Apa itu MSPA — dan Apa yang Bukan

MSPA adalah kerangka berbasis kontrak swasta yang diterbitkan oleh IAB. Ini bukan undang-undang dan tidak menggantikan undang-undang negara bagian. Sebaliknya, ini adalah perjanjian multi-pihak yang diikuti oleh peserta — penerbit, agensi, jaringan iklan, SSP, DSP, dan penyedia data — agar dapat membuat klaim hukum yang konsisten tentang bagaimana informasi pribadi mengalir melalui periklanan programatik. Ketika semua orang dalam rantai menandatangani kontrak yang sama, vendor hilir tidak perlu menegosiasikan lima puluh perjanjian pemrosesan data bilateral yang berbeda untuk menangani satu permintaan bid.

Anggap MSPA sebagai tiga hal sekaligus:

• Sebuah kontrak yang mengalir ke hilir secara otomatis ketika penandatangan meneruskan data ke penandatangan lain.
• Kosakata untuk mengekspresikan pilihan pengguna menggunakan string yang dikodekan GPP, termasuk opt-out dari penjualan, berbagi, periklanan bertarget, dan pemrosesan data sensitif.
• Kerangka alokasi risiko yang memetakan setiap penandatangan ke salah satu dari tiga peran — Bisnis Tercakup, Penyedia Layanan/Prosesor, atau Pihak Ketiga — dan kewajiban yang melekat pada masing-masing.

Yang MSPA bukan: pengganti pemberitahuan privasi Anda, pengganti persetujuan pengguna langsung di mana diperlukan, atau jaminan kepatuhan terhadap undang-undang negara bagian tertentu. Ini adalah alat yang, jika digunakan dengan benar, membuat kepatuhan terhadap beberapa undang-undang negara bagian dapat dilakukan secara operasional. Digunakan secara tidak benar — misalnya, dengan memberi sinyal partisipasi sambil terus berbagi data setelah opt-out — justru memperluas kewajiban Anda alih-alih menguranginya.

Siapa yang Harus Peduli: Tiga Peran MSPA

Sebelum menandatangani apa pun, identifikasi peran yang sebenarnya Anda mainkan. Sebagian besar penerbit terkejut menemukan bahwa mereka memakai lebih dari satu topi tergantung pada aliran data.

Bisnis Tercakup

Anda adalah Bisnis Tercakup jika Anda menentukan tujuan dan sarana pemrosesan informasi pribadi tentang pengguna — biasanya penerbit yang mengoperasikan situs web atau aplikasi yang dikunjungi pengguna. Sebagai Bisnis Tercakup, Anda bertanggung jawab mengumpulkan persetujuan, menampilkan pemberitahuan, menghormati opt-out, dan mengonfigurasi sinyal GPP yang diandalkan vendor hilir. Beban yang menghadap pengguna ada pada Anda.

Penyedia Layanan atau Prosesor

Anda adalah Penyedia Layanan ketika Anda memproses informasi pribadi atas nama Bisnis Tercakup berdasarkan kontrak dan hanya untuk tujuan terbatas yang diizinkan. Sebagian besar vendor analitik, penyedia hosting, dan platform manajemen persetujuan beroperasi di jalur ini. MSPA memberlakukan pembatasan: tidak ada penjualan, tidak ada periklanan perilaku lintas konteks atas nama sendiri, dan aturan retensi serta penghapusan yang ketat.

Pihak Ketiga

Anda adalah Pihak Ketiga ketika Anda menerima informasi pribadi dari Bisnis Tercakup dan menggunakannya untuk tujuan Anda sendiri — sebagian besar SSP, DSP, vendor identitas, dan broker data termasuk di sini. Pihak Ketiga memiliki kewajiban kontraktual paling berat, termasuk penanganan hak pengguna langsung dan kewajiban aliran hilir ketika mereka berbagi data dengan mitra mereka sendiri.

MSPA dan Global Privacy Platform (GPP)

MSPA tidak ada dalam ruang hampa. Ini adalah lapisan kontraktual; GPP adalah lapisan sinyal teknis. Global Privacy Platform IAB Tech Lab mengenkode pilihan pengguna ke dalam satu string yang berjalan bersama permintaan bid melalui protokol OpenRTB. Untuk sinyal AS, GPP membawa string bagian untuk setiap negara bagian dengan undang-undang privasi komprehensif — misalnya, USCA (California), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah), dan string Nasional AS yang mencakup semua untuk negara bagian tanpa bagian khusus.

MSPA memberi tahu CMP Anda bidang mana yang harus diatur dalam bagian GPP tersebut untuk mengklaim cakupan. Bidang terpenting yang akan dilihat dan dikonfigurasi penerbit meliputi:

• MspaCoveredTransaction — disetel ke Ya ketika penerbit menyatakan bahwa permintaan bid dicakup oleh kerangka MSPA.
• MspaOptOutOptionMode — menunjukkan apakah pengguna diberi opsi opt-out yang jelas sesuai aturan transparansi MSPA.
• MspaServiceProviderMode — disetel ketika vendor hilir harus memperlakukan data hanya sebagai penyedia layanan.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — tanda persetujuan granular yang dibaca penawar untuk memutuskan apa yang boleh mereka lakukan dengan tayangan.
• SensitiveDataProcessing — array multi-elemen yang memberi sinyal pilihan pengguna untuk asal ras, keyakinan agama, kesehatan, orientasi seksual, kewarganegaraan, geolokasi tepat, dan kategori sensitif lain yang didefinisikan oleh hukum negara bagian.

Jika CMP Anda menetapkan MspaCoveredTransaction = Ya tetapi penerbit sebenarnya belum menandatangani kontrak MSPA, Anda baru saja membuat klaim palsu yang akan diandalkan oleh penandatangan hilir. Itu adalah jalur cepat menuju sengketa kontrak dan, tergantung negara bagian, pengaduan regulasi.

Data Sensitif: Jebakan yang Terlewatkan Kebanyakan Penerbit

Setiap undang-undang privasi negara bagian AS yang komprehensif yang disahkan sejak California telah memperluas definisi informasi pribadi sensitif, dan MSPA melipatkan ini ke dalam satu bidang GPP yang terpadu. Kategori biasanya meliputi:

• Pengidentifikasi pemerintah (nomor jaminan sosial, SIM, paspor).
• Kredensial akun dan informasi keuangan.
• Geolokasi tepat, umumnya lebih sempit dari 533 meter.
• Asal ras atau etnis, keyakinan agama, diagnosis kesehatan mental atau fisik.
• Kehidupan seks dan orientasi seksual.
• Status kewarganegaraan dan imigrasi.
• Data genetik dan biometrik yang digunakan untuk mengidentifikasi seseorang.
• Data mengenai anak yang diketahui berusia di bawah 13 tahun — dan di beberapa negara bagian, di bawah 16 tahun dengan perlindungan ekstra.

Beberapa negara bagian memerlukan persetujuan opt-in untuk memproses data sensitif, sementara yang lain mengizinkan pemrosesan dengan hak untuk opt-out. Pengkodean GPP MSPA memungkinkan Anda mengekspresikan keduanya, tetapi CMP Anda harus tahu mana yang harus diminta berdasarkan negara bagian pengguna. Salah mengklasifikasikan data sensitif — misalnya, memperlakukan penelusuran konten kesehatan sebagai data perilaku biasa — adalah mode kegagalan paling umum yang ditandai oleh jaksa agung negara bagian dalam tindakan penegakan 2024–2025.

Membangun Aliran Persetujuan Siap-MSPA

Mengimplementasikan MSPA di situs atau aplikasi Anda adalah masalah koordinasi antara hukum, rekayasa, dan operasi iklan. Pekerjaan dibagi menjadi sekitar lima aliran kerja.

1. Tandatangani MSPA dan Pertahankan Status Penandatangan Anda

MSPA adalah kontrak nyata yang harus ditinjau dan dieksekusi oleh penasihat hukum. Anda akan mendeklarasikan peran atau peran yang Anda jalankan, negara bagian AS tempat Anda berbisnis, dan kategori data yang Anda proses. Perbarui setiap tahun dan perbarui portal penandatangan IAB Tech Lab setiap kali peran atau yurisdiksi Anda berubah.

2. Konfigurasikan CMP Anda untuk Logika Multi-Negara Bagian

Banner hanya-CCPA tunggal tidak lagi mencukupi. CMP Anda harus mendeteksi negara bagian pengguna — biasanya melalui geolokasi IP yang didukung oleh fallback privasi — dan menampilkan pemberitahuan, tautan, dan kontrol opt-out yang tepat untuk yurisdiksi tersebut. FlexyConsent dan CMP bersertifikat Google modern lainnya dilengkapi template multi-negara bagian yang memetakan per negara bagian ke string bagian GPP yang benar.

3. Pasang String GPP ke Dalam Tumpukan Iklan Anda

String GPP harus dimasukkan ke setiap permintaan bid OpenRTB yang berasal dari pengguna AS. Untuk pengguna Google Ad Manager, ini berarti mengaktifkan dukungan GPP di pengaturan jaringan; untuk pengguna Prebid, ini berarti menginstal modul gppControl_usnat dan per-negara bagian dan mengonfirmasi bahwa adaptor consentManagement meneruskan string yang dikodekan. Uji menggunakan dekoder GPP IAB Tech Lab untuk memverifikasi perjalanan pulang-pergi dari CMP ke permintaan bid.

4. Hormati Sinyal Global Privacy Control (GPC)

Sebagian besar undang-undang negara bagian — California, Colorado, Connecticut, dan daftar yang terus bertambah — mengharuskan penghormatan sinyal GPC tingkat browser sebagai opt-out yang valid. MSPA mengharapkan penandatangan untuk mendeteksi GPC dan menetapkan bidang SaleOptOut, SharingOptOut, dan TargetedAdvertisingOptOut terlebih dahulu, bahkan sebelum pengguna menyentuh banner. Jika CMP Anda tidak dapat mendeteksi dan bertindak berdasarkan GPC, Anda tidak patuh terlepas dari keanggotaan MSPA.

5. Audit Vendor Hilir

Logika aliran hilir MSPA hanya berfungsi jika vendor Anda juga merupakan penandatangan. Sebelum mengirim data ke SSP, DSP, atau mitra data mana pun, verifikasi status penandatangan mereka di portal IAB Tech Lab. Vendor non-penandatangan harus dihapus dari tumpukan iklan Anda untuk lalu lintas AS atau dicakup oleh DPA bilateral terpisah yang mencerminkan persyaratan MSPA.

Jebakan Implementasi Umum

Beberapa pola kegagalan muncul berulang kali dalam audit penerbit:

• Memberi sinyal cakupan MSPA tanpa menandatangani. Menetapkan MspaCoveredTransaction = Ya dalam string GPP sementara entitas hukum penerbit belum mengeksekusi MSPA mengekspos penerbit terhadap klaim misrepresentasi dari penandatangan hilir yang mengandalkan sinyal tersebut.
• Melupakan Texas, Oregon, dan Montana. Penerbit yang dikonfigurasi untuk lanskap lima negara bagian asli melewatkan undang-undang yang berlaku pada 2024 dan 2025. Masing-masing memiliki pemicu opt-out sendiri; MSPA mencakup mereka, tetapi hanya jika logika deteksi negara bagian CMP Anda menyertakan mereka.
• Mengabaikan sinyal data sensitif pada konten berita dan gaya hidup. Pembaca artikel yang berfokus pada kesehatan, agama, atau LGBTQ mungkin memproses data sensitif secara implisit. Jalankan audit konten dan konfigurasikan penggantian tingkat kategori dalam CMP.
• Memperlakukan GPC sebagai nasihat. Regulator California mengklarifikasi pada 2024 bahwa mengabaikan GPC adalah pelanggaran per-pelanggaran. MSPA tidak melindungi Anda dari ini — itu bergantung pada Anda untuk menghormati GPC.
• String GPP basi yang di-cache di edge. Caching CDN atau service worker pada halaman dapat menyajikan string GPP basi dari sesi sebelumnya kepada pengguna. Nonaktifkan caching pada endpoint persetujuan dan tambahkan langkah fresh-fetch saat persetujuan berubah.

Bagaimana MSPA Mempengaruhi Pendapatan Iklan

Penerbit yang mengimplementasikan MSPA dengan benar biasanya melihat penurunan pendapatan jangka pendek yang sederhana diikuti oleh stabilisasi, sementara implementasi yang ceroboh baik membatasi bid secara berlebihan atau mengekspos penerbit pada risiko penegakan. Variabel yang menggerakkan skala:

• Tingkat opt-out — Di negara bagian dengan tautan opt-out yang menonjol, 5–15% pengguna biasanya opt-out dari penjualan atau berbagi. Harga bid pada tayangan yang di-opt-out biasanya turun 30–60% karena penargetan perilaku tidak tersedia.
• Klasifikasi konten sensitif — Salah mengklasifikasikan konten biasa sebagai sensitif akan meruntuhkan permintaan. Bersikaplah konservatif dan tepat dalam kategori.
• Campuran mitra header bidding — Mitra non-penandatangan MSPA yang harus Anda nonaktifkan untuk lalu lintas AS mempersempit lelang. Gantikan mereka dengan penandatangan daripada berjalan dengan permintaan yang lebih tipis.
• Penandaan sisi server — Kontainer sisi server yang membaca string GPP dan secara kondisional mengaktifkan tag adalah cara paling bersih untuk menjaga analitik dan persetujuan tetap sinkron.

Apa yang Akan Datang: 2026 dan Seterusnya

MSPA adalah perjanjian hidup. IAB memperbaruinya setiap satu atau dua tahun seiring undang-undang negara bagian baru, panduan jaksa agung, dan proposal federal membentuk ulang lanskap. Tema yang perlu diperhatikan di 2026:

• Kemungkinan undang-undang privasi federal yang akan sebagian mengesampingkan rezim negara bagian — MSPA mencakup logika fallback preemption, sehingga penandatangan tidak akan ditinggalkan.
• Perluasan GPP untuk mencakup sinyal spesifik kesehatan di bawah Washington My Health My Data Act dan undang-undang serupa.
• Penegakan yang lebih ketat atas aturan pola gelap dalam aliran opt-out oleh California Privacy Protection Agency dan Jaksa Agung Texas.
• Integrasi dengan pengungkapan pelatihan AI dan model bahasa besar, yang sedang diperdebatkan oleh beberapa badan legislatif negara bagian.

Penerbit yang memperlakukan implementasi MSPA sebagai proyek satu kali akan tertinggal. Perlakukan sebagai kebersihan operasional berkelanjutan, yang dimiliki bersama oleh hukum, ops iklan, dan rekayasa produk, dan ditinjau setiap kuartal. Penerbit yang menang dalam kepatuhan multi-negara bagian AS bukan yang memiliki paling banyak pengacara — mereka yang CMP, tumpukan iklan, dan log auditnya semua menceritakan kisah yang sama ketika regulator bertanya.

Intinya

MSPA adalah jawaban praktis untuk lanskap privasi AS yang terfragmentasi. Ia tidak akan meloloskan undang-undang untuk Anda, tetapi akan memberi aliran bid, vendor, dan tim hukum Anda satu bahasa bersama untuk opt-out, data sensitif, dan kewajiban hilir. Padukan dengan CMP yang sadar negara bagian, sinyal GPP yang akurat, dan manajemen vendor yang disiplin, dan Anda akan menghabiskan lebih sedikit waktu berdebat tentang yurisdiksi dan lebih banyak waktu memonetisasi tayangan yang diizinkan untuk Anda monetisasi. Itulah satu-satunya jalur berkelanjutan melalui 2026 dan gelombang undang-undang negara bagian yang masih mengantri di belakangnya.