Hvad Delete Act faktisk gør

Delete Act er et strukturelt tilføjelse til Californiens eksisterende registreringsregime for datamæglere, der har været gældende siden 2020. Mens det oprindelige ramme blot krævede, at mæglere registrerede sig årligt hos staten og oplyste om kategorier af personoplysninger, tilføjer Delete Act en centraliseret sletningsmekanisme med faste tidsfrister, revisionsforpligtelser og sanktioner for manglende overholdelse.

Det Centraliserede Sletningsregister

Registeret er en CPPA-drevet platform, hvor californiske forbrugere indgiver en enkelt sletteanmodning, der automatisk spredes til alle registrerede datamæglere. Mæglere skal tjekke registeret mindst hver femogfyrre dage, identificere eventuelle nye anmodninger, der matcher enkeltpersoner i deres datasæt, og slette de matchende poster inden for den tidsramme, som reglerne specificerer. Forbrugere behøver ikke at vide, hvilke mæglere der opbevarer deres data — registeret håndterer spredningen.

Hvem Tæller som Datamægler

Loven definerer en datamægler som en virksomhed, der bevidst indsamler og sælger personoplysninger om en forbruger, som virksomheden ikke har et direkte forhold til. Definitionen er snævrere, end den lyder — first-party udgivere, der sælger deres eget publikum, er ikke mæglere, databehandlere, der håndterer data på vegne af en dataansvarlig, er ikke mæglere — men den fanger identitetsgraf-udbydere, krydssammenhængsreklameplatforme, personsøgetjenester og en stor del af målgruppeudvidelseslaget, som udgivere ruter programmatiske data igennem.

Registrering og den Offentlige Liste

Enhver berørt mægler skal registrere sig årligt, betale et gebyr og fremgå af en offentlig liste, som CPPA fører. I 2026 er listen det praktiske referencepunkt for udgivere, der auditerer deres downstream dataflows: enhver leverandør på listen er en datamægler i Delete Act-henseende, og udgiverens kontraktlige forpligtelser over for den pågældende leverandør skal afspejle sletningsspredningens realitet.

Den Femogfyrre-dages Cyklus og Dens Driftsmæssige Konsekvenser

Den centrale driftsregel er sletningscyklussens kadence. Hver femogfyrre dage skal alle registrerede mæglere tjekke registeret og slette alle matchende poster. Kadencen skaber en ny slags identitetstab, som udgivere skal tilrettelægge sig for.

Hvordan Målgrupper Aftager Under Cyklussen

Et publikum bygget på datamægleroberiget vil skrumpe med en ca. seks-ugers kadence, efterhånden som californiske forbrugere, der har indgivet sletteanmodninger, udbredes gennem mæglernes netværk. Udgivere, der kører US-måling afhængigt af identitetsopløsning — programmatisk målgrupperetning, attributionsvinduer afhængige af tværsite-identifikatorer, lookalike-modellering med mægler-leverede seeds — vil se californiske målgruppestørrelser glide nedad i et savtakket mønster: hver cyklus fjerner en tranche, derefter fylder trinvise besøgende op igen til næste cyklus.

Genidentificering er Forbudt

Loven forbyder eksplicit mæglere at genidentificere en forbruger, der er slettet, selv hvis mægleren efterfølgende erhverver de samme data fra en anden kilde. Forbuddet lukker den oplagte smuthul og betyder, at udgivere ikke kan stole på deres egne first-party data til at sy slettede forbrugere tilbage ind i mægler-routede målgrupper. Sletningen er beregnet til at være varig, og regulatorens revisionsprogram er bygget til at opdage genidentificeringsmønstre.

Udgiverens First-Party Data er Uden for Cyklussen

Udgiverens egne first-party data — registrerede brugere, nyhedsbrevsabonnenter, loyalitetsmedlemmer — er ikke underlagt Delete Act-cyklussen, fordi udgiveren ikke er datamægler for disse poster. Udgiveren er fortsat underlagt CCPA og CPRA sletteanmodningsrettigheder, som er separate. De to regimer kan interagere: en Delete Act-sletning på mæglerniveau kan stadig efterlade udgiverens first-party post intakt, og udgiveren skal fortsat overholde forbrugerens separate CCPA-sletteanmodning gennem udgiverens eget system.

Global Privacy Control-Signalet i den Nye Verden

Delete Act krydser Global Privacy Control (GPC)-headeren, som browsere og privatlivsudvidelser sender for at angive, at brugeren har indstillet en universel fravalg-præference. CPPA's regler bekræfter, at udgivere og mæglere skal overholde GPC som et gyldigt CCPA-fravalg, og Delete Acts centraliserede register tilføjer en parallel vej til det samme resultat.

To Signaler, Et Resultat

En californisk forbruger har to måder at forlade det kommercielle dataøkosystem på: sende GPC-headeren fra enhver browser, de bruger, eller indgive en enkelt Delete Act-registeranmodning. De to veje producerer ækvivalente resultater for de fleste anvendelsestilfælde, men adskiller sig i omfang. GPC styrer løbende salg og deling på hvert websted, forbrugeren besøger. Registeret sletter eksisterende poster hos mæglere. Udgivere bør behandle begge som autoritative signaler, og CMP bør konfigureres til at genkende begge.

CMP's Rolle i at Synliggøre Begge Veje

Det compliant CMP for californiske målgrupper i 2026 fremviser GPC-overholdelsesstatussen (besøgende har GPC indstillet, fravalg er aktivt), udgiverens eget fravalgslink (forbrugeren kan afvise salg og deling på netop dette websted) og en klar pointer til CPPA-registeret for forbrugere, der ønsker sletning fra mæglere. Arkitekturen er ikke teknisk krævende — tre kontrolelementer i samtykkegrænsefladen i stedet for ét — men ordlyden er vigtig, og CPPA-håndhævelse har været aktiv over for vildledende eller skjulte fravalg-stier.

Hvad Udgivere Skal Gøre

Delete Act er en regulering rettet mod mæglere, ikke udgivere, men de driftsmæssige konsekvenser for udgivere er reelle og kræver specifikke ændringer af samtykke- og dataarkitekturen.

Revidér Leverandørstakken Mod Mægler-Registeret

Enhver leverandør i udgiverens annonce- og analysestak bør krydstjekkes med CPPA's offentlige mæglerliste. Leverandører på listen er underlagt Delete Act-regimet, og udgiverens kontrakter med disse leverandører skal afspejle sletningsspredning, revisionslogopbevaring og den femogfyrre-dages cykluskadence. De fleste store identitetsopløsningsleverandører og flere store SSP'er er nu på listen; revisionen er ikke smertefuld, men den skal ske mindst årligt.

Opdatér Privatlivspolitikken og Samtykkegrænsefladen

Udgiverens privatlivspolitik bør forklare Delete Act-registerstien ved siden af den eksisterende CCPA-sletteret med et direkte link til CPPA's register. Samtykkegrænsefladen bør vise GPC-overholdelsesstatussen, når den besøgende har headeren indstillet, og fravalg-kontrollerne bør styles med samme fremtræden som accept-kontrollerne — statsadvokatens håndhævelsesbeslutninger gennem 2024 og 2025 gjorde dark pattern-testen eksplicit.

Planlæg for Målgruppe-Savtakken

Måle- og målgrupperetningsteamene skal vide, at californiske målgruppedata vil følge en seks-ugers savtakke drevet af cykluskadencen. Dashboardene og bud-pace-modellerne bør indstilles til mønsteret frem for at behandle hvert fald som en fejl. Udgivere, der kører stringent attribution, bør også modellere mægler-sletningsvejen som en separat tabskilde, så tallene efter cyklussen kan afstemmes rent.

Typiske Delete Act-Fejl der Udløser Fund

Den første bølge af CPPA-håndhævelse under Delete Act gennem 2025 har produceret et klart mønster af udgiversidefund. Udgiverens privatlivspolitik beskriver CCPA-fravalg-stien, men nævner aldrig Delete Act-registeret. Samtykkebanneret overholder GPC for salg og deling, men spreder ikke signalet til udgiverens first-party sletningsmodtagelse. Udgiveren indgår kontrakt med en registreret mægler og opdaterer aldrig kontrakten til at afspejle Delete Act sletningsspredningsforpligtelserne. CMP serverer et panelet til præferencestyring, der begrave fravalg tre klik dybt bag en mørkere knap end acceptér-alle. Hvert af disse er en dokumentations- eller UX-rettelse frem for en dyb arkitektonisk ændring — men hvert er også præcis, hvad CPPA åbner en undersøgelse med.

Bundlinjen

Delete Act giver californiske forbrugere en enkelt knap, der afslutter dem fra det kommercielle dataøkosystem, og i 2026 er registeret operationelt, mæglerlisten er offentlig, og håndhævelsesprogrammet er aktivt. For udgivere er implikationerne reelle, men afgrænsede: Delete Act kræver ikke, at udgiveren gør noget dramatisk, men den kræver, at udgiveren ved, hvilke downstream-leverandører der er mæglere, opdaterer privatlivspolitikken og samtykkegrænsefladen til at vise den nye sti, overholder GPC konsekvent og planlægger for den målgruppe-savtakke, som den femogfyrre-dages cyklus producerer. Intet af dette er teknisk svært. Alt er driftsmæssigt specifikt. Udgivere, der kørte en ren revision i 2024 og 2025, eksekverer nu på en fast arkitektur; udgivere, der behandlede Delete Act som et datamæglerproblem, der ikke angik dem, bruger 2026 på svarbrev og reviderer privatlivspolitikker under myndighedsfrister.