Hvad Global Privacy Platform faktisk er

GPP er en transportprotokol, ikke en ny samtykkramme. Det er en container, der koder flere regionsspecifikke samtykke-signaler ind i én Base64-streng, eksponeret via en standard JavaScript API (__gpp()), som SSP'er, DSP'er og målingsvendsorer kan forespørge. Hver region har sin egen sektion inden i GPP-strengen: Section 2 bærer TCF EU v2, Section 6 bærer US Privacy (forældet), Section 7 dækker USNat, og Sections 8 til 12 dækker henholdsvis Californien, Virginia, Colorado, Utah og Connecticut. Yderligere sektioner for Texas, Oregon, Montana og andre stater tilføjes, efterhånden som deres love træder i kraft.

Den vigtigste designbeslutning er, at én GPP-streng kan bære flere sektioner simultaneously. En europæisk besøgende får TCF EU-data; en californisk besøgende får US-CA-data; en bruger hvis IP geolokaliserer til begge jurisdiktioner (sjældent, men muligt via VPN) kan have begge sektioner udfyldt. Ad tech-leverandører læser kun de relevante sektioner og ignorerer resten.

Hvorfor GPP eksisterer, og hvorfor det er vigtigt nu

Før GPP tvang hver ny amerikansk statslov om privatlivsbeskyttelse udgivere til at implementere endnu et signal. Californien havde USP. Virginias VCDPA krævede anden opt-out-semantik. Colorados CPA anerkendte Global Privacy Control-browsersignalet. Utah og Connecticut tilføjede yderligere nuancer. Ad tech-leverandører skulle analysere et halvt dusin formater, ofte inkonsekvent, og risikoen for at signalere «brugeren har samtykket» i én kanal, mens brugeren havde frambedt sig i en anden, blev en reel overholdelsesrisiko.

GPP standardiserer transporten. Når en CMP sætter GPP-strengen, læser alle downstream-leverandører den samme kodning. For udgivere er dette vigtigt af tre grunde: Googles 2024-politik kræver nu GPP-understøttelse for amerikanske statslige signaler på Google Ad Manager-inventar; Prebid.js 8.x og de fleste store SSP-adaptere forventer GPP; og regulatorer refererer i stigende grad til GPP-overholdelse som bevis på signalpropagering i god tro.

GPP-sektioner og hvad de betyder

Hver GPP-sektion har sine egne kodningsregler, der afspejler den underliggende ramme:

Section 2: TCF EU v2

Identisk med den selvstændige TCF v2.2-streng, du allerede genererer til europæisk trafik. Hvis din CMP er TCF-certificeret, producerer du allerede denne sektion — GPP pakker den blot ind.

Section 7: US National (USNat)

Den nyeste sektion, designet som ét enkelt signal, der dækker alle amerikanske føderale og statslige privatlivslove. Den koder givet meddelelse, salgs-opt-out, delingsopt-out, målrettet reklame-opt-out, følsomme data-opt-out og håndtering af kendte børnedata. Leverandører, der opererer på tværs af flere amerikanske stater, bør foretrække USNat frem for per-stats-sektioner, når det er muligt.

Sections 8-12: Per-stat amerikanske signaler

Californien (US-CA), Virginia (US-VA), Colorado (US-CO), Utah (US-UT) og Connecticut (US-CT). Hver sektion bærer felter specifikke for den pågældende stats lovgivning — for eksempel bevarer US-CA de ældre CCPA/CPRA salgs- og delingsopt-outs, mens US-CO tilføjer det følsomme data-samtykke-flag, som Colorado Privacy Act kræver. Texas (US-TX under CPA section 13) og Oregon (US-OR under CPA section 14) blev tilføjet, da deres love trådte i kraft i juli 2024.

Sådan bør udgivere migrere

De fleste udgivere vil allerede have en CMP, der genererer TCF-strenge til EU-trafik og USP-strenge til Californien. Migrationsvejen til GPP ser således ud:

Trin 1: Opgrader din CMP

Bekræft, at din CMP-leverandør er opført på IAB's GPP-certificerede CMP-liste. FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics og de fleste Google-certificerede CMP'er producerer nu gyldige GPP-strenge. Hvis din CMP stadig kun outputter TCF eller USP, anmod om en køreplan for GPP-understøttelse — enhver leverandør uden en plan her vil blive efterladt i 2026.

Trin 2: Konfigurer GPP-sektioner efter geografi

Din CMP bør automatisk beslutte, hvilke GPP-sektioner der skal udfyldes baseret på IP-geolokalisering. Europæiske besøgende får Section 2 (TCF EU); amerikanske besøgende får Section 7 (USNat) eller per-stat-sektioner afhængigt af, hvordan din leverandørstak læser signalet. Udfyld ikke alle sektioner for hver besøgende — det er en almindelig fejlkonfiguration, der lækker jurisdiktionsirrelevante data.

Trin 3: Verificer downstream-propagering

GPP-strengen er kun nyttig, hvis SSP'er, DSP'er, analyseværktøjer og pixel-leverandører læser den. Auditér din annonceringsstack: I Prebid.js skal du bekræfte, at gppControl-modulet er aktiveret; i Google Ad Manager skal du bekræfte, at GPP-strengen sendes via GAM-samtykke-API'en; i Google Analytics 4 skal du bekræfte, at Consent Mode v2 læser GPP ved siden af TCF. Enhver leverandør, der stiltiende ignorerer GPP, er et overholdelseshul.

GPP, Consent Mode v2 og Googles krav

Googles politikopdatering fra december 2024 gjorde GPP-understøttelse obligatorisk for udgivere, der monetiserer amerikansk inventar via Google Ad Manager. Denne ændring er subtil men vigtig: Consent Mode v2 bruger stadig sine egne ad_storage- og analytics_storage-signaler, men GAM forventer nu, at GPP-strengen er til stede i annonceringsforespørgslen for al trafik underlagt amerikanske statslige love. Manglende eller misdannede GPP-strenge kan resultere i annoncer, der vises i begrænset tilstand — med signifikant indvirkning på udfyldning og indtægter — eller, for gentagsovertrædere, at inventar ekskluderes fra auktion.

Den praktiske konsekvens: selv udgivere, der historisk har ignoreret amerikanske statslige love, fordi deres omsætning kun kom fra Californien, har nu brug for GPP. Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Montana og Iowa har alle love i kraft fra 2026, og Google læser GPP-strengen for at afgøre, om din annonceringsforespørgsel overholder hver af dem.

Almindelige migrationssammenbrud

Fire fejl vi gentagne gange ser, når udgivere tilføjer GPP:

Duplikerede signaler. Nogle udgivere beholder selvstændige TCF- og USP-strenge ved siden af GPP og skaber tre sandheds-kilder, der kan være uenige. Når GPP er live, trækkes de selvstændige strenge tilbage.

Forkert sektionsudfyldning. At udfylde US-CA for alle amerikanske besøgende uanset faktisk stat lækker geografi og kan fejlagtigt hævde CCPA opt-out-rettigheder for ikke-californiske indbyggere. Brug IP-geolokalisering til at vælge den rigtige sektion.

Ignorering af GPC. Global Privacy Control-browsersignalet er ikke en GPP-sektion — det er en separat HTTP-header og JS-egenskab. Din CMP skal læse GPC ved sideindlæsning og afspejle det som en opt-out i de relevante GPP-sektioner, ellers overtræder du Colorado-, Connecticut- og Californiens lovgivning.

Forældede leverandøradaptere. Ældre Prebid-adaptere og SSP-integrationer kan afskaffe GPP-strengen, inden den når budgiveren. Test alle leverandører i din annonceringsstack med IAB GPP-validatoren, inden du erklærer migrationen fuldført.

Det lange perspektiv: GPP ud over USA

GPP er designet til at udvide sig ud over TCF EU og amerikanske statslige love. Nye sektioner for Canada (PIPEDA plus Quebecs lov 25), Brasilien (LGPD), Sydkorea (PIPA) og andre jurisdiktioner er under aktiv IAB-arbejdsgruppeudvikling. For udgivere, der betjener globalt inventar, er GPP ved at blive den eneste samtykkertransport, der erstatter alle regionale protokoller. At investere i GPP i dag positionerer din stack til at absorbere den næste bølge af regionale privatlivslove uden endnu et integrationssprint.