Какво всъщност прави Законът за изтриване

Законът за изтриване е структурно допълнение към съществуващия в Калифорния режим за регистрация на брокери на данни, действащ от 2020 г. Докато оригиналната рамка просто изискваше от брокерите да се регистрират ежегодно в щата и да разкриват категориите лични данни, Законът за изтриване добавя централизиран механизъм за изтриване с твърди срокове, задължения за одит и санкции за неспазване.

Централизираният регистър за изтриване

Регистърът е управлявана от CPPA платформа, където калифорнийските потребители подават единична заявка за изтриване, която автоматично се разпространява до всеки регистриран брокер на данни. Брокерите трябва да проверяват регистъра поне веднъж на четиридесет и пет дни, да идентифицират всякакви нови заявки, съответстващи на лица в техните масиви от данни, и да изтрият съответните записи в срока, посочен в наредбите. Потребителите не трябва да знаят кои брокери притежават техните данни — регистърът управлява разпространението.

Кой се счита за брокер на данни

Законът определя брокера на данни като бизнес, който съзнателно събира и продава лична информация за потребител, с когото бизнесът няма пряка връзка. Определението е по-тясно, отколкото звучи — издателите от първа страна, продаващи собствената си аудитория, не са брокери, обработващите данни от името на администратор не са брокери — но то обхваща доставчиците на графики за самоличност, платформите за реклама в различен контекст, услугите за търсене на хора и голяма част от слоя за разширяване на аудиторията, през който издателите насочват програмни данни.

Регистрация и публичният списък

Всеки обхванат брокер трябва да се регистрира ежегодно, да плаща такса и да се появява в публичен списък, поддържан от CPPA. До 2026 г. списъкът е практическата отправна точка за издатели, одитиращи своите низходящи потоци от данни: всеки доставчик в списъка е брокер на данни за целите на Закона за изтриване и договорните задължения на издателя с този доставчик трябва да отразяват реалността на разпространение на изтриването.

Четиридесет и петдневното почистване и неговите оперативни последствия

Ключовото оперативно правило е ритъмът на цикъла на изтриване. На всеки четиридесет и пет дни всеки регистриран брокер трябва да проверява регистъра и да изтрива всеки съответстващ запис. Ритъмът създава нов вид изтощаване на самоличността, за което издателите трябва да се подготвят.

Как аудиториите намаляват при почистването

Аудитория, изградена върху обогатяване от брокери на данни, ще намалява с приблизително шест седмичен ритъм, тъй като калифорнийските потребители, подали заявки за изтриване, се разпространяват в мрежата на брокерите. Издателите, извършващи измервания в САЩ, зависещи от разрешаването на самоличността — програмно насочване на аудиторията, прозорци за атрибуция, зависещи от идентификатори между сайтове, моделиране на подобни аудитории, използващи семена от брокери — ще видят как размерите на аудиторията в Калифорния се движат надолу по модел на назъбена пила: всяко почистване премахва транш, след което постепенните посетители се попълват отново до следващото почистване.

Повторното идентифициране е забранено

Законът изрично забранява на брокерите да идентифицират отново потребител, който е изтрит, дори ако брокерът впоследствие получи същите данни от различен източник. Забраната затваря очевидната вратичка и означава, че издателите не могат да разчитат на собствените си данни от първа страна, за да свържат отново изтритите потребители в аудитории, насочени чрез брокери. Изтриването е предназначено да бъде трайно и програмата за одит на регулатора е изградена да открива модели на повторно идентифициране.

Данните от първа страна на издателя са извън обхвата на почистването

Собствените данни от първа страна на издателя — регистрирани потребители, абонати на бюлетин, членове на програма за лоялност — не подлежат на почистване по Закона за изтриване, тъй като издателят не е брокер на данни за тези записи. Издателят остава предмет на права за изтриване съгласно CCPA и CPRA, които са отделни. Двата режима могат да си взаимодействат: изтриване по Закона за изтриване на ниво брокер може все пак да остави записа от първа страна на издателя непокътнат и издателят трябва да продължи да спазва отделната заявка за изтриване по CCPA на потребителя чрез собственото приемане на издателя.

Сигналът Global Privacy Control в новия свят

Законът за изтриване се пресича с заглавния ред Global Privacy Control (GPC), изпращан от браузъри и разширения за поверителност, за да покаже, че потребителят е задал универсално предпочитание за отказване. Наредбите на CPPA потвърждават, че издателите и брокерите трябва да спазват GPC като валидно отказване по CCPA и централизираният регистър на Закона за изтриване добавя паралелен път към същия резултат.

Два сигнала, един резултат

Калифорнийският потребител има два начина да излезе от комерсиалната екосистема от данни: да изпрати заглавния ред GPC от всеки браузър, който използва, или да подаде единична заявка в регистъра по Закона за изтриване. Двата пътя дават равностойни резултати за повечето случаи на употреба, но се различават по обхват. GPC управлява текущите продажби и споделяне на всеки сайт, посещаван от потребителя. Регистърът изтрива съществуващите записи, притежавани от брокерите. Издателите трябва да третират и двата като авторитетни сигнали и CMP трябва да бъде конфигуриран да разпознава и двата.

Ролята на CMP при излагането на двата пътя

Съответстващият CMP за калифорнийски аудитории през 2026 г. показва статуса на спазване на GPC (посетителят има активен GPC, отказването е активно), собствената връзка за отказване на издателя (потребителят може да откаже продажбата и споделянето конкретно на този сайт) и ясен указател към регистъра на CPPA за потребители, желаещи резултата от изтриване от брокери. Архитектурата не е технически взискателна — три контроли в интерфейса за съгласие вместо едно — но формулировката е важна и прилагането от CPPA е активно относно подвеждащите или скрити пътища за отказване.

Какво трябва да направят издателите

Законът за изтриване е наредба, насочена към брокерите, а не издателите, но оперативните последствия за издателите са реални и изискват специфични промени в архитектурата за съгласие и данни.

Одит на стека на доставчиците спрямо регистъра на брокерите

Всеки доставчик в рекламния и аналитичен стек на издателя трябва да бъде кръстосано проверен спрямо публичния списък на брокерите на CPPA. Доставчиците в списъка са предмет на режима по Закона за изтриване и договорите на издателя с тези доставчици трябва да отразяват разпространението на изтриването, задържането на регистри за одит и ритъма на четиридесет и петдневното почистване. Повечето основни доставчици на разрешаване на самоличността и няколко големи SSP са вече в списъка; одитът не е болезнен, но трябва да се извършва поне ежегодно.

Актуализиране на известието за поверителност и интерфейса за съгласие

Известието за поверителност на издателя трябва да обяснява пътя в регистъра по Закона за изтриване заедно с съществуващото право на изтриване по CCPA, с директна връзка към регистъра на CPPA. Интерфейсът за съгласие трябва да показва статуса на спазване на GPC, когато посетителят е задал заглавния ред, и контролите за отказване трябва да бъдат стилизирани с еднакво значение спрямо контролите за приемане — решенията на прокурора за прилагане до 2024 и 2025 г. направиха теста за тъмни модели изричен.

Планиране за назъбената пила на аудиторията

Екипите за измерване и насочване на аудиторията трябва да знаят, че показателите за аудиторията в Калифорния ще следват шест седмична назъбена пила, движена от ритъма на почистване. Таблата и моделите за темп на офертата трябва да бъдат настроени към модела, а не да третират всеки спад като повреда. Издателите с строга атрибуция трябва също да моделират пътя на изтриване от брокер като отделен източник на изтощаване, за да може числата след почистването да бъдат съгласувани чисто.

Чести грешки по Закона за изтриване, предизвикващи находки

Първата вълна на прилагане от CPPA по Закона за изтриване до 2025 г. е произвела ясен модел на находки от страна на издателя. Известието за поверителност на издателя описва пътя за отказване по CCPA, но никога не споменава регистъра по Закона за изтриване. Банерът за съгласие спазва GPC за продажба и споделяне, но не разпространява сигнала до приемането на изтриване от първа страна на издателя. Издателят сключва договор с регистриран брокер и никога не актуализира договора, за да отразява задълженията за разпространение на изтриване по Закона за изтриване. CMP показва панел за управление на предпочитания, който скрива отказването три клика дълбоко зад по-тъмен бутон от приемането на всичко. Всяко от тях е документационна или UX корекция, а не дълбока архитектурна промяна — но всяко е точно и това, с което CPPA открива разследване.

Заключение

Законът за изтриване дава на калифорнийските потребители един бутон, с който да излязат от комерсиалната екосистема от данни и до 2026 г. регистърът е оперативен, списъкът с брокери е публичен и програмата за прилагане е активна. За издателите последствията са реални, но ограничени: Законът за изтриване не изисква от издателя да прави нещо драматично, но изисква от издателя да знае кои низходящи доставчици са брокери, да актуализира известието за поверителност и интерфейса за съгласие, за да покаже новия път, да спазва последователно GPC и да планира за назъбената пила на аудиторията, произведена от четиридесет и петдневното почистване. Нищо от това не е технически трудно. Всичко е оперативно специфично. Издателите, извършили чист одит през 2024 и 2025 г., сега изпълняват установена архитектура; издателите, третирали Закона за изтриване като проблем на брокерите на данни, незасягащ ги, прекарват 2026 г. в отговорни писма и преразглеждат известията за поверителност под краен срок на регулатора.