מהי בעצם Global Privacy Platform

GPP הוא פרוטוקול תחבורה, לא מסגרת הסכמה חדשה. זהו מכל המקודד מספר סיגנלי הסכמה אזוריים למחרוזת Base64 אחת, החשופה דרך JavaScript API סטנדרטי (__gpp()) שניתן לשאול על-ידי SSP, DSP וספקי מדידה. לכל אזור יש סעיף משלו בתוך מחרוזת ה-GPP: Section 2 נושאת TCF EU v2, Section 6 נושאת US Privacy (מיושנת), Section 7 מכסה את USNat, ו-Sections 8 עד 12 מכסות בהתאמה את קליפורניה, וירג'יניה, קולורדו, יוטה וקונטיקט. סעיפים נוספים עבור טקסס, אורגון, מונטנה ומדינות אחרות מתווספים עם כניסת חוקיהן לתוקף.

בחירת העיצוב המרכזית היא שמחרוזת GPP יחידה יכולה לשאת מספר סעיפים בו-זמנית. מבקר אירופאי מקבל נתוני TCF EU; מבקר קליפורני מקבל נתוני US-CA; משתמש שה-IP שלו ממוקם גיאוגרפית בשני תחומי השיפוט (נדיר אך אפשרי דרך VPN) יכול לקבל את שני הסעיפים מולאים. ספקי טכנולוגיית פרסום קוראים רק את הסעיפים הרלוונטיים להם ומתעלמים משאר.

מדוע GPP קיים ומדוע זה חשוב עכשיו

לפני GPP, כל חוק פרטיות חדש של מדינת ארה"ב כפה על בעלי אתרים ליישם עוד סיגנל. לקליפורניה היה USP. VCDPA של וירג'יניה דרש סמנטיקת opt-out שונה. CPA של קולורדו הכיר בסיגנל הדפדפן Global Privacy Control. יוטה וקונטיקט הוסיפו כל אחת עוד ניואנסים. ספקי טכנולוגיית פרסום נאלצו לנתח חצי תריסר פורמטים, לעתים קרובות באי-עקביות, והסיכון לאותת "המשתמש הסכים" בערוץ אחד בזמן שהמשתמש ביטל הסכמתו באחר הפך לחשיפת ציות ממשית.

GPP מתקנן את התחבורה. ברגע ש-CMP מגדיר את מחרוזת ה-GPP, כל הספקים במורד הזרם קוראים את אותו קידוד. לבעלי אתרים, זה חשוב משלוש סיבות: מדיניות גוגל לשנת 2024 דורשת כעת תמיכת GPP לסיגנלי מדינות ארה"ב על מלאי Google Ad Manager; Prebid.js 8.x ורוב מתאמי ה-SSP המרכזיים מצפים ל-GPP; ורגולטורים מתייחסים יותר ויותר לעמידה ב-GPP כראיה להפצת סיגנל בתום לב.

סעיפי GPP ומה שהם אומרים

לכל סעיף GPP יש כללי קידוד משלו, המשקפים את המסגרת הבסיסית:

Section 2: TCF EU v2

זהה למחרוזת TCF v2.2 העצמאית שכבר מייצרים עבור תנועה אירופאית. אם ה-CMP שלך מוסמך TCF, אתה כבר מייצר את הסעיף הזה — GPP פשוט עוטף אותו.

Section 7: US National (USNat)

הסעיף החדש ביותר, שתוכנן כסיגנל יחיד המכסה את כל חוקי הפרטיות הפדרליים והמדינתיים בארה"ב. הוא מקודד הודעות שניתנו, ביטול הסכמה למכירה, ביטול הסכמה לשיתוף, ביטול הסכמה לפרסום ממוקד, ביטול הסכמה לנתונים רגישים וטיפול בנתוני ילדים מוכרים. ספקים הפועלים במספר מדינות ארה"ב צריכים להעדיף USNat על פני סעיפים לפי מדינה כשאפשר.

Sections 8-12: סיגנלי ארה"ב לפי מדינה

קליפורניה (US-CA), וירג'יניה (US-VA), קולורדו (US-CO), יוטה (US-UT) וקונטיקט (US-CT). כל סעיף נושא שדות ספציפיים לחוק אותה מדינה — לדוגמה, US-CA שומרת על ביטולי הסכמה ישנים יותר למכירה ולשיתוף של CCPA/CPRA, בעוד US-CO מוסיפה את דגל הסכמת הנתונים הרגישים הנדרש על-פי Colorado Privacy Act. טקסס (US-TX תחת CPA section 13) ואורגון (US-OR תחת CPA section 14) נוספו לאחר שחוקיהן נכנסו לתוקף ביולי 2024.

כיצד בעלי אתרים צריכים להגר

לרוב בעלי האתרים כבר יהיה CMP המייצר מחרוזות TCF לתנועת EU ומחרוזות USP לקליפורניה. נתיב ההגירה ל-GPP נראה כך:

שלב 1: שדרג את ה-CMP שלך

וודא שספק ה-CMP שלך רשום ברשימת CMP מוסמכי GPP של IAB. FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics ורוב ה-CMP המוסמכים על-ידי גוגל מייצרים כעת מחרוזות GPP תקינות. אם ה-CMP שלך עדיין מפיק רק TCF או USP, בקש מפת דרכים לתמיכת GPP — כל ספק ללא תוכנית כאן יישאר מאחור ב-2026.

שלב 2: הגדר סעיפי GPP לפי גיאוגרפיה

ה-CMP שלך צריך להחליט אוטומטית אילו סעיפי GPP למלא בהתבסס על גיאולוקציה של IP. מבקרים אירופאים מקבלים Section 2 (TCF EU); מבקרים אמריקאים מקבלים Section 7 (USNat) או סעיפים לפי מדינה בהתאם לאופן שבו ערימת הספקים שלך קוראת את הסיגנל. אל תמלא כל סעיף עבור כל מבקר — זו תצורה שגויה נפוצה המדליפה נתונים לא רלוונטיים לתחום השיפוט.

שלב 3: ודא הפצה במורד הזרם

מחרוזת GPP שימושית רק אם SSP, DSP, ניתוחים וספקי פיקסל קוראים אותה. בצע ביקורת על ערימת המודעות שלך: ב-Prebid.js, וודא שמודול gppControl מופעל; ב-Google Ad Manager, וודא שמחרוזת GPP מועברת דרך GAM consent API; ב-Google Analytics 4, וודא ש-Consent Mode v2 קורא GPP לצד TCF. כל ספק המתעלם בשקט מ-GPP הוא פרצת ציות.

GPP, Consent Mode v2 ודרישות גוגל

עדכון המדיניות של גוגל מדצמבר 2024 הפך את תמיכת GPP לחובה עבור בעלי אתרים המוניטיזים מלאי ארה"ב דרך Google Ad Manager. השינוי הזה עדין אך חשוב: Consent Mode v2 עדיין משתמש בסיגנלים שלו בעצמו ad_storage וanalytics_storage, אך GAM מצפה כעת שמחרוזת GPP תהיה נוכחת בבקשת המודעה לכל תנועה של חוקי מדינות ארה"ב. מחרוזות GPP חסרות או שגויות עלולות לגרום להגשת מודעות במצב מוגבל — עם השפעה משמעותית על מילוי והכנסות — או, לעבריינים חוזרים, להחרגת מלאי מהמכירה הפומבית.

ההשלכה המעשית: אפילו בעלי אתרים שהתעלמו מחוקי מדינות ארה"ב מכיוון שהכנסותיהם הגיעו רק מקליפורניה זקוקים כעת ל-GPP. וירג'יניה, קולורדו, קונטיקט, יוטה, טקסס, אורגון, מונטנה ואיווה כולן אכפות חוקים החל מ-2026, וגוגל קורא את מחרוזת GPP כדי לקבוע אם בקשת המודעה שלך תואמת לכל אחד מהם.

מלכודות נפוצות בהגירה

ארבע טעויות שאנחנו רואים שוב ושוב כשבעלי אתרים מוסיפים GPP:

סיגנלים כפולים. חלק מבעלי האתרים שומרים מחרוזות TCF ו-USP עצמאיות לצד GPP, ויוצרים שלושה מקורות אמת שיכולים לא להסכים. כשה-GPP פעיל, פרוש את המחרוזות העצמאיות.

מילוי סעיף שגוי. מילוי US-CA לכל מבקר אמריקאי ללא קשר למדינה בפועל מדליף גיאוגרפיה ויכול לתבוע שלא בצדק זכויות opt-out של CCPA לתושבים שאינם מקליפורניה. השתמש בגיאולוקציה של IP כדי לבחור את הסעיף הנכון.

התעלמות מ-GPC. סיגנל הדפדפן Global Privacy Control אינו סעיף GPP — זהו כותרת HTTP ומאפיין JS נפרדים. ה-CMP שלך חייב לקרוא GPC בעת טעינת הדף ולשקף אותו כ-opt-out בסעיפי GPP הרלוונטיים, אחרת אתה מפר את חוק קולורדו, קונטיקט וקליפורניה.

מתאמי ספקים מיושנים. מתאמי Prebid ישנים יותר ואינטגרציות SSP עלולים לנקות את מחרוזת GPP לפני שהיא מגיעה למציע. בדוק כל ספק בערימת המודעות שלך עם מאמת GPP של IAB לפני הכרזה על השלמת ההגירה.

המבט ארוך הטווח: GPP מעבר לארה"ב

GPP מתוכנן להתרחב מעבר ל-TCF EU ולחוקי מדינות ארה"ב. סעיפים חדשים לקנדה (PIPEDA בתוספת חוק 25 של קוויבק), לברזיל (LGPD), לקוריאה הדרומית (PIPA) ולתחומי שיפוט אחרים נמצאים בפיתוח פעיל של קבוצת עבודה של IAB. לבעלי אתרים המשרתים מלאי גלובלי, GPP הופך לתחבורת ההסכמה היחידה שמחליפה כל פרוטוקול אזורי. השקעה ב-GPP היום ממצבת את הערימה שלך לספוג את הגל הבא של חוקי פרטיות אזוריים ללא ספרינט שילוב נוסף.