Што на самай справе робіць Delete Act

Delete Act — гэта структурнае дапаўненне да існуючага каліфарнійскага рэжыму рэгістрацыі брокераў даных, які дзейнічае з 2020 года. Там, дзе зыходная схема проста патрабавала, каб брокеры штогод рэгістраваліся ў штаце і раскрывалі свае катэгорыі персанальнай інфармацыі, Delete Act дадае цэнтралізаваны механізм выдалення з жорсткімі тэрмінамі, аўдытарскімі абавязацельствамі і штрафамі за невыкананне.

Цэнтралізаваны рэестр выдаленняў

Рэестр — гэта платформа пад кіраваннем CPPA, дзе каліфарнійскія спажыўцы падаюць адзіны запыт на выдаленне, які аўтаматычна распаўсюджваецца на кожнага зарэгістраванага брокера даных. Брокеры павінны правяраць рэестр не радзей чым кожныя сорак пяць дзён, выяўляць любыя новыя запыты, якія супадаюць з асобамі ў іх наборах даных, і выдаляць супадаючыя запісы ў тэрмін, указаны ў правілах. Спажыўцам не трэба ведаць, якія брокеры захоўваюць іх даныя — рэестр апрацоўвае рассылку.

Хто лічыцца брокерам даных

Закон вызначае брокера даных як бізнес, які свядома збірае і прадае персанальную інфармацыю пра спажыўца, з якім у бізнесу няма прамых адносін. Вызначэнне вузейшае, чым здаецца — уласна выдаўцы, якія прадаюць сваю аўдыторыю, не з'яўляюцца брокерамі, апрацоўшчыкі, якія працуюць з данымі ад імя кантролёра, не з'яўляюцца брокерамі — але яно ахоплівае правайдараў графаў ідэнтычнасці, платформы кантэкстнай рэкламы, сэрвісы пошуку людзей і значную частку слоя пашырэння аўдыторыі, праз які выдаўцы накіроўваюць праграматычныя даныя.

Рэгістрацыя і публічны спіс

Кожны ахоплены брокер павінен штогод рэгістравацца, плаціць збор і з'яўляцца ў публічным спісе, які вядзе CPPA. Да 2026 года спіс з'яўляецца практычнай кропкай адліку для выдаўцоў, якія правяраюць свае ніжэйшыя патокі даных: любы пастаўшчык у спісе з'яўляецца брокерам даных для мэтаў Delete Act, і дагаворныя абавязацельствы выдаўца з гэтым пастаўшчыком павінны адлюстроўваць рэальнасць распаўсюджвання выдаленняў.

Зачыстка кожныя сорак пяць дзён і яе аперацыйныя наступствы

Ключавое аперацыйнае правіла — перыядычнасць зачысткі выдаленняў. Кожныя сорак пяць дзён кожны зарэгістраваны брокер павінен правяраць рэестр і выдаляць кожны супадаючы запіс. Перыядычнасць стварае новы від адтоку ідэнтычнасці, пад які выдаўцы павінны праектаваць.

Як аўдыторыі ўбываюць пры зачыстцы

Аўдыторыя, пабудаваная на ўзбагачэнні данымі брокераў, будзе скарачацца прыкладна па шасцітыднёвым цыкле па меры таго, як каліфарнійскія спажыўцы, якія падалі запыты на выдаленне, распаўсюджваюцца па сетцы брокераў. Выдаўцы, якія праводзяць вымярэнні ў ЗША, якія залежаць ад вырашэння ідэнтычнасці — праграматычны таргетынг аўдыторыі, вокны атрыбуцыі, якія залежаць ад крос-сайтавых ідэнтыфікатараў, мадэляванне двайнікоў, якое выкарыстоўвае насенне, пастаўленае брокерамі — убачаць, як памеры каліфарнійскай аўдыторыі дрэйфуюць уніз па пілападобным патэрне: кожная зачыстка выдаляе частку, затым паступовыя наведвальнікі запаўняюць назад да наступнай зачысткі.

Паўторная ідэнтыфікацыя забаронена

Закон прама забараняе брокерам паўторна ідэнтыфікаваць спажыўца, які быў выдалены, нават калі брокер пасля атрымае тыя ж даныя з іншай крыніцы. Забарона закрывае відавочную лазейку і азначае, што выдаўцы не могуць спадзявацца на ўласныя даныя першай стараны, каб паўторна ўшыць выдаленых спажыўцоў назад у аўдыторыі, маршрутызаваныя брокерамі. Выдаленне павінна быць устойлівым, а аўдытарская праграма рэгулятара пабудавана для выяўлення патэрнаў паўторнай ідэнтыфікацыі.

Даныя першай стараны выдаўца па-за зачысткай

Уласныя даныя першай стараны выдаўца — зарэгістраваныя карыстальнікі, падпісчыкі рассылкі, удзельнікі праграм лаяльнасці — не падлягаюць зачыстцы па Delete Act, таму што выдавец не з'яўляецца брокерам даных для гэтых запісаў. Выдавец застаецца суб'ектам правоў на выдаленне па CCPA і CPRA, якія асобныя. Два рэжымы могуць узаемадзейнічаць: выдаленне па Delete Act на ўзроўні брокера можа ўсё ж пакінуць запіс першай стараны выдаўца некранутым, і выдавец павінен працягваць выконваць асобны запыт спажыўца на выдаленне па CCPA праз уласны прыём выдаўца.

Сігнал Global Privacy Control у новым свеце

Delete Act перасякаецца з загалоўкам Global Privacy Control (GPC), які браўзеры і пашырэнні канфідэнцыйнасці адпраўляюць, каб указаць, што карыстальнік усталяваў перавагу ўніверсальнай адмовы. Правілы CPPA пацвярджаюць, што выдаўцы і брокеры павінны выконваць GPC як сапраўдную адмову па CCPA, а цэнтралізаваны рэестр Delete Act дадае паралельны шлях да таго ж выніку.

Два сігналы, адзін вынік

У каліфарнійскага спажыўца ёсць два спосабы выйсці з камерцыйнай экасістэмы даных: адправіць загаловак GPC з кожнага браўзера, які ён выкарыстоўвае, або падаць адзіны запыт у рэестр Delete Act. Два шляхі даюць эквівалентныя вынікі для большасці сцэнарыяў, але адрозніваюцца па ахопе. GPC кіруе бягучым продажам і перадачай на кожным сайце, які наведвае спажывец. Рэестр выдаляе існуючыя запісы, якія захоўваюцца ў брокераў. Выдаўцы павінны разглядаць абодва як аўтарытэтныя сігналы, і CMP павінна быць наладжана на распазнаванне любога з іх.

Роля CMP у раскрыцці абодвух шляхоў

Адпаведная патрабаванням CMP для каліфарнійскай аўдыторыі ў 2026 годзе раскрывае статус выканання GPC (у наведвальніка ўсталяваны GPC, адмова актыўная), уласную спасылку адмовы выдаўца (спажывец можа адмовіцца ад продажу і перадачы менавіта на гэтым сайце) і дакладны паказальнік на рэестр CPPA для спажыўцоў, якія жадаюць атрымаць вынік выдалення-у-брокераў. Архітэктура тэхнічна непатрабавальная — тры элементы кіравання ў інтэрфейсе згоды замест аднаго — але фармулёўкі маюць значэнне, і праваўжыванне CPPA было актыўным у дачыненні да зман у заблуджэнне або схаваных шляхоў адмовы.

Што павінны рабіць выдаўцы

Delete Act — гэта рэгуляванне, накіраванае на брокераў, а не на выдаўцоў, але аперацыйныя наступствы для выдаўцоў рэальныя і патрабуюць канкрэтных змен у архітэктуры згоды і даных.

Звярыце стэк пастаўшчыкоў з рэестрам брокераў

Кожнага пастаўшчыка ў рэкламным і аналітычным стэку выдаўца варта звярыць з публічным спісам брокераў CPPA. Пастаўшчыкі ў спісе падпадаюць пад рэжым Delete Act, і кантракты выдаўца з гэтымі пастаўшчыкамі павінны адлюстроўваць распаўсюджванне выдаленняў, захоўванне аўдытарскіх журналаў і перыядычнасць зачысткі ў сорак пяць дзён. Большасць буйных пастаўшчыкоў вырашэння ідэнтычнасці і некалькі буйных SSP цяпер у спісе; аўдыт не балючы, але ён павінен праводзіцца не радзей за раз на год.

Абнавіце паведамленне аб канфідэнцыйнасці і інтэрфейс згоды

Паведамленне аб канфідэнцыйнасці выдаўца павінна тлумачыць шлях рэестра Delete Act побач з існуючым правам на выдаленне па CCPA, з прамой спасылкай на рэестр CPPA. Інтэрфейс згоды павінен раскрываць статус выканання GPC, калі ў наведвальніка ўсталяваны загаловак, а элементы кіравання адмовай павінны быць аформлены з роўнай прыкметнасцю элементам прыняцця — рашэнні па праваўжыванні Генеральнага пракурора на працягу 2024 і 2025 гадоў зрабілі тэст на цёмныя патэрны відавочным.

Планіруйце пад пілападобную аўдыторыю

Камандам вымярэння і таргетынгу аўдыторыі трэба ведаць, што метрыкі каліфарнійскай аўдыторыі будуць ісці па шасцітыднёвым пілападобным патэрне, абумоўленым перыядычнасцю зачысткі. Дашборды і мадэлі тэмпу ставак павінны быць наладжаны пад патэрн, а не трактаваць кожнае падзенне як збой. Выдаўцы, якія праводзяць строгую атрыбуцыю, павінны таксама мадэляваць шлях выдалення-у-брокераў як асобную крыніцу адтоку, каб лічбы пасля зачысткі можна было чыста ўзгадніць.

Распаўсюджаныя памылкі па Delete Act, якія выклікаюць заўвагі

Першая хваля праваўжывання CPPA па Delete Act на працягу 2025 года выявіла дакладны патэрн заўваг на баку выдаўцоў. Паведамленне аб канфідэнцыйнасці выдаўца апісвае шлях адмовы па CCPA, але ніколі не згадвае рэестр Delete Act. Банер згоды выконвае GPC для продажу і перадачы, але не распаўсюджвае сігнал на прыём выдаленняў першай стараны выдаўца. Выдавец заключае кантракт з зарэгістраваным брокерам і ніколі не абнаўляе кантракт, каб адлюстраваць абавязацельствы па распаўсюджванні выдаленняў Delete Act. CMP падае панэль «кіравання перавагамі», якая закопвае адмову на тры клікі ўглыб за цямнейшай кнопкай, чым прыняць-усё. Кожнае з гэтых з'яўляецца выпраўленнем дакументацыі або UX, а не глыбокай архітэктурнай зменай — але кожнае з іх — гэта менавіта тое, з чаго CPPA пачынае расследаванне.

Вынік

Delete Act дае каліфарнійскім спажыўцам адну кнопку, якая выводзіць іх з камерцыйнай экасістэмы даных, і да 2026 года рэестр працуе, спіс брокераў публічны, а праграма праваўжывання актыўная. Для выдаўцоў наступствы рэальныя, але абмежаваныя: Delete Act не патрабуе, каб выдавец рабіў што-небудзь драматычнае, але ён патрабуе, каб выдавец ведаў, якія ніжэйшыя пастаўшчыкі з'яўляюцца брокерамі, абнавіў паведамленне аб канфідэнцыйнасці і інтэрфейс згоды, каб раскрыць новы шлях, паслядоўна выконваў GPC і планаваў пад пілападобную аўдыторыю, якую вырабляе зачыстка кожныя сорак пяць дзён. Нішто з гэтага не з'яўляецца тэхнічна складаным. Усё гэта аперацыйна канкрэтна. Выдаўцы, якія правялі чысты аўдыт у 2024 і 2025 гадах, цяпер выконваюць усталяваную архітэктуру; выдаўцы, якія трактавалі Delete Act як праблему брокераў даных, якая іх не датычыцца, праводзяць 2026 год за адказнымі лістамі і перагляданнем паведамленняў аб канфідэнцыйнасці пад тэрмінам рэгулятара.