Co MSPA je — a co není

MSPA je soukromý rámec založený na smlouvách, který vydal IAB. Není to zákon a nenahrazuje státní zákony. Místo toho je to mnohostranná dohoda, ke které přistupují účastníci — vydavatelé, agentury, reklamní sítě, SSP, DSP a poskytovatelé dat — aby mohli dělat konzistentní právní tvrzení o tom, jak osobní informace proudí programatickou reklamou. Pokud každý v řetězci podepíše stejnou smlouvu, downstream prodejci nemusí vyjednávat padesát různých dvoustranných dohod o zpracování dat, aby zvládli jeden požadavek na nabídku.

Přemýšlejte o MSPA jako o třech věcech najednou:

• Smlouvě, která automaticky plyne downstream, když signatář předává data jinému signatáři.
• Slovníku pro vyjádření uživatelských voleb pomocí řetězců kódovaných GPP, včetně odhlášení z prodeje, sdílení, cílené reklamy a zpracování citlivých dat.
• Rámci pro alokaci rizik, který přiřazuje každého signatáře k jedné ze tří rolí — Pokryté podnikání, Poskytovatel služeb/Zpracovatel nebo Třetí strana — a povinnostem spojeným s každou z nich.

Co MSPA není: náhrada za váš oznam o ochraně soukromí, náhrada za přímý souhlas uživatele tam, kde je vyžadován, nebo záruka souladu s jakýmkoli konkrétním státním zákonem. Je to nástroj, který při správném použití umožňuje operativně dosáhnout souladu s více státními zákony. Při nesprávném použití — například signalizací účasti při pokračování ve sdílení dat po odhlášení — vaši odpovědnost rozšiřuje, nikoli zmenšuje.

Kdo si musí dát pozor: Tři role MSPA

Dříve než cokoliv podepíšete, zjistěte, jakou roli skutečně hrajete. Většina vydavatelů se překvapeně zjistí, že nosí více než jeden klobouk v závislosti na toku dat.

Pokryté podnikání

Jste Pokrytým podnikem, pokud určujete účely a prostředky zpracování osobních informací o uživateli — obvykle vydavatel provozující web nebo aplikaci, kterou uživatel navštěvuje. Jako Pokryté podnikání jste odpovědní za shromažďování souhlasů, zobrazování oznámení, respektování odhlášení a konfiguraci GPP signálu, na který se spoléhají downstream prodejci. Zátěž orientovaná na uživatele leží na vás.

Poskytovatel služeb nebo Zpracovatel

Jste Poskytovatelem služeb, když zpracováváte osobní informace jménem Pokrytého podniku na základě smlouvy a pouze pro omezené, přípustné účely. Většina poskytovatelů analytiky, hostingových providerů a platforem pro správu souhlasů funguje v tomto pruhu. MSPA ukládá omezení: žádný prodej, žádná reklama na základě chování napříč kontexty ve vlastní prospěch a přísně definovaná pravidla uchovávání a mazání.

Třetí strana

Jste Třetí stranou, když přijímáte osobní informace od Pokrytého podniku a používáte je pro vlastní účely — většina SSP, DSP, poskytovatelů identit a datových brokerů sem patří. Třetí strany mají nejtěžší smluvní závazky, včetně přímého zpracování práv uživatelů a povinností přenosu downstream při sdílení dat s vlastními partnery.

MSPA a Globální platforma pro soukromí (GPP)

MSPA neexistuje ve vzduchoprázdnu. Je to smluvní vrstva; GPP je technická signalizační vrstva. Globální platforma pro soukromí IAB Tech Lab kóduje uživatelské volby do jediného řetězce, který cestuje s požadavky na nabídky prostřednictvím protokolu OpenRTB. Pro americkou signalizaci GPP nese sekční řetězce pro každý stát s komplexním zákonem o ochraně soukromí — například USCA (Kalifornie), USCO (Colorado), USVA (Virginie), USCT (Connecticut), USUT (Utah) a universální řetězec US National pro státy bez vyhrazené sekce.

MSPA říká vaší CMP, která pole nastavit uvnitř těchto sekcí GPP, aby uplatnila pokrytí. Nejdůležitější pole, která vydavatelé uvidí a nakonfigurují, zahrnují:

• MspaCoveredTransaction — nastaveno na Ano, když vydavatel tvrdí, že požadavek na nabídku je pokryt rámcem MSPA.
• MspaOptOutOptionMode — udává, zda byl uživateli nabídnut jasná možnost odhlášení, jak vyžadují pravidla transparentnosti MSPA.
• MspaServiceProviderMode — nastaveno, když downstream prodejci musejí zacházet s daty pouze jako poskytovatelé služeb.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — granulární vlajky souhlasu, které nabízející čtou, aby se rozhodli, co mohou s impresí udělat.
• SensitiveDataProcessing — víceprve prvkové pole signalizující uživatelovy volby ohledně rasového původu, náboženských přesvědčení, zdraví, sexuální orientace, státního občanství, přesné geolokace a dalších citlivých kategorií definovaných státním zákonem.

Pokud vaše CMP nastaví MspaCoveredTransaction = Ano, ale vydavatel ve skutečnosti nepodepsal smlouvu MSPA, učinili jste nepravdivé tvrzení, na které se budou spoléhat downstream signatáři. To je rychlá cesta ke smluvnímu sporu a v závislosti na státu regulatorní stížnosti.

Citlivá data: Záludnost, kterou většina vydavatelů přehlíží

Každý komplexní americký státní zákon o ochraně soukromí přijatý od Kalifornie rozšířil definici citlivých osobních informací a MSPA je skládá do unifikovaného pole GPP. Kategorie obvykle zahrnují:

• Vládní identifikátory (číslo sociálního pojištění, řidičský průkaz, pas).
• Přihlašovací údaje k účtu a finanční informace.
• Přesná geolokace, obecně přesnější než 1 750 stop.
• Rasový nebo etnický původ, náboženská přesvědčení, diagnózy mentálního nebo fyzického zdraví.
• Sexuální život a sexuální orientace.
• Státní občanství a pobytový status.
• Genetická a biometrická data použitá k identifikaci osoby.
• Údaje týkající se známého dítěte mladšího 13 let — a v některých státech mladšího 16 let s dodatečnou ochranou.

Některé státy vyžadují opt-in souhlas pro zpracování citlivých dat, jiné zpracování povolují s právem na odhlášení. Kódování GPP v MSPA umožňuje vyjádřit obojí, ale vaše CMP musí vědět, které požádat na základě státu uživatele. Nesprávná klasifikace citlivých dat — například zacházení s prohlížením zdravotnického obsahu jako s běžnými behaviorálními daty — je nejčastějším jediným způsobem selhání, na který upozornili státní prokurátoři ve vymáhacích akcích v letech 2024–2025.

Budování toku souhlasů připraveného pro MSPA

Implementace MSPA na vašem webu nebo aplikaci je koordinační problém napříč právními, technickými a reklamními operacemi. Práce se rozděluje přibližně do pěti pracovních proudů.

1. Podepište MSPA a udržujte svůj status signatáře

MSPA je skutečná smlouva, kterou musí právní poradce přezkoumat a podepsat. Deklarujete roli nebo role, ve kterých působíte, americké státy, kde podnikáte, a kategorie dat, které zpracováváte. Obnovujte ročně a aktualizujte portál signatářů IAB Tech Lab vždy, když se změní vaše role nebo jurisdikce.

2. Nakonfigurujte CMP pro logiku více států

Jediný banner pouze pro CCPA už nestačí. Vaše CMP musí zjistit stát uživatele — obvykle prostřednictvím geolokace IP podpořené zálohou pro soukromí — a zobrazit správné oznámení, odkazy a ovládací prvky pro odhlášení pro danou jurisdikci. FlexyConsent a další moderní CMPs certifikované Googlem dodávají vícestavové šablony, které mapují stát po státu na správné řetězce sekcí GPP.

3. Zapojte řetězce GPP do svého reklamního stacku

Řetězec GPP musí být vložen do každého požadavku na nabídku OpenRTB pocházejícího od amerického uživatele. Pro uživatele Google Ad Manager to znamená povolení podpory GPP v nastavení sítě; pro uživatele Prebid to znamená instalaci modulů gppControl_usnat a per-state a potvrzení, že adaptér consentManagement přeposílá zakódovaný řetězec. Testujte pomocí dekodéru GPP IAB Tech Lab k ověření zpáteční cesty z CMP do požadavku na nabídku.

4. Respektujte signál Global Privacy Control (GPC)

Většina státních zákonů — Kalifornie, Colorado, Connecticut a rostoucí seznam — vyžaduje respektování signálu GPC na úrovni prohlížeče jako platné odhlášení. MSPA očekává, že signatáři detekují GPC a přednastaví pole SaleOptOut, SharingOptOut a TargetedAdvertisingOptOut, i před tím, než se uživatel dotkne banneru. Pokud vaše CMP nemůže detekovat GPC a na něj reagovat, nejste v souladu bez ohledu na členství v MSPA.

5. Auditujte downstream prodejce

Logika downstream toku MSPA funguje pouze tehdy, pokud jsou i vaši prodejci signatáři. Před odesláním dat jakémukoli SSP, DSP nebo datovému partnerovi ověřte jejich status signatáře na portálu IAB Tech Lab. Nesignatářští prodejci musí být buď odstraněni z vašeho reklamního stacku pro americký provoz, nebo pokryti samostatnými dvoustrannými DPA, které odráží podmínky MSPA.

Časté implementační úskalí

V auditech vydavatelů se opakovaně vyskytuje několik vzorců selhání:

• Signalizování pokrytí MSPA bez podpisu. Nastavení MspaCoveredTransaction = Ano v řetězci GPP, zatímco právní entita vydavatele nepodepsala MSPA, vystavuje vydavatele tvrzením o nepravdivém zastoupení od downstream signatářů, kteří se na signál spoléhali.
• Zapomenutí na Texas, Oregon a Montanu. Vydavatelé nakonfigurovaní pro původní pětistátní krajinu přehlíží zákony, které vstoupily v platnost v letech 2024 a 2025. Každý má vlastní spouštěče odhlášení; MSPA je pokrývá, ale pouze pokud logika detekce státu vaší CMP je zahrnuje.
• Ignorování signálů citlivých dat v zpravodajském a lifestylovém obsahu. Čtenář článku o zdraví, náboženství nebo LGBTQ může implicitně zpracovávat citlivá data. Proveďte audit obsahu a nakonfigurujte přepsání na úrovni kategorií v CMP.
• Zacházení s GPC jako s poradním. Kalifornský regulátor v roce 2024 upřesnil, že ignorování GPC je porušení za každý případ. MSPA vás před tím nechrání — spoléhá na vás, že GPC budete respektovat.
• Zastaralé řetězce GPP uložené v mezipaměti na hraně. Ukládání stránek do mezipaměti CDN nebo service workeru může uživateli poskytnout zastaralý řetězec GPP z předchozí relace. Zakažte ukládání do mezipaměti na koncovém bodu souhlasu a přidejte krok čerstvého načtení při změně souhlasu.

Jak MSPA ovlivňuje příjmy z reklamy

Vydavatelé, kteří správně implementují MSPA, obvykle vidí mírné krátkodobé poklesy příjmů následované stabilizací, zatímco nedbalé implementace buď nadměrně omezují nabídky, nebo vydavatele vystavují riziku vymáhání. Proměnné, které hýbají číselníkem:

• Míry odhlášení — Ve státech s výraznými odkazy na odhlášení obvykle 5–15 % uživatelů odmítne prodej nebo sdílení. Ceny nabídek u odhlášených impresí obvykle klesají o 30–60 %, protože cílení na chování není dostupné.
• Klasifikace citlivého obsahu — Špatná klasifikace běžného obsahu jako citlivého poptávku zhroutí. Buďte konzervativní a kategoriálně přesní.
• Mix partnerů pro header bidding — Partneři, kteří nejsou signatáři MSPA a které musíte zakázat pro americký provoz, zmenšují vaši aukci. Nahraďte je signatáři místo provozování s nižší poptávkou.
• Označování na straně serveru — Kontejner na straně serveru, který čte řetězec GPP a podmíněně spouští značky, je nejčistší způsob, jak udržet analytiku a souhlas synchronizované.

Co přichází dál: 2026 a dále

MSPA je živá dohoda. IAB ji aktualizuje každé jedno až dvě léta, jak nové státní zákony, pokyny generálních prokurárorů a federální návrhy přetvářejí krajinu. Témata sledovaná v roce 2026:

• Možný federální zákon o ochraně soukromí, který by částečně přednostně použil státní režimy — MSPA zahrnuje záložní logiku preempce, takže signatáři nezůstanou uvízlí.
• Rozšíření GPP o zdravotní signalizaci podle washingtonského zákona My Health My Data a analogických zákonů.
• Přísnější vymáhání pravidel dark-pattern v tocích odhlášení ze strany Agentury pro ochranu soukromí Kalifornie a texaského generálního prokurátora.
• Integrace s umělou inteligencí a zveřejňováním školení modelů velkých jazyků, o nichž debatuje několik státních zákonodárných sborů.

Vydavatelé, kteří k implementaci MSPA přistupují jako k jednorázovému projektu, zaostávají. Považujte ji za průběžnou provozní hygienu, která je společně spravována právním, reklamním a produktovým inženýrstvím a přezkoumávána čtvrtletně. Vydavatelé, kteří vyhrávají v americkém vícestavovém souladu, nejsou ti s nejvíce právníky — jsou to ti, jejichž CMP, reklamní stack a záznamy auditu vyprávějí stejný příběh, když se regulátor zeptá.

Závěr

MSPA je praktická odpověď na fragmentovanou americkou krajinu ochrany soukromí. Nezajistí vám schválení zákonů, ale dá vašemu toku nabídek, vašim prodejcům a vašemu právnímu týmu jeden společný jazyk pro odhlášení, citlivá data a downstream závazky. Spojte ji se stavově orientovanou CMP, přesnou signalizací GPP a disciplinovaným řízením prodejců a budete trávit méně času hádkami o jurisdikci a více času monetizací impresí, které máte dovoleno monetizovat. To je jediná udržitelná cesta rokem 2026 a vlnou státních zákonů, které stojí za ní.