מה הוא MSPA — ומה הוא אינו

ה-MSPA הוא מסגרת פרטית מבוססת חוזה שפורסמה על ידי IAB. זהו אינו חוק והוא אינו מחליף את חוקי המדינות. במקום זאת, זהו הסכם רב-צדדי שאליו מצטרפים משתתפים — מפרסמים, סוכנויות, רשתות פרסום, SSPs, DSPs וספקי נתונים — כדי להציג טענות משפטיות עקביות לגבי אופן זרימת המידע האישי בפרסום פרוגרמטי. כאשר כולם בשרשרת חותמים על אותו חוזה, ספקי מורד הזרם אינם צריכים לנהל משא ומתן על חמישים הסכמי עיבוד נתונים דו-צדדיים שונים כדי לטפל בבקשת הצעה בודדת.

חשבו על ה-MSPA כשלושה דברים בו-זמנית:

• חוזה שזורם אוטומטית במורד הזרם כאשר חותם מעביר נתונים לחותם אחר.
• אוצר מילים לביטוי בחירות המשתמש באמצעות מחרוזות מקודדות GPP, כולל ביטול הסכמה למכירה, שיתוף, פרסום ממוקד ועיבוד נתונים רגישים.
• מסגרת הקצאת סיכונים שממפה כל חותם לאחד משלושה תפקידים — עסק מכוסה, ספק שירות/מעבד, או צד שלישי — והחובות הנלוות לכל אחד.

מה ה-MSPA אינו: תחליף להודעת הפרטיות שלכם, תחליף להסכמת משתמש ישירה כשנדרשת, או ערובה לעמידה בחוק מדינה ספציפי כלשהו. זהו כלי שמשמש נכון הופך את העמידה בחוקי מדינות מרובות לבת-ביצוע מבחינה תפעולית. אם משמש שלא כראוי — למשל, על ידי סימון השתתפות תוך המשך שיתוף נתונים לאחר ביטול הסכמה — הוא מגדיל את האחריות שלכם במקום להקטינה.

מי צריך לדאוג: שלושת תפקידי ה-MSPA

לפני שחותמים על כל דבר, זהו איזה תפקיד אתם ממלאים בפועל. רוב המפרסמים מופתעים לגלות שהם חובשים יותר מכובע אחד בהתאם לזרימת הנתונים.

עסק מכוסה

אתם עסק מכוסה אם אתם קובעים את מטרות ואמצעי עיבוד המידע האישי על משתמש — בדרך כלל המפרסם המפעיל את האתר או האפליקציה שהמשתמש מבקר בהם. כעסק מכוסה, אתם אחראים לאיסוף הסכמה, הצגת הודעות, כיבוד ביטולי הסכמה והגדרת אות GPP עליו מסתמכים ספקי מורד הזרם. הנטל מול המשתמש מוטל עליכם.

ספק שירות או מעבד

אתם ספק שירות כאשר אתם מעבדים מידע אישי בשם עסק מכוסה תחת חוזה ורק למטרות מוגבלות ומותרות. רוב ספקי הניתוח, ספקי האחסון ופלטפורמות ניהול ההסכמה פועלים בנתיב זה. ה-MSPA מטיל הגבלות: ללא מכירה, ללא פרסום התנהגותי בין-הקשרי מטעם עצמכם, וכללי שמירה ומחיקה מוגדרים היטב.

צד שלישי

אתם צד שלישי כאשר אתם מקבלים מידע אישי מעסק מכוסה ומשתמשים בו למטרות שלכם — רוב ה-SSPs, ה-DSPs, ספקי הזהות וברוקרי הנתונים נמצאים כאן. לצדדים השלישיים יש את החובות החוזיות הכבדות ביותר, כולל טיפול ישיר בזכויות משתמשים וחובות זרימה במורד הזרם כאשר הם חולקים נתונים עם שותפיהם.

ה-MSPA ו-Global Privacy Platform (GPP)

ה-MSPA אינו קיים בחלל ריק. זוהי השכבה החוזית; GPP היא שכבת התשדורת הטכנית. ה-Global Privacy Platform של IAB Tech Lab מקודד את בחירות המשתמש למחרוזת יחידה שנוסעת עם בקשות ההצעה דרך פרוטוקול OpenRTB. לצורך תשדורת ארה"ב, GPP נושא מחרוזות קטע עבור כל מדינה עם חוק פרטיות מקיף — למשל USCA (קליפורניה), USCO (קולורדו), USVA (וירג'יניה), USCT (קונקטיקט), USUT (יוטה), ומחרוזת ה-US National הכוללת למדינות ללא קטע ייעודי.

ה-MSPA אומר ל-CMP שלכם אילו שדות להגדיר בתוך קטעי ה-GPP הללו כדי לתבוע כיסוי. השדות החשובים ביותר שמפרסמים יראו ויגדירו כוללים:

• MspaCoveredTransaction — מוגדר ל-Yes כאשר המפרסם טוען שבקשת ההצעה מכוסה על ידי מסגרת MSPA.
• MspaOptOutOptionMode — מציין האם ניתנה למשתמש אפשרות ביטול הסכמה ברורה כנדרש בכללי השקיפות של ה-MSPA.
• MspaServiceProviderMode — מוגדר כאשר ספקי מורד הזרם חייבים לטפל בנתונים כספקי שירות בלבד.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — דגלי ההסכמה המפורטים שמציעי המחיר קוראים כדי להחליט מה מותר להם לעשות עם הרושם.
• SensitiveDataProcessing — מערך רב-אלמנטים המאותת על בחירות המשתמש עבור מוצא גזעי, אמונות דתיות, בריאות, נטייה מינית, אזרחות, מיקום גיאוגרפי מדויק וקטגוריות רגישות אחרות המוגדרות בחוק המדינה.

אם ה-CMP שלכם מגדיר את MspaCoveredTransaction = Yes אך המפרסם לא חתם בפועל על חוזה ה-MSPA, יצרתם טענה כוזבת שחותמי מורד הזרם יסתמכו עליה. זה נתיב מהיר לסכסוך חוזי ובהתאם למדינה, תלונה רגולטורית.

נתונים רגישים: המלכודת שרוב המפרסמים מפספסים

כל חוק פרטיות מדינתי מקיף של ארה"ב שנחקק מאז קליפורניה הרחיב את הגדרת המידע האישי הרגיש, וה-MSPA מאחד אותם לשדה GPP אחד מאוחד. הקטגוריות כוללות בדרך כלל:

• מזהים ממשלתיים (מספר ביטוח לאומי, רישיון נהיגה, דרכון).
• אישורי חשבון ומידע פיננסי.
• מיקום גיאוגרפי מדויק, בדרך כלל צר יותר מ-533 מטר.
• מוצא גזעי או אתני, אמונות דתיות, אבחנות בריאות נפשית או גופנית.
• חיי מין ונטייה מינית.
• אזרחות ומעמד הגירה.
• נתונים גנטיים וביומטריים המשמשים לזיהוי אדם.
• נתונים הנוגעים לילד ידוע מתחת לגיל 13 — ובמדינות מסוימות, מתחת לגיל 16 עם הגנות נוספות.

מדינות רבות דורשות הסכמת opt-in לעיבוד נתונים רגישים, בעוד שאחרות מאפשרות עיבוד עם זכות ביטול הסכמה. קידוד ה-GPP של ה-MSPA מאפשר לכם לבטא את כל אחד מהם, אך ה-CMP שלכם חייב לדעת איזה לבקש בהתאם למדינת המשתמש. סיווג שגוי של נתונים רגישים — למשל, טיפול בגלישה בתוכן בריאותי כנתוני התנהגות רגילים — הוא מצב הכישלון הנפוץ ביותר שסומן על ידי פרקליטים כלליים של מדינות בפעולות אכיפה בשנים 2024-2025.

בניית זרימת הסכמה מוכנה ל-MSPA

יישום ה-MSPA באתר או באפליקציה שלכם הוא בעיית תיאום בין צוותי משפט, הנדסה ותפעול פרסום. העבודה מתחלקת לכחמישה זרמי עבודה.

1. חתמו על ה-MSPA ושמרו על מעמד החותם שלכם

ה-MSPA הוא חוזה אמיתי שיועץ משפטי חייב לבדוק ולחתום עליו. תצהירו על התפקיד או התפקידים שבהם אתם פועלים, מדינות ארה"ב שבהן אתם עושים עסקים וקטגוריות הנתונים שאתם מעבדים. חדשו מדי שנה ועדכנו את פורטל החותמים של IAB Tech Lab בכל פעם שהתפקיד או השיפוט שלכם משתנה.

2. הגדירו את ה-CMP שלכם ללוגיקה רב-מדינתית

באנר CCPA בודד כבר אינו מספיק. ה-CMP שלכם חייב לזהות את מדינת המשתמש — בדרך כלל דרך גיאו-לוקיישן IP המגובה בגיבוי פרטיות — ולהציג את ההודעות, הקישורים ופקדי ביטול ההסכמה הנכונים לאותו שיפוט. FlexyConsent ו-CMPs מודרניים אחרים המאושרים על ידי Google מגיעים עם תבניות רב-מדינתיות הממפות מדינה אחר מדינה למחרוזות קטע GPP הנכונות.

3. חברו מחרוזות GPP ל-stack הפרסומות שלכם

מחרוזת GPP חייבת להיות מוכנסת לכל בקשת הצעה OpenRTB שמגיעה ממשתמש אמריקאי. עבור משתמשי Google Ad Manager, המשמעות היא הפעלת תמיכת GPP בהגדרות הרשת; עבור משתמשי Prebid, המשמעות היא התקנת מודולי gppControl_usnat ומודולי המדינה ואישור שמתאם ה-consentManagement מעביר את המחרוזת המקודדת. בצעו בדיקה באמצעות מפענח GPP של IAB Tech Lab כדי לאמת את הנסיעה הלוך-ושוב מ-CMP לבקשת הצעה.

4. כבדו את אות ה-Global Privacy Control (GPC)

רוב חוקי המדינות — קליפורניה, קולורדו, קונקטיקט ורשימה גדלה — דורשים כיבוד אות GPC ברמת הדפדפן כביטול הסכמה תקף. ה-MSPA מצפה מחותמים לזהות את ה-GPC ולהגדיר מראש את שדות SaleOptOut, SharingOptOut ו-TargetedAdvertisingOptOut בהתאם, אפילו לפני שהמשתמש נוגע בבאנר. אם ה-CMP שלכם אינו יכול לזהות את ה-GPC ולפעול לפיו, אתם אינכם תואמים בין אם אתם חברי MSPA ובין אם לא.

5. בצעו ביקורת על ספקי מורד הזרם

הלוגיקה של זרם מורד ה-MSPA עובדת רק אם הספקים שלכם הם גם חותמים. לפני שליחת נתונים לכל SSP, DSP או שותף נתונים, אמתו את מעמד החותם שלהם בפורטל IAB Tech Lab. ספקים שאינם חותמים חייבים להיות מוסרים מה-stack הפרסומות שלכם לתעבורת ארה"ב או מכוסים בהסכמי DPA דו-צדדיים נפרדים המשקפים את תנאי ה-MSPA.

מלכודות יישום נפוצות

מספר דפוסי כישלון מופיעים שוב ושוב בביקורות מפרסמים:

• סימון כיסוי MSPA מבלי לחתום. הגדרת MspaCoveredTransaction = Yes במחרוזת ה-GPP בזמן שהישות המשפטית של המפרסם לא חתמה על ה-MSPA חושפת את המפרסם לטענות ייצוג שגוי מחותמי מורד הזרם שהסתמכו על האות.
• שכחת טקסס, אורגון ומונטנה. מפרסמים שהוגדרו לנוף המקורי של חמש המדינות מפספסים חוקים שנכנסו לתוקף ב-2024 וב-2025. לכל אחד יש גורמי ביטול ההסכמה שלו; ה-MSPA מכסה אותם, אך רק אם הלוגיקה של זיהוי המדינה של ה-CMP שלכם כוללת אותם.
• התעלמות מאותות נתונים רגישים בתוכן חדשות ואורח חיים. קורא מאמר על בריאות, דת או LGBTQ עלול לעבד נתונים רגישים באופן משתמע. בצעו ביקורת תוכן והגדירו עקיפות ברמת קטגוריה ב-CMP.
• יחס ל-GPC כמייעץ. הרגולטור הקליפורני הבהיר ב-2024 שהתעלמות מ-GPC היא הפרה לכל אירוע. ה-MSPA אינו מגן עליכם מכך — הוא מסתמך עליכם לכיבוד ה-GPC.
• מחרוזות GPP ישנות שנשמרו במטמון בקצה. שמירה במטמון CDN או service worker של דפים עלולה לשרת למשתמש מחרוזת GPP ישנה מהפעלה קודמת. השביתו את השמירה במטמון בנקודת הקצה של ההסכמה והוסיפו שלב שאיבה רענן בשינוי הסכמה.

כיצד ה-MSPA משפיע על הכנסות מפרסום

מפרסמים שמיישמים את ה-MSPA נכון בדרך כלל רואים ירידות הכנסה צנועות לטווח קצר ואחריהן התייצבות, בעוד שיישומים רשלניים או מגבילים הצעות יתר על המידה או חושפים את המפרסם לסיכון אכיפה. המשתנים שמזיזים את המחוג:

• שיעורי ביטול הסכמה — במדינות עם קישורי ביטול הסכמה בולטים, 5-15% מהמשתמשים בדרך כלל מבטלים הסכמה למכירה או שיתוף. מחירי ההצעות על רשמים שבוטלה עבורם ההסכמה יורדים בדרך כלל ב-30-60% כי פרסום התנהגותי ממוקד אינו זמין.
• סיווג תוכן רגיש — סיווג שגוי של תוכן רגיל כרגיש יגרום לקריסת הביקוש. היו שמרניים ומדויקים בקטגוריות.
• מיקס שותפי header bidding — שותפים שאינם חותמי MSPA שאתם צריכים להשבית לתעבורת ארה"ב מצמצמים את המכירה הפומבית שלכם. החליפו אותם בחותמים במקום לפעול עם ביקוש דק יותר.
• תיוג בצד השרת — מיכל בצד השרת שקורא את מחרוזת ה-GPP ומפעיל תגיות באופן מותנה הוא הדרך הנקייה ביותר לשמור על ניתוח והסכמה מסונכרנים.

מה הלאה: 2026 ומעבר לו

ה-MSPA הוא הסכם חי. ה-IAB מעדכן אותו כל שנה-שנתיים כשחוקי מדינות חדשים, הנחיות פרקליט כללי והצעות פדרליות מעצבות מחדש את הנוף. הנושאים לעקוב אחריהם ב-2026:

• חוק פרטיות פדרלי אפשרי שיחליף חלקית את משטרי המדינות — ל-MSPA יש לוגיקת גיבוי הקדמה, כך שחותמים לא יישארו תקועים.
• הרחבת GPP לכסות איתות ספציפי לבריאות תחת Washington My Health My Data Act וחוקים אנלוגיים.
• אכיפה קפדנית יותר של כללי דפוסים אפלים בזרמי ביטול הסכמה על ידי California Privacy Protection Agency ופרקליט כללי טקסס.
• אינטגרציה עם גילויים על אימון AI ומודלי שפה גדולים, שמספר בתי מחוקקי מדינות דנים בהם.

מפרסמים שמתייחסים ליישום ה-MSPA כפרויקט חד-פעמי ייפלו מאחור. התייחסו אליו כהיגיינה תפעולית מתמשכת, בבעלות משותפת של משפט, תפעול פרסום והנדסת מוצר, ונסקרת מדי רבעון. המפרסמים שמנצחים בתאימות רב-מדינתית של ארה"ב אינם אלה עם הכי הרבה עורכי דין — הם אלה ש-CMP, ה-stack הפרסומות ויומני הביקורת שלהם מספרים את אותו סיפור כאשר רגולטור שואל.

השורה התחתונה

ה-MSPA הוא התשובה המעשית לנוף פרטיות מפוצל בארה"ב. הוא לא יחוקק חוקים עבורכם, אך יעניק לזרם ההצעות שלכם, לספקים שלכם ולצוות המשפטי שלכם שפה משותפת אחת לביטולי הסכמה, נתונים רגישים וחובות מורד הזרם. שלבו אותו עם CMP מודע-מדינה, איתות GPP מדויק וניהול ספקים ממושמע, ותבלו פחות זמן בוויכוחים על שיפוט ויותר זמן בייצור הכנסות מהרשמים שמותר לכם לייצר הכנסות מהם. זהו הנתיב היחיד בר-קיימא דרך 2026 וגל חוקי המדינות שעוד ממתינים בתור אחריו.