Ano ang MSPA — at Ano ang Hindi Ito

Ang MSPA ay isang pribado, kontrakto-batay na balangkas na inilathala ng IAB. Hindi ito isang batas at hindi nito pinapalitan ang mga batas ng estado. Sa halip, ito ay isang multilateral na kasunduan na pinipirmahan ng mga kalahok — mga publisher, ahensya, ad network, SSP, DSP, at data provider — upang makagawa ng magkakaayon na mga legal na pahayag tungkol sa kung paano dumadaan ang personal na impormasyon sa programmatic advertising. Kapag pumirma ang lahat ng miyembro ng isang chain sa parehong kontrata, hindi na kailangang makipagnegosasyon ng limampung iba't ibang bilateral na data processing agreement ang mga vendor sa ibaba upang pangasiwaan ang isang bid request.

Isipin ang MSPA bilang tatlong bagay nang sabay-sabay:

• Isang kontrata na awtomatikong dumarating sa ibaba kapag nagpasa ang isang pumirma ng data sa isa pang pumirma.
• Isang bokabularyo para sa pagpapahayag ng mga pagpipilian ng gumagamit gamit ang mga GPP-encoded na string, kabilang ang mga opt-out mula sa pagbebenta, pagbabahagi, naka-target na advertising, at pagproseso ng sensitibong data.
• Isang balangkas ng paglalaan ng panganib na nagmamapa ng bawat pumirma sa isa sa tatlong papel — Covered Business, Service Provider/Processor, o Third Party — at ang mga obligasyong nakalakip sa bawat isa.

Ano ang hindi MSPA: isang kapalit para sa inyong privacy notice, isang kapalit para sa direktang pahintulot ng gumagamit kung saan ito kinakailangan, o isang garantiya ng pagsunod sa anumang partikular na batas ng estado. Ito ay isang kasangkapan na, kapag ginamit nang tama, ginagawang posible ang pagsunod sa maraming batas ng estado sa operasyonal na paraan. Kapag ginamit nang mali — halimbawa, sa pamamagitan ng pagpapahayag ng pakikilahok habang nagpapatuloy na magbahagi ng data pagkatapos ng isang opt-out — pinapalaki nito ang inyong pananagutan sa halip na bawasan ito.

Sino ang Dapat Mag-alala: Ang Tatlong Papel ng MSPA

Bago ka pumirma ng anuman, tukuyin kung anong papel talaga ang ginagampanan mo. Karamihan sa mga publisher ay nagugulat na matuklasan na nagsusuot sila ng mahigit isang sombrero depende sa daloy ng data.

Covered Business

Ikaw ay isang Covered Business kung tinutukoy mo ang mga layunin at paraan ng pagproseso ng personal na impormasyon tungkol sa isang gumagamit — kadalasan ang publisher na nagpapatakbo ng website o app na binibisita ng gumagamit. Bilang Covered Business, responsable ka sa pagkolekta ng pahintulot, pagpapakita ng mga notice, paggalang sa mga opt-out, at pag-configure ng GPP signal na inaasahan ng mga vendor sa ibaba. Ang pasaning nakaharap sa gumagamit ay nasa iyo.

Service Provider o Processor

Ikaw ay isang Service Provider kapag nagpoproseso ka ng personal na impormasyon sa ngalan ng isang Covered Business sa ilalim ng kontrata at para lamang sa mga limitado at pinahintulutang layunin. Karamihan sa mga analytics vendor, hosting provider, at consent management platform ay nagtatrabaho sa papel na ito. Nagtatakda ang MSPA ng mga limitasyon: walang pagbebenta, walang cross-context behavioral advertising sa iyong sariling ngalan, at mahigpit na tinukoy na mga patakaran sa pagpapanatili at pagtanggal.

Third Party

Ikaw ay isang Third Party kapag tumatanggap ka ng personal na impormasyon mula sa isang Covered Business at ginagamit ito para sa sarili mong mga layunin — karamihan sa mga SSP, DSP, identity vendor, at data broker ay nabibilang dito. Ang mga Third Party ay may pinakamabigat na contractual na obligasyon, kabilang ang direktang paghawak ng karapatan ng gumagamit at mga tungkulin sa downstream flow-through kapag nagbabahagi sila ng data sa kanilang sariling mga kasosyo.

Ang MSPA at ang Global Privacy Platform (GPP)

Hindi umiiral ang MSPA sa isang bakante. Ito ang contractual na layer; ang GPP ang teknikal na signaling na layer. Ang Global Privacy Platform ng IAB Tech Lab ay nag-encode ng mga pagpipilian ng gumagamit sa isang string na sumasakay sa mga bid request sa pamamagitan ng OpenRTB protocol. Para sa signaling ng U.S., dinadala ng GPP ang mga section string para sa bawat estado na may komprehensibong batas sa privacy — halimbawa, USCA (California), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah), at ang catch-all US National string para sa mga estado na walang dedicated na section.

Sinasabi ng MSPA sa inyong CMP kung aling mga field ang itatakda sa loob ng mga GPP section na iyon upang mag-claim ng coverage. Ang pinakamahalagang mga field na makikita at ico-configure ng mga publisher ay kinabibilangan ng:

• MspaCoveredTransaction — itinatakda sa Yes kapag sinasabi ng publisher na ang bid request ay sakop ng MSPA framework.
• MspaOptOutOptionMode — nagpapahiwatig kung ang gumagamit ay binigyan ng malinaw na opsyong opt-out gaya ng kinakailangan ng mga patakaran sa transparency ng MSPA.
• MspaServiceProviderMode — itinatakda kapag ang mga vendor sa ibaba ay kailangang tratuhin ang data bilang service-provider-only.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — ang mga granular na consent flag na binabasa ng mga bidder upang mapagpasiyahan kung ano ang maaari nilang gawin sa impression.
• SensitiveDataProcessing — isang multi-element na array na nagpapahayag ng mga pagpipilian ng gumagamit para sa lahi, relihiyosong paniniwala, kalusugan, sekswal na oryentasyon, pagkamamamayan, tumpak na geolokasyon, at iba pang sensitibong kategorya na tinukoy ng batas ng estado.

Kung itatakda ng inyong CMP ang MspaCoveredTransaction = Yes ngunit hindi pa talaga nilagdaan ng publisher ang kontratang MSPA, nakagawa ka na ng isang maling pahayag na aasahan ng mga pumirma sa ibaba. Iyon ay isang mabilis na daan sa isang kontrobersya sa kontrata at, depende sa estado, isang regualtoriyong reklamo.

Sensitibong Data: Ang Bitag na Namimiss ng Karamihang Publisher

Bawat komprehensibong batas sa privacy ng estado sa U.S. na ipinasa mula nang California ay nagpalawak ng kahulugan ng sensitibong personal na impormasyon, at pinagsamasama ng MSPA ang mga ito sa isang pinag-isang GPP field. Ang mga kategorya ay karaniwang kinabibilangan ng:

• Mga identifier ng pamahalaan (Social Security number, driver's license, pasaporte).
• Mga kredensyal ng account at impormasyon sa pananalapi.
• Tumpak na geolokasyon, sa pangkalahatan ay mas makitid kaysa sa 533 metro.
• Lahi o etnisidad, relihiyosong paniniwala, diagnosis sa mental o pisikal na kalusugan.
• Sekswal na buhay at sekswal na oryentasyon.
• Pagkamamamayan at status sa imigrasyon.
• Genetic at biometric na data na ginamit upang matukoy ang isang tao.
• Data tungkol sa isang kilalang bata na wala pang 13 taong gulang — at sa ilang mga estado, mas wala pang 16 na taon na may dagdag na proteksyon.

Ang ilang mga estado ay nangangailangan ng pahintulot na opt-in para sa pagproseso ng sensitibong data, habang ang iba ay nagpapahintulot ng pagproseso na may karapatang mag-opt out. Pinahihintulutan ng GPP encoding ng MSPA ang pagpapahayag ng alinman, ngunit dapat malaman ng inyong CMP kung alin ang hihilingin batay sa estado ng gumagamit. Ang maling pag-classify ng sensitibong data — halimbawa, pagtrato sa pag-browse ng content na may kaugnayan sa kalusugan bilang ordinaryong behavioral data — ang pinaka-karaniwang uri ng pagkabigo na itinanda ng mga state attorney general sa mga aksyon sa pagpapatupad noong 2024–2025.

Pagbuo ng isang MSPA-Ready na Consent Flow

Ang pagpapatupad ng MSPA sa inyong site o app ay isang suliranin sa koordinasyon sa pagitan ng legal, engineering, at ad operations. Ang trabaho ay nahahati sa humigit-kumulang limang workstream.

1. Pirmahan ang MSPA at Panatilihin ang Inyong Katayuan bilang Pumirma

Ang MSPA ay isang tunay na kontrata na dapat suriin at isakatuparan ng legal na tagapayo. Idedeklara mo ang papel o mga papel na ginagampanan mo, ang mga estado sa U.S. kung saan ka nagnenegosyo, at ang mga kategorya ng data na pinoproseso mo. Mag-renew taon-taon at i-update ang signatory portal ng IAB Tech Lab sa tuwing nagbabago ang inyong papel o hurisdiksyon.

2. I-configure ang Inyong CMP para sa Multi-State Logic

Isang banner na CCPA lamang ay hindi na sapat. Ang inyong CMP ay dapat na ma-detect ang estado ng gumagamit — kadalasan sa pamamagitan ng IP geolocation na sinasamahan ng privacy fallback — at ipakita ang tamang mga notice, link, at opt-out control para sa hurisdiksyong iyon. Ang FlexyConsent at iba pang mga modernong Google-certified na CMP ay nagpapadala ng multi-state na template na nagmamapa ng estado sa estado sa tamang mga GPP section string.

3. Ikonekta ang mga GPP String sa Inyong Ad Stack

Ang GPP string ay dapat ipasok sa bawat OpenRTB bid request na nagmumula mula sa isang gumagamit sa U.S. Para sa mga gumagamit ng Google Ad Manager, nangangailangan ito ng pagpapagana ng suporta sa GPP sa mga setting ng network; para sa mga gumagamit ng Prebid, nangangailangan ito ng pag-install ng mga module na gppControl_usnat at per-state at kumpirmasyon na ang consentManagement adapter ay nagpapasa ng encoded string. Subukan gamit ang GPP decoder ng IAB Tech Lab upang ma-verify ang round-trip mula sa CMP hanggang sa bid request.

4. Igalang ang Global Privacy Control (GPC) Signal

Karamihan sa mga batas ng estado — California, Colorado, Connecticut, at isang lumalaking listahan — ay nangangailangan ng paggalang sa isang browser-level na GPC signal bilang isang valid na opt-out. Inaasahan ng MSPA na ma-detect ng mga pumirma ang GPC at pre-set ang mga field na SaleOptOut, SharingOptOut, at TargetedAdvertisingOptOut ayon dito, bago pa man mahawakan ng gumagamit ang banner. Kung ang inyong CMP ay hindi makadetect at kumikilos sa GPC, naka-out of compliance kayo anuman ang membership sa MSPA.

5. I-audit ang mga Downstream Vendor

Ang downstream-flow logic ng MSPA ay gumagana lamang kung ang inyong mga vendor ay mga pumirma rin. Bago magpadala ng data sa anumang SSP, DSP, o data partner, i-verify ang kanilang katayuan bilang pumirma sa portal ng IAB Tech Lab. Ang mga vendor na hindi pumirma ay dapat na alisin sa inyong ad stack para sa U.S. na trapiko o saklaw ng magkahiwalay na bilateral na DPA na sumasalamin sa mga tuntunin ng MSPA.

Karaniwang mga Pagkabigo sa Pagpapatupad

Ilang mga pattern ng pagkabigo ang paulit-ulit na lumalabas sa mga pag-audit ng publisher:

• Pagpapahayag ng MSPA coverage nang hindi pumipirma. Ang pagtatakda ng MspaCoveredTransaction = Yes sa GPP string habang ang legal na entity ng publisher ay hindi pa nagpapatupn ng MSPA ay naglalantad sa publisher sa mga claim ng maling pagpapahayag mula sa mga pumirma sa ibaba na umasa sa signal.
• Pagkalimot sa Texas, Oregon, at Montana. Ang mga publisher na na-configure para sa orihinal na limang estado ay namimiss ang mga batas na nagkabisa noong 2024 at 2025. Bawat isa ay may sariling mga opt-out trigger; sinasaklaw ng MSPA ang mga ito, ngunit tanging kung kasama ang mga ito sa state-detection logic ng inyong CMP.
• Pagwawalang-bahala sa mga sensitibong data signal sa balita at lifestyle content. Ang isang mambabasa ng isang artikulo na may kaugnayan sa kalusugan, relihiyon, o LGBTQ ay maaaring nagpoproseso ng sensitibong data nang hindi sinasadya. Magsagawa ng content audit at mag-configure ng mga category-level na override sa CMP.
• Pagtrato sa GPC bilang payo lamang. Nilinaw ng regulator ng California noong 2024 na ang pagwawalang-bahala sa GPC ay isang paglabag sa bawat insidente. Hindi ka pinoprotektahan ng MSPA mula dito — nakasalalay ito sa iyo na igalang ang GPC.
• Mga lipas na GPP string na naka-cache sa gilid. Ang pag-cache ng CDN o service worker ng mga pahina ay maaaring maghatid sa isang gumagamit ng lipas na GPP string mula sa nakaraang session. I-disable ang pag-cache sa consent endpoint at magdagdag ng sariwang fetch step sa pagbabago ng pahintulot.

Paano Nakakaapekto ang MSPA sa Kita sa Advertisement

Ang mga publisher na wastong nagpapatupad ng MSPA ay karaniwang nakakakita ng katamtamang maikling panahong pagbaba ng kita na sinusundan ng pagpapanatili, habang ang maluwag na mga pagpapatupad ay alinman sa sobrang naghihigpit ng mga bid o naglalantad sa publisher sa panganib ng pagpapatupad. Ang mga variable na gumagalaw sa sukatan:

• Mga rate ng opt-out — Sa mga estadong may prominenteng mga link sa opt-out, karaniwang 5–15% ng mga gumagamit ang nag-opt out sa pagbebenta o pagbabahagi. Ang mga presyo ng bid sa mga nag-opt-out na impression ay karaniwang bumababa ng 30–60% dahil hindi available ang behavioral targeting.
• Pag-classify ng sensitibong content — Ang maling pag-classify ng ordinaryong content bilang sensitibo ay magpapababa ng demand. Maging konserbatibo at tumpak sa kategorya.
• Mix ng header bidding partner — Ang mga partner na hindi MSPA signatory na kailangang i-disable para sa U.S. na trapiko ay nagpapaliit ng inyong auction. Palitan sila ng mga pumirma sa halip na magpatakbo nang may mas payat na demand.
• Server-side tagging — Ang isang server-side na container na nagbabasa ng GPP string at nagpapaputok ng mga tag nang may kondisyon ay ang pinakamaliinis na paraan upang mapanatiling magkasabay ang analytics at pahintulot.

Ano ang Susunod: 2026 at Higit Pa

Ang MSPA ay isang buhay na kasunduan. Ina-update ng IAB ito bawat isa o dalawang taon habang ang mga bagong batas ng estado, gabay ng attorney general, at mga pederalng panukala ay muling humuhubog sa tanawin. Ang mga temang dapat bantayan noong 2026:

• Isang posibleng pederal na batas sa privacy na bahagyang magdudepwento sa mga rehimen ng estado — ang MSPA ay may lohika ng preemption fallback, kaya ang mga pumirma ay hindi maiiwanang nawala.
• Pagpapalawak ng GPP upang masaklaw ang health-specific na signaling sa ilalim ng Washington My Health My Data Act at mga katulad na batas.
• Mas mahigpit na pagpapatupad ng mga patakaran sa dark-pattern sa mga opt-out flow ng California Privacy Protection Agency at ng Texas Attorney General.
• Integrasyon sa AI at mga pagsisiwalat ng pagsasanay ng malalaking language model, na pinag-uusapan ng ilang mga lehislatura ng estado.

Ang mga publisher na nagtitratar sa pagpapatupad ng MSPA bilang isang beses na proyekto ay mahuhuli. Tratuhin ito bilang patuloy na operational hygiene, pinagsosole ng legal, ad ops, at product engineering nang magkasama, at susuriin nang quarterly. Ang mga publisher na nananalunan sa U.S. multi-state compliance ay hindi ang mga may pinakamaraming abogado — sila ang mga CMP, ad stack, at audit log na nagkukuwento ng parehong kwento kapag nagtanong ang isang regulator.

Ang Konklusyon

Ang MSPA ay ang praktikal na sagot sa isang pira-pirasong landscape ng privacy sa U.S. Hindi nito ipapasa ang mga batas para sa inyo, ngunit bibigyan ng inyong bid stream, mga vendor, at legal na koponan ang isang karaniwang wika para sa mga opt-out, sensitibong data, at mga obligasyon sa downstream. Ipares ito sa isang CMP na mulat sa estado, tumpak na GPP signaling, at disiplinadong pamamahala ng vendor, at gagugol kayo ng mas kaunting oras na nagtatalo tungkol sa hurisdiksyon at mas maraming oras sa pag-monetize ng mga impression na pinahihintulutan ninyong i-monetize. Iyan ang tanging napapanatiling landas sa 2026 at ang alon ng mga batas ng estado na pa ring naka-pila sa likod nito.