Што такое MSPA — і чым яно не з'яўляецца

MSPA — гэта прыватная, заснаваная на дагаворы сістэма, апублікаваная IAB. Гэта не закон, і яно не замяняе статуты штатаў. Замест гэтага гэта шматбаковае пагадненне, якое ўдзельнікі — выдаўцы, агенцтвы, рэкламныя сеткі, SSP, DSP і пастаўшчыкі даных — падпісваюць, каб рабіць узгодненыя юрыдычныя заявы пра тое, як асабістая інфармацыя цячэ праз праграматычную рэкламу. Калі ўсе ў ланцужку падпісваюць адзін і той жа дагавор, ніжэйстаячыя пастаўшчыкі не павінны весці перамовы пра пяцьдзясят розных двухбаковых пагадненняў аб апрацоўцы даных, каб апрацаваць адзін запыт стаўкі.

Думайце пра MSPA як пра тры рэчы адначасова:

• Дагавор, які цячэ ўніз аўтаматычна, калі падпісант перадае даныя іншаму падпісанту.
• Слоўнік для выражэння выбару карыстальніка з дапамогай закадаваных GPP радкоў, уключаючы адмовы ад продажу, перадачы, таргетаванай рэкламы і апрацоўкі адчувальных даных.
• Сістэма размеркавання рызык, якая супастаўляе кожнага падпісанта з адной з трох роляў — Covered Business, Service Provider/Processor або Third Party — і абавязацельствамі, прывязанымі да кожнай.

Чым MSPA не з'яўляецца: заменай вашага апавяшчэння пра прыватнасць, заменай прамой згоды карыстальніка там, дзе гэта патрабуецца, або гарантыяй адпаведнасці любому канкрэтнаму закону штата. Гэта інструмент, які пры правільным выкарыстанні робіць адпаведнасць некалькім законам штатаў аперацыйна ажыццявімай. Пры няправільным выкарыстанні — напрыклад, сігналізуючы пра ўдзел пры працягу перадачы даных пасля адмовы — яно пашырае вашу адказнасць, а не памяншае яе.

Каго гэта павінна хваляваць: тры ролі MSPA

Перш чым што-небудзь падпісваць, вызначыце, якую ролю вы насамрэч іграеце. Большасць выдаўцоў здзіўляюцца, выявіўшы, што носяць больш за адзін капялюш у залежнасці ад патоку даных.

Covered Business

Вы з'яўляецеся Covered Business, калі вызначаеце мэты і сродкі апрацоўкі асабістай інфармацыі пра карыстальніка — звычайна выдавец, які кіруе сайтам або праграмай, якую наведвае карыстальнік. Як Covered Business, вы адказваеце за збор згоды, адлюстраванне апавяшчэнняў, выкананне адмоў і наладу сігналу GPP, на які спадзяюцца ніжэйстаячыя пастаўшчыкі. Цяжар, звернуты да карыстальніка, ляжыць на вас.

Service Provider або Processor

Вы з'яўляецеся Service Provider, калі апрацоўваеце асабістую інфармацыю ад імя Covered Business па дагаворы і толькі для абмежаваных, дапушчальных мэт. Большасць пастаўшчыкоў аналітыкі, правайдараў хостынгу і платформ кіравання згодай працуюць у гэтай палосе. MSPA накладвае абмежаванні: ніякага продажу, ніякай крос-кантэкстнай паводніцкай рэкламы ад свайго імя і жорстка вызначаныя правілы захоўвання і выдалення.

Third Party

Вы з'яўляецеся Third Party, калі атрымліваеце асабістую інфармацыю ад Covered Business і выкарыстоўваеце яе для ўласных мэт — большасць SSP, DSP, пастаўшчыкоў ідэнтычнасці і брокераў даных трапляюць сюды. У Third Parties самыя цяжкія дагаворныя абавязацельствы, уключаючы прамую апрацоўку правоў карыстальнікаў і абавязкі па далейшай перадачы, калі яны дзеляцца данымі са сваімі партнёрамі.

MSPA і Global Privacy Platform (GPP)

MSPA не існуе ў вакууме. Гэта дагаворны слой; GPP — гэта тэхнічны сігнальны слой. Global Privacy Platform ад IAB Tech Lab кадуе выбар карыстальніка ў адзіны радок, які падарожнічае з запытамі ставак праз пратакол OpenRTB. Для сігналізацыі ў ЗША GPP нясе радкі секцый для кожнага штата з комплексным законам аб прыватнасці — напрыклад, USCA (Каліфорнія), USCO (Каларада), USVA (Вірджынія), USCT (Канектыкут), USUT (Юта) і ўніверсальны радок US National для штатаў без выдзеленай секцыі.

MSPA кажа вашай CMP, якія палі ўстанаўліваць унутры гэтых секцый GPP, каб заявіць пра пакрыццё. Самыя важныя палі, якія выдаўцы ўбачаць і наладзяць, уключаюць:

• MspaCoveredTransaction — устанаўліваецца ў Yes, калі выдавец сцвярджае, што запыт стаўкі пакрыты сістэмай MSPA.
• MspaOptOutOptionMode — указвае, ці быў карыстальніку прадастаўлены выразны варыянт адмовы, як патрабуюць правілы празрыстасці MSPA.
• MspaServiceProviderMode — устанаўліваецца, калі ніжэйстаячыя пастаўшчыкі павінны разглядаць даныя як прызначаныя толькі для service-provider.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — дэталёвыя сцягі згоды, якія чытаюць удзельнікі таргоў, каб вырашыць, што яны могуць рабіць з паказам.
• SensitiveDataProcessing — шматэлементны масіў, які сігналізуе пра выбар карыстальніка для расавага паходжання, рэлігійных перакананняў, здароўя, сексуальнай арыентацыі, грамадзянства, дакладнай геалакацыі і іншых адчувальных катэгорый, вызначаных законам штата.

Калі ваша CMP устанаўлівае MspaCoveredTransaction = Yes, але выдавец насамрэч не падпісаў дагавор MSPA, вы толькі што зрабілі ілжывую заяву, на якую будуць спадзявацца ніжэйстаячыя падпісанты. Гэта хуткі шлях да дагаворнага спрэчкі і, у залежнасці ад штата, да рэгулятарнай скаргі.

Адчувальныя даныя: люк, які большасць выдаўцоў прапускаюць

Кожны комплексны закон штата ЗША аб прыватнасці, прыняты пасля Каліфорніі, пашырыў вызначэнне адчувальнай асабістай інфармацыі, і MSPA згортвае іх ва ўніфікаванае поле GPP. Катэгорыі звычайна ўключаюць:

• Дзяржаўныя ідэнтыфікатары (нумар сацыяльнага страхавання, вадзіцельскія правы, пашпарт).
• Уліковыя даныя акаўнтаў і фінансавую інфармацыю.
• Дакладную геалакацыю, звычайна вузейшую за 1 750 футаў.
• Расавае або этнічнае паходжанне, рэлігійныя перакананні, дыягназы псіхічнага або фізічнага здароўя.
• Палавое жыццё і сексуальную арыентацыю.
• Грамадзянства і іміграцыйны статус.
• Генетычныя і біяметрычныя даныя, якія выкарыстоўваюцца для ідэнтыфікацыі чалавека.
• Даныя пра вядомае дзіця маладзей за 13 гадоў — а ў некаторых штатах маладзей за 16 з дадатковай абаронай.

Некалькі штатаў патрабуюць згоды opt-in для апрацоўкі адчувальных даных, у той час як іншыя дазваляюць апрацоўку з правам на адмову. Кадаванне GPP у MSPA дазваляе выразіць любое, але ваша CMP павінна ведаць, якое запытваць, зыходзячы са штата карыстальніка. Няправільная класіфікацыя адчувальных даных — напрыклад, разгляд прагляду кантэнту пра здароўе як звычайных паводніцкіх даных — гэта самы распаўсюджаны рэжым адмовы, адзначаны генеральнымі пракурорамі штатаў у мерах праваўжывання 2024–2025 гадоў.

Пабудова гатовага да MSPA патоку згоды

Укараненне MSPA на вашым сайце або ў праграме — гэта праблема каардынацыі паміж юрыстамі, інжынерамі і рэкламнымі аперацыямі. Праца дзеліцца прыкладна на пяць працоўных патокаў.

1. Падпішыце MSPA і падтрымлівайце свой статус падпісанта

MSPA — гэта рэальны дагавор, які юрысконсульт павінен праверыць і падпісаць. Вы аб'явіце ролю або ролі, у якіх працуеце, штаты ЗША, дзе вы вядзеце бізнес, і катэгорыі даных, якія апрацоўваеце. Абнаўляйце штогод і абнаўляйце партал падпісантаў IAB Tech Lab кожны раз, калі мяняецца ваша роля або юрысдыкцыя.

2. Наладзьце вашу CMP для шматштатнай логікі

Адзінага банера толькі для CCPA больш недастаткова. Ваша CMP павінна вызначаць штат карыстальніка — звычайна праз IP-геалакацыю з рэзервам прыватнасці — і выводзіць правільныя апавяшчэнні, спасылкі і элементы кіравання адмовай для гэтай юрысдыкцыі. FlexyConsent і іншыя сучасныя сертыфікаваныя Google CMP пастаўляюць шматштатныя шаблоны, якія супастаўляюцца штат за штатам з правільнымі радкамі секцый GPP.

3. Убудуйце радкі GPP у ваш рэкламны стэк

Радок GPP павінен быць устаўлены ў кожны запыт стаўкі OpenRTB, які зыходзіць ад карыстальніка з ЗША. Для карыстальнікаў Google Ad Manager гэта азначае ўключэнне падтрымкі GPP у наладах сеткі; для карыстальнікаў Prebid гэта азначае ўстаноўку модуляў gppControl_usnat і па штатах і пацверджанне, што адаптар consentManagement перасылае закадаваны радок. Тэстуйце з дапамогай дэкодэра GPP ад IAB Tech Lab, каб праверыць шлях туды-назад ад CMP да запыту стаўкі.

4. Выконвайце сігнал Global Privacy Control (GPC)

Большасць законаў штатаў — Каліфорнія, Каларада, Канектыкут і растучы спіс — патрабуюць выканання сігналу GPC на ўзроўні браўзера як сапраўднай адмовы. MSPA чакае, што падпісанты будуць выяўляць GPC і прадустанаўліваць палі SaleOptOut, SharingOptOut і TargetedAdvertisingOptOut адпаведна, яшчэ да таго, як карыстальнік крануў банер. Калі ваша CMP не можа выявіць і дзейнічаць па GPC, вы не адпавядаеце патрабаванням незалежна ад членства ў MSPA.

5. Праверце ніжэйстаячых пастаўшчыкоў

Логіка далейшай перадачы MSPA працуе толькі калі вашы пастаўшчыкі таксама з'яўляюцца падпісантамі. Перш чым адпраўляць даныя любому SSP, DSP або партнёру па даных, праверце іх статус падпісанта ў партале IAB Tech Lab. Пастаўшчыкі, якія не з'яўляюцца падпісантамі, павінны быць альбо выдалены з вашага рэкламнага стэка для трафіку ЗША, альбо пакрыты асобнымі двухбаковымі DPA, якія адлюстроўваюць умовы MSPA.

Распаўсюджаныя пасткі ўкаранення

Некалькі патэрнаў адмовы неаднаразова з'яўляюцца ў аўдытах выдаўцоў:

• Сігналізацыя пакрыцця MSPA без падпісання. Устаноўка MspaCoveredTransaction = Yes у радку GPP, калі юрыдычная асоба выдаўца не падпісала MSPA, падвяргае выдаўца прэтэнзіям пра ўвядзенне ў зман ад ніжэйстаячых падпісантаў, якія спадзяваліся на сігнал.
• Забыванне Тэхаса, Арэгона і Мантаны. Выдаўцы, наладжаныя для зыходнага ландшафту з пяці штатаў, прапускаюць законы, якія ўступілі ў сілу ў 2024 і 2025 гадах. У кожнага свае трыгеры адмовы; MSPA іх пакрывае, але толькі калі логіка вызначэння штата вашай CMP іх уключае.
• Ігнараванне сігналаў адчувальных даных на навінавым і лайфстайл-кантэнце. Чытач артыкула пра здароўе, рэлігію або з фокусам на LGBTQ можа апрацоўваць адчувальныя даныя няяўна. Правядзіце аўдыт кантэнту і наладзьце пераазначэнні на ўзроўні катэгорый у CMP.
• Разгляд GPC як рэкамендацыйнага. Рэгулятар Каліфорніі растлумачыў у 2024 годзе, што ігнараванне GPC з'яўляецца парушэннем за кожны выпадак. MSPA не ізалюе вас ад гэтага — яно залежыць ад вас у выкананні GPC.
• Састарэлыя радкі GPP, кэшаваныя на мяжы. Кэшаванне старонак CDN або service worker можа абслужыць карыстальніку састарэлы радок GPP з папярэдняй сесіі. Адключыце кэшаванне на канчатковым пункце згоды і дадайце крок свежай выбаркі пры змене згоды.

Як MSPA уплывае на рэкламны даход

Выдаўцы, якія ўкараняюць MSPA правільна, звычайна бачаць умераныя кароткатэрміновыя падзенні даходу з наступнай стабілізацыяй, у той час як нядбайныя ўкараненні альбо празмерна абмяжоўваюць стаўкі, альбо падвяргаюць выдаўца рызыцы праваўжывання. Зменныя, якія рухаюць стрэлку:

• Узроўні адмоў — у штатах з прыкметнымі спасылкамі адмовы 5–15% карыстальнікаў звычайна адмаўляюцца ад продажу або перадачы. Цэны ставак на адмовіўшыхся паказах звычайна падаюць на 30–60%, таму што паводніцкі таргетынг недаступны.
• Класіфікацыя адчувальнага кантэнту — няправільная класіфікацыя звычайнага кантэнту як адчувальнага абрушыць попыт. Будзьце кансерватыўны і дакладны па катэгорыях.
• Склад партнёраў header bidding — партнёры, якія не з'яўляюцца падпісантамі MSPA, якіх вам прыходзіцца адключаць для трафіку ЗША, сціскаюць ваш аўкцыён. Замяніце іх падпісантамі, а не працуйце з больш тонкім попытам.
• Серверная маркіроўка — серверны кантэйнер, які чытае радок GPP і ўмоўна запускае тэгі, — гэта самы чысты спосаб трымаць аналітыку і згоду сінхранізаванымі.

Што далей: 2026 год і далей

MSPA — гэта жывое пагадненне. IAB абнаўляе яго кожны год ці два, паколькі новыя законы штатаў, рэкамендацыі генеральных пракурораў і федэральныя прапановы перафарміроўваюць ландшафт. Тэмы, за якімі варта сачыць у 2026 годзе:

• Магчымы федэральны закон аб прыватнасці, які часткова выцесніць рэжымы штатаў — MSPA уключае логіку рэзерву выцяснення, так што падпісанты не застануцца ў падвешаным стане.
• Пашырэнне GPP для пакрыцця спецыфічнай для здароўя сігналізацыі згодна з Washington My Health My Data Act і аналагічнымі статутамі.
• Больш строгае праваўжыванне правіл цёмных патэрнаў у патоках адмовы з боку California Privacy Protection Agency і генеральнага пракурора Тэхаса.
• Інтэграцыя з раскрыццём навучання ШІ і вялікіх моўных мадэляў, якое абмяркоўваюць некалькі заканадаўчых сходаў штатаў.

Выдаўцы, якія разглядаюць укараненне MSPA як разавы праект, адстануць. Разглядайце гэта як пастаянную аперацыйную гігіену, сумесна належную юрыстам, рэкламным аперацыям і прадуктовай інжынерыі, і правяраную штоквартальна. Выдаўцы, якія перамагаюць у шматштатнай адпаведнасці ЗША, — гэта не тыя, у каго больш за ўсё юрыстаў, а тыя, чыя CMP, рэкламны стэк і журналы аўдыту расказваюць адну і тую ж гісторыю, калі пытаецца рэгулятар.

Вынік

MSPA — гэта практычны адказ на фрагментаваны ландшафт прыватнасці ЗША. Яно не пройме за вас законы, але дасць вашаму патоку ставак, вашым пастаўшчыкам і вашай юрыдычнай камандзе адзіную агульную мову для адмоў, адчувальных даных і ніжэйстаячых абавязацельстваў. Спалучыце яго з CMP, дасведчанай пра штаты, дакладнай сігналізацыяй GPP і дысцыплінаваным кіраваннем пастаўшчыкамі, і вы патраціце менш часу на спрэчкі пра юрысдыкцыю і больш часу на манетызацыю паказаў, якія вам дазволена манетызаваць. Гэта адзіны ўстойлівы шлях праз 2026 год і хвалю законаў штатаў, якія ўсё яшчэ стаяць у чарзе за ім.