Mi az MSPA — és mi nem az

Az MSPA egy magán, szerződéses keretrendszer, amelyet az IAB tett közzé. Nem törvény, és nem helyettesíti az állami jogszabályokat. Ehelyett egy többoldalú megállapodás, amelyet a résztvevők — kiadók, ügynökségek, hirdetési hálózatok, SSP-k, DSP-k és adatszolgáltatók — aláírnak, hogy következetes jogi állításokat tehessenek arról, hogyan áramlanak a személyes adatok a programmatikus hirdetésen keresztül. Ha egy lánc minden tagja ugyanazt a szerződést írja alá, a downstream szállítóknak nem kell ötven különböző kétoldalú adatfeldolgozási megállapodást megtárgyalniuk egyetlen ajánlatkérés kezeléséhez.

Az MSPA-t tekintse három dolognak egyszerre:

• Egy szerződés, amely automatikusan downstream terjed, amikor egy aláíró adatokat ad át egy másik aláírónak.
• Egy szókincs a felhasználói döntések GPP-kódolt karakterláncokkal való kifejezésére, beleértve az értékesítésből, megosztásból, célzott hirdetésből és érzékeny adatok feldolgozásából való kilépést.
• Kockázatelosztási keretrendszer, amely minden aláírót három szerepkör egyikéhez rendel — Fedezett Vállalkozás, Szolgáltatónyújtó/Feldolgozó vagy Harmadik Fél — és az ezekhez kapcsolódó kötelezettségekhez.

Az MSPA nem: helyettesítő az adatvédelmi tájékoztatóhoz, csere a közvetlen felhasználói hozzájáruláshoz ahol szükséges, vagy garancia bármely konkrét állami törvény betartására. Ez egy eszköz, amely helyes alkalmazással operatívan megvalósíthatóvá teszi több állami törvénynek való megfelelést. Helytelen alkalmazás — például ha részvételt jelez, miközben egy lemondás után folytatja az adatmegosztást — növeli felelősségét ahelyett, hogy csökkentené.

Kinek kell törődnie: a három MSPA szerepkör

Mielőtt bármit aláír, azonosítsa, hogy valójában melyik szerepkört tölti be. A legtöbb kiadót meglepi, hogy az adatfolyamtól függően egynél több „kalapot” visel.

Fedezett Vállalkozás

Ön Fedezett Vállalkozás, ha meghatározza a felhasználóra vonatkozó személyes adatok feldolgozásának céljait és eszközeit — jellemzően a felhasználó által látogatott webhely vagy alkalmazás üzemeltetője. Fedezett Vállalkozásként Ön felelős a hozzájárulás begyűjtéséért, értesítések megjelenítéséért, lemondások tiszteletben tartásáért és a GPP jel konfigurálásáért, amelyre a downstream szállítók támaszkodnak. A felhasználóval kapcsolatos teher Önnél van.

Szolgáltatónyújtó vagy Feldolgozó

Ön Szolgáltatónyújtó, amikor egy Fedezett Vállalkozás nevében, szerződés alapján és csak korlátozott, megengedett célokra dolgoz fel személyes adatokat. A legtöbb elemzési szállító, tárhelyszolgáltató és hozzájáruláskezelési platform ebben a sávban működik. Az MSPA korlátozásokat vezet be: nincs értékesítés, nincs saját nevű keresztkontextuális viselkedési hirdetés, és szorosan meghatározott megőrzési és törlési szabályok.

Harmadik Fél

Ön Harmadik Fél, amikor személyes adatokat kap egy Fedezett Vállalkozástól, és azokat saját céljaira használja — a legtöbb SSP, DSP, identitásszállító és adatközvetítő ide sorolható. A Harmadik Feleknek vannak a legsúlyosabb szerződéses kötelezettségeik, beleértve a közvetlen felhasználói jogok kezelését és a downstream folytatási kötelezettségeket, amikor adatokat osztanak meg saját partnereikkel.

Az MSPA és a Global Privacy Platform (GPP)

Az MSPA nem létezik légüres térben. Ez a szerződéses réteg; a GPP a technikai jelzési réteg. Az IAB Tech Lab Global Privacy Platform a felhasználói döntéseket egyetlen karakterláncba kódolja, amely az ajánlati kérésekkel együtt utazik az OpenRTB protokollon keresztül. Az Egyesült Államok jelzéséhez a GPP egyes szakasz karakterláncokat hordoz minden állam számára, amelynek átfogó adatvédelmi törvénye van — például USCA (Kalifornia), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah), és az összefoglaló US National karakterlánc a dedikált szakasz nélküli államok számára.

Az MSPA megmondja a CMP rendszernek, hogy melyik mezőket állítsa be ezekben a GPP szakaszokban a lefedettség igényléséhez. A legfontosabb mezők, amelyeket a kiadók látni és konfigurálni fognak:

• MspaCoveredTransaction — Igen-re állítva, amikor a kiadó azt állítja, hogy az ajánlatkérés az MSPA keretrendszer hatálya alá tartozik.
• MspaOptOutOptionMode — jelzi, hogy a felhasználónak egyértelmű lemondási lehetőséget adtak-e az MSPA átláthatósági szabályai szerint.
• MspaServiceProviderMode — beállítva, amikor a downstream szállítóknak kizárólag szolgáltatóként kell kezelniük az adatokat.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — az részletes hozzájárulási jelzők, amelyeket az ajánlattevők olvasnak annak eldöntéséhez, hogy mit tehetnek a megjelenítéssel.
• SensitiveDataProcessing — egy többelemű tömb, amely jelzi a felhasználó döntéseit a faji eredetre, vallási meggyőződésre, egészségre, szexuális irányultságra, állampolgárságra, pontos földrajzi helymeghatározásra és az állami törvény által meghatározott egyéb érzékeny kategóriákra vonatkozóan.

Ha a CMP rendszer MspaCoveredTransaction = Igen-t állít be, de a kiadó valójában nem írta alá az MSPA szerződést, akkor hamis állítást tett, amelyre a downstream aláírók támaszkodnak. Ez gyors út a szerződéses vitához és, az államtól függően, hatósági panaszhoz.

Érzékeny adatok: A csapda, amelyet a legtöbb kiadó elszalaszt

Minden Kalifornia után elfogadott átfogó Egyesült Államok állami adatvédelmi törvény bővítette az érzékeny személyes adatok meghatározását, és az MSPA ezeket egységes GPP mezőbe foglalja. A kategóriák jellemzően tartalmazzák:

• Kormányzati azonosítók (társadalombiztosítási szám, jogosítvány, útlevél).
• Fiókadatok és pénzügyi információk.
• Pontos földrajzi helymeghatározás, általában 533 méternél szűkebb.
• Faji vagy etnikai eredet, vallási meggyőződés, mentális vagy fizikai egészségügyi diagnózisok.
• Nemi élet és szexuális irányultság.
• Állampolgárság és bevándorlási státusz.
• Személy azonosítására használt genetikai és biometrikus adatok.
• Ismert, 13 év alatti gyermekekre vonatkozó adatok — egyes államokban 16 éves korig extra védelemmel.

Egyes államok opt-in hozzájárulást írnak elő az érzékeny adatok feldolgozásához, míg mások lehetővé teszik a feldolgozást lemondási joggal. Az MSPA GPP-kódolása lehetővé teszi mindkettő kifejezését, de a CMP rendszernek tudnia kell, melyiket kérje a felhasználó állama alapján. Az érzékeny adatok téves besorolása — például az egészségügyi tartalom böngészése közönséges viselkedési adatként kezelve — a leggyakoribb hibaforma, amelyet az állami főügyészek jelöltek meg a 2024–2025-ös végrehajtási intézkedésekben.

MSPA-kész hozzájárulási folyamat kialakítása

Az MSPA megvalósítása a webhelyén vagy alkalmazásában koordinációs probléma a jogi, mérnöki és hirdetési műveleti területek között. A munka nagyjából öt munkafolyamatra osztható.

1. Az MSPA aláírása és aláírói státuszának fenntartása

Az MSPA valódi szerződés, amelyet a jogi tanácsadónak felül kell vizsgálnia és végre kell hajtania. Meg kell adnia a betöltött szerepkört vagy szerepköröket, az Egyesült Államok azon államait, ahol üzleti tevékenységet folytat, és a feldolgozott adatok kategóriáit. Évente megújítandó, és az IAB Tech Lab aláírói portáljának frissítése szükséges, valahányszor megváltozik a szerepköre vagy joghatósága.

2. A CMP rendszer konfigurálása többállamos logikára

Egyetlen csak CCPA-s banner már nem elegendő. A CMP rendszernek fel kell ismernie a felhasználó államát — jellemzően IP geolokáció segítségével, adatvédelmi tartalékkal — és meg kell jelenítenie az adott joghatósághoz megfelelő értesítéseket, hivatkozásokat és lemondási vezérlőket. A FlexyConsent és más modern Google-tanúsítvánnyal rendelkező CMP-k többállamos sablonokat szállítanak, amelyek állam szerint leképeznek a megfelelő GPP szakasz karakterláncokra.

3. GPP karakterláncok beillesztése a hirdetési technológiába

A GPP karakterláncot minden, Egyesült Államok felhasználójától érkező OpenRTB ajánlatkérésbe be kell illeszteni. A Google Ad Manager felhasználói számára ez a hálózati beállításokban a GPP-támogatás engedélyezését jelenti; a Prebid felhasználók számára ez a gppControl_usnat és állami modulok telepítését és annak ellenőrzését jelenti, hogy a consentManagement adapter továbbítja-e a kódolt karakterláncot. A GPP dekóder segítségével ellenőrizze a CMP-től az ajánlatkérésig tartó teljes körforgást.

4. A Global Privacy Control (GPC) jel tiszteletben tartása

A legtöbb állami törvény — Kalifornia, Colorado, Connecticut és egyre bővülő lista — megköveteli a böngészőszintű GPC jel érvényes lemondásként való tiszteletben tartását. Az MSPA elvárja az aláíróktól, hogy észleljék a GPC-t és ennek megfelelően előre beállítsák a SaleOptOut, SharingOptOut és TargetedAdvertisingOptOut mezőket, még mielőtt a felhasználó érintkezne a bannerrel. Ha a CMP rendszer nem tudja észlelni és reagálni a GPC-re, nem felel meg a követelményeknek, az MSPA tagságától függetlenül.

5. Downstream szállítók auditálása

Az MSPA downstream-folyási logikája csak akkor működik, ha a szállítók is aláírók. Mielőtt adatokat küldene bármely SSP-nek, DSP-nek vagy adatpartnernek, ellenőrizze aláírói státuszukat az IAB Tech Lab portálon. A nem aláíró szállítókat vagy el kell távolítani a hirdetési technológiából az Egyesült Államok forgalmához, vagy külön kétoldalú DPA-kkal kell fedezni, amelyek tükrözik az MSPA feltételeit.

Gyakori megvalósítási buktatók

Több hibamintázat jelenik meg ismételten a kiadói auditok során:

• MSPA-lefedettség jelzése aláírás nélkül. Az MspaCoveredTransaction = Igen beállítása a GPP karakterláncban, miközben a kiadó jogi entitása nem hajtotta végre az MSPA-t, hamis állítás miatti igényeknek teszi ki a kiadót a jelzésre támaszkodó downstream aláíróktól.
• Texas, Oregon és Montana elfelejtése. Az eredeti öt államos konfigurációra beállított kiadók elmulasztják a 2024-ben és 2025-ben hatályba lépett törvényeket. Mindegyiknek megvannak a maga lemondási kiváltói; az MSPA lefedi ezeket, de csak akkor, ha a CMP állami felismerési logikája tartalmazza azokat.
• Érzékeny adatjelzések figyelmen kívül hagyása hír- és életstílus tartalmakon. Egészségügyi, vallási vagy LGBTQ-fókuszú cikkek olvasója implicit módon érzékeny adatokat dolgozhat fel. Végezzen tartalomellenőrzést, és konfiguráljon kategória szintű felülbírálókat a CMP-ben.
• A GPC kezelése tanácsadóként. A kaliforniai szabályozó 2024-ben tisztázta, hogy a GPC figyelmen kívül hagyása jogsértésenként szabályozási jogsértés. Az MSPA nem védi Önt ettől — ez azon múlik, hogy Ön tiszteletben tartja-e a GPC-t.
• Az élnél gyorsítótárazott elavult GPP karakterláncok. Az oldalak CDN vagy service worker gyorsítótárazása elavult GPP karakterláncot szolgáltathat egy korábbi munkamenetből. Tiltsa le a gyorsítótárazást a hozzájárulási végponton, és adjon hozzá friss letöltési lépést a hozzájárulás változásakor.

Hogyan befolyásolja az MSPA a hirdetési bevételeket

Azok a kiadók, akik helyesen valósítják meg az MSPA-t, jellemzően szerény rövid távú bevételcsökkenést látnak, amelyet stabilizáció követ, míg a hanyag megvalósítások vagy túlzottan korlátozzák az ajánlatokat, vagy végrehajtási kockázatnak teszik ki a kiadót. A mérleget mozgató változók:

• Lemondási arányok — Prominens lemondási hivatkozásokkal rendelkező államokban a felhasználók 5–15%-a általában lemond az értékesítésből vagy megosztásból. Az ajánlati árak a lemondott megjelenítéseken általában 30–60%-kal csökkennek, mivel a viselkedési célzás nem elérhető.
• Érzékeny tartalom besorolása — A közönséges tartalom érzékenynek való téves besorolása összeomlja a keresletet. Legyen konzervatív és kategória-pontos.
• Fejléces ajánlattételi partnermix — A nem MSPA-aláíró partnerek, amelyeket le kell tiltania az Egyesült Államok forgalmához, csökkentik az árverést. Cserélje le ezeket aláírókra, ahelyett, hogy vékonyabb kereslettel futna.
• Kiszolgálóoldali címkézés — Egy kiszolgálóoldali konténer, amely olvassa a GPP karakterláncot és feltételesen tüzel címkéket, a legtisztább módja az elemzés és hozzájárulás szinkronizálásának.

Mi következik: 2026 és azon túl

Az MSPA élő megállapodás. Az IAB évente vagy kétévente frissíti, ahogy az új állami törvények, főügyészi útmutatók és szövetségi javaslatok átformálják a tájképet. A 2026-ban figyelendő témák:

• Egy lehetséges szövetségi adatvédelmi törvény, amely részben megelőzné az állami rendszereket — az MSPA tartalmaz megelőzési tartalék logikát, így az aláírók nem maradnak cserben.
• A GPP kiterjesztése az egészség-specifikus jelzés lefedésére a Washington My Health My Data Act és hasonló jogszabályok alapján.
• A Kaliforniai Adatvédelmi Védelmi Ügynökség és a Texas főügyésze által az opt-out folyamatokban alkalmazott sötét minta szabályok szigorúbb végrehajtása.
• Integráció a mesterséges intelligencia és nagy nyelvi modell képzési közzétételekkel, amelyekről több állam törvényhozása vitatkozik.

Azok a kiadók, akik az MSPA megvalósítást egyszeri projektként kezelik, lemaradnak. Kezelje folyamatos operatív higiéniának, amelyet közösen a jogi, hirdetési műveleti és termékmérnöki csapatok tartanak fenn, és negyedévente felülvizsgálnak. Az Egyesült Államok többállamos megfelelőségénél nyerő kiadók nem azok, akiknek a legtöbb ügyvédjük van — hanem azok, akiknek a CMP rendszere, hirdetési technológiája és auditálási naplói mind ugyanazt a történetet mondják el, amikor egy szabályozó megkérdezi.

A lényeg

Az MSPA a töredezett Egyesült Államok adatvédelmi tájkép gyakorlati válasza. Nem fogad el törvényeket Ön helyett, de egységes közös nyelvet ad az ajánlati streamnek, szállítóinak és jogi csapatának a lemondások, érzékeny adatok és downstream kötelezettségek tekintetében. Párosítsa egy állam-tudatos CMP rendszerrel, pontos GPP jelzéssel és fegyelmezett szállítókezeléssel, és kevesebb időt tölt a joghatóságról vitatkozással, és több időt a megengedett megjelenítések monetizálásával. Ez az egyetlen fenntartható út 2026-on és az azt követő állami törvények hullámán keresztül.