MSPA چیست — و چه نیست

MSPA یک چارچوب قراردادی خصوصی است که توسط IAB منتشر شده است. این یک قانون نیست و قوانین ایالتی را جایگزین نمی‌کند. در عوض، این یک توافق چندجانبه است که شرکت‌کنندگان — ناشران، آژانس‌ها، شبکه‌های تبلیغاتی، SSP‌ها، DSP‌ها و ارائه‌دهندگان داده — به آن می‌پیوندند تا ادعاهای قانونی یکنواختی درباره نحوه جریان اطلاعات شخصی در تبلیغات برنامه‌ریزی‌شده داشته باشند. وقتی همه اعضای یک زنجیره قرارداد یکسانی امضا می‌کنند، فروشندگان پایین‌دستی نیازی به مذاکره پنجاه توافق پردازش داده دوجانبه متفاوت برای پردازش یک درخواست پیشنهاد ندارند.

MSPA را به عنوان سه چیز همزمان در نظر بگیرید:

• یک قرارداد که به صورت خودکار به سمت پایین جاری می‌شود وقتی یک امضاکننده داده‌ها را به امضاکننده دیگری منتقل می‌کند.
• یک واژگان برای بیان انتخاب‌های کاربر با استفاده از رشته‌های کدگذاری‌شده GPP، شامل انصراف از فروش، اشتراک‌گذاری، تبلیغات هدفمند و پردازش داده‌های حساس.
• یک چارچوب تخصیص ریسک که هر امضاکننده را به یکی از سه نقش نگاشت می‌کند — کسب‌وکار تحت پوشش، ارائه‌دهنده خدمات/پردازنده، یا طرف ثالث — و تعهدات مرتبط با هر کدام.

MSPA چه نیست: جایگزینی برای اعلامیه حریم خصوصی شما، جایگزینی برای رضایت مستقیم کاربر در جایی که لازم است، یا ضمانتی برای انطباق با هر قانون ایالتی خاص. این ابزاری است که اگر به درستی استفاده شود، انطباق با چندین قانون ایالتی را از نظر عملیاتی امکان‌پذیر می‌کند. اگر به اشتباه استفاده شود — مثلاً با سیگنال دادن مشارکت در حالی که پس از انصراف به اشتراک‌گذاری داده ادامه می‌دهید — مسئولیت شما را افزایش می‌دهد نه کاهش.

چه کسی باید اهمیت بدهد: سه نقش MSPA

قبل از امضای هر چیزی، مشخص کنید که واقعاً چه نقشی دارید. اکثر ناشران با تعجب متوجه می‌شوند که بسته به جریان داده بیش از یک کلاه می‌پوشند.

کسب‌وکار تحت پوشش

اگر اهداف و ابزار پردازش اطلاعات شخصی درباره کاربر را تعیین می‌کنید، کسب‌وکار تحت پوشش هستید — معمولاً ناشری که وب‌سایت یا اپلیکیشنی را که کاربر از آن بازدید می‌کند اداره می‌کند. به عنوان یک کسب‌وکار تحت پوشش، مسئول جمع‌آوری رضایت، نمایش اطلاعیه‌ها، رعایت انصراف‌ها و پیکربندی سیگنال GPP هستید که فروشندگان پایین‌دستی به آن متکی هستند. بار رو به کاربر با شما است.

ارائه‌دهنده خدمات یا پردازنده

ارائه‌دهنده خدمات هستید وقتی اطلاعات شخصی را از طرف یک کسب‌وکار تحت پوشش تحت قرارداد و فقط برای اهداف محدود و مجاز پردازش می‌کنید. اکثر فروشندگان تحلیلی، ارائه‌دهندگان میزبانی و پلتفرم‌های مدیریت رضایت در این مسیر فعالیت می‌کنند. MSPA محدودیت‌هایی اعمال می‌کند: نه فروش، نه تبلیغات رفتاری بین‌زمینه‌ای از طرف خودتان، و قوانین نگهداری و حذف به دقت تعریف‌شده.

طرف ثالث

طرف ثالث هستید وقتی اطلاعات شخصی را از یک کسب‌وکار تحت پوشش دریافت می‌کنید و برای اهداف خودتان استفاده می‌کنید — اکثر SSP‌ها، DSP‌ها، فروشندگان هویت و کارگزاران داده اینجا قرار می‌گیرند. طرف‌های ثالث سنگین‌ترین تعهدات قراردادی را دارند، از جمله مدیریت مستقیم حقوق کاربر و وظایف جریان پایین‌دستی هنگام اشتراک‌گذاری داده با شرکای خود.

MSPA و Global Privacy Platform (GPP)

MSPA در خلاء وجود ندارد. این لایه قراردادی است؛ GPP لایه سیگنال‌دهی فنی است. Global Privacy Platform آزمایشگاه فناوری IAB انتخاب‌های کاربر را در یک رشته واحد کدگذاری می‌کند که از طریق پروتکل OpenRTB همراه درخواست‌های پیشنهاد سفر می‌کند. برای سیگنال‌دهی آمریکا، GPP رشته‌های بخش را برای هر ایالت با قانون حریم خصوصی جامع حمل می‌کند — مثلاً USCA (کالیفرنیا)، USCO (کلرادو)، USVA (ویرجینیا)، USCT (کانکتیکات)، USUT (یوتا)، و رشته ملی آمریکا برای ایالت‌های بدون بخش اختصاصی.

MSPA به CMP شما می‌گوید که چه فیلدهایی را در آن بخش‌های GPP تنظیم کند تا پوشش را ادعا کند. مهم‌ترین فیلدهایی که ناشران خواهند دید و پیکربندی می‌کنند عبارتند از:

• MspaCoveredTransaction — روی Yes تنظیم می‌شود وقتی ناشر ادعا می‌کند که درخواست پیشنهاد تحت چارچوب MSPA پوشش داده شده است.
• MspaOptOutOptionMode — نشان می‌دهد که آیا کاربر یک گزینه انصراف واضح طبق قوانین شفافیت MSPA دریافت کرده است.
• MspaServiceProviderMode — وقتی فروشندگان پایین‌دستی باید داده‌ها را فقط به عنوان ارائه‌دهنده خدمات درمان کنند تنظیم می‌شود.
• SaleOptOut، SharingOptOut، TargetedAdvertisingOptOut — پرچم‌های رضایت دقیقی که مزایده‌دهندگان برای تصمیم‌گیری درباره کاری که با نمایش می‌توانند انجام دهند می‌خوانند.
• SensitiveDataProcessing — یک آرایه چندعنصری که انتخاب‌های کاربر را برای ریشه نژادی، باورهای مذهبی، سلامت، گرایش جنسی، تابعیت، موقعیت مکانی دقیق و سایر دسته‌های حساس تعریف‌شده توسط قانون ایالتی سیگنال می‌دهد.

اگر CMP شما MspaCoveredTransaction = Yes را تنظیم کند اما ناشر در واقع قرارداد MSPA را امضا نکرده باشد، شما تازه ادعای کاذبی کرده‌اید که امضاکنندگان پایین‌دستی به آن متکی خواهند شد. این مسیر سریعی به اختلاف قراردادی و بسته به ایالت، یک شکایت نظارتی است.

داده‌های حساس: تله‌ای که اکثر ناشران از دست می‌دهند

هر قانون جامع حریم خصوصی ایالتی آمریکا که از کالیفرنیا به بعد تصویب شده است، تعریف اطلاعات شخصی حساس را گسترش داده است، و MSPA اینها را در یک فیلد GPP یکپارچه جمع می‌کند. دسته‌ها معمولاً شامل موارد زیر می‌شوند:

• شناسه‌های دولتی (شماره تأمین اجتماعی، گواهینامه رانندگی، گذرنامه).
• اعتبارنامه‌های حساب و اطلاعات مالی.
• موقعیت مکانی دقیق، به طور کلی دقیق‌تر از ۵۳۳ متر.
• ریشه نژادی یا قومی، باورهای مذهبی، تشخیص‌های سلامت روانی یا جسمی.
• زندگی جنسی و گرایش جنسی.
• تابعیت و وضعیت مهاجرت.
• داده‌های ژنتیکی و بیومتریک استفاده‌شده برای شناسایی یک شخص.
• داده‌های مربوط به کودک شناخته‌شده زیر ۱۳ سال — و در برخی ایالت‌ها، زیر ۱۶ سال با حمایت‌های اضافی.

برخی ایالت‌ها برای پردازش داده‌های حساس به رضایت opt-in نیاز دارند، در حالی که برخی دیگر پردازش با حق انصراف را مجاز می‌دانند. کدگذاری GPP در MSPA به شما اجازه می‌دهد هر دو را بیان کنید، اما CMP شما باید بداند بر اساس ایالت کاربر چه چیزی بخواهد. طبقه‌بندی اشتباه داده‌های حساس — مثلاً رفتار مرور محتوای بهداشتی را به عنوان داده رفتاری عادی درمان کردن — یک‌ترین حالت شکست است که دادستان‌های کل ایالتی در اقدامات اجرایی ۲۰۲۴-۲۰۲۵ علامت‌گذاری کرده‌اند.

ایجاد جریان رضایت آماده MSPA

پیاده‌سازی MSPA در سایت یا اپلیکیشن شما یک مسئله هماهنگی در میان حقوق، مهندسی و عملیات تبلیغاتی است. کار به تقریباً پنج جریان کاری تقسیم می‌شود.

۱. MSPA را امضا کنید و وضعیت امضاکننده خود را حفظ کنید

MSPA یک قرارداد واقعی است که مشاور حقوقی باید آن را بررسی و اجرا کند. نقش یا نقش‌هایی که در آن فعالیت می‌کنید، ایالت‌های آمریکا که در آنها کار می‌کنید و دسته‌های داده‌ای که پردازش می‌کنید را اعلام خواهید کرد. هر سال تجدید کنید و پورتال امضاکننده IAB Tech Lab را هر بار که نقش یا حوزه قضایی شما تغییر می‌کند به‌روزرسانی کنید.

۲. CMP خود را برای منطق چندایالتی پیکربندی کنید

یک بنر تنها CCPA دیگر کافی نیست. CMP شما باید ایالت کاربر را تشخیص دهد — معمولاً از طریق موقعیت جغرافیایی IP با پشتیبان حریم خصوصی — و اطلاعیه‌ها، لینک‌ها و کنترل‌های انصراف مناسب برای آن حوزه قضایی را نمایش دهد. FlexyConsent و سایر CMP‌های مدرن تأیید شده Google قالب‌های چندایالتی ارسال می‌کنند که ایالت به ایالت به رشته‌های بخش GPP صحیح نگاشت می‌شوند.

۳. رشته‌های GPP را به پشته تبلیغاتی خود وصل کنید

رشته GPP باید در هر درخواست پیشنهاد OpenRTB که از کاربر آمریکایی سرچشمه می‌گیرد درج شود. برای کاربران Google Ad Manager، این به معنای فعال کردن پشتیبانی GPP در تنظیمات شبکه است؛ برای کاربران Prebid، به معنای نصب ماژول‌های gppControl_usnat و ماژول‌های هر ایالت و تأیید اینکه آداپتور consentManagement رشته کدگذاری‌شده را ارسال می‌کند. از رمزگشای GPP آزمایشگاه فناوری IAB برای تأیید سفر رفت و برگشت از CMP تا درخواست پیشنهاد استفاده کنید.

۴. به سیگنال Global Privacy Control (GPC) احترام بگذارید

اکثر قوانین ایالتی — کالیفرنیا، کلرادو، کانکتیکات و فهرست رو به رشدی — احترام به سیگنال GPC در سطح مرورگر را به عنوان یک انصراف معتبر الزامی می‌کنند. MSPA از امضاکنندگان انتظار دارد که GPC را تشخیص دهند و فیلدهای SaleOptOut، SharingOptOut و TargetedAdvertisingOptOut را بر این اساس از پیش تنظیم کنند، حتی قبل از اینکه کاربر بنر را لمس کند. اگر CMP شما نمی‌تواند GPC را تشخیص دهد و روی آن عمل کند، صرف‌نظر از عضویت در MSPA از انطباق خارج هستید.

۵. فروشندگان پایین‌دستی را ممیزی کنید

منطق جریان پایین‌دستی MSPA تنها زمانی کار می‌کند که فروشندگان شما نیز امضاکننده باشند. قبل از ارسال داده به هر SSP، DSP یا شریک داده‌ای، وضعیت امضاکننده آنها را در پورتال IAB Tech Lab تأیید کنید. فروشندگانی که امضاکننده نیستند باید یا از پشته تبلیغاتی شما برای ترافیک آمریکا حذف شوند یا با DPA‌های دوجانبه جداگانه که شرایط MSPA را منعکس می‌کنند پوشش داده شوند.

مشکلات رایج پیاده‌سازی

الگوهای متعددی از شکست به طور مکرر در ممیزی‌های ناشر ظاهر می‌شوند:

• سیگنال دادن پوشش MSPA بدون امضا. تنظیم MspaCoveredTransaction = Yes در رشته GPP در حالی که موجودیت حقوقی ناشر MSPA را اجرا نکرده است، ناشر را در معرض ادعاهای تحریف از امضاکنندگان پایین‌دستی که به سیگنال متکی بودند قرار می‌دهد.
• فراموش کردن تگزاس، اورگان و مونتانا. ناشرانی که برای چشم‌انداز پنج ایالت اصلی پیکربندی شده‌اند، قوانینی را که در ۲۰۲۴ و ۲۰۲۵ اجرا شدند از دست می‌دهند. هر کدام محرک‌های انصراف خود را دارند؛ MSPA آنها را پوشش می‌دهد، اما فقط اگر منطق تشخیص ایالت CMP شما آنها را شامل شود.
• نادیده گرفتن سیگنال‌های داده حساس در محتوای خبری و سبک زندگی. خواننده یک مقاله بهداشتی، مذهبی یا LGBTQ ممکن است ضمناً داده‌های حساس را پردازش کند. یک ممیزی محتوا انجام دهید و لغوهای سطح دسته را در CMP پیکربندی کنید.
• درمان GPC به عنوان مشورتی. نهاد نظارتی کالیفرنیا در ۲۰۲۴ روشن کرد که نادیده گرفتن GPC یک نقض به ازای هر تخلف است. MSPA شما را از این موضوع مصون نمی‌کند — این بستگی به شما دارد که GPC را رعایت کنید.
• رشته‌های GPP کهنه ذخیره‌شده در لبه. ذخیره‌سازی CDN یا service worker صفحات می‌تواند یک رشته GPP کهنه از جلسه قبلی را به کاربر ارائه دهد. ذخیره‌سازی را در نقطه پایان رضایت غیرفعال کنید و یک مرحله بازیابی تازه در تغییر رضایت اضافه کنید.

MSPA چگونه درآمد تبلیغاتی را تحت تأثیر قرار می‌دهد

ناشرانی که MSPA را به درستی پیاده‌سازی می‌کنند معمولاً کاهش‌های درآمدی کوتاه‌مدت متواضعانه‌ای می‌بینند که با تثبیت دنبال می‌شود، در حالی که پیاده‌سازی‌های سهل‌انگارانه یا پیشنهادها را بیش از حد محدود می‌کنند یا ناشر را در معرض خطر اجرایی قرار می‌دهند. متغیرهایی که شاخص‌ها را تغییر می‌دهند:

• نرخ انصراف — در ایالت‌هایی با لینک‌های انصراف برجسته، ۵ تا ۱۵ درصد از کاربران معمولاً از فروش یا اشتراک‌گذاری انصراف می‌دهند. قیمت‌های پیشنهادی در نمایش‌های انصراف‌یافته معمولاً ۳۰ تا ۶۰ درصد کاهش می‌یابد زیرا هدف‌گذاری رفتاری در دسترس نیست.
• طبقه‌بندی محتوای حساس — طبقه‌بندی اشتباه محتوای عادی به عنوان حساس تقاضا را فرو می‌پاشد. محافظه‌کارانه و دقیق در دسته‌بندی باشید.
• ترکیب شرکای header bidding — شرکای غیر امضاکننده MSPA که باید برای ترافیک آمریکا غیرفعال کنید، حراج شما را کوچک می‌کنند. آنها را با امضاکنندگان جایگزین کنید نه اینکه با تقاضای کمتر ادامه دهید.
• برچسب‌گذاری سمت سرور — یک کانتینر سمت سرور که رشته GPP را می‌خواند و به صورت مشروط برچسب‌ها را فعال می‌کند، پاک‌ترین راه برای هماهنگ نگه داشتن تحلیلی و رضایت است.

چه اتفاقی بعد خواهد افتاد: ۲۰۲۶ و فراتر از آن

MSPA یک توافق زنده است. IAB هر سال یا دو سال یکبار آن را به‌روزرسانی می‌کند چون قوانین ایالتی جدید، راهنمای دادستان کل و پیشنهادات فدرال چشم‌انداز را بازآرایی می‌کنند. موضوعاتی که در ۲۰۲۶ باید مراقب آنها بود:

• یک قانون حریم خصوصی فدرال احتمالی که تا حدی نظام‌های ایالتی را پیش‌دستی می‌کند — MSPA منطق پشتیبان پیش‌دستی دارد، بنابراین امضاکنندگان رها نخواهند شد.
• گسترش GPP برای پوشش سیگنال‌دهی بهداشتی خاص تحت Washington My Health My Data Act و قوانین مشابه.
• اجرای سخت‌گیرانه‌تر قوانین الگوی تاریک در جریان‌های انصراف توسط California Privacy Protection Agency و دادستان کل تگزاس.
• ادغام با افشاگری‌های آموزش هوش مصنوعی و مدل‌های زبان بزرگ، که چندین مجلس ایالتی در حال بحث هستند.

ناشرانی که پیاده‌سازی MSPA را به عنوان یک پروژه یک‌بار درمان می‌کنند عقب خواهند ماند. آن را به عنوان بهداشت عملیاتی جاری درمان کنید، به صورت مشترک متعلق به حقوق، عملیات تبلیغاتی و مهندسی محصول، و هر سه ماه یکبار مرور شود. ناشرانی که در انطباق چندایالتی آمریکا برنده می‌شوند آنهایی نیستند که بیشترین وکیل دارند — آنهایی هستند که CMP، پشته تبلیغاتی و لاگ‌های ممیزی آنها وقتی یک ناظر می‌پرسد همان داستان را تعریف می‌کنند.

نتیجه‌گیری

MSPA پاسخ عملی به چشم‌انداز حریم خصوصی پراکنده آمریکا است. این قوانین را برای شما تصویب نمی‌کند، اما به جریان پیشنهاد، فروشندگان و تیم حقوقی شما یک زبان مشترک برای انصراف، داده‌های حساس و تعهدات پایین‌دستی می‌دهد. آن را با یک CMP آگاه از ایالت، سیگنال‌دهی دقیق GPP و مدیریت منضبط فروشنده ترکیب کنید، و زمان کمتری صرف بحث درباره حوزه قضایی می‌کنید و زمان بیشتری صرف کسب درآمد از نمایش‌هایی که مجاز به کسب درآمد از آنها هستید. این تنها مسیر پایدار در سال ۲۰۲۶ و موج قوانین ایالتی که هنوز در صف قرار دارند است.