Mis on MSPA – ja mis see ei ole

MSPA on IAB avaldatud privaatne lepingupõhine raamistik. See ei ole seadus ega asenda osariikide seadusi. Selle asemel on see mitmepoolne leping, millega osalejad – kirjastajad, agentuurid, reklaamivõrgustikud, SSP-d, DSP-d ja andmepakkujad – ühinevad, et teha järjepidevaid õiguslikke väiteid selle kohta, kuidas isikuandmed liiguvad programmatiivse reklaami kaudu. Kui kõik ahelas osalejad allkirjastavad sama lepingu, ei pea allavoolu müüjad ühe pakkumispäringu käsitlemiseks läbi rääkima viiskümmend erinevat kahepoolset andmetöötluslepingut.

Mõelge MSPA-le kui kolmele asjale korraga:

• Leping, mis liigub automaatselt allavoolu, kui allkirjastaja edastab andmeid teisele allkirjastajale.
• Sõnavara kasutajavalikute väljendamiseks GPP-kodeeritud stringide abil, sealhulgas müügist, jagamisest, sihitud reklaamist ja tundlike andmete töötlemisest loobumiseks.
• Riskijaotusraamistik, mis kaardistab iga allkirjastaja ühele kolmest rollist – Kaetud Ettevõte, Teenusepakkuja/Töötleja või Kolmas Isik – koos sellega kaasnevate kohustuste loendiga.

Mida MSPA ei ole: see ei asenda teie privaatsusteadet, ei ole asendus otsese kasutajanõusoleku jaoks, kus seda nõutakse, ega taga vastavust ühegi konkreetse osariigi seadusega. See on tööriist, mis õigesti kasutades muudab mitme osariigi seadustega vastavuse operatiivselt teostatavaks. Valesti kasutades – näiteks osalemise signaliseerimisel, jätkates samal ajal andmete jagamist pärast loobumist – suurendab see teie vastutust, mitte ei vähenda seda.

Kellel on vaja hoolitseda: kolm MSPA rolli

Enne millegi allkirjastamist tuvastage, millist rolli te tegelikult mängite. Enamik kirjastajaid avastavad üllatuseks, et nad kannavad rohkem kui ühte mütsi sõltuvalt andmevoost.

Kaetud Ettevõte

Olete Kaetud Ettevõte, kui määrate kasutaja isikuandmete töötlemise eesmärgid ja vahendid – tavaliselt veebisaiti või rakendust käitav kirjastaja, mida kasutaja külastab. Kaetud Ettevõttena vastutate nõusoleku kogumise, teadete kuvamise, loobumiste austamise ja GPP signaali konfigureerimise eest, millele allavoolu müüjad tuginevad. Kasutajapoolne koormus lasub teil.

Teenusepakkuja või Töötleja

Olete Teenusepakkuja, kui töötlete isikuandmeid Kaetud Ettevõtte nimel lepingu alusel ja ainult piiratud, lubatud eesmärkidel. Enamik analüütikamüüjaid, hostingupakkujaid ja nõusolekuhaldusplatvorme tegutsevad selles rollis. MSPA kehtestab piirangud: ei müügi, mitte kontekstidevahelist käitumuslikku reklaami enda nimel ning rangelt määratletud säilitamis- ja kustutamisreeglid.

Kolmas Isik

Olete Kolmas Isik, kui saate Kaetud Ettevõttelt isikuandmeid ja kasutate neid oma eesmärkidel – enamik SSP-sid, DSP-sid, identiteedimüüjaid ja andmevahendajaid kuuluvad siia. Kolmandatel Isikutel on raskeimad lepingulised kohustused, sealhulgas otsene kasutajaõiguste käsitlemine ja allavoolu läbivoolamise kohustused, kui nad jagavad andmeid oma partneritega.

MSPA ja Global Privacy Platform (GPP)

MSPA ei eksisteeri vaakumis. See on lepinguline kiht; GPP on tehniline signaleerimiskiht. IAB Tech Labi Global Privacy Platform kodeerib kasutajavalikud üheks stringiks, mis liigub koos pakkumispäringutega OpenRTB protokolli kaudu. USA signaliseerimiseks kannab GPP osariigi stringe iga osariigi jaoks, kus on põhjalik privaatsusseadus – näiteks USCA (California), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah) ja universaalne USA riiklik string osariikidele, millel puudub spetsiaalne jaotis.

MSPA ütleb teie CMP-le, milliseid välju seada nendes GPP jaotistes katvuse väitmiseks. Olulisemad väljad, mida kirjastajad näevad ja konfigureerivad, on järgmised:

• MspaCoveredTransaction – seatud väärtusele Yes, kui kirjastaja väidab, et pakkumispäring on MSPA raamistikuga kaetud.
• MspaOptOutOptionMode – näitab, kas kasutajale pakuti selget loobumisvalikut vastavalt MSPA läbipaistvuseeskirjadele.
• MspaServiceProviderMode – seatud, kui allavoolu müüjad peavad andmeid käsitlema ainult teenusepakkujana.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut – granuleeritud nõusolekuflägid, mida pakkujad loevad, et otsustada, mida nad muljega teha võivad.
• SensitiveDataProcessing – mitmeelementiline massiiv, mis signaleerib kasutaja valikuid rassilise päritolu, usuliste veendumuste, tervise, seksuaalse orientatsiooni, kodakondsuse, täpse asukoha ja muude osariigi seadusega määratletud tundlike kategooriate kohta.

Kui teie CMP seab MspaCoveredTransaction = Yes, kuid kirjastaja ei ole tegelikult MSPA lepingut allkirjastanud, olete just esitanud vale väite, millele allavoolu allkirjastajad tuginevad. See on kiire tee lepinguvaidluseni ja sõltuvalt osariigist ka regulatoorse kaebuseni.

Tundlikud andmed: lõks, mida enamik kirjastajaid ei märka

Iga põhjalik USA osariigi privaatsusseadus, mis on vastu võetud pärast Californiat, on laiendanud tundliku isikuteabe määratlust ja MSPA ühendab need ühtseks GPP väljaks. Kategooriad hõlmavad tavaliselt järgmist:

• Valitsuse identifikaatorid (sotsiaalkindlustuse number, juhiluba, pass).
• Kontokredentsiaalid ja finantsteave.
• Täpne asukohaandmed, tavaliselt täpsem kui 533 meetrit.
• Rassiline või etniline päritolu, usulised veendumused, vaimse või füüsilise tervise diagnoosid.
• Sekselu ja seksuaalne orientatsioon.
• Kodakondsus ja immigratsioonastaatus.
• Geneetilised ja biomeetrilised andmed isiku tuvastamiseks.
• Andmed teadaolevalt alla 13-aastase lapse kohta – ja mõnes osariigis alla 16-aastaste kohta lisakaitsega.

Mitmed osariigid nõuavad tundlike andmete töötlemiseks opt-in nõusolekut, teised lubavad töötlemist koos loobumisõigusega. MSPA GPP-kodeering võimaldab väljendada mõlemat, kuid teie CMP peab teadma, mida küsida lähtuvalt kasutaja osariigist. Tundlike andmete väärkategoriseerimine – näiteks tervisesisu sirvimise käsitlemine tavapärase käitumusliku andmena – on kõige levinum tõrgeterežiim, mille osariikide peaprokurörid on 2024–2025. aasta täiteemeetmetes esile toonud.

MSPA-valmis nõusolekuvoo loomine

MSPA rakendamine teie saidil või rakenduses on koordineerimisülesanne juriidilise, tehnika- ja reklaamioperatsioonide vahel. Töö jaguneb ligikaudu viieks töövooks.

1. Allkirjastage MSPA ja hoidke oma allkirjastaja staatust

MSPA on päris leping, mille peab üle vaatama ja sõlmima juriidiline nõustaja. Deklareerite rolli või rollid, milles tegutsete, USA osariigid, kus äri ajate, ja andmekategooriad, mida töötlete. Uuendage igal aastal ja uuendage IAB Tech Labi allkirjastaja portaali igal ajal, kui teie roll või jurisdiktsioon muutub.

2. Konfigureerige oma CMP mitme osariigi loogikaga

Ühest ainult CCPA-bannerist ei piisa enam. Teie CMP peab tuvastama kasutaja osariigi – tavaliselt IP-geolokatsioonil põhinedes privaatsusvaru abil – ja kuvama selle jurisdiktsiooni jaoks õiged teated, lingid ja loobumiskontrollid. FlexyConsent ja teised kaasaegsed Google'i sertifitseeritud CMP-d pakuvad mitme osariigi malle, mis kaardistuvad osariigiti õigetele GPP jaotise stringidele.

3. Ühendage GPP stringid oma reklaamipinuga

GPP string peab olema lisatud igasse USA kasutajalt pärinevasse OpenRTB pakkumispäringsse. Google Ad Manageri kasutajate jaoks tähendab see GPP toe lubamist võrgu seadetes; Prebidi kasutajate jaoks tähendab see gppControl_usnat ja osariigipõhiste moodulite installimist ning kinnitamist, et nõusolekuHalduse adapter edastab kodeeritud stringi. Testimiseks kasutage IAB Tech Labi GPP dekooderrit, et kontrollida tagasiteekonda CMP-st pakkumispäringuni.

4. Austage Global Privacy Control (GPC) signaali

Enamik osariikide seadusi – California, Colorado, Connecticut ja kasvav nimekiri – nõuab brauseritasemel GPC signaali austamist kehtiva loobumisena. MSPA eeldab allkirjastajatelt GPC tuvastamist ja SaleOptOut, SharingOptOut ning TargetedAdvertisingOptOut väljade eelseadistamist vastavalt sellele, isegi enne, kui kasutaja bännerit puudutab. Kui teie CMP ei suuda GPC-d tuvastada ja sellele reageerida, ei vasta te nõuetele olenemata MSPA liikmesusest.

5. Auditeerige allavoolu müüjaid

MSPA allavoolu loogika töötab ainult siis, kui teie müüjad on samuti allkirjastajad. Enne andmete saatmist ühegi SSP, DSP või andmepartneri juurde kontrollige nende allkirjastaja staatust IAB Tech Labi portaalis. Mitte-allkirjastajad müüjad tuleb kas eemaldada teie USA liikluse reklaamipinust või katta eraldi kahepoolsete DPA-dega, mis peegeldavad MSPA tingimusi.

Levinud rakendamisvead

Kirjastajate auditites ilmuvad korduvalt mitmed ebaõnnestumismustrid:

• MSPA katvuse signaliseerimine ilma allkirjastamata. MspaCoveredTransaction = Yes seadmine GPP stringis, samal ajal kui kirjastaja juriidiline üksus ei ole MSPA-d sõlminud, paljastab kirjastaja valeväite nõuetele allavoolu allkirjastajate ees, kes tuginesid signaalile.
• Texase, Oregoni ja Montana unustamine. Algsele viie osariigi maastikule konfigureeritud kirjastajad jätavad vahele 2024. ja 2025. aastal jõustunud seadused. Igaühel on oma loobumiskäivitajad; MSPA katab neid, kuid ainult siis, kui teie CMP-i osariigituvastuse loogika hõlmab neid.
• Tundlike andmete signaalide ignoreerimine uudiste ja elustiilisisu puhul. Tervisega, religiooniga või LGBTQ-teemaga tegeleva artikli lugeja võib tundlikke andmeid kaudselt töödelda. Tehke sisu audit ja konfigureerige CMP-s kategooria taseme alistused.
• GPC kohtlemine nõuandvana. California regulaator selgitas 2024. aastal, et GPC ignoreerimine on rikkumine iga juhtumi kohta. MSPA ei kaitse teid selle eest – see sõltub sellest, et austate GPC-d.
• Ääre juures vahemällu salvestatud aegunud GPP stringid. CDN või teenusutöötaja lehekülgede vahemällu salvestamine võib serveerida kasutajale aegunud GPP stringi eelmisest seansist. Keelake vahemälu nõusoleku lõpp-punktis ja lisage nõusoleku muutmisel värskendamise samm.

Kuidas MSPA mõjutab reklaamitulu

Kirjastajad, kes rakendavad MSPA-d õigesti, näevad tavaliselt tagasihoidlikku lühiajalist tulude langust, millele järgneb stabiliseerumine, samas kui lohakad rakendused kas piiravad pakkumisi liiga palju või paljastavad kirjastaja täitemeetmete riskile. Mõjutavad muutujad:

• Loobumismäärad – Silmapaistvate loobumislinkidega osariikides loobub tavaliselt 5–15% kasutajatest müügist või jagamisest. Pakkumishinnad loobunud muljetel langevad tavaliselt 30–60%, kuna käitumuslik sihtimine pole saadaval.
• Tundliku sisu klassifitseerimine – Tavapärase sisu väärkategoriseerimine tundlikuks nõrsutab nõudlust. Olge konservatiivne ja kategooriate täpne.
• Päisepakkumise partnerite miks – Mitte-MSPA-allkirjastajad partnerid, kelle peate USA liikluse jaoks keelama, kahandavad teie oksjonit. Asendage need allkirjastajatega, mitte ärge jätkake õhema nõudlusega.
• Serveripoolne märgistamine – Serveripoolne konteiner, mis loeb GPP stringi ja tulemuslikult käivitab märgised, on kõige puhtam viis hoida analüütika ja nõusolek sünkroonis.

Mis tuleb järgmisena: 2026 ja edasi

MSPA on elav leping. IAB uuendab seda iga ühe kuni kahe aasta tagant, kui uued osariigi seadused, peaprokuröride juhendid ja föderaalsed ettepanekud maastikku ümber kujundavad. Teemad, mida 2026. aastal jälgida:

• Võimalik föderaalne privaatsusseadus, mis osaliselt asendaks osariikide režiime – MSPA sisaldab asendamise varustrateegiat, nii et allkirjastajaid ei jäeta hätta.
• GPP laiendamine, et katta tervisespetsiifilised signaalid Washingtoni My Health My Data akti ja analoogsete seaduste alusel.
• Loobumisprotsesside tumedamustri reeglite rangem jõustamine California Privacy Protection Agency ja Texase peaprokuröri poolt.
• Integreerimine tehisintellekti ja suurte keelemudelite koolitamise avalikustamisega, mida mitmed osariikide seadusandjad arutavad.

Kirjastajad, kes kohtlevad MSPA rakendamist ühekordse projektina, jäävad maha. Kohelge seda pideva operatiivse hügieenina, mida haldavad ühiselt juriidika, reklaamioperatsioonid ja tootetehnoloogia ning mida vaadatakse üle kvartaalselt. MSPA rakendamisel USA mitmes osariigis võidavad need kirjastajad, kellel on kõige rohkem juriste, vaid need, kelle CMP, reklaamipinu ja auditiloge kõik räägivad ühte lugu, kui regulaator küsib.

Kokkuvõte

MSPA on praktiline vastus killunenud USA privaatsusmaastikule. See ei võta teie eest seadusi vastu, kuid annab teie pakkumisvoogule, müüjatele ja õigusmeeskonnale ühe ühise keele loobumiste, tundlike andmete ja allavoolu kohustuste jaoks. Ühendage see olekuteadliku CMP, täpse GPP signaliseerimise ja distsiplineeritud müüjate haldamisega ning veedate vähem aega jurisdiktsiooni üle vaidlemisel ja rohkem aega muljetel, mida teil on lubatud monetiseerida. See on ainus jätkusuutlik tee 2026. aastani ja sellele järgnevate osariigi seaduste laineni.