Ano talaga ang Global Privacy Platform

Ang GPP ay isang transport protocol, hindi isang bagong consent framework. Ito ay isang container na nag-encode ng maraming region-specific na consent signal sa isang Base64 string, na inilalantad sa pamamagitan ng isang standard na JavaScript API (__gpp()) na maaaring i-query ng mga SSP, DSP, at measurement vendor. Ang bawat rehiyon ay may sariling seksyon sa loob ng GPP string: ang Section 2 ay nagdadala ng TCF EU v2, ang Section 6 ay nagdadala ng US Privacy (deprecated), ang Section 7 ay sumasaklaw sa USNat, at ang Sections 8 hanggang 12 ay sumasaklaw sa California, Virginia, Colorado, Utah, at Connecticut ayon sa pagkakasunod. Ang mga karagdagang seksyon para sa Texas, Oregon, Montana, at iba pang estado ay idinaragdag habang nagkakabisa ang kanilang mga batas.

Ang pangunahing pagpipilian sa disenyo ay maaaring magdala ang isang GPP string ng maraming seksyon nang sabay-sabay. Ang isang bisitang European ay nakakakuha ng TCF EU data; ang isang bisitang California ay nakakakuha ng US-CA data; ang isang user na ang IP ay naka-geolocate sa parehong jurisdiksyon (bihira ngunit posible sa pamamagitan ng VPN) ay maaaring magkaroon ng parehong seksyon na napuno. Ang mga vendor ng ad tech ay nagbabasa lamang ng mga seksyon na may kaugnayan sa kanila at binabalewala ang natitira.

Bakit umiiral ang GPP at bakit mahalaga ito ngayon

Bago ang GPP, ang bawat bagong batas ng privacy ng estado ng US ay pinipilit ang mga publisher na mag-implement ng isa pang signal. Ang California ay may USP. Ang VCDPA ng Virginia ay nangangailangan ng iba't ibang semantics ng opt-out. Kinikilala ng CPA ng Colorado ang browser signal ng Global Privacy Control. Ang Utah at Connecticut ay bawat isa ay nagdagdag ng mas maraming nuance. Ang mga vendor ng ad tech ay kailangang i-parse ang kalahating dosenang format, madalas nang hindi pantay-pantay, at ang panganib na mag-signal ng "nag-consent ang user" sa isang channel habang nag-opt-out ang user sa isa pa ay naging isang tunay na compliance exposure.

Sine-standardize ng GPP ang transport. Kapag itinakda ng isang CMP ang GPP string, lahat ng downstream na vendor ay nagbabasa ng parehong encoding. Para sa mga publisher, mahalaga ito sa tatlong dahilan: ang patakaran ng Google sa 2024 ay nangangailangan na ngayon ng suporta sa GPP para sa mga signal ng estado ng US sa Google Ad Manager inventory; ang Prebid.js 8.x at karamihan sa mga pangunahing SSP adapter ay umaasa sa GPP; at ang mga regulator ay lalong binabanggit ang pagsunod sa GPP bilang katibayan ng good-faith na pagpapakalat ng signal.

Ang mga seksyon ng GPP at ang kanilang ibig sabihin

Ang bawat seksyon ng GPP ay may sariling mga panuntunan sa pag-encode, na sumasalamin sa pinagbabatayan na framework:

Section 2: TCF EU v2

Kapareho ng standalone na TCF v2.2 string na ginagawa mo na para sa trapikong European. Kung ang iyong CMP ay certified na TCF, ginagawa mo na ang seksyong ito — binalot lamang ito ng GPP.

Section 7: US National (USNat)

Ang pinakabagong seksyon, na dinisenyo bilang isang signal na sumasaklaw sa lahat ng batas ng privacy ng pederal at estado ng US. Ino-encode nito ang ibinigay na abiso, opt-out ng sale, opt-out ng pagbabahagi, opt-out ng targeted advertising, opt-out ng sensitibong data, at paghawak ng kilalang data ng bata. Ang mga vendor na nag-ooperate sa maraming estado ng US ay dapat mas piliin ang USNat kaysa sa mga seksyon bawat estado kung posible.

Sections 8-12: Mga signal ng US bawat estado

California (US-CA), Virginia (US-VA), Colorado (US-CO), Utah (US-UT), at Connecticut (US-CT). Ang bawat seksyon ay nagdadala ng mga field na partikular sa batas ng estado na iyon — halimbawa, pinapanatili ng US-CA ang mas lumang mga opt-out ng sale at share ng CCPA/CPRA, habang idinaragdag ng US-CO ang flag ng consent ng sensitibong data na kinakailangan ng Colorado Privacy Act. Ang Texas (US-TX sa ilalim ng CPA section 13) at Oregon (US-OR sa ilalim ng CPA section 14) ay idinagdag pagkatapos maipatupad ang kanilang mga batas noong Hulyo 2024.

Paano dapat mag-migrate ang mga publisher

Karamihan sa mga publisher ay mayroon nang CMP na gumagawa ng mga TCF string para sa trapikong EU at USP string para sa California. Ang landas ng migration patungo sa GPP ay ganito:

Hakbang 1: I-upgrade ang iyong CMP

Kumpirmahin na ang iyong CMP vendor ay nakalista sa listahan ng GPP-certified CMP ng IAB. Ang FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics, at karamihan sa mga CMP na certified ng Google ay gumagawa na ngayon ng mga wastong GPP string. Kung ang iyong CMP ay nag-o-output pa rin ng TCF o USP lamang, humingi ng roadmap para sa suporta ng GPP — anumang vendor na walang plano dito ay maiiwanan sa 2026.

Hakbang 2: I-configure ang mga seksyon ng GPP ayon sa heograpiya

Dapat awtomatikong magpasya ang iyong CMP kung aling mga seksyon ng GPP ang papunan batay sa IP geolocation. Ang mga bisitang European ay nakakakuha ng Section 2 (TCF EU); ang mga bisitang US ay nakakakuha ng Section 7 (USNat) o mga seksyon bawat estado depende sa kung paano binabasa ng iyong vendor stack ang signal. Huwag punan ang bawat seksyon para sa bawat bisita — ito ay isang karaniwang maling configuration na nagtatago ng jurisdiction-irrelevant na data.

Hakbang 3: I-verify ang downstream na pagpapakalat

Ang GPP string ay kapaki-pakinabang lamang kung binabasa ito ng mga SSP, DSP, analytics, at pixel vendor. I-audit ang iyong ad stack: sa Prebid.js, kumpirmahin na ang module na gppControl ay pinagana; sa Google Ad Manager, kumpirmahin na ang GPP string ay ipinapadala sa pamamagitan ng GAM consent API; sa Google Analytics 4, kumpirmahin na ang Consent Mode v2 ay nagbabasa ng GPP kasabay ng TCF. Anumang vendor na tahimik na binabalewala ang GPP ay isang agwat ng compliance.

GPP, Consent Mode v2, at mga kinakailangan ng Google

Ginawa ng pag-update ng patakaran ng Google noong Disyembre 2024 ang suporta sa GPP na mandatory para sa mga publisher na nagmo-monetize ng US inventory sa pamamagitan ng Google Ad Manager. Ang pagbabagong ito ay banayad ngunit mahalaga: ang Consent Mode v2 ay gumagamit pa rin ng sarili nitong mga signal na ad_storage at analytics_storage, ngunit inaasahan na ngayon ng GAM na ang GPP string ay naroroon sa ad request para sa anumang trapikong US state-law. Ang mga nawawala o mali-format na GPP string ay maaaring magresulta sa pag-serve ng mga ad sa restricted mode — na may makabuluhang epekto sa fill at revenue — o, para sa mga paulit-ulit na nagkakasala, pag-exclude ng inventory mula sa auction.

Ang praktikal na implikasyon: kahit ang mga publisher na dati ay nagbabale-wala ng mga batas ng estado ng US dahil ang kanilang revenue ay California lamang ay kailangan na ngayon ng GPP. Lahat ng Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Montana, at Iowa ay may mga batas na ipinatutupad simula 2026, at binabasa ng Google ang GPP string upang matukoy kung ang iyong ad request ay sumusunod sa bawat isa.

Mga karaniwang pitfall sa migration

Apat na pagkakamali na paulit-ulit naming nakikita kapag nagdaragdag ng GPP ang mga publisher:

Mga duplicate na signal. Pinapanatili ng ilang publisher ang standalone na mga TCF at USP string kasabay ng GPP, na lumilikha ng tatlong pinagkukunan ng katotohanan na maaaring magkasalungat. Kapag live na ang GPP, i-retire ang mga standalone na string.

Maling pupuno ng seksyon. Ang pagpuno ng US-CA para sa bawat bisitang US anuman ang aktwal na estado ay nagtutulo ng heograpiya at maaaring maling mag-claim ng mga karapatan ng opt-out ng CCPA para sa mga residenteng hindi taga-California. Gamitin ang IP geolocation upang piliin ang tamang seksyon.

Pag-ignore sa GPC. Ang browser signal ng Global Privacy Control ay hindi isang seksyon ng GPP — ito ay isang hiwalay na HTTP header at JS property. Ang iyong CMP ay dapat magbasa ng GPC sa pag-load ng pahina at ipakita ito bilang isang opt-out sa mga kaugnay na seksyon ng GPP, o lalabag ka sa batas ng Colorado, Connecticut, at California.

Mga lumang adapter ng vendor. Ang mga mas lumang Prebid adapter at integrasyon ng SSP ay maaaring mag-strip ng GPP string bago ito maabot ang bidder. Subukan ang bawat vendor sa iyong ad stack gamit ang IAB GPP validator bago ipahayag na kumpleto ang migration.

Ang pangmatagalang pananaw: GPP lampas sa US

Ang GPP ay dinisenyo upang palawigin nang higit pa sa TCF EU at mga batas ng estado ng US. Ang mga bagong seksyon para sa Canada (PIPEDA kasama ang Quebec's Law 25), Brazil (LGPD), South Korea (PIPA), at iba pang jurisdiksyon ay nasa aktibong pagbuo ng working group ng IAB. Para sa mga publisher na nagsisilbi ng global na inventory, ang GPP ay nagiging nag-iisang consent transport na pumapalit sa bawat regional na protocol. Ang pamumuhunan sa GPP ngayon ay nagpoposisyon sa iyong stack upang masipsip ang susunod na alon ng mga regional na batas ng privacy nang walang isa pang integration sprint.