حریم خصوصی داده7 ژوئن 2026 | FlexyConsent

قانون Delete Act کالیفرنیا و انصراف جهانی: راهنمای انطباق ناشران برای ۲۰۲۶

قانون Delete Act کالیفرنیا (SB 362) از نظر عملیاتی مهم‌ترین قطعه قانونگذاری US درباره کارگزاران داده از زمان CCPA اولیه است. این قانون که در اکتبر ۲۰۲۳ امضا شد و به تدریج در طول ۲۰۲۵ و ۲۰۲۶ اجرا شد، یک رجیستری پاکسازی متمرکز تحت مدیریت دولت ایجاد می‌کند که به یک مصرف‌کننده کالیفرنیایی امکان می‌دهد یک درخواست واحد صادر کند که سپس به تمامی کارگزاران داده ثبت‌شده فعال در ایالت منتشر می‌شود. تا ۲۰۲۶، آژانس حمایت از حریم خصوصی کالیفرنیا (CPPA) رجیستری را راه‌اندازی کرده، تقریباً پانصد کارگزار داده را تحت تهدید جریمه‌های سنگین ثبت کرده، و قوانین عملیاتی را صادر کرده که تعیین می‌کند کارگزاران چند بار باید درخواست‌های پاکسازی جدید را بررسی کنند، این درخواست‌ها چگونه با داده‌های طرف اول ناشران تعامل دارند، و سیگنال انصراف جهانی حمل‌شده توسط سرآیند Global Privacy Control چه ارتباطی با رژیم جدید دارد. برای ناشران — به‌ویژه آنهایی که کسب‌وکارشان به تشخیص هویت، توسعه مخاطبان، اندازه‌گیری برنامه‌ای، یا هر گونه تبادل داده با یک کارگزار ثبت‌شده بستگی دارد — قانون Delete Act یک مشکل کارگزاران داده در بخش پشتیبانی نیست. این سازوکار عملی است که از طریق آن مصرف‌کنندگان کالیفرنیایی برای اولین بار با یک کلیک از کل اکوسیستم داده تجاری خارج خواهند شد. این راهنما توضیح می‌دهد که این قانون واقعاً چه الزاماتی دارد، ناشران برای رعایت انطباق باید چه کاری انجام دهند، و معماری CMP و زنجیره تبلیغات چگونه باید تکامل یابد تا الگوی جدید کاهش هویت را که رجیستری ایجاد می‌کند مدیریت کند.

قانون Delete Act واقعاً چه می‌کند

قانون Delete Act یک افزوده ساختاری به رژیم ثبت کارگزاران داده موجود کالیفرنیاست که از سال ۲۰۲۰ اجرا می‌شود. در حالی که چارچوب اولیه صرفاً از کارگزاران می‌خواست سالانه با ایالت ثبت‌نام کنند و دسته‌بندی‌های اطلاعات شخصی خود را افشا کنند، قانون Delete Act یک مکانیسم پاکسازی متمرکز با جداول زمانی سخت، تعهدات حسابرسی، و جریمه برای عدم انطباق اضافه می‌کند.

رجیستری پاکسازی متمرکز

رجیستری یک پلتفرم تحت مدیریت CPPA است که مصرف‌کنندگان کالیفرنیایی یک درخواست پاکسازی واحد ارسال می‌کنند که به طور خودکار به تمامی کارگزاران داده ثبت‌شده منتشر می‌شود. کارگزاران باید حداقل هر چهل و پنج روز یک بار رجیستری را بررسی کنند، هرگونه درخواست جدید که با افراد موجود در مجموعه داده‌هایشان مطابقت دارد را شناسایی کنند، و سوابق مطابق را در بازه زمانی مشخص‌شده توسط مقررات حذف کنند. مصرف‌کنندگان نیازی ندارند بدانند کدام کارگزاران داده‌های آن‌ها را دارند — رجیستری توزیع را مدیریت می‌کند.

چه کسی به عنوان کارگزار داده شمرده می‌شود

این قانون کارگزار داده را به عنوان کسب‌وکاری تعریف می‌کند که آگاهانه اطلاعات شخصی درباره مصرف‌کننده‌ای که با او رابطه مستقیمی ندارد را جمع‌آوری و می‌فروشد. تعریف محدودتر از آن چیزی است که به نظر می‌رسد — ناشران طرف اول که مخاطبان خود را می‌فروشند کارگزار نیستند، پردازندگانی که داده را از طرف یک کنترل‌کننده مدیریت می‌کنند کارگزار نیستند — اما ارائه‌دهندگان نمودار هویت، پلتفرم‌های تبلیغاتی چند-بستری، خدمات جستجوی افراد، و بخش بزرگی از لایه توسعه مخاطبانی که ناشران داده برنامه‌ای را از طریق آن هدایت می‌کنند را در برمی‌گیرد.

ثبت‌نام و فهرست عمومی

هر کارگزار تحت پوشش باید سالانه ثبت‌نام کند، هزینه بپردازد، و در فهرست عمومی که CPPA نگهداری می‌کند ظاهر شود. تا ۲۰۲۶، فهرست نقطه مرجع عملی برای ناشرانی است که جریان‌های داده پایین‌دستی خود را حسابرسی می‌کنند: هر فروشنده‌ای در فهرست یک کارگزار داده برای اهداف قانون Delete Act است، و تعهدات قراردادی ناشر با آن فروشنده باید واقعیت انتشار پاکسازی را منعکس کند.

چرخه چهل و پنج روزه و پیامدهای عملیاتی آن

قانون عملیاتی محوری، ریتم چرخه پاکسازی است. هر چهل و پنج روز، هر کارگزار ثبت‌شده باید رجیستری را بررسی کرده و هر سابقه مطابق را حذف کند. این ریتم یک نوع جدید از کاهش هویت ایجاد می‌کند که ناشران باید برای آن مهندسی کنند.

چگونه مخاطبان در طول چرخه تنزل می‌یابند

مخاطبانی که بر غنی‌سازی کارگزاران داده ساخته شده‌اند با یک چرخه تقریباً شش هفته‌ای کوچک می‌شوند، زیرا مصرف‌کنندگان کالیفرنیایی که درخواست‌های پاکسازی صادر کرده‌اند از طریق شبکه کارگزاران منتشر می‌شوند. ناشرانی که اندازه‌گیری US را اجرا می‌کنند که به تشخیص هویت بستگی دارد — هدف‌گذاری مخاطبان برنامه‌ای، پنجره‌های انتساب که به شناسه‌های بین‌سایتی وابسته‌اند، مدل‌سازی شبیه‌سازی که از بذرهای تأمین‌شده توسط کارگزار استفاده می‌کند — خواهند دید که اندازه‌های مخاطبان کالیفرنیا در یک الگوی دندانه اره‌ای رو به پایین حرکت می‌کنند: هر چرخه یک دسته را حذف می‌کند، سپس بازدیدکنندگان تدریجی دوباره پر می‌کنند تا چرخه بعدی.

شناسایی مجدد ممنوع است

این قانون صریحاً کارگزاران را از شناسایی مجدد مصرف‌کننده‌ای که حذف شده منع می‌کند، حتی اگر کارگزار بعداً همان داده را از منبع دیگری به دست آورد. این ممنوعیت حفره آشکار را می‌بندد و به این معنی است که ناشران نمی‌توانند برای دوخت مجدد مصرف‌کنندگان حذف‌شده به مخاطبان هدایت‌شده توسط کارگزار به داده‌های طرف اول خود تکیه کنند. حذف قرار است پایدار باشد، و برنامه حسابرسی تنظیم‌کننده برای شناسایی الگوهای شناسایی مجدد ساخته شده است.

داده‌های طرف اول ناشر خارج از چرخه است

داده‌های طرف اول ناشر — کاربران ثبت‌شده، مشترکان خبرنامه، اعضای برنامه وفاداری — مشمول چرخه قانون Delete Act نیستند زیرا ناشر برای این سوابق کارگزار داده نیست. ناشر همچنان مشمول حقوق پاکسازی CCPA و CPRA است که جداگانه هستند. دو رژیم می‌توانند تعامل داشته باشند: یک حذف قانون Delete Act در لایه کارگزار همچنان می‌تواند سابقه طرف اول ناشر را دست‌نخورده بگذارد، و ناشر باید به شرافت بخشیدن به درخواست پاکسازی جداگانه CCPA مصرف‌کننده از طریق دریافت خود ناشر ادامه دهد.

سیگنال Global Privacy Control در دنیای جدید

قانون Delete Act با سرآیند Global Privacy Control (GPC) که مرورگرها و افزونه‌های حریم خصوصی برای نشان دادن اینکه کاربر اولویت انصراف جهانی تنظیم کرده ارسال می‌کنند تلاقی دارد. مقررات CPPA تأیید می‌کند که ناشران و کارگزاران باید GPC را به عنوان یک انصراف معتبر CCPA رعایت کنند، و رجیستری متمرکز قانون Delete Act یک مسیر موازی برای همان نتیجه اضافه می‌کند.

دو سیگنال، یک نتیجه

یک مصرف‌کننده کالیفرنیایی دو راه برای خروج از اکوسیستم داده تجاری دارد: ارسال سرآیند GPC از هر مرورگری که استفاده می‌کند، یا ارسال یک درخواست واحد رجیستری قانون Delete Act. دو مسیر برای بیشتر موارد استفاده نتایج معادل تولید می‌کنند اما از نظر دامنه متفاوتند. GPC فروش و اشتراک‌گذاری مداوم در هر سایتی که مصرف‌کننده بازدید می‌کند را تنظیم می‌کند. رجیستری سوابق موجود نگه‌داشته‌شده توسط کارگزاران را حذف می‌کند. ناشران باید هر دو را به عنوان سیگنال‌های معتبر تلقی کنند، و CMP باید برای تشخیص هر یک پیکربندی شود.

نقش CMP در نمایش هر دو مسیر

CMP مطابق برای مخاطبان کالیفرنیا در ۲۰۲۶ وضعیت رعایت GPC را نشان می‌دهد (بازدیدکننده GPC را تنظیم کرده، انصراف فعال است)، پیوند انصراف خود ناشر (مصرف‌کننده می‌تواند به طور خاص فروش و اشتراک‌گذاری در این سایت را رد کند)، و یک اشاره واضح به رجیستری CPPA برای مصرف‌کنندگانی که نتیجه حذف از کارگزاران را می‌خواهند. معماری از نظر فنی طلب‌کار نیست — سه کنترل در رابط کاربری رضایت به جای یکی — اما نحوه بیان اهمیت دارد و اجرای CPPA در مورد مسیرهای انصراف گمراه‌کننده یا پنهان فعال بوده است.

آنچه ناشران باید انجام دهند

قانون Delete Act یک مقررات است که به کارگزاران، نه ناشران، هدف می‌رسد، اما پیامدهای عملیاتی برای ناشران واقعی است و نیاز به تغییرات خاص در معماری رضایت و داده دارد.

حسابرسی زنجیره فروشنده در برابر رجیستری کارگزار

هر فروشنده‌ای در زنجیره تبلیغات و تحلیل ناشر باید با فهرست کارگزار عمومی CPPA تطبیق داده شود. فروشندگان موجود در فهرست مشمول رژیم قانون Delete Act هستند، و قراردادهای ناشر با آن فروشندگان باید انتشار پاکسازی، نگهداری گزارش حسابرسی، و ریتم چرخه چهل و پنج روزه را منعکس کنند. اکثر فروشندگان بزرگ تشخیص هویت و چندین SSP بزرگ اکنون در فهرست هستند؛ حسابرسی دردناک نیست اما باید حداقل سالانه انجام شود.

به‌روزرسانی اعلامیه حریم خصوصی و رابط کاربری رضایت

اعلامیه حریم خصوصی ناشر باید مسیر رجیستری قانون Delete Act را در کنار حق پاکسازی موجود CCPA توضیح دهد، با یک لینک مستقیم به رجیستری CPPA. رابط کاربری رضایت باید وضعیت رعایت GPC را هنگامی که بازدیدکننده سرآیند را تنظیم کرده نمایش دهد، و کنترل‌های انصراف باید با برجستگی مساوی با کنترل‌های قبول نمایش داده شوند — تصمیمات اجرایی دادستان کل در طول ۲۰۲۴ و ۲۰۲۵ آزمایش الگوی تاریک را صریح کرد.

برنامه‌ریزی برای الگوی دندانه اره‌ای مخاطبان

تیم‌های اندازه‌گیری و هدف‌گذاری مخاطبان باید بدانند که معیارهای مخاطبان کالیفرنیا از یک الگوی دندانه اره‌ای شش هفته‌ای که توسط ریتم چرخه هدایت می‌شود پیروی خواهند کرد. داشبوردها و مدل‌های سرعت پیشنهاد باید با الگو تنظیم شوند نه اینکه هر افت را به عنوان یک خطا تلقی کنند. ناشرانی که انتساب دقیق دارند باید مسیر حذف کارگزار را به عنوان یک منبع کاهش جداگانه مدل کنند تا بتوان اعداد پس از چرخه را به طور تمیز تطبیق داد.

اشتباهات رایج قانون Delete Act که منجر به یافته‌ها می‌شوند

اولین موج اجرای CPPA تحت قانون Delete Act در طول ۲۰۲۵ یک الگوی واضح از یافته‌های سمت ناشر ایجاد کرده است. اعلامیه حریم خصوصی ناشر مسیر انصراف CCPA را توصیف می‌کند اما هرگز رجیستری قانون Delete Act را ذکر نمی‌کند. بنر رضایت GPC را برای فروش و اشتراک‌گذاری رعایت می‌کند اما سیگنال را به دریافت پاکسازی طرف اول ناشر انتشار نمی‌دهد. ناشر با یک کارگزار ثبت‌شده قرارداد می‌بندد و هرگز قرارداد را برای منعکس کردن تعهدات انتشار پاکسازی قانون Delete Act به‌روز نمی‌کند. CMP یک پانل 'مدیریت تنظیمات برگزیده' ارائه می‌دهد که انصراف را سه کلیک عمیق‌تر پشت دکمه‌ای تاریک‌تر از قبول-همه پنهان می‌کند. هر یک از این‌ها یک اصلاح مستندسازی یا تجربه کاربری است نه یک تغییر معماری عمیق — اما هر کدام دقیقاً همان چیزی است که CPPA برای آغاز تحقیق استفاده می‌کند.

نتیجه‌گیری

قانون Delete Act به مصرف‌کنندگان کالیفرنیا یک دکمه واحد می‌دهد که آن‌ها را از اکوسیستم داده تجاری خارج می‌کند، و تا ۲۰۲۶ رجیستری عملیاتی است، فهرست کارگزار عمومی است، و برنامه اجرا فعال است. برای ناشران پیامدها واقعی هستند اما محدود: قانون Delete Act از ناشر نمی‌خواهد کار چشمگیری انجام دهد، اما از ناشر می‌خواهد که بداند کدام فروشندگان پایین‌دستی کارگزار هستند، اعلامیه حریم خصوصی و رابط کاربری رضایت را برای نمایش مسیر جدید به‌روز کند، GPC را به طور مداوم رعایت کند، و برای الگوی دندانه اره‌ای مخاطبانی که چرخه چهل و پنج روزه ایجاد می‌کند برنامه‌ریزی کند. هیچ‌یک از این‌ها از نظر فنی سخت نیست. همه آن‌ها از نظر عملیاتی خاص هستند. ناشرانی که در ۲۰۲۴ و ۲۰۲۵ یک حسابرسی تمیز انجام دادند اکنون بر یک معماری مستقر اجرا می‌کنند؛ ناشرانی که قانون Delete Act را به عنوان مشکل کارگزاران داده که به آن‌ها مربوط نمی‌شد تلقی کردند، ۲۰۲۶ را صرف نوشتن نامه‌های پاسخ و بازنگری اعلامیه‌های حریم خصوصی تحت ضرب‌الاجل تنظیم‌کننده می‌کنند.