Какво е MSPA — и какво не е

MSPA е частна рамка, основана на договори, публикувана от IAB. Тя не е закон и не замества щатските закони. Вместо това тя е многостранно споразумение, към което се присъединяват участниците — издатели, агенции, рекламни мрежи, SSP-и, DSP-и и доставчици на данни — за да могат да правят последователни правни твърдения относно начина, по който личната информация тече чрез програматичното рекламиране. Когато всички в дадена верига подписват същия договор, downstream доставчиците не трябва да договарят петдесет различни двустранни споразумения за обработка на данни, за да обработят една офертна заявка.

Мислете за MSPA едновременно като за три неща:

• Договор, който автоматично тече надолу по веригата, когато подписал предава данни на друг подписал.
• Речник за изразяване на потребителски избор с помощта на кодирани от GPP низове, включително отказ от продажба, споделяне, насочена реклама и обработка на чувствителни данни.
• Рамка за разпределение на рисковете, която съпоставя всеки подписал с една от три роли — Покрит бизнес, Доставчик на услуги/Обработващ или Трета страна — и свързаните с тях задължения.

Какво MSPA не е: заместител на вашето известие за поверителност, замяна на прякото съгласие на потребителя там, където е необходимо, или гаранция за спазване на конкретен щатски закон. Това е инструмент, който при правилна употреба прави спазването на множество щатски закони оперативно осъществимо. Използван неправилно — например като сигнализирате за участие, докато продължавате да споделяте данни след отказ — разширява отговорността ви, вместо да я намалява.

Кой трябва да внимава: Трите роли в MSPA

Преди да подпишете каквото и да е, определете ролята, която действително играете. Повечето издатели се изненадват да открият, че носят повече от една шапка в зависимост от потока данни.

Покрит бизнес

Вие сте Покрит бизнес, ако определяте целите и средствата за обработка на лична информация за потребителя — обикновено издателят, управляващ уебсайта или приложението, което потребителят посещава. Като Покрит бизнес вие отговаряте за събиране на съгласие, показване на известия, спазване на откази и конфигуриране на GPP сигнала, на който разчитат downstream доставчиците. Тежестта, обърната към потребителя, е при вас.

Доставчик на услуги или Обработващ

Вие сте Доставчик на услуги, когато обработвате лична информация от името на Покрит бизнес по договор и само за ограничени, допустими цели. Повечето доставчици на анализи, хостинг доставчици и платформи за управление на съгласието работят в тази лента. MSPA налага ограничения: без продажба, без кросконтекстна поведенческа реклама за собствена сметка и строго определени правила за съхранение и изтриване.

Трета страна

Вие сте Трета страна, когато получавате лична информация от Покрит бизнес и я използвате за собствените си цели — повечето SSP-и, DSP-и, доставчици на идентичност и брокери на данни попадат тук. Третите страни имат най-тежките договорни задължения, включително директно обработване на права на потребителите и задължения за downstream предаване, когато споделят данни със собствените си партньори.

MSPA и Глобалната платформа за поверителност (GPP)

MSPA не съществува във вакуум. Тя е договорният слой; GPP е техническият сигнален слой. Глобалната платформа за поверителност на IAB Tech Lab кодира потребителските избори в един низ, който пътува с офертните заявки чрез протокола OpenRTB. За американско сигнализиране GPP носи секционни низове за всеки щат с изчерпателен закон за поверителност — например USCA (Калифорния), USCO (Колорадо), USVA (Вирджиния), USCT (Кънектикът), USUT (Юта) и всеобхватния US National низ за щати без специален раздел.

MSPA казва на вашата CMP кои полета да зададе в тези GPP раздели, за да претендира за покритие. Най-важните полета, които издателите ще видят и конфигурират, включват:

• MspaCoveredTransaction — задава се на Да, когато издателят твърди, че офертната заявка е покрита от рамката MSPA.
• MspaOptOutOptionMode — показва дали на потребителя е предоставена ясна опция за отказ, изисквана от правилата за прозрачност на MSPA.
• MspaServiceProviderMode — задава се, когато downstream доставчиците трябва да третират данните само като доставчик на услуги.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — детайлните флагове за съгласие, които наддавачите четат, за да решат какво могат да правят с импресията.
• SensitiveDataProcessing — многоелементен масив, сигнализиращ избора на потребителя за расов произход, религиозни убеждения, здраве, сексуална ориентация, гражданство, точна геолокация и другите чувствителни категории, определени от щатския закон.

Ако вашата CMP задава MspaCoveredTransaction = Да, но издателят всъщност не е подписал договора MSPA, вие току-що сте направили невярно твърдение, на което ще разчитат downstream подписалите. Това е бърз път към договорен спор и, в зависимост от щата, регулаторна жалба.

Чувствителни данни: Капанът, пропускан от повечето издатели

Всеки изчерпателен закон за поверителност на американски щат, приет след Калифорния, разши определението на чувствителна лична информация, и MSPA ги обединява в единно GPP поле. Категориите обикновено включват:

• Правителствени идентификатори (ЕГН, шофьорска книжка, паспорт).
• Идентификационни данни за акаунт и финансова информация.
• Точна геолокация, обикновено по-тясна от 1750 фута.
• Расов или етнически произход, религиозни убеждения, диагнози за психично или физическо здраве.
• Сексуален живот и сексуална ориентация.
• Гражданство и имиграционен статус.
• Генетични и биометрични данни, използвани за идентифициране на лице.
• Данни за известно дете под 13 години — а в някои щати под 16 с допълнителна защита.

Някои щати изискват изрично съгласие за обработка на чувствителни данни, докато други разрешават обработката с право на отказ. GPP кодирането на MSPA ви позволява да изразите всяко от двете, но вашата CMP трябва да знае кое да поиска въз основа на щата на потребителя. Неправилното класифициране на чувствителни данни — например третирането на сърфирането в здравно съдържание като обикновени поведенчески данни — е единственият най-разпространен режим на неуспех, посочен от прокурорите на щатите в принудителните действия от 2024–2025 г.

Изграждане на поток за съгласие, готов за MSPA

Прилагането на MSPA на вашия сайт или приложение е проблем на координация между правни, инженерни и рекламни операции. Работата се разделя на приблизително пет работни потока.

1. Подпишете MSPA и поддържайте статуса си на подписал

MSPA е реален договор, който правният съветник трябва да прегледа и изпълни. Ще декларирате ролята или ролите, в които работите, щатите на САЩ, в които правите бизнес, и категориите данни, които обработвате. Подновявайте ежегодно и актуализирайте портала на подписалите на IAB Tech Lab при промяна на вашата роля или юрисдикция.

2. Конфигурирайте CMP за многощатска логика

Единичен банер само за CCPA вече не е достатъчен. Вашата CMP трябва да открие щата на потребителя — обикновено чрез IP геолокация с резервен вариант за поверителност — и да показва правилните известия, връзки и контроли за отказ за тази юрисдикция. FlexyConsent и другите съвременни CMP-и, сертифицирани от Google, предлагат многощатски шаблони, съответстващи щат по щат на правилните GPP секционни низове.

3. Свържете GPP низовете с вашия рекламен стек

GPP низът трябва да бъде вмъкнат в всяка OpenRTB офертна заявка, произхождаща от американски потребител. За потребителите на Google Ad Manager това означава активиране на поддръжката на GPP в мрежовите настройки; за потребителите на Prebid означава инсталиране на модулите gppControl_usnat и за всеки щат и потвърждаване, че адаптерът consentManagement препраща кодирания низ. Тествайте с помощта на GPP декодера на IAB Tech Lab, за да проверите кръговото пътуване от CMP до офертна заявка.

4. Спазвайте сигнала на Глобалния контрол за поверителност (GPC)

Повечето щатски закони — Калифорния, Колорадо, Кънектикът и нарастващ списък — изискват спазване на браузърния GPC сигнал като валиден отказ. MSPA очаква подписалите да открият GPC и предварително да зададат полетата SaleOptOut, SharingOptOut и TargetedAdvertisingOptOut, дори преди потребителят да докосне банера. Ако вашата CMP не може да открие и да реагира на GPC, вие не сте в съответствие независимо от членството в MSPA.

5. Одитирайте downstream доставчиците

Логиката на downstream потока на MSPA работи само ако и вашите доставчици са подписали. Преди да изпратите данни до SSP, DSP или партньор за данни, проверете статуса им на подписали в портала на IAB Tech Lab. Доставчиците без подпис трябва или да бъдат премахнати от вашия рекламен стек за трафик от САЩ, или обхванати от отделни двустранни DPA, отразяващи условията на MSPA.

Чести грешки при внедряването

Няколко модела на неуспех се появяват многократно при одити на издатели:

• Сигнализиране на покритие от MSPA без подписване. Задаването на MspaCoveredTransaction = Да в GPP низа, докато юридическото лице на издателя не е изпълнило MSPA, излага издателя на претенции за невярно представяне от downstream подписали, разчитали на сигнала.
• Забравяне на Тексас, Орегон и Монтана. Издателите, конфигурирани за първоначалния пейзаж от пет щата, пропускат закони, влезли в сила през 2024 и 2025 г. Всеки има свои задействащи механизми за отказ; MSPA ги обхваща, но само ако логиката за откриване на щати на вашата CMP ги включва.
• Игнориране на сигналите за чувствителни данни в новинарско и lifestyle съдържание. Читател на здравна, религиозна или LGBTQ-ориентирана статия може имплицитно да обработва чувствителни данни. Извършете одит на съдържанието и конфигурирайте замествания на ниво категория в CMP.
• Третиране на GPC като консултативен. Калифорнийският регулатор уточни през 2024 г., че игнорирането на GPC е нарушение за всяко събитие. MSPA не ви предпазва от това — тя разчита на вас да спазвате GPC.
• Остарели GPP низове, кеширани на edge. CDN или service worker кеширането на страници може да обслужи на потребителя остарял GPP низ от предишна сесия. Деактивирайте кеширането на крайната точка за съгласие и добавете стъпка за прясно извличане при промяна на съгласието.

Как MSPA влияе на приходите от реклами

Издателите, прилагащи MSPA правилно, обикновено виждат умерени краткосрочни спадове на приходите, последвани от стабилизиране, докато небрежните внедрявания или прекомерно ограничават офертите, или излагат издателя на риск от правоприлагане. Променливите, движещи диала:

• Проценти на отказ — В щати с изразени връзки за отказ, обикновено 5–15% от потребителите се отказват от продажба или споделяне. Офертните цени за импресии с отказ обикновено падат с 30–60%, защото поведенческото насочване е недостъпно.
• Класификация на чувствително съдържание — Неправилното класифициране на обикновено съдържание като чувствително ще срине търсенето. Бъдете консервативни и прецизни по категория.
• Смес от партньори за header bidding — Партньорите, неподписали MSPA, които трябва да деактивирате за трафик от САЩ, свиват вашия търг. Заменете ги с подписали, а не работете с по-тънко търсене.
• Маркиране от страна на сървъра — Контейнер от страна на сървъра, четящ GPP низа и условно изпускащ тагове, е най-чистият начин да поддържате анализите и съгласието синхронизирани.

Какво предстои: 2026 г. и след нея

MSPA е живо споразумение. IAB го актуализира на всеки година-две, докато нови щатски закони, насоки на прокурорите и федерални предложения преформатират пейзажа. Темите за наблюдение през 2026 г.:

• Възможен федерален закон за поверителност, който частично би предопределил щатските режими — MSPA включва резервна логика за предопределяне, така че подписалите няма да бъдат оставени в безизходица.
• Разширяване на GPP за покриване на здравноспецифично сигнализиране съгласно Закона на Вашингтон My Health My Data и аналогични закони.
• По-строго прилагане на правилата за тъмни модели в потоците за отказ от Калифорнийската агенция за защита на поверителността и прокуратурата на Тексас.
• Интеграция с изкуствен интелект и разкривания за обучение на модели с голям езиков обхват, което обсъждат няколко щатски законодателни органа.

Издателите, третиращи внедряването на MSPA като еднократен проект, ще изостанат. Третирайте го като текуща оперативна хигиена, притежавана съвместно от правни, рекламни операции и продуктово инженерство, и преглеждана на тримесечие. Издателите, печелещи при американско многощатско съответствие, не са тези с най-много юристи — те са тези, чиято CMP, рекламен стек и одитни журнали разказват една и съща история, когато регулаторът попита.

Заключение

MSPA е практичният отговор на фрагментирания американски пейзаж на поверителността. Тя няма да приема закони вместо вас, но ще даде на вашия поток от оферти, вашите доставчици и вашия юридически екип един общ език за откази, чувствителни данни и downstream задължения. Съчетайте го с CMP, наясно с щата, точно GPP сигнализиране и дисциплинирано управление на доставчиците и ще прекарате по-малко време в спорове за юрисдикция и повече в монетизиране на импресиите, които ви е разрешено да монетизирате. Това е единственият устойчив път през 2026 г. и вълната от щатски закони, наредени зад нея.