второй — тем, что к нему привязывается история посещения пользователем сайтов, совершения покупок и др. Без них любая система, участвующая в цепочке программатических закупок рекламы, просто не сможет работать. А таких систем сегодня очень много. Это и рекламные сервера, и DMP, и SSP, и сети доставки и дистрибуции контента (CDN).

Большинство отечественных интернет-компаний, с которыми мне довелось общаться по теме GDPR, предпочитают ничего не делать в этом направлении, надеясь проскочить. Позиция понятная, ведь в первое время после вступления в силу нового закона внимание регуляторов и отраслевых сообществ будет приковано к лидерам рынка. Вопрос лишь в том, сочтут ли европроверяющие рекламные и data-платформы небольшими компаниями.

Что касается персональных и обезличенных данных, то грань здесь четкая, причем зафиксированная на законодательном уровне как за рубежом, так и в России. Обезличенные данные не позволяют их получателю получить информацию о конкретном человеке, только поведенческий / рекламный профиль. Так, наша платформа DMP работает как с базами, содержащими данные пользователей, давших согласие на обработку персональной информации (телефоны, электронная почта), так и с базами обезличенной информации (cookies, хешированных данных, id устройств).