IAB MSPA अनुपालन: 2026 में अमेरिकी प्रकाशकों के लिए बहु-राज्य गोपनीयता समझौता गाइड
अमेरिकी राज्यों का गोपनीयता कानून 2020 में एक कैलिफ़ोर्नियाई जिज्ञासा से बढ़कर 2026 तक उन्नीस से अधिक कानूनों के एक जटिल जाल में तब्दील हो गया है, जिनमें से प्रत्येक का अपना opt-out तरीका, संवेदनशील डेटा सूची और प्रवर्तन दृष्टिकोण है। IAB Tech Lab और IAB ने Multi-State Privacy Agreement (MSPA) बनाया ताकि डिजिटल विज्ञापन पारिस्थितिकी तंत्र को एक सामान्य संविदात्मक और सिग्नलिंग परत मिल सके जो इन सभी आवश्यकताओं को पूरा करे। यदि आप विज्ञापन बेचते हैं, header bidding चलाते हैं, ऑडियंस साझा करते हैं, या उपयोगकर्ता पहचानकर्ता को डाउनस्ट्रीम SSP को भेजते हैं, तो MSPA अब वैकल्पिक गृहकार्य नहीं है — यह वह संयोजी ऊतक है जो आपके ad stack को कैलिफ़ोर्निया, कोलोराडो, कनेक्टिकट, वर्जीनिया, यूटा, टेक्सास, ओरेगन, मोंटाना और अन्य राज्यों के उपयोगकर्ताओं की कानूनी रूप से सेवा करने देता है। यह गाइड बताती है कि MSPA वास्तव में क्या करता है, यह Global Privacy Platform (GPP) के साथ कैसे इंटरैक्ट करता है, और आपकी consent management platform को आपके bid stream में एक अनुपालन-सक्षम हस्ताक्षरकर्ता बनाने के ठोस कदम।
MSPA क्या है — और क्या नहीं है
MSPA IAB द्वारा प्रकाशित एक निजी, अनुबंध-आधारित ढांचा है। यह कोई कानून नहीं है और यह राज्य कानूनों को प्रतिस्थापित नहीं करता। इसके बजाय, यह एक बहुपक्षीय समझौता है जिसमें प्रतिभागी — प्रकाशक, एजेंसियां, विज्ञापन नेटवर्क, SSPs, DSPs और डेटा प्रदाता — शामिल होते हैं ताकि प्रोग्रामेटिक विज्ञापन के माध्यम से व्यक्तिगत जानकारी के प्रवाह के बारे में सुसंगत कानूनी दावे किए जा सकें। जब एक श्रृंखला में सभी एक ही अनुबंध पर हस्ताक्षर करते हैं, तो डाउनस्ट्रीम विक्रेताओं को एक बोली अनुरोध को संभालने के लिए पचास अलग-अलग द्विपक्षीय डेटा प्रसंस्करण समझौतों पर बातचीत नहीं करनी पड़ती।
MSPA को एक साथ तीन चीजों के रूप में सोचें:
- एक अनुबंध जो स्वचालित रूप से डाउनस्ट्रीम प्रवाहित होता है जब एक हस्ताक्षरकर्ता दूसरे हस्ताक्षरकर्ता को डेटा पास करता है।
- एक शब्दावली GPP-एन्कोडेड स्ट्रिंग का उपयोग करके उपयोगकर्ता की पसंद व्यक्त करने के लिए, जिसमें बिक्री, साझाकरण, लक्षित विज्ञापन और संवेदनशील डेटा प्रसंस्करण से opt-out शामिल हैं।
- एक जोखिम-आवंटन ढांचा जो प्रत्येक हस्ताक्षरकर्ता को तीन भूमिकाओं में से एक में मैप करता है — Covered Business, Service Provider/Processor, या Third Party — और प्रत्येक से जुड़े दायित्व।
MSPA क्या नहीं है: आपकी गोपनीयता नोटिस का विकल्प, जहां आवश्यक हो वहां सीधे उपयोगकर्ता सहमति का विकल्प, या किसी विशेष राज्य कानून के अनुपालन की गारंटी। यह एक उपकरण है जो सही ढंग से उपयोग किए जाने पर कई राज्य कानूनों के साथ अनुपालन को परिचालन रूप से संभव बनाता है। गलत तरीके से उपयोग किए जाने पर — उदाहरण के लिए, opt-out के बाद डेटा साझा करना जारी रखते हुए भागीदारी का संकेत देकर — यह आपकी देनदारी को कम करने के बजाय बढ़ाता है।
किसे ध्यान देना चाहिए: MSPA की तीन भूमिकाएं
कुछ भी हस्ताक्षर करने से पहले, पहचानें कि आप वास्तव में कौन सी भूमिका निभाते हैं। अधिकांश प्रकाशक यह जानकर हैरान होते हैं कि वे डेटा प्रवाह के आधार पर एक से अधिक टोपी पहनते हैं।
Covered Business
आप Covered Business हैं यदि आप किसी उपयोगकर्ता के बारे में व्यक्तिगत जानकारी के प्रसंस्करण के उद्देश्य और साधन निर्धारित करते हैं — आमतौर पर प्रकाशक जो उस वेबसाइट या ऐप को संचालित करता है जिसे उपयोगकर्ता विजिट करता है। Covered Business के रूप में, आप सहमति एकत्र करने, नोटिस प्रदर्शित करने, opt-out का सम्मान करने और GPP सिग्नल कॉन्फ़िगर करने के लिए जिम्मेदार हैं जिस पर डाउनस्ट्रीम विक्रेता निर्भर करते हैं। उपयोगकर्ता-उन्मुख बोझ आप पर है।
Service Provider या Processor
आप Service Provider हैं जब आप Covered Business की ओर से अनुबंध के तहत और केवल सीमित, अनुमेय उद्देश्यों के लिए व्यक्तिगत जानकारी संसाधित करते हैं। अधिकांश analytics vendors, hosting providers और consent management platforms इस भूमिका में काम करते हैं। MSPA प्रतिबंध लगाता है: कोई बिक्री नहीं, अपनी ओर से कोई cross-context behavioral advertising नहीं, और कड़ाई से परिभाषित प्रतिधारण और हटाने के नियम।
Third Party
आप Third Party हैं जब आप Covered Business से व्यक्तिगत जानकारी प्राप्त करते हैं और इसे अपने स्वयं के उद्देश्यों के लिए उपयोग करते हैं — अधिकांश SSPs, DSPs, identity vendors और data brokers यहां आते हैं। Third Parties के पास सबसे भारी संविदात्मक दायित्व हैं, जिसमें उपयोगकर्ता-अधिकारों की सीधी हैंडलिंग और डाउनस्ट्रीम flow-through कर्तव्य शामिल हैं जब वे अपने स्वयं के भागीदारों के साथ डेटा साझा करते हैं।
MSPA और Global Privacy Platform (GPP)
MSPA एक शून्य में मौजूद नहीं है। यह संविदात्मक परत है; GPP तकनीकी सिग्नलिंग परत है। IAB Tech Lab का Global Privacy Platform उपयोगकर्ता विकल्पों को एकल स्ट्रिंग में एन्कोड करता है जो OpenRTB प्रोटोकॉल के माध्यम से बोली अनुरोधों के साथ यात्रा करता है। अमेरिकी सिग्नलिंग के लिए, GPP व्यापक गोपनीयता कानून वाले प्रत्येक राज्य के लिए अनुभाग स्ट्रिंग ले जाता है — उदाहरण के लिए USCA (कैलिफ़ोर्निया), USCO (कोलोराडो), USVA (वर्जीनिया), USCT (कनेक्टिकट), USUT (यूटा), और समर्पित अनुभाग के बिना राज्यों के लिए catch-all US National स्ट्रिंग।
MSPA आपके CMP को बताता है कि कवरेज का दावा करने के लिए उन GPP अनुभागों के अंदर कौन से फ़ील्ड सेट करने हैं। सबसे महत्वपूर्ण फ़ील्ड जो प्रकाशक देखेंगे और कॉन्फ़िगर करेंगे उनमें शामिल हैं:
- MspaCoveredTransaction — Yes पर सेट किया जाता है जब प्रकाशक यह दावा कर रहा हो कि बोली अनुरोध MSPA ढांचे द्वारा कवर किया गया है।
- MspaOptOutOptionMode — इंगित करता है कि क्या उपयोगकर्ता को MSPA के पारदर्शिता नियमों द्वारा आवश्यक एक स्पष्ट opt-out विकल्प दिया गया था।
- MspaServiceProviderMode — सेट किया जाता है जब डाउनस्ट्रीम विक्रेताओं को डेटा को केवल service-provider के रूप में व्यवहार करना चाहिए।
- SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — दानेदार सहमति झंडे जो बोलीदाता यह तय करने के लिए पढ़ते हैं कि वे impression के साथ क्या कर सकते हैं।
- SensitiveDataProcessing — एक बहु-तत्व सरणी जो नस्लीय मूल, धार्मिक विश्वासों, स्वास्थ्य, यौन अभिविन्यास, नागरिकता, सटीक जियोलोकेशन और राज्य कानून द्वारा परिभाषित अन्य संवेदनशील श्रेणियों के लिए उपयोगकर्ता की पसंद का संकेत देती है।
यदि आपका CMP MspaCoveredTransaction = Yes सेट करता है लेकिन प्रकाशक ने वास्तव में MSPA अनुबंध पर हस्ताक्षर नहीं किए हैं, तो आपने अभी-अभी एक झूठा दावा किया है जिस पर डाउनस्ट्रीम हस्ताक्षरकर्ता भरोसा करेंगे। यह एक अनुबंध विवाद और राज्य के आधार पर नियामक शिकायत का त्वरित मार्ग है।
संवेदनशील डेटा: वह जाल जो अधिकांश प्रकाशक चूक जाते हैं
कैलिफ़ोर्निया के बाद पारित प्रत्येक व्यापक अमेरिकी राज्य गोपनीयता कानून ने संवेदनशील व्यक्तिगत जानकारी की परिभाषा का विस्तार किया है, और MSPA इन्हें एकीकृत GPP फ़ील्ड में समेकित करता है। श्रेणियों में आमतौर पर शामिल हैं:
- सरकारी पहचानकर्ता (सामाजिक सुरक्षा नंबर, ड्राइविंग लाइसेंस, पासपोर्ट)।
- खाता क्रेडेंशियल और वित्तीय जानकारी।
- सटीक जियोलोकेशन, आम तौर पर 533 मीटर से कम।
- नस्लीय या जातीय मूल, धार्मिक विश्वास, मानसिक या शारीरिक स्वास्थ्य निदान।
- यौन जीवन और यौन अभिविन्यास।
- नागरिकता और आव्रजन स्थिति।
- किसी व्यक्ति की पहचान करने के लिए उपयोग किया जाने वाला आनुवंशिक और बायोमेट्रिक डेटा।
- 13 वर्ष से कम आयु के ज्ञात बच्चे से संबंधित डेटा — और कुछ राज्यों में, अतिरिक्त सुरक्षा के साथ 16 वर्ष से कम।
कई राज्यों को संवेदनशील डेटा के प्रसंस्करण के लिए opt-in सहमति की आवश्यकता होती है, जबकि अन्य opt-out के अधिकार के साथ प्रसंस्करण की अनुमति देते हैं। MSPA का GPP एन्कोडिंग आपको दोनों में से किसी को भी व्यक्त करने देता है, लेकिन आपके CMP को पता होना चाहिए कि उपयोगकर्ता के राज्य के आधार पर कौन सा मांगना है। संवेदनशील डेटा का गलत वर्गीकरण — उदाहरण के लिए, स्वास्थ्य-सामग्री ब्राउज़िंग को सामान्य व्यवहार डेटा के रूप में मानना — 2024-2025 के प्रवर्तन कार्यों में राज्य के महान्यायवादियों द्वारा चिह्नित सबसे सामान्य विफलता मोड है।
MSPA-तैयार Consent Flow बनाना
आपकी साइट या ऐप पर MSPA लागू करना कानूनी, इंजीनियरिंग और विज्ञापन संचालन के बीच एक समन्वय समस्या है। काम लगभग पांच कार्यधाराओं में विभाजित होता है।
1. MSPA पर हस्ताक्षर करें और अपनी हस्ताक्षरकर्ता स्थिति बनाए रखें
MSPA एक वास्तविक अनुबंध है जिसे कानूनी सलाहकार को समीक्षा और निष्पादित करना होगा। आप उस भूमिका या भूमिकाओं की घोषणा करेंगे जिनमें आप काम करते हैं, अमेरिकी राज्य जहां आप व्यापार करते हैं, और जो डेटा श्रेणियां आप संसाधित करते हैं। सालाना नवीनीकरण करें और IAB Tech Lab के हस्ताक्षरकर्ता पोर्टल को तब भी अपडेट करें जब आपकी भूमिका या क्षेत्राधिकार बदलता है।
2. बहु-राज्य तर्क के लिए अपना CMP कॉन्फ़िगर करें
केवल एक CCPA बैनर अब पर्याप्त नहीं है। आपके CMP को उपयोगकर्ता के राज्य का पता लगाना चाहिए — आमतौर पर गोपनीयता फ़ॉलबैक द्वारा समर्थित IP जियोलोकेशन के माध्यम से — और उस क्षेत्राधिकार के लिए सही नोटिस, लिंक और opt-out नियंत्रण प्रदर्शित करना चाहिए। FlexyConsent और अन्य आधुनिक Google-प्रमाणित CMP बहु-राज्य टेम्पलेट प्रदान करते हैं जो राज्य-दर-राज्य सही GPP अनुभाग स्ट्रिंग पर मैप करते हैं।
3. अपने Ad Stack में GPP Strings जोड़ें
GPP स्ट्रिंग को अमेरिकी उपयोगकर्ता से उत्पन्न प्रत्येक OpenRTB बोली अनुरोध में डाला जाना चाहिए। Google Ad Manager उपयोगकर्ताओं के लिए, इसका मतलब नेटवर्क सेटिंग्स में GPP समर्थन सक्षम करना है; Prebid उपयोगकर्ताओं के लिए, इसका मतलब gppControl_usnat और प्रति-राज्य मॉड्यूल इंस्टॉल करना और यह पुष्टि करना है कि consentManagement adapter एन्कोडेड स्ट्रिंग को अग्रेषित कर रहा है। CMP से बोली अनुरोध तक राउंड-ट्रिप सत्यापित करने के लिए IAB Tech Lab GPP decoder का उपयोग करके परीक्षण करें।
4. Global Privacy Control (GPC) सिग्नल का सम्मान करें
अधिकांश राज्य कानून — कैलिफ़ोर्निया, कोलोराडो, कनेक्टिकट और एक बढ़ती सूची — ब्राउज़र-स्तरीय GPC सिग्नल को वैध opt-out के रूप में सम्मान करना आवश्यक बनाते हैं। MSPA हस्ताक्षरकर्ताओं से GPC का पता लगाने और SaleOptOut, SharingOptOut और TargetedAdvertisingOptOut फ़ील्ड को तदनुसार पूर्व-सेट करने की अपेक्षा करता है, यहां तक कि उपयोगकर्ता के बैनर को छूने से पहले भी। यदि आपका CMP GPC का पता नहीं लगा सकता और उस पर कार्य नहीं कर सकता, तो आप MSPA सदस्यता की परवाह किए बिना गैर-अनुपालक हैं।
5. डाउनस्ट्रीम विक्रेताओं का ऑडिट करें
MSPA की डाउनस्ट्रीम-फ्लो तर्क केवल तभी काम करती है जब आपके विक्रेता भी हस्ताक्षरकर्ता हों। किसी भी SSP, DSP या डेटा भागीदार को डेटा भेजने से पहले, IAB Tech Lab पोर्टल में उनकी हस्ताक्षरकर्ता स्थिति सत्यापित करें। गैर-हस्ताक्षरकर्ता विक्रेताओं को या तो अमेरिकी ट्रैफ़िक के लिए आपके ad stack से हटा दिया जाना चाहिए या अलग द्विपक्षीय DPA द्वारा कवर किया जाना चाहिए जो MSPA शर्तों को दर्शाते हैं।
सामान्य कार्यान्वयन गलतियां
प्रकाशक ऑडिट में विफलता के कई पैटर्न बार-बार सामने आते हैं:
- हस्ताक्षर किए बिना MSPA कवरेज का संकेत देना। GPP स्ट्रिंग में MspaCoveredTransaction = Yes सेट करना जबकि प्रकाशक की कानूनी इकाई ने MSPA निष्पादित नहीं किया है, डाउनस्ट्रीम हस्ताक्षरकर्ताओं से गलत प्रतिनिधित्व के दावों के प्रति प्रकाशक को उजागर करता है जो सिग्नल पर निर्भर थे।
- टेक्सास, ओरेगन और मोंटाना को भूलना। मूल पांच-राज्य परिदृश्य के लिए कॉन्फ़िगर किए गए प्रकाशक 2024 और 2025 में लागू हुए कानूनों को चूक जाते हैं। प्रत्येक के अपने opt-out ट्रिगर हैं; MSPA उन्हें कवर करता है, लेकिन केवल तभी जब आपके CMP की राज्य-पहचान तर्क उन्हें शामिल करती हो।
- समाचार और जीवनशैली सामग्री पर संवेदनशील डेटा संकेतों को अनदेखा करना। स्वास्थ्य, धर्म या LGBTQ-केंद्रित लेख का पाठक अप्रत्यक्ष रूप से संवेदनशील डेटा संसाधित कर सकता है। एक सामग्री ऑडिट करें और CMP में श्रेणी-स्तरीय ओवरराइड कॉन्फ़िगर करें।
- GPC को सलाहकारी मानना। कैलिफ़ोर्निया के नियामक ने 2024 में स्पष्ट किया कि GPC को अनदेखा करना प्रति-उल्लंघन उल्लंघन है। MSPA आपको इससे नहीं बचाता — यह आपके GPC का सम्मान करने पर निर्भर करता है।
- किनारे पर कैश की गई पुरानी GPP स्ट्रिंग। पेजों की CDN या service worker कैशिंग उपयोगकर्ता को पिछले सत्र की पुरानी GPP स्ट्रिंग प्रदान कर सकती है। consent endpoint पर कैशिंग अक्षम करें और सहमति बदलने पर fresh-fetch चरण जोड़ें।
MSPA विज्ञापन राजस्व को कैसे प्रभावित करता है
जो प्रकाशक MSPA को सही ढंग से लागू करते हैं वे आमतौर पर अल्पकालिक मामूली राजस्व गिरावट देखते हैं, जिसके बाद स्थिरीकरण होता है, जबकि लापरवाह कार्यान्वयन या तो बोलियों को अत्यधिक प्रतिबंधित करते हैं या प्रकाशक को प्रवर्तन जोखिम में उजागर करते हैं। वे चर जो डायल को हिलाते हैं:
- Opt-out दरें — प्रमुख opt-out लिंक वाले राज्यों में, आमतौर पर 5-15% उपयोगकर्ता बिक्री या साझाकरण से opt-out करते हैं। opt-out किए गए impression पर बोली कीमतें आमतौर पर 30-60% गिरती हैं क्योंकि व्यवहारिक लक्ष्यीकरण अनुपलब्ध है।
- संवेदनशील सामग्री वर्गीकरण — सामान्य सामग्री को संवेदनशील के रूप में गलत वर्गीकृत करने से मांग ध्वस्त हो जाएगी। श्रेणियों में रूढ़िवादी और सटीक रहें।
- Header bidding भागीदार मिश्रण — गैर-MSPA-हस्ताक्षरकर्ता भागीदार जिन्हें आपको अमेरिकी ट्रैफ़िक के लिए अक्षम करना है, आपकी नीलामी को सिकोड़ देते हैं। कम मांग के साथ चलाने के बजाय उन्हें हस्ताक्षरकर्ताओं से बदलें।
- Server-side tagging — एक server-side कंटेनर जो GPP स्ट्रिंग पढ़ता है और सशर्त रूप से टैग फायर करता है, analytics और सहमति को सिंक में रखने का सबसे साफ तरीका है।
आगे क्या है: 2026 और उसके बाद
MSPA एक जीवित समझौता है। IAB इसे हर एक या दो साल में तब अपडेट करता है जब नए राज्य कानून, महान्यायवादी मार्गदर्शन और संघीय प्रस्ताव परिदृश्य को नया आकार देते हैं। 2026 में देखने के लिए विषय:
- एक संभावित संघीय गोपनीयता कानून जो आंशिक रूप से राज्य व्यवस्थाओं को पूर्व-हटा देगा — MSPA में preemption fallback तर्क शामिल है, इसलिए हस्ताक्षरकर्ताओं को निराश नहीं छोड़ा जाएगा।
- Washington My Health My Data Act और analogous statutes के तहत स्वास्थ्य-विशिष्ट सिग्नलिंग को कवर करने के लिए GPP का विस्तार।
- California Privacy Protection Agency और Texas Attorney General द्वारा opt-out प्रवाह में dark-pattern नियमों की कड़ी प्रवर्तन।
- AI और large-language-model प्रशिक्षण प्रकटीकरण के साथ एकीकरण, जिस पर कई राज्य विधायिकाएं बहस कर रही हैं।
जो प्रकाशक MSPA कार्यान्वयन को एक बार की परियोजना के रूप में मानते हैं, वे पीछे रह जाएंगे। इसे चल रही परिचालन स्वच्छता के रूप में मानें, कानूनी, विज्ञापन संचालन और उत्पाद इंजीनियरिंग द्वारा संयुक्त रूप से स्वामित्व, और तिमाही आधार पर समीक्षा की गई। अमेरिकी बहु-राज्य अनुपालन में जीतने वाले प्रकाशक वे नहीं हैं जिनके पास सबसे अधिक वकील हैं — वे वे हैं जिनका CMP, ad stack और ऑडिट लॉग सभी एक ही कहानी बताते हैं जब कोई नियामक पूछता है।
निष्कर्ष
MSPA एक खंडित अमेरिकी गोपनीयता परिदृश्य का व्यावहारिक उत्तर है। यह आपके लिए कानून नहीं बनाएगा, लेकिन यह आपके bid stream, आपके विक्रेताओं और आपकी कानूनी टीम को opt-outs, संवेदनशील डेटा और डाउनस्ट्रीम दायित्वों के लिए एक सामान्य भाषा देगा। इसे राज्य-जागरूक CMP, सटीक GPP सिग्नलिंग और अनुशासित विक्रेता प्रबंधन के साथ जोड़ें, और आप क्षेत्राधिकार के बारे में बहस में कम समय और उन impressions से कमाई में अधिक समय बिताएंगे जिन्हें आप monetize करने की अनुमति रखते हैं। यह 2026 और उसके पीछे कतार में खड़े राज्य कानूनों की लहर के माध्यम से एकमात्र टिकाऊ मार्ग है।