Usklađenost s IAB MSPA: Vodič po Sporazumu o privatnosti za više država za američke izdavače u 2026.
Zakon o privatnosti u američkim saveznim državama razvio se od kalifornijske znatiželje 2020. do mreže od više od devetnaest različitih zakona do 2026. godine, svaki sa svojom metodom odjave, popisom osjetljivih podataka i pristupom provedbi. IAB Tech Lab i IAB izgradili su Multi-State Privacy Agreement (MSPA) kako bi digitalnom oglašivačkom ekosustavu pružili jedan zajednički ugovorni i signalni sloj koji zadovoljava sve zahtjeve. Ako prodajete oglase, pokrećete header bidding, dijelite publike ili šaljete identifikatore korisnika prema SSP-u uzvodno, MSPA više nije izborni zadatak — to je vezivno tkivo koje vašem ad stacku omogućuje zakonito usluživanje korisnika u Kaliforniji, Coloradu, Connecticutu, Virginiji, Utahu, Teksasu, Oregonu, Montani i drugima. Ovaj vodič objašnjava što MSPA zapravo radi, kako se odnosi prema Global Privacy Platformi (GPP) i konkretne korake za pretvaranje vaše platforme za upravljanje pristankom u usklađenog potpisnika u vašem toku ponuda.
Što je MSPA — i što nije
MSPA je privatni, ugovorni okvir koji objavljuje IAB. Nije zakon i ne zamjenjuje državne statute. Umjesto toga, to je višestranački sporazum koji potpisuju sudionici — izdavači, agencije, oglasne mreže, SSP-ovi, DSP-ovi i davatelji podataka — kako bi dali dosljedne pravne tvrdnje o tome kako osobni podaci teku kroz programatsko oglašavanje. Kada svi u lancu potpišu isti ugovor, dobavljači uzvodno ne moraju pregovarati o pedeset različitih bilateralnih ugovora o obradi podataka za obradu jednog zahtjeva za ponudu.
Razmišljajte o MSPA-u kao o tri stvari odjednom:
- Ugovor koji automatski teče prema uzvodnoj strani kada potpisnik prenosi podatke drugom potpisniku.
- Rječnik za izražavanje korisničkih izbora pomoću GPP-kodiranih nizova, uključujući odjave od prodaje, dijeljenja, ciljanog oglašavanja i obrade osjetljivih podataka.
- Okvir raspodjele rizika koji svrstava svakog potpisnika u jednu od tri uloge — Pokriveno poduzeće, Davatelj usluga/Obrađivač ili Treća strana — i obveze pridružene svakoj od njih.
Što MSPA nije: zamjena za vašu obavijest o privatnosti, zamjena za izravni pristanak korisnika gdje se traži, ili jamstvo usklađenosti s bilo kojim specifičnim državnim zakonom. To je alat koji, pravilno korišten, čini usklađenost s više državnih zakona operativno izvedivom. Korišten nepravilno — na primjer, signaliziranjem sudjelovanja dok se nastavlja s dijeljenjem podataka nakon odjave — povećava vašu odgovornost, umjesto da je smanjuje.
Koga se tiče: tri uloge u MSPA-u
Prije nego što potpišete išta, identificirajte u kojoj ulozi zapravo nastupate. Većina izdavača je iznenađena kada otkrije da nose više od jedne kape ovisno o toku podataka.
Pokriveno poduzeće
Vi ste Pokriveno poduzeće ako određujete svrhe i sredstva obrade osobnih podataka o korisniku — obično izdavač koji vodi web stranicu ili aplikaciju koju korisnik posjećuje. Kao Pokriveno poduzeće, odgovorni ste za prikupljanje pristanka, prikazivanje obavijesti, poštivanje odjava i konfiguriranje GPP signala na koji se oslanjaju dobavljači uzvodno. Teret prema korisniku leži na vama.
Davatelj usluga ili Obrađivač
Vi ste Davatelj usluga kada obrađujete osobne podatke u ime Pokrivenog poduzeća prema ugovoru i samo za ograničene, dopuštene svrhe. Većina analitičkih dobavljača, davatelja hostinga i platformi za upravljanje pristankom djeluje u ovoj ulozi. MSPA nameće ograničenja: nema prodaje, nema međukontekstualnog bihevioralnog oglašavanja u vlastito ime, i precizno definirani propisi o čuvanju i brisanju.
Treća strana
Vi ste Treća strana kada primate osobne podatke od Pokrivenog poduzeća i koristite ih za vlastite svrhe — većina SSP-ova, DSP-ova, dobavljača identiteta i brokera podataka spada ovdje. Treće strane imaju najteže ugovorne obveze, uključujući izravno upravljanje pravima korisnika i dužnosti protoka prema uzvodnoj strani kada dijele podatke s vlastitim partnerima.
MSPA i Global Privacy Platform (GPP)
MSPA ne postoji u vakuumu. To je ugovorni sloj; GPP je tehnički signalni sloj. Global Privacy Platform IAB Tech Laba kodira korisničke izbore u jedan niz koji putuje uz zahtjeve za ponudu putem OpenRTB protokola. Za americko signaliziranje, GPP nosi nizove sekcija za svaku saveznu državu s opsežnim zakonom o privatnosti — na primjer USCA (Kalifornija), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah) i sveobuhvatni US National niz za države bez posebne sekcije.
MSPA govori vašem CMP-u koje polja treba postaviti unutar tih GPP sekcija kako bi se tvrdila pokrivenost. Najvažnija polja koja će izdavači vidjeti i konfigurirati uključuju:
- MspaCoveredTransaction — postavljeno na Yes kada izdavač tvrdi da zahtjev za ponudu pokriva MSPA okvir.
- MspaOptOutOptionMode — označava je li korisniku ponuđena jasna opcija odjave kako zahtijevaju pravila transparentnosti MSPA-a.
- MspaServiceProviderMode — postavljeno kada uzvodna strana mora tretirati podatke samo kao davatelja usluga.
- SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — granularne zastavice pristanka koje ponuditelji čitaju kako bi odlučili što mogu učiniti s impresijom.
- SensitiveDataProcessing — višeelementni niz koji signalizira korisničke izbore za rasno porijeklo, vjerska uvjerenja, zdravlje, seksualnu orijentaciju, državljanstvo, preciznu geolociraciju i druge osjetljive kategorije definirane državnim zakonom.
Ako vaš CMP postavi MspaCoveredTransaction = Yes, ali izdavač zapravo nije potpisao MSPA ugovor, upravo ste iznijeli lažnu tvrdnju na koju će se osloniti potpisnici uzvodno. To je brzi put do ugovornog spora i, ovisno o državi, regulatorne pritužbe.
Osjetljivi podaci: zamka koju većina izdavača propušta
Svaki sveobuhvatni američki državni zakon o privatnosti donesen od Kalifornije proširio je definiciju osjetljivih osobnih podataka, a MSPA ih objedinjuje u jedinstveno GPP polje. Kategorije obično uključuju:
- Vladini identifikatori (broj socijalnog osiguranja, vozačka dozvola, putovnica).
- Akreditivi računa i financijske informacije.
- Precizna geolokacija, općenito uža od 533 metra.
- Rasno ili etničko podrijetlo, vjerska uvjerenja, dijagnoze mentalnog ili fizičkog zdravlja.
- Spolni život i seksualna orijentacija.
- Državljanstvo i imigracijski status.
- Genetički i biometrički podaci koji se koriste za identifikaciju osobe.
- Podaci o poznatom djetetu mlađem od 13 godina — u nekim državama i mlađem od 16 godina s dodatnom zaštitom.
Nekoliko država zahtijeva pristanak opt-in za obradu osjetljivih podataka, dok druge dopuštaju obradu s pravom na odjavu. GPP kodiranje MSPA-a omogućuje vam da izrazite i jedno i drugo, ali vaš CMP mora znati što zatražiti ovisno o državnoj jurisdikciji korisnika. Pogrešna klasifikacija osjetljivih podataka — na primjer, tretiranje pregledavanja zdravstvenog sadržaja kao uobičajenih bihevioralnih podataka — najčešći je način neuspjeha koji su državni odvjetnici istakli u provedbenim akcijama 2024-2025.
Izgradnja toka pristanka spreman za MSPA
Implementacija MSPA-a na vašoj stranici ili aplikaciji koordinacijski je problem između pravnih, inženjerskih i operativnih timova za oglase. Posao se dijeli na otprilike pet tokova rada.
1. Potpišite MSPA i održavajte status potpisnika
MSPA je pravi ugovor koji pravni savjetnik mora pregledati i izvršiti. Proglasit ćete ulogu ili uloge u kojima djelujete, američke savezne države u kojima poslujete i kategorije podataka koje obrađujete. Obnavljajte godišnje i ažurirajte portal potpisnika IAB Tech Laba uvijek kada se promijeni vaša uloga ili jurisdikcija.
2. Konfigurirajte CMP za logiku više saveznih država
Jedan CCPA banner više nije dovoljan. Vaš CMP mora detektirati saveznu državu korisnika — obično putem IP geolociranja uz podršku zamjene privatnosti — i prikazati odgovarajuće obavijesti, veze i kontrole odjave za tu jurisdikciju. FlexyConsent i drugi moderni CMP-ovi certificirani od Googlea dolaze s predlošcima za više saveznih država koji mapiraju po saveznoj državi na ispravne GPP nizove sekcija.
3. Ugradite GPP nizove u vaš ad stack
GPP niz mora biti umetnut u svaki OpenRTB zahtjev za ponudu koji potječe od američkog korisnika. Za korisnike Google Ad Managera, to znači omogućavanje GPP podrške u mrežnim postavkama; za korisnike Prebida, to znači instaliranje modula gppControl_usnat i modula po saveznoj državi te potvrdu da consentManagement adapter prosljeđuje kodirani niz. Testirajte pomoću GPP dekodera IAB Tech Laba za provjeru round-tripa od CMP-a do zahtjeva za ponudu.
4. Poštujte signal Global Privacy Control (GPC)
Većina državnih zakona — Kalifornija, Colorado, Connecticut i rastući popis — zahtijeva poštivanje GPC signala na razini preglednika kao valjane odjave. MSPA očekuje od potpisnika da detektiraju GPC i unaprijed postave polja SaleOptOut, SharingOptOut i TargetedAdvertisingOptOut sukladno tome, čak i prije nego što korisnik dodirne banner. Ako vaš CMP ne može detektirati GPC i djelovati na temelju njega, niste u skladu bez obzira na MSPA članstvo.
5. Revidirajte uzvodne dobavljače
Logika uzvodnog toka MSPA-a radi samo ako su i vaši dobavljači potpisnici. Prije slanja podataka bilo kojoj SSP, DSP ili partnerskoj tvrtki za podatke, provjerite njihov status potpisnika na portalu IAB Tech Laba. Dobavljači koji nisu potpisnici moraju biti ili uklonjeni iz vašeg ad stacka za američki promet ili pokriveni odvojenim bilateralnim DPA-ovima koji odražavaju uvjete MSPA-a.
Uobičajene pogreške pri implementaciji
Nekoliko obrazaca neuspjeha pojavljuje se uvijek iznova u revizijama izdavača:
- Signaliziranje MSPA pokrivenosti bez potpisivanja. Postavljanje MspaCoveredTransaction = Yes u GPP nizu dok pravna osoba izdavača nije izvršila MSPA izlaže izdavača tužbama za lažno predstavljanje od strane uzvodnih potpisnika koji su se oslonili na signal.
- Zaboravljanje Teksasa, Oregona i Montane. Izdavači konfigurirani za izvorni krajolik pet saveznih država propuštaju zakone koji su stupili na snagu 2024. i 2025. Svaki ima vlastite okidače za odjavu; MSPA ih pokriva, ali samo ako ih logika detekcije stanja vašeg CMP-a uključuje.
- Zanemarivanje signala osjetljivih podataka na vijestima i lifestyle sadržaju. Čitatelj članka o zdravlju, religiji ili LGBTQ tematici može implicitno obrađivati osjetljive podatke. Provedite reviziju sadržaja i konfigurirajtee nadjačavanja na razini kategorija u CMP-u.
- Tretiranje GPC-a kao savjetodavnog. Kalifornijski regulator je 2024. razjasnio da ignoriranje GPC-a predstavlja prekršaj po kršenju. MSPA vas ne štiti od toga — ovisi o vama da poštujete GPC.
- Zastarjeli GPP nizovi predmemorirani na rubu mreže. CDN ili service worker predmemoriranje stranica može korisniku poslužiti zastarjeli GPP niz iz prethodne sesije. Onemogućite predmemoriju na krajnjoj točki pristanka i dodajte korak svježeg dohvaćanja pri promjeni pristanka.
Kako MSPA utječe na prihode od oglašavanja
Izdavači koji ispravno implementiraju MSPA obično vide skromne kratkoročne padove prihoda praćene stabilizacijom, dok nepažljive implementacije ili pretjerano ograničavaju ponude ili izlažu izdavača riziku provedbe. Varijable koje pomiču pokazivač:
- Stope odjave — U saveznim državama s istaknutim vezama za odjavu, tipično 5-15% korisnika odjavi se od prodaje ili dijeljenja. Cijene ponuda na impresijama s odjavom obično padaju za 30-60% jer bihevioralno ciljanje nije dostupno.
- Klasifikacija osjetljivog sadržaja — Pogrešna klasifikacija uobičajenog sadržaja kao osjetljivog srušit će potražnju. Budite konzervativni i precizni po kategorijama.
- Mješavina partnera za header bidding — Partneri koji nisu MSPA potpisnici i koje morate onemogućiti za američki promet smanjuju vašu aukciju. Zamijenite ih potpisnicima umjesto rada s tanjom potražnjom.
- Označavanje na strani poslužitelja — Kontejner na strani poslužitelja koji čita GPP niz i uvjetno pokreće oznake najčišći je način za održavanje analitike i pristanka sinkroniziranima.
Što slijedi: 2026. i dalje
MSPA je živi sporazum. IAB ga ažurira svake godine ili dvije kako novi državni zakoni, smjernice državnih odvjetnika i savezni prijedlozi preoblikuju krajolik. Teme koje treba pratiti u 2026.:
- Mogući savezni zakon o privatnosti koji bi djelomično preuzmao nadležnost državnih režima — MSPA uključuje logiku rezerve preuzimanja, tako da potpisnici neće ostati na cjedilu.
- Proširenje GPP-a za pokrivanje zdravstveno specifičnog signaliziranja prema Washington My Health My Data Actu i analognim propisima.
- Stroža provedba pravila o tamnim obrascima u tokovima odjave od strane California Privacy Protection Agencyja i državnog odvjetnika Teksasa.
- Integracija s otkrivanjem o obuci AI i velikih jezičnih modela, o čemu raspravljaju zakonodavna tijela nekoliko saveznih država.
Izdavači koji implementaciju MSPA-a tretiraju kao jednokratni projekt zaostajat će. Tretirajte je kao kontinuiranu operativnu higijenu, u zajedničkom vlasništvu pravnog tima, oglasnih operacija i produktnog inženjeringa, i pregledavajte je kvartalno. Izdavači koji pobjeđuju u usklađenosti s više američkih saveznih država nisu oni s najviše odvjetnika — to su oni čiji CMP, ad stack i revizijski zapisi govore istu priču kada regulator postavi pitanje.
Zaključak
MSPA je praktičan odgovor na fragmentirani američki krajolik privatnosti. Neće donositi zakone umjesto vas, ali će vašem toku ponuda, vašim dobavljačima i vašem pravnom timu pružiti jedan zajednički jezik za odjave, osjetljive podatke i uzvodne obveze. Upariite ga s CMP-om koji je svjestan stanja, preciznim GPP signaliziranjem i discipliniranim upravljanjem dobavljačima i trošit ćete manje vremena raspravljajući o jurisdikciji i više vremena monetiziranjem impresija koje smijete monetizirati. To je jedini održivi put kroz 2026. i val državnih zakona koji su još uvijek u redu iza njega.