«Мы привыкли думать, что наши офлайн-покупки, это приватное дело. Но цепочка от сканирования штрихкода на кассе до таргетированной рекламы в соцсетях твоих близких короче и прозрачнее, чем кажется. Речь не о слежке, а о стандартных бизнес-процессах, которые превращают любой чек в цифровой профиль.»
От кассового аппарата до data-брокера: невидимый путь данных
Ты покупаешь презервативы в аптеке. На кассе кассир сканирует штрихкод. В этот момент фиксируется не просто факт покупки, а связка: уникальный идентификатор товара (GTIN), время, сумма и, что критично, идентификатор самой кассовой системы или карты лояльности, если ты ей воспользовался. Для сети аптек это рутинная операция учёта товарооборота.
Далее данные о продажах из этой и тысяч других точек стекаются в головной офис ритейлера. Там они агрегируются, очищаются и часто обезличиваются — то есть из них теоретически удаляют прямые идентификаторы вроде номера карты. Но обезличивание — процесс уязвимый. Если в данных остаётся хотя бы квази-идентификатор (например, редкое сочетание покупок, временной паттерн, привязанный к конкретному филиалу), профиль можно снова «склеить».
Следующий шаг — монетизация этих данных. Крупные сети часто имеют отделы аналитики или партнёрские программы с data-агентствами. Агрегированные и сегментированные данные о покупательском поведении (например, «мужчины 25-35 лет, покупающие средства контрацепции и спортивное питание в аптеках сети Х») продаются или обмениваются на данные других компаний. Покупателем выступает data-брокер — компания, специализирующаяся на сборе, анализе и продаже профилей.
Так твоя офлайн-покупка, превращённая в строку в базе данных, покидает экосистему аптеки и попадает в огромный рынок поведенческих данных.
Склейка профилей: как офлайн-данные находят тебя онлайн
Data-брокеру мало знать, что «некий мужчина купил презервативы». Его задача — привязать этот поведенческий сигнал к цифровому идентификатору, который можно использовать для таргетинга. Это называется склейкой (ID stitching) или онлайно-офлайн матчинг.
Один из самых распространённых методов — использование рекламных идентификаторов мобильных устройств (например, IDFA на iOS или AAID на Android). Многие приложения, включая приложения сетей аптек или банков, которым ты дал разрешение на доступ к рекламному ID, передают его на серверы. Если ты заходил в приложение этой аптеки или оплачивал покупку картой через банковское приложение, в момент транзакции может быть передан и твой рекламный ID.
Другой метод — сопоставление по электронной почте или номеру телефона. Если ты указывал их в программе лояльности или при онлайн-заказе с доставкой, эти данные становятся мостом. Брокер сопоставляет email из офлайн-чека (привязанный к карте лояльности) с email, который ты использовал для регистрации в соцсети или маркетплейсе.
Третий, более сложный, — probabilistic matching (вероятностное сопоставление). Алгоритмы анализируют множество косвенных сигналов: IP-адрес, примерное местоположение, модель устройства, список установленных приложений, поведение в других приложениях. Если паттерн офлайн-покупки (время, геолокация аптеки) совпадает с цифровым следом пользователя, который в то же время находился рядом с этой аптекой по данным GPS его смартфона, системы с высокой долей вероятности решат, что это один и тот же человек.
В результате data-брокер формирует обогащённый профиль: «Пользователь с рекламным ID XXXX, email yyy@mail.ru, интересуется товарами для активного отдыха и средствами контрацепции». Этот профиль продаётся рекламным платформам.
Платформенный аукцион: почему рекламу увидела именно жена
Допустим, производитель презервативов или сеть интим-товаров запускает рекламную кампанию. В настройках таргетинга маркетолог выбирает аудиторию: «Мужчины 25-40 лет, проявившие интерес к контрацепции или совершавшие соответствующие покупки». Рекламная платформа (например, ВКонтакте или Яндекс.Директ) делает запрос к данным брокеров, которые предоставляют доступ к сегментам с такими пользователями.
Далее происходит рекламный аукцион в реальном времени (RTB). Когда твоя жена заходит в соцсеть, её устройство отправляет запрос на показ рекламы. Платформа проводит мгновенный аукцион среди всех рекламодателей, желающих показать объявление именно этому пользователю. Твой обогащённый профиль, содержащий сигнал о покупке, делает тебя идеальной целью для рекламодателя контрацептивов. Но ключевой момент: реклама таргетируется не на личность, а на устройство или cookie.
Почему же она появилась у жены? Есть несколько сценариев:
- Общее устройство. Вы пользуетесь одним домашним компьютером или планшетом, где вошли в один браузер. Cookie и рекламные идентификаторы в этом случае общие.
- Общая Wi-Fi сеть. Многие системы таргетинга используют IP-адрес в качестве одного из сигналов. Если вы находитесь в одной домашней сети, рекламные платформы могут ассоциировать всех пользователей этого IP с одним «домохозяйством» и показывать рекламу, основанную на поведении любого из членов семьи.
- Синхронизация рекламных ID в семейных аккаунтах. Некоторые экосистемы (например, Apple Family Sharing) могут в определённых конфигурациях способствовать обмену некоторыми метаданными для таргетинга.
- Перетаргетинг по схожей аудитории (Lookalike). Алгоритм, найдя тебя как идеального клиента, может решить, что люди в твоём ближайшем окружении (по геолокации, списку контактов, соцсвязям) имеют схожие интересы. И показать рекламу им.
твоё офлайн-действие, пройдя через цепочку data-брокера и рекламную платформу, материализовалось в виде баннера на экране человека, который делит с тобой цифровую среду.
Юридические рамки: что говорит 152-ФЗ и ФСТЭК
Вся описанная цепочка работает в правовом поле, которое в России определяет 152-ФЗ «О персональных данных». С точки зрения закона, данные о покупке, если они обезличены и не позволяют прямо идентифицировать субъекта, могут не считаться персональными данными (ПДн). Это лазейка, которой пользуются data-брокеры.
Однако ФСТЭК России в своих рекомендациях и приказах (например, приказ № 239) указывает на риски деанонимизации. Если псевдонимные данные (идентификатор устройства, хеш email) могут быть сопоставлены с конкретным человеком с помощью дополнительной информации, то такие данные с высокой вероятностью могут быть отнесены к ПДн. Это накладывает на оператора обязанности: получение согласия на обработку, обеспечение безопасности, уведомление Роскомнадзора.
На практике ритейлер, передающий данные брокеру, редко получает от клиента явное согласие на такую передачу. Часто оно «спрятано» в многостраничном пользовательском соглашении программы лояльности или общего договора. С точки зрения регулятора, это может быть признано несоблюдением принципа законности и целей обработки.
Более жёсткие требования ФСТЭК касаются защиты информации. Если ритейлер или брокер хранят базы, которые позволяют проводить склейку профилей, и эти базы содержат ПДн россиян, они должны быть защищены в соответствии с требованиями к системам защиты ПДн (СЗПДн). Это включает средства криптографии, разграничение доступа, аудит и многое другое. Многие участники этого рынка работают в «серой» зоне, не выполняя этих требований в полной мере.
Как разорвать цепочку: практические шаги
Полностью уйти из-под цифрового профилирования в современном мире почти невозможно, но можно значительно усложнить задачу для сбора и склейки данных.
- Отказ от карт лояльности в чувствительных категориях. Плати наличными или бесконтактной картой без привязки к программе, когда покупаешь что-то, что не хочешь видеть в своём рекламном профиле.
- Разделение цифровых идентификаторов. Используй отдельный, «сжигаемый» email-адрес для регистрации в программах лояльности и онлайн-заказов, не связанный с твоим основным почтовым ящиком и соцсетями.
- Настройка разрешений в ОС и браузерах. Отключи рекламный идентификатор на Android (в настройках Google) и ограничи отслеживание на iOS (Опции конфиденциальности). В браузерах используй режим инкогнито для «чувствительных» поисковых запросов, блокировщики трекеров (uBlock Origin) и отключайте сторонние cookie.
- Внимание к пользовательским соглашениям. Хотя читать их полностью — утопия, поиск по ключевым словам «третьи стороны», «партнёры», «аналитика» в документе может дать понимание, с кем будут делиться твоими данными.
- Использование VPN. Качественный VPN меняет твой IP-адрес, что разрывает один из ключевых сигналов для вероятностного сопоставления и таргетинга по домохозяйству.
Эти меры не гарантируют полной невидимости, но переводят тебя из категории «лёгкой цели» с открытым профилем в категорию пользователя, сбор данных о котором требует непропорционально больших усилий. В мире автоматизированных аукционов рекламы таких пользователей чаще просто пропускают.