Технический аудит · 2026-06-06

temu.com

Китайский маркетплейс дешёвых товаров

GLOBAL

571 запрос, 8 доменов — все собственная инфраструктура Temu/PDD. 178 PMM-запросов с идентификаторами устройства, 196 clickthrough-запросов с таймзоной Europe/Tallinn и историей навигации. Баннера согласия нет. Пользователь авторизован — Mid передаётся в каждом запросе.

Хронология утечки

+199 мс · до согласия

eu.pftk.temu.com/pmm/defined — первый PMM запрос с device ID (did) и persistent ID (pid). Сбор данных начат.

+279 мс · до согласия

aimg.kwcdn.com — рекламные изображения баннеров. EU CDN.

+280 мс · до согласия

avatar-eu.kwcdn.com — аватар авторизованного пользователя. Идентификатор аккаунта в URL.

+1194 мс · до согласия

eu.thtk.temu.com/c/th — первый clickthrough запрос. Передаёт: session ID, page URL, refer URL, cli_region=64, cli_language=ru, cli_timezone=Europe/Tallinn, cli_currency=EUR.

Декларация против факта

+ eu.pftk.temu.com (PMM — 178 запросов) — не заявлен

+ eu.thtk.temu.com (clickthrough — 196 запросов) — не заявлен

Тайминги передачи

+199 мс eu.pftk.temu.com без согласия PMM defined — did + pid идентификаторы

+1194 мс eu.thtk.temu.com без согласия 196x /c/th — полная история навигации

Зафиксированные трекеры

PMM (eu.pftk.temu.com) — собственная система аналитики и трекинга
Clickthrough tracker (eu.thtk.temu.com/c/th)

Зафиксированные нарушения

GDPR Art. 7

Баннер согласия отсутствует полностью. Ноль consent-запросов. PMM начинает сбор на +199 мс — до любого взаимодействия пользователя.
GDPR Art. 6(1), Art. 5(1)(a)

eu.pftk.temu.com/pmm отправляет 178 запросов за сессию включая постоянные идентификаторы устройства (did: CnEAuGoj6CyyxGixc9aJAg==) и сессии (pid: 2p8tErkz4lZiiPlbHbEvRyJiS1i6KdaT). eu.thtk.temu.com/c/th отправляет 196 трекинг-запросов с геолокацией (cli_region=64), таймзоной (Europe/Tallinn), языком (ru) и историей навигации.
GDPR Art. 13(1)(a) — идентификатор контролёра

PDD Holdings Inc. зарегистрирована на Каймановых островах. Европейское юридическое лицо для целей GDPR не идентифицировано явно.
GDPR Art. 44, Chapter V

Домены eu.pftk.temu.com и eu.thtk.temu.com имеют префикс 'eu' — инфраструктура декларируется как европейская. Cloudflare cf-ray указывает на TLL (Таллин). Но PDD Holdings — китайская компания, данные потенциально доступны китайским властям по законодательству КНР о национальной безопасности.

Контекст

Temu — маркетплейс дешёвых товаров, принадлежит PDD Holdings Inc. (Каймановы острова), дочерней структуре китайской Pinduoduo. Работает в ЕС с 2022 года. В марте 2024 года Temu включён в список Very Large Online Platforms по DSA. Регулятор для GDPR — ирландская DPC (европейский офис). HAR записан при авторизованной сессии на эстонской/русскоязычной версии (ee-ru). 571 запрос, 8 доменов — вся инфраструктура собственная.

Собственная система сбора — без внешних трекеров

В отличие от большинства сайтов серии, Temu не использует Google Analytics, GTM, Facebook Pixel или Microsoft Clarity. Весь сбор данных — через собственную инфраструктуру:

PMM (eu.pftk.temu.com/pmm) — 178 запросов за сессию по четырём endpoint: defined (149×), api (18×), front_err (10×), front_log (1×). PMM расшифровывается как Performance Marketing Monitor — собственная аналитическая платформа. Каждый запрос содержит:

did — постоянный идентификатор устройства (CnEAuGoj6xxxxxxxxxxx)
pid — постоянный сессионный идентификатор (2p8tErkz4lZxxxxxxxxxxxx)
biz_side — контекст приложения
app — идентификатор модуля

Clickthrough tracker (eu.thtk.temu.com/c/th) — 196 запросов. Каждый содержит полный контекст навигации: текущий URL, предыдущий URL, ID страницы, session ID, плюс клиентский профиль: cli_region=64, cli_language=ru, cli_timezone=Europe/Tallinn, cli_currency=EUR.

Аватар авторизованного пользователя

avatar-eu.kwcdn.com загружает аватар с закодированным идентификатором аккаунта в URL. Это означает что данные HAR записаны при авторизованной сессии — PMM и thtk получают не только анонимный did, но и связанный аккаунт пользователя.

«EU» в доменах — что это значит

Все активные домены имеют префикс eu или CDN с -eu: eu.pftk.temu.com, eu.thtk.temu.com, avatar-eu.kwcdn.com. Cloudflare cf-ray указывает на TLL (Таллин). Формально — европейская инфраструктура. Но PDD Holdings — китайская компания, на которую распространяется китайский Закон о национальной безопасности (2015) и Закон о разведывательной деятельности (2017), обязывающие предоставлять данные по запросу властей КНР. Нахождение серверов в ЕС не является правовой гарантией при такой корпоративной структуре.

Вывод

Temu собирает детальные данные о каждом посещении — устройство, сессия, геолокация, язык, история навигации — через 374 собственных трекинговых запроса за одну сессию, без баннера согласия. Отсутствие внешних трекеров (Google, Facebook) делает профиль технически минималистичным по числу получателей, но не по объёму собираемых данных. DSA-статус Very Large Online Platform обязывает Temu к дополнительным требованиям прозрачности — включая механизм согласия.

Доказательство

Оригинал (разбор)

HAR-файл: global/temu-com-2026-06-06.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Юрисдикция определяется по статье 3(2) GDPR —

Кому: Юрисдикция определяется по статье 3(2) GDPR
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом temu.com.

2. Обстоятельства
Я посетил сайт temu.com и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Баннер согласия отсутствует полностью. Ноль consent-запросов. PMM начинает сбор на +199 мс — до любого взаимодействия пользователя.

2) eu.pftk.temu.com/pmm отправляет 178 запросов за сессию включая постоянные идентификаторы устройства (did: CnEAuGoj6CyyxGixc9aJAg==) и сессии (pid: 2p8tErkz4lZiiPlbHbEvRyJiS1i6KdaT). eu.thtk.temu.com/c/th отправляет 196 трекинг-запросов с геолокацией (cli_region=64), таймзоной (Europe/Tallinn), языком (ru) и историей навигации.

3) PDD Holdings Inc. зарегистрирована на Каймановых островах. Европейское юридическое лицо для целей GDPR не идентифицировано явно.

4) Домены eu.pftk.temu.com и eu.thtk.temu.com имеют префикс 'eu' — инфраструктура декларируется как европейская. Cloudflare cf-ray указывает на TLL (Таллин). Но PDD Holdings — китайская компания, данные потенциально доступны китайским властям по законодательству КНР о национальной безопасности.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/temu-com/

3. Нарушенные положения
GDPR Art. 7; GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(a) — идентификатор контролёра; GDPR Art. 44, Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]