Mitä MSPA on — ja mitä se ei ole

MSPA on IAB:n julkaisema yksityinen, sopimusperusteinen kehys. Se ei ole laki eikä korvaa osavaltiolainsäädäntöä. Sen sijaan se on monenvälinen sopimus, johon osallistujat — julkaisijat, toimistot, mainosverkostot, SSP:t, DSP:t ja datantarjoajat — liittyvät tehdäkseen johdonmukaisia oikeudellisia väitteitä siitä, kuinka henkilökohtaiset tiedot kulkevat ohjelmallisen mainonnan kautta. Kun kaikki ketjun jäsenet allekirjoittavat saman sopimuksen, alajuoksun toimittajien ei tarvitse neuvotella viittäkymmentä eri kahdenvälinen tietojenkäsittelysopimusta yhden tarjouspyynnön käsittelemiseksi.

Ajattele MSPA:ta kolmena asiana samanaikaisesti:

• Sopimus, joka kulkee automaattisesti alajuoksulle, kun allekirjoittaja välittää tietoja toiselle allekirjoittajalle.
• Sanasto käyttäjävalintojen ilmaisemiseen GPP-koodattujen merkkijonojen avulla, mukaan lukien opt-out-valinnat myynnistä, jakamisesta, kohdennetusta mainonnasta ja arkaluonteisten tietojen käsittelystä.
• Riskinjako-kehys, joka kartoittaa jokaisen allekirjoittajan yhteen kolmesta roolista — Katettu yritys, Palveluntarjoaja/Käsittelijä tai Kolmas osapuoli — ja niihin liittyvät velvollisuudet.

Mitä MSPA ei ole: korvike tietosuojailmoituksellesi, korvike suoralle käyttäjän suostumukselle siellä missä sitä vaaditaan, tai tietyn osavaltiolain noudattamisen takuu. Se on työkalu, joka oikein käytettynä tekee useamman osavaltiolain noudattamisen toiminnallisesti toteutettavaksi. Väärin käytettynä — esimerkiksi signaloimalla osallistumista samalla kun jatkat tietojen jakamista opt-outin jälkeen — se lisää vastuutasi sen sijaan että vähentäisi sitä.

Kenen täytyy välittää: MSPA:n kolme roolia

Ennen kuin allekirjoitat mitään, tunnista, minkä roolin todella täytät. Useimmat julkaisijat yllättyvät huomatessaan, että he kantavat useampaa kuin yhtä hattua tietovuosta riippuen.

Katettu yritys

Olet Katettu yritys, jos määrität käyttäjää koskevan henkilötiedon käsittelyn tarkoitukset ja keinot — tyypillisesti julkaisija, joka ylläpitää verkkosivustoa tai sovellusta, jota käyttäjä vierailee. Katettuna yrityksenä olet vastuussa suostumuksen keräämisestä, ilmoitusten näyttämisestä, opt-outien kunnioittamisesta ja GPP-signaalin konfiguroinnista, johon alajuoksun toimittajat luottavat. Käyttäjälle näkyvä taakka on sinun.

Palveluntarjoaja tai Käsittelijä

Olet Palveluntarjoaja, kun käsittelet henkilötietoja Katetun yrityksen puolesta sopimuksen perusteella ja vain rajallisiin, sallittuihin tarkoituksiin. Useimmat analytiikkatoimittajat, hosting-palveluntarjoajat ja suostumusten hallinta-alustat toimivat tässä asemassa. MSPA asettaa rajoituksia: ei myyntiä, ei kontekstienvälisen käyttäytymismainonnan harjoittamista omaan lukuun, ja tarkkaan määritellyt säilytys- ja poistosäännöt.

Kolmas osapuoli

Olet Kolmas osapuoli, kun vastaanotat henkilötietoja Katetulta yritykseltä ja käytät niitä omiin tarkoituksiisi — useimmat SSP:t, DSP:t, identiteettitoimittajat ja datavälittäjät kuuluvat tähän. Kolmansilla osapuolilla on raskaimmat sopimukselliset velvollisuudet, mukaan lukien suora käyttäjäoikeuksien käsittely ja alajuoksun läpikulkuvelvollisuudet, kun he jakavat tietoja omien kumppaniensa kanssa.

MSPA ja Global Privacy Platform (GPP)

MSPA ei ole olemassa tyhjiössä. Se on sopimuksellinen kerros; GPP on tekninen signalointikerros. IAB Tech Labin Global Privacy Platform koodaa käyttäjävalinnat yhdeksi merkkijonoksi, joka kulkee tarjouspyyntöjen mukana OpenRTB-protokollan kautta. Yhdysvaltojen signaloinnissa GPP kuljettaa osavaltiokohtaisia merkkijonoja jokaiselle osavaltiolle, jolla on kattava tietosuojalaki — esimerkiksi USCA (California), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah) ja kaikenkattava Yhdysvaltain kansallinen merkkijono osavaltioille, joilla ei ole omaa osiota.

MSPA kertoo CMP:llesi, mitkä kentät asettaa GPP-osioihin kattavuuden vaatimiseksi. Tärkeimmät kentät, joita julkaisijat näkevät ja konfiguroivat, ovat:

• MspaCoveredTransaction — asetetaan arvoon Yes, kun julkaisija väittää, että tarjouspyyntö on MSPA-kehyksen kattama.
• MspaOptOutOptionMode — osoittaa, onko käyttäjälle annettu selkeä opt-out-vaihtoehto MSPA:n läpinäkyvyyssääntöjen mukaisesti.
• MspaServiceProviderMode — asetetaan, kun alajuoksun toimittajien on käsiteltävä tietoja vain palveluntarjoajana.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — yksityiskohtaiset suostumusliput, joita tarjoajat lukevat päättääkseen, mitä he voivat tehdä näyttökerralla.
• SensitiveDataProcessing — monielementtinen taulukko, joka signaloi käyttäjän valinnat rotualkuperän, uskonnollisten uskomusten, terveyden, seksuaalisen suuntautumisen, kansalaisuuden, tarkan sijainnin ja muiden osavaltiolain määrittelemien arkaluonteisten kategorioiden osalta.

Jos CMP:si asettaa MspaCoveredTransaction = Yes, mutta julkaisija ei ole todellisuudessa allekirjoittanut MSPA-sopimusta, olet juuri esittänyt väärän väitteen, johon alajuoksun allekirjoittajat luottavat. Se on nopea tie sopimusriitaan ja osavaltiosta riippuen myös sääntelyvalitukseen.

Arkaluonteiset tiedot: Ansa, jonka useimmat julkaisijat jäävät

Jokainen Californian jälkeen hyväksytty kattava yhdysvaltalainen osavaltiotietosuojalaki on laajentanut arkaluonteisen henkilötiedon määritelmää, ja MSPA kokoaa nämä yhtenäiseen GPP-kenttään. Kategoriat sisältävät tyypillisesti:

• Hallinnolliset tunnisteet (sosiaaliturvatunnus, ajokortti, passi).
• Tilitunnukset ja taloustiedot.
• Tarkka sijaintitieto, yleensä alle 533 metrin tarkkuudella.
• Rotu- tai etninen alkuperä, uskonnolliset vakaumukset, mielenterveys- tai fyysisen terveyden diagnoosit.
• Seksuaalielämä ja seksuaalinen suuntautuminen.
• Kansalaisuus ja maahanmuuttostatus.
• Geneettinen ja biometrinen data, jota käytetään henkilön tunnistamiseen.
• Tiedot tunnetusta alle 13-vuotiaasta lapsesta — ja joissakin osavaltioissa alle 16-vuotiaista lisäsuojauksin.

Useat osavaltiot vaativat opt-in-suostumuksen arkaluonteisten tietojen käsittelyyn, kun taas toiset sallivat käsittelyn opt-out-oikeudella. MSPA:n GPP-koodaus mahdollistaa molempien ilmaisemisen, mutta CMP:si on tiedettävä, kumpaa pyytää käyttäjän osavaltion perusteella. Arkaluonteisten tietojen väärä luokittelu — esimerkiksi terveyssisällön selaamisen käsitteleminen tavallisena käyttäytymistietona — on yleisin virhetila, jonka osavaltioiden yleiset syyttäjät ovat merkinneet vuosien 2024–2025 täytäntöönpanotoimissa.

MSPA-valmiin suostumusprosessin rakentaminen

MSPA:n käyttöönotto sivustollasi tai sovelluksessasi on koordinointiongelma oikeudellisen, insinöörityön ja mainosoperaatioiden välillä. Työ jakautuu karkeasti viiteen työvirtaan.

1. Allekirjoita MSPA ja ylläpidä allekirjoittajastatustasi

MSPA on todellinen sopimus, jonka lakineuvonantajan on tarkistettava ja pantava täytäntöön. Ilmoitat roolin tai roolit, joissa toimit, yhdysvaltalaiset osavaltiot, joissa harjoitat liiketoimintaa, ja käsittelemäsi datakategoriat. Uusi vuosittain ja päivitä IAB Tech Labin allekirjoittajaportaali aina, kun roolisi tai toimivaltasi muuttuu.

2. Konfiguroi CMP:si moniosavaltiologiikalle

Yksittäinen CCPA-banneri ei enää riitä. CMP:si on tunnistettava käyttäjän osavaltio — tyypillisesti IP-geolokalisaation kautta yksityisyyden varmuuskopion tuella — ja näytettävä oikeat ilmoitukset, linkit ja opt-out-kontrollit kyseiselle tuomioistuinpiirille. FlexyConsent ja muut modernit Googlen sertifioimat CMP:t tarjoavat moniosavaltiopohjia, jotka yhdistävät osavaltio kerrallaan oikeisiin GPP-osiomerkkijonoihin.

3. Kytke GPP-merkkijonot mainosjärjestelmääsi

GPP-merkkijono on lisättävä jokaiseen yhdysvaltalaiselta käyttäjältä lähtevään OpenRTB-tarjouspyyntöön. Google Ad Manager -käyttäjille tämä tarkoittaa GPP-tuen ottamista käyttöön verkkoasetuksissa; Prebid-käyttäjille se tarkoittaa gppControl_usnat- ja osavaltiokohtaisten moduulien asentamista ja sen vahvistamista, että consentManagement-adapteri välittää koodatun merkkijonon. Testaa IAB Tech Labin GPP-dekooderilla varmistaaksesi edestakainen matka CMP:stä tarjouspyyntöön.

4. Kunnioita Global Privacy Control (GPC) -signaalia

Useimmat osavaltiolait — California, Colorado, Connecticut ja kasvava lista — vaativat selaintason GPC-signaalin kunnioittamista kelvollisena opt-outina. MSPA odottaa allekirjoittajien tunnistavan GPC:n ja asettavan SaleOptOut-, SharingOptOut- ja TargetedAdvertisingOptOut-kentät sen mukaisesti etukäteen, jopa ennen kuin käyttäjä koskettaa banneria. Jos CMP:si ei pysty tunnistamaan GPC:tä ja toimimaan sen perusteella, olet vaatimusten vastainen MSPA-jäsenyydestä riippumatta.

5. Auditoi alajuoksun toimittajat

MSPA:n alajuoksun logiikka toimii vain, jos toimittajasi ovat myös allekirjoittajia. Ennen tietojen lähettämistä SSP:lle, DSP:lle tai datakumppanille tarkista heidän allekirjoittajastatuksensa IAB Tech Labin portaalista. Ei-allekirjoittajavierailijoiden on joko poistettava ne mainosjärjestelmästäsi yhdysvaltalaisen liikenteen osalta tai ne on katettava erillisillä kahdenvälisillä DPA-sopimuksilla, jotka heijastavat MSPA-ehtoja.

Yleiset käyttöönotto-ongelmat

Useita epäonnistumismalleja ilmenee toistuvasti julkaisija-auditoinneissa:

• MSPA-kattavuuden signalointi ilman allekirjoittamista. MspaCoveredTransaction = Yes -asettaminen GPP-merkkijonossa, kun julkaisijan oikeushenkilö ei ole pannut MSPA:ta täytäntöön, altistaa julkaisijan väärien väitteiden esittämistä alajuoksun allekirjoittajilta, jotka luottivat signaaliin.
• Texasin, Oregonin ja Montanan unohtaminen. Alkuperäiselle viiden osavaltion maisemalle konfiguroidut julkaisijat jäävät paitsi vuosina 2024 ja 2025 voimaan tulleista laeista. Jokaisella on omat opt-out-käynnistimensä; MSPA kattaa ne, mutta vain jos CMP:si osavaltioiden tunnistuslogiikka sisältää ne.
• Arkaluonteisten tietojen signaalien huomiotta jättäminen uutis- ja elämäntapasisällössä. Terveys-, uskonto- tai LGBTQ-aiheisen artikkelin lukija saattaa käsitellä arkaluonteisia tietoja implisiittisesti. Tee sisällön auditointi ja konfiguroi kategoriatason ohitukset CMP:hen.
• GPC:n käsitteleminen neuvoa-antavana. Californian sääntelyviranomainen selvensi vuonna 2024, että GPC:n huomiotta jättäminen on rikkomus jokaista tapausta kohden. MSPA ei suojaa sinua tältä — se riippuu siitä, että kunnioitat GPC:tä.
• Reunalla välimuistiin tallennetut vanhentuneet GPP-merkkijonot. CDN- tai service worker -sivujen välimuistitallennus voi tarjota käyttäjälle vanhentuneen GPP-merkkijonon aiemmalta istunnolta. Poista välimuistitallennus suostumuspisteestä ja lisää tuore haku suostumuksen muuttuessa.

Miten MSPA vaikuttaa mainostuloihin

Julkaisijat, jotka ottavat MSPA:n käyttöön oikein, näkevät tyypillisesti vaatimattomia lyhytaikaisia tulojen laskuja, joita seuraa vakiintuminen, kun taas huolimattomasti toteutetut käyttöönotot joko rajoittavat tarjouksia liiaksi tai altistavat julkaisijan täytäntöönpanoriskille. Muuttujat, jotka vaikuttavat tulokseen:

• Opt-out-prosentit — Osavaltioissa, joissa on näkyviä opt-out-linkkejä, tyypillisesti 5–15 % käyttäjistä opt-out myynnistä tai jakamisesta. Opt-outaneiden näyttökertojen tarjoushinnat laskevat tyypillisesti 30–60 %, koska käyttäytymiseen perustuva kohdentaminen ei ole käytettävissä.
• Arkaluonteisen sisällön luokittelu — Tavallisen sisällön luokittelu arkaluonteiseksi romahduttaa kysynnän. Ole konservatiivinen ja tarkka kategorioiden suhteen.
• Otsikkotarjouksen kumppanivalikoima — Ei-MSPA-allekirjoittajakumppanit, jotka sinun on poistettava käytöstä yhdysvaltalaisessa liikenteessä, pienentävät huutokauppaasi. Korvaa ne allekirjoittajilla mieluummin kuin toimi ohuemmalla kysynnällä.
• Palvelinpuolen tunnisteet — Palvelinpuolen säilö, joka lukee GPP-merkkijonon ja ehdollisesti laukaisee tageja, on puhtain tapa pitää analytiikka ja suostumus synkronissa.

Mitä seuraavaksi: 2026 ja sen jälkeen

MSPA on elävä sopimus. IAB päivittää sen vuoden tai kahden välein, kun uudet osavaltiolait, yleisten syyttäjien ohjeet ja liittovaltion ehdotukset muovaavat maisemaa uudelleen. Teemat, joita seurata vuonna 2026:

• Mahdollinen liittovaltion tietosuojalaki, joka osittain syrjäyttäisi osavaltiojärjestelmät — MSPA sisältää syrjäyttämisen varastrategian, joten allekirjoittajat eivät jää pulaan.
• GPP:n laajentaminen kattamaan terveysspesifinen signalointi Washingtonin My Health My Data -lain ja vastaavien säädösten perusteella.
• Tarkempi pimeiden mallien sääntöjen täytäntöönpano opt-out-prosesseissa California Privacy Protection Agencyn ja Texasin yleisen syyttäjän toimesta.
• Integrointi tekoälyn ja suurten kielimallien koulutuspaljastusten kanssa, joita useat osavaltioiden lainsäätäjät harkitsevat.

Julkaisijat, jotka kohtelevat MSPA:n käyttöönottoa kertaluonteisena projektina, jäävät jälkeen. Kohtele sitä jatkuvana operatiivisena hygieniana, jota omistavat yhdessä oikeudellinen, mainosoperaatiot ja tuoteinsinööriosasto, ja jota tarkistetaan neljännesvuosittain. Yhdysvaltain moniosavaltiotenmukaisuudessa menestyvät julkaisijat eivät ole niitä, joilla on eniten lakimiehiä — ne ovat niitä, joiden CMP, mainosjärjestelmä ja auditointilokeihin kertovat saman tarinan, kun sääntelyviranomainen kysyy.

Yhteenveto

MSPA on käytännöllinen vastaus pirstaloituneeseen yhdysvaltalaiseen tietosuojamaisemaan. Se ei hyväksy lakeja puolestasi, mutta antaa tarjousvirrollesi, toimittajillesi ja lakitiimillesi yhden yhteisen kielen opt-outeille, arkaluonteisille tiedoille ja alajuoksun velvollisuuksille. Yhdistä se osavaltion tunnistavaan CMP:hen, tarkkoihin GPP-signaaleihin ja kurinalaiseen toimittajahallintaan, ja vietät vähemmän aikaa toimivaltakiistoissa ja enemmän aikaa monetisoimalla näyttökerrat, joita sinulla on lupa monetisoida. Tämä on ainoa kestävä polku vuoden 2026 ja sen jälkeen jonossa olevien osavaltiolakien aallon läpi.