Apa sebenarnya Global Privacy Platform itu

GPP adalah protokol transport, bukan kerangka persetujuan baru. Ini adalah kontainer yang mengenkode beberapa sinyal persetujuan spesifik wilayah ke dalam satu string Base64, diekspos melalui API JavaScript standar (__gpp()) yang dapat dikueri oleh SSP, DSP, dan vendor pengukuran. Setiap wilayah memiliki bagian tersendiri di dalam string GPP: Bagian 2 membawa TCF EU v2, Bagian 6 membawa US Privacy (tidak digunakan lagi), Bagian 7 mencakup USNat, dan Bagian 8 hingga 12 mencakup California, Virginia, Colorado, Utah, dan Connecticut masing-masing. Bagian tambahan untuk Texas, Oregon, Montana, dan negara bagian lainnya sedang ditambahkan seiring berlakunya undang-undang mereka.

Pilihan desain utamanya adalah bahwa satu string GPP dapat membawa beberapa bagian secara bersamaan. Pengunjung Eropa mendapatkan data TCF EU; pengunjung California mendapatkan data US-CA; pengguna yang IP-nya tergeolokasi di kedua yurisdiksi (jarang tetapi mungkin melalui VPN) dapat memiliki kedua bagian yang terisi. Vendor ad tech hanya membaca bagian yang relevan bagi mereka dan mengabaikan sisanya.

Mengapa GPP ada dan mengapa penting sekarang

Sebelum GPP, setiap undang-undang privasi negara bagian AS baru memaksa publisher untuk mengimplementasikan sinyal lain. California memiliki USP. VCDPA Virginia memerlukan semantik opt-out yang berbeda. CPA Colorado mengakui sinyal browser Global Privacy Control. Utah dan Connecticut masing-masing menambahkan lebih banyak nuansa. Vendor ad tech harus mengurai setengah lusin format, seringkali secara tidak konsisten, dan risiko memberi sinyal "pengguna menyetujui" di satu saluran sementara pengguna telah opt-out di saluran lain menjadi eksposur kepatuhan yang nyata.

GPP menstandarisasi transportnya. Setelah CMP menetapkan string GPP, setiap vendor hilir membaca enkode yang sama. Bagi publisher, ini penting karena tiga alasan: kebijakan Google 2024 kini mengharuskan dukungan GPP untuk sinyal negara bagian AS di inventaris Google Ad Manager; Prebid.js 8.x dan sebagian besar adapter SSP utama mengharapkan GPP; dan regulator semakin merujuk kepatuhan GPP sebagai bukti propagasi sinyal dengan itikad baik.

Bagian GPP dan artinya

Setiap bagian GPP memiliki aturan enkode tersendiri, mencerminkan kerangka yang mendasarinya:

Bagian 2: TCF EU v2

Identik dengan string TCF v2.2 mandiri yang sudah Anda hasilkan untuk lalu lintas Eropa. Jika CMP Anda bersertifikat TCF, Anda sudah menghasilkan bagian ini — GPP hanya membungkusnya.

Bagian 7: US National (USNat)

Bagian terbaru, dirancang sebagai sinyal tunggal yang mencakup semua undang-undang privasi federal dan negara bagian AS. Ini mengenkode pemberitahuan yang diberikan, opt-out penjualan, opt-out berbagi, opt-out iklan bertarget, opt-out data sensitif, dan penanganan data anak yang diketahui. Vendor yang beroperasi di beberapa negara bagian AS sebaiknya lebih memilih USNat daripada bagian per negara bagian jika memungkinkan.

Bagian 8-12: Sinyal AS per negara bagian

California (US-CA), Virginia (US-VA), Colorado (US-CO), Utah (US-UT), dan Connecticut (US-CT). Setiap bagian membawa bidang spesifik untuk undang-undang negara bagian tersebut — misalnya, US-CA mempertahankan opt-out penjualan dan berbagi CCPA/CPRA yang lebih lama, sementara US-CO menambahkan flag persetujuan data sensitif yang diwajibkan oleh Colorado Privacy Act. Texas (US-TX di bawah bagian 13 CPA) dan Oregon (US-OR di bawah bagian 14 CPA) ditambahkan setelah undang-undang mereka berlaku pada Juli 2024.

Cara publisher harus bermigrasi

Sebagian besar publisher sudah memiliki CMP yang menghasilkan string TCF untuk lalu lintas EU dan string USP untuk California. Jalur migrasi ke GPP terlihat seperti ini:

Langkah 1: Perbarui CMP Anda

Konfirmasi bahwa vendor CMP Anda terdaftar di IAB daftar CMP bersertifikat GPP. FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics, dan sebagian besar CMP bersertifikat Google kini menghasilkan string GPP yang valid. Jika CMP Anda masih hanya mengeluarkan TCF atau USP, minta peta jalan untuk dukungan GPP — vendor mana pun tanpa rencana di sini akan tertinggal di 2026.

Langkah 2: Konfigurasi bagian GPP berdasarkan geografi

CMP Anda harus secara otomatis memutuskan bagian GPP mana yang akan diisi berdasarkan geolokasi IP. Pengunjung Eropa mendapatkan Bagian 2 (TCF EU); pengunjung AS mendapatkan Bagian 7 (USNat) atau bagian per negara bagian tergantung pada bagaimana tumpukan vendor Anda membaca sinyal tersebut. Jangan mengisi setiap bagian untuk setiap pengunjung — itu adalah kesalahan konfigurasi umum yang membocorkan data tidak relevan yurisdiksi.

Langkah 3: Verifikasi propagasi hilir

String GPP hanya berguna jika SSP, DSP, analitik, dan vendor piksel membacanya. Audit tumpukan iklan Anda: di Prebid.js, konfirmasi bahwa modul gppControl diaktifkan; di Google Ad Manager, konfirmasi bahwa string GPP diteruskan melalui API persetujuan GAM; di Google Analytics 4, konfirmasi bahwa Consent Mode v2 membaca GPP bersama TCF. Vendor mana pun yang diam-diam mengabaikan GPP adalah celah kepatuhan.

GPP, Consent Mode v2, dan persyaratan Google

Pembaruan kebijakan Google Desember 2024 membuat dukungan GPP wajib bagi publisher yang memonetisasi inventaris AS melalui Google Ad Manager. Perubahan ini halus tetapi penting: Consent Mode v2 masih menggunakan sinyal ad_storage dan analytics_storage-nya sendiri, tetapi GAM kini mengharapkan string GPP hadir dalam permintaan iklan untuk lalu lintas undang-undang negara bagian AS mana pun. String GPP yang hilang atau salah format dapat mengakibatkan iklan ditayangkan dalam mode terbatas — dengan dampak fill dan pendapatan yang signifikan — atau, bagi pelanggar berulang, inventaris dikecualikan dari lelang.

Implikasi praktisnya: bahkan publisher yang secara historis mengabaikan undang-undang negara bagian AS karena pendapatan mereka hanya dari California kini memerlukan GPP. Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Montana, dan Iowa semuanya memiliki undang-undang yang berlaku per 2026, dan Google membaca string GPP untuk menentukan apakah permintaan iklan Anda mematuhi masing-masing.

Jebakan migrasi umum

Empat kesalahan yang berulang kali kami lihat ketika publisher menambahkan GPP:

Sinyal duplikat. Beberapa publisher mempertahankan string TCF dan USP mandiri di samping GPP, menciptakan tiga sumber kebenaran yang bisa bertentangan. Setelah GPP aktif, pensiunkan string mandiri tersebut.

Pengisian bagian yang salah. Mengisi US-CA untuk setiap pengunjung AS tanpa memperhatikan negara bagian sebenarnya membocorkan geografi dan dapat secara keliru mengklaim hak opt-out CCPA untuk penduduk non-California. Gunakan geolokasi IP untuk memilih bagian yang tepat.

Mengabaikan GPC. Sinyal browser Global Privacy Control bukan bagian GPP — ini adalah header HTTP dan properti JS yang terpisah. CMP Anda harus membaca GPC saat halaman dimuat dan mencerminkannya sebagai opt-out di bagian GPP yang relevan, atau Anda melanggar undang-undang Colorado, Connecticut, dan California.

Adapter vendor lama. Adapter Prebid yang lebih lama dan integrasi SSP mungkin membuang string GPP sebelum mencapai penawar. Uji setiap vendor dalam tumpukan iklan Anda dengan validator GPP IAB sebelum menyatakan migrasi selesai.

Pandangan jangka panjang: GPP melampaui AS

GPP dirancang untuk diperluas melampaui TCF EU dan undang-undang negara bagian AS. Bagian baru untuk Kanada (PIPEDA ditambah Hukum 25 Quebec), Brasil (LGPD), Korea Selatan (PIPA), dan yurisdiksi lainnya sedang dalam pengembangan aktif kelompok kerja IAB. Bagi publisher yang melayani inventaris global, GPP menjadi transport persetujuan tunggal yang menggantikan setiap protokol regional. Berinvestasi dalam GPP hari ini memposisikan tumpukan Anda untuk menyerap gelombang berikutnya dari undang-undang privasi regional tanpa sprint integrasi lagi.