Конфиденциальность и Google Analytics 4: как соблюдать GDPR/CCPA и собирать данные этично

В 2025 году тема цифровой конфиденциальности приобрела беспрецедентное значение. Это произошло по нескольким причинам:

1. Ужесточение регулирования. Европейские органы по защите данных (в частности DPC, CNIL) активизировали контроль за соблюдением GDPR. В то же время в США начала действовать обновленная версия CCPA — CPRA, которая существенно расширяет объем прав пользователей.

2. Более требовательные пользователи. После серии громких утечек данных и скандалов (TikTok, Meta, X) пользователи стали более критично относиться к тому, как компании собирают и хранят персональные данные.

3. Обязательный Consent Mode v2. В 2024–2025 годах Google сделал обязательной интеграцию Consent Mode для сайтов, которые хотят использовать Google Analytics и рекламные продукты в Европе.

Все это заставляет компании обновить свой подход к сбору данных. Google Analytics 4 (GA4) предлагает инструменты, которые позволяют совместить эффективную аналитику с соблюдением законодательства. В этой статье расскажу, как это сделать правильно.

Что такое GDPR, CCPA, CPRA, CMP

GDPR (General Data Protection Regulation) — общий регламент ЕС, который устанавливает правила обработки персональных данных граждан. Его требования распространяются на все компании, которые имеют трафик из Евросоюза или обрабатывают данные граждан ЕС, независимо от страны регистрации бизнеса.

CCPA (California Consumer Privacy Act) — закон штата Калифорния, который защищает права пользователей на знание, контроль и удаление их персональных данных. Действует с 2020 года.

CPRA (California Privacy Rights Act) — обновление и усиление CCPA, действующее с 2023 года. В частности, требует от компаний минимизировать сбор данных и запрещает дискриминацию пользователей, которые не согласились на обработку.

CMP (Consent Management Platform) — специализированная система для сбора, хранения и передачи согласия пользователей на обработку их данных в соответствии с законодательством (GDPR, CCPA). Например: Cookiebot, OneTrust.

Почему CCPA/CPRA касаются и украинских сайтов

Даже если компания зарегистрирована в Украине, она подпадает под действие CCPA/CPRA, если:

• получает трафик из Калифорнии, даже незначительный;

• таргетирует рекламу на жителей этого штата;

• продает товары/услуги в США, в частности онлайн.

Несоблюдение требований может привести к:

• блокировки аккаунтов в Google Ads/Analytics;

• потери доступа к аналитике и ремаркетингу;

• штрафов в соответствии с законодательством, в частности по CCPA — до $2500 за непреднамеренное нарушение и до $7500 за умышленное.

Также в 2025 году рекламные гиганты, такие как Google, Meta, TikTok, требуют наличия CMP и Consent Mode даже для сайтов за пределами ЕС или США, если трафик охватывает эти регионы.

Законодательные требования: GDPR и CCPA

CCPA

1. Информирование пользователей. Владельцы сайтов обязаны сообщать, какие категории данных собираются и с какой целью.

2. Возможность отказа от продажи данных. Пользователи имеют право отказаться от продажи своих данных третьим сторонам.

3. Доступ к данным и их удаление. Прежде чем осуществлять маркетинг, компании должны предоставить пользователям доступ к своим данным и возможность их удаления.

GDPR

1. Согласие на обработку — пользователь должен дать явное подтверждение (opt-in), кроме технически необходимых cookies.

2. Право на удаление — пользователь может требовать полного удаления данных («право быть забытым»).

3. Прозрачность — компания обязана сообщать, какие данные собираются, зачем и как они используются.

4. Ограничение хранения — данные хранятся только столько, сколько необходимо для определенных и зафиксированных целей.

Цели обработки определяет контролер данных — компания или организация, которая собирает данные. Цели должны быть:

1. Конкретными — общие фразы типа «для улучшения сервиса» не подходят.

2. Законными — соответствовать одному из правовых оснований обработки (согласие, контракт, закон и т. д.).

3. Задекларированными — их нужно четко описать в:

• политике конфиденциальности;
• соглашениях с пользователями;
• документации по GDPR compliance (например, в Record of Processing Activities — RoPA).

Как GA4 помогает соответствовать требованиям конфиденциальности

Google Analytics 4 разработан с учетом современных стандартов конфиденциальности. Ниже приведу основные функции, которые способствуют соответствию GDPR и CCPA.

Автоматическая анонимизация IP

GA4 не сохраняет полные IP-адреса пользователей. Вместо этого обрабатываются только агрегированные данные, что позволяет определять геолокацию по первым секторам IP.

Обратите внимание: в GA4 отсутствует функция включения IP-анонимизации вручную, как это было в Universal Analytics. Это потому, что IP-адреса автоматически не сохраняются. Google использует IP только для мгновенного определения локации и сразу удаляет эту информацию.

Настройка срока хранения данных

В GA4 владельцы учетных записей могут самостоятельно выбрать, как долго хранить данные о пользователях — от двух до 14 месяцев в бесплатной версии или до 50 месяцев в GA360.

GDPR не определяет точные сроки, но требует, чтобы данные хранились не дольше, чем это необходимо для определенных целей. Google предоставляет предварительно установленные значения, которые считаются «разумными» в контексте аналитики — например, 14 месяцев позволяет анализировать динамику «год к году».

Чтобы обеспечить соответствие:

• выберите срок, который соответствует вашей аналитической цели;

• укажите его в политике конфиденциальности;

• периодически пересматривайте целесообразность выбранного значения.

User Deletion API

GA4 дает возможность удалять данные отдельных пользователей по их требованию. Это важный инструмент для соблюдения «права быть забытым».

Ограничение передачи персональных данных (PII)

PII (Personally Identifiable Information) — это любые данные, позволяющие прямо или косвенно идентифицировать личность: имя, email, номер телефона, IP-адрес, идентификационные документы и т. д.

Google строго запрещает передавать PII через Google Analytics, включая GA4. Это прописано в Google Analytics Terms of Service.

Несмотря на запрет, технически это возможно — Google не блокирует передачу таких данных автоматически. Если PII случайно попадает в URL, название события или параметр в теге, она будет собрана.

Владелец сайта отвечает за то, чтобы ни одно событие или тег в GTM/GA4 не передавали персональные данные.

Как избежать нарушений?

1. Не используйте email, имя, номер телефона в названиях событий или параметрах.

2. Проверяйте все формы, URL, UTM-метки.

3. Используйте Data Layer для передачи анонимизированных идентификаторов, а не PII.

4. Тестируйте через GTM Preview, GA4 DebugView или сторонние аудиторы (например, PII Scanner).

Последствия нарушения:

• Google может заблокировать аккаунт GA4 или ограничить доступ к данным;

• потенциальные юридические риски в случае утечки или жалобы пользователя.

Моделируемые данные (Modeled Data)

Modeled Data в GA4 — это статистические прогнозы поведения пользователей, которые не дали согласия на аналитику, созданные на основе тех, кто согласие предоставил. Это позволяет GA4 отображать более полные отчеты, не нарушая конфиденциальность.

Эти данные не собираются с пользователей без согласия. GA4 не сохраняет никаких событий от таких пользователей. Вместо этого система моделирует общую картину их поведения, основываясь на доступных сигналах от тех, кто согласился на обработку.

Речь идет о согласии на analytics_storage в механизме Consent Mode v2. Если оно отсутствует (denied), GA4 не сохраняет никаких событий, но помечает это в системе как «missing data», которую затем может дополнить через моделирование.

Это решение позволяет:

• соблюдать законы (GDPR, CCPA);

• не терять целостность отчетов, даже если часть пользователей не дала согласия.

Ограничения:

1. Данные являются лишь оценками, а не реальными значениями.

2. Отчеты с моделируемыми данными могут отличаться от фактического поведения пользователей, особенно если доля посетителей, не давших согласия, высока.

Практические шаги для этичного сбора данных в GA4

Чтобы установить систему согласия (Consent Management Platform, CMP):

1. Используйте проверенные инструменты CMP (например, Cookiebot, OneTrust, Osano).

2. Убедитесь, что баннер согласия не только информирует пользователя, но и интегрирован с Google Tag Manager для передачи согласия с помощью Consent Mode v2.

Примеры баннеров согласия:

Otodom.pl

Olx.pl

Otomoto.pl

Как внедрить Consent Mode в GА4 через GTM, читайте в нашем материале.

Исключение PII из передаваемых событий

Хотя Google Analytics 4 не должен принимать PII, его можно случайно передать в событиях — особенно из-за неправильных параметров в GTM или в коде сайта. Google не блокирует такие данные автоматически. Ответственность за их недопущение — на владельце сайта.

Персональные данные могут попасть в GA4:

1. Через URL-адрес. Например, после заполнения формы URL может содержать ?name=Ivan&email=ivan@example.com. Если на этой странице срабатывает событие page_view, URL автоматически передается в GA4 как параметр — вместе с PII.

2. Через параметры событий. Если вручную созданный тег передает user_email, phone, client_name в параметрах событий — эти значения попадают в GA4.

3. Через data attributes в Document Object Model. Например, если на кнопке есть data-user="ivan@example.com" и он считывается как event_label.

4. Через custom UTM-метки. Если в ссылке на кампанию передан utm_content=user@domain.com, этот адрес попадет в отчет «Трафик».

Эти данные передаются:

• в событиях GA4: page_view, form_submit, click — вместе с параметрами (event parameters), например: event: form_submit → { email: "user@example.com" }.

• в отчетах GA4 (например, через BigQuery или Explore), где их можно обнаружить — а значит, это нарушение правил Google и GDPR/CCPA.

Чтобы проверить передачу PII:

• определите, какие переменные и параметры передаются в теге (Variables > Tags > Event Parameters) через GTM Preview Mode.

• включите отладку и просмотрите, какие события и значения попадают в реальном времени в GA4 DebugView.

Все переменные, содержащие потенциальные PII, должны быть либо очищены, либо заменены псевдонимами (например, user_id, client_id, hash).

Никогда не передавайте email, full_name, phone напрямую в тегах или URL.

Пример из DebugView: виден полный интерфейс — Minutes/Seconds Stream, Top Events, Device Selector; параметры событий не содержат личных данных.

Лучшие практики для обеспечения этичного сбора данных

1. Прозрачность и коммуникация. 

Описывайте в политике конфиденциальности, какие данные собираются, как они используются и кто имеет к ним доступ. Пишите простым языком, чтобы пользователь понимал, что именно происходит с его данными.

2. Регулярный аудит настроек. 

Проводите аудит: регулярно проверяйте настройки GA4, GTM и CMP. Даже если вы ничего не меняли в аналитике, изменения в смежных системах или обновления со стороны Google могут привести к нарушениям политики или сбору запрещенных данных. Используйте инструменты DebugView и сторонние аудиты, чтобы убедиться, что данные собираются в соответствии с политиками.

3. Ограничение и минимизация данных.

Собирайте только данные, которые действительно нужны для анализа. Используйте агрегированные данные, где это возможно, чтобы минимизировать риск идентификации отдельных пользователей.

Типичные ошибки и как их избежать

Советы по проверке правильности настроек

1. Тестируйте в режиме Preview в GTM: убедитесь, что все теги (в частности Consent Mode) срабатывают на всех страницах правильно.

2. DebugView в GA4: во время тестирования проверьте, что события поступают без передачи PII и что в поле согласия виден статус (granted/denied).

Выводы

1. GDPR и CCPA/CPRA устанавливают жесткие правила: явное согласие пользователей, право на удаление, прозрачность сбора, ограничение сроков хранения и запрет дискриминации.

2. CCPA/CPRA распространяются и на украинские компании, если у них есть пользователи в США. Несоблюдение ведет к штрафам и блокировкам в Google Ads и Analytics.

3. GA4 обеспечивает соответствие требованиям конфиденциальности благодаря анонимизации IP, гибким настройкам срока хранения данных, API для удаления пользователей и запрету на сбор PII.

4. Использование моделируемых данных в GA4 помогает восстановить полноту отчетов без нарушения законов, но результаты являются статистическими оценками, а не точными показателями.

5. Для этичного сбора данных требуется интеграция CMP с Consent Mode, исключение PII из событий и URL, регулярный аудит настроек GA4 и минимизация данных до необходимого уровня.

6. Типичные ошибки — отсутствие CMP, случайная передача PII, некорректный Consent Mode и завышенные сроки хранения данных — создают риски блокировок, штрафов и потери доверия. 

7. Лучшая практика: прозрачная коммуникация с пользователями, регулярные проверки настроек, использование агрегированных данных и документирование целей обработки в политике конфиденциальности.