Hvað MSPA er — og hvað það er ekki

MSPA er einkaregluverk sem er byggt á samningum og gefið út af IAB. Það er ekki lög og kemur ekki í stað ríkislöggjafar. Þess í stað er það fjölhliða samkomulag sem þátttakendur — útgefendur, umboðsstofur, auglýsingakerfi, SSP, DSP og gagnaveitendur — skrifa undir til að geta gert samræmdar lagalegar fullyrðingar um hvernig persónuupplýsingar flæða í gegnum forritunarauglýsingar. Þegar allir í keðju skrifa undir sama samning þurfa niðstreymslánardrottnar ekki að semja um fimmtíu mismunandi tvíhliða gagnameðferðarsamningar til að meðhöndla eina tilboðsbeiðni.

Líttu á MSPA sem þrjá hluti í einu:

• Samningur sem flæðir sjálfkrafa niðstreymis þegar undirritari sendir gögn til annars undirritara.
• Orðaforði til að tjá val notanda með GPP-kóðuðum strengjum, þar á meðal opt-out úr sölu, deilingu, markvissri auglýsingu og meðferð viðkvæmra gagna.
• Áhættuúthlutunarrammi sem kortleggur hvern undirritara í eitt af þremur hlutverkum — Þakið fyrirtæki, Þjónustuaðili/Meðhöndlari eða Þriðji aðili — og þær skyldur sem fylgja hverju.

Hvað MSPA er ekki: varamaður fyrir friðhelgistilkynningu þína, skipti fyrir beint samþykki notanda þar sem þess er krafist, eða trygging um reglufylgni við tiltekna ríkislöggjöf. Það er tæki sem, notað rétt, gerir reglufylgni við mörg ríkislög rekstrarlega mögulega. Notað rangt — til dæmis með því að merkja þátttöku á meðan haldið er áfram að deila gögnum eftir opt-out — eykur það ábyrgð þína frekar en að draga úr henni.

Hverjum er mar um: Þrjú MSPA hlutverk

Áður en þú skrifar eitthvað undir, skaltu bera kennsl á hvaða hlutverk þú gegnir í raun. Flestir útgefendur verða á óvart að uppgötva að þeir bera fleiri en einn hatt eftir gagnaflæðinu.

Þakið fyrirtæki

Þú ert Þakið fyrirtæki ef þú ákveður tilgang og leiðir meðferðar persónuupplýsinga um notanda — venjulega útgefandinn sem rekur vefsíðuna eða forritið sem notandinn heimsækir. Sem Þakið fyrirtæki berð þú ábyrgð á að safna samþykki, birta tilkynningar, virða opt-out og stilla GPP merkið sem niðstreymslánardrottnar treystir á. Byrðin sem snýr að notanda hvílir á þér.

Þjónustuaðili eða Meðhöndlari

Þú ert Þjónustuaðili þegar þú meðhöndlar persónuupplýsingar fyrir hönd Þakis fyrirtækis samkvæmt samningi og aðeins í takmörkuðum, leyfilegum tilgangi. Flestir greiningaraðilar, hýsingaraðilar og samþykkisstjórnunarkerfi starfa á þessum vegi. MSPA setur takmarkanir: engin sala, engar krosssamhengislegar hegðunarauglýsingar fyrir eigin hönd og þröngt skilgreindar reglur um varðveislu og eyðingu.

Þriðji aðili

Þú ert Þriðji aðili þegar þú tekur við persónuupplýsingum frá Þaktu fyrirtæki og notar þær í eigin tilgangi — flestir SSP, DSP, auðkennisveitendur og gagnasalar falla hér undir. Þriðju aðilar hafa þyngstu samningsskyldurnar, þar á meðal meðhöndlun á beinum réttindum notanda og niðstreymsflæðisskyldur þegar þeir deila gögnum með eigin samstarfsaðilum.

MSPA og Global Privacy Platform (GPP)

MSPA er ekki til í tómarúmi. Það er samningslag; GPP er tæknilegt merkjalag. Global Privacy Platform IAB Tech Lab kóðar val notanda í einn streng sem ferðast með tilboðsbeiðnum í gegnum OpenRTB samskiptareglur. Fyrir bandaríska merkjun ber GPP hlutastrengja fyrir hvert ríki með yfirgripsmikla friðhelgislöggjöf — til dæmis, USCA (Kalifornía), USCO (Colorado), USVA (Virginía), USCT (Connecticut), USUT (Utah) og US National strengurinn sem nær yfir ríki án sérstaks hluta.

MSPA segir CMP þínu hvaða reiti á að stilla í þessum GPP hlutum til að krefjast þekju. Mikilvægustu reitirnir sem útgefendur sjá og stilla eru:

• MspaCoveredTransaction — stillt á Já þegar útgefandinn heldur því fram að tilboðsbeiðnin falli undir MSPA rammann.
• MspaOptOutOptionMode — gefur til kynna hvort notandinn hafi fengið skýran opt-out möguleika eins og MSPA gagnsæisreglur krefjast.
• MspaServiceProviderMode — stillt þegar niðstreymslánardrottnar verða að meðhöndla gögn sem þjónustuaðila einvörðungu.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — nákvæmar samþykktarflaggar sem bjóðendur lesa til að ákveða hvað þeir mega gera með birtinguna.
• SensitiveDataProcessing — fjöl-þátta fylki sem gefur til kynna val notanda fyrir kynþáttarlega uppruna, trúarlegar skoðanir, heilsu, kynhneigð, ríkisborgararétt, nákvæma staðsetningu og aðrar viðkvæmar flokkar sem skilgreindar eru af ríkislögum.

Ef CMP þitt stillir MspaCoveredTransaction = Já en útgefandinn hefur í raun ekki undirritað MSPA samninginn, hefur þú just gert ranga fullyrðingu sem niðstreymundirritarar treystir á. Það er skjót leið að samningsdeilu og, eftir ríki, kvörtun til eftirlitsaðila.

Viðkvæm gögn: Gildrumið sem flestir útgefendur vanrækja

Sérhver yfirgripsmikil bandarísk ríkisfriðhelgislöggjöf sem sett hefur verið frá Kaliforníu hefur víkkað skilgreiningu viðkvæmra persónuupplýsinga og MSPA brotnar þær inn í sameinað GPP reit. Flokkar eru venjulega:

• Ríkisauðkenni (kennitala, ökuskírteini, vegabréf).
• Reikningsskráningargögn og fjárhagsupplýsingar.
• Nákvæm staðsetning, almennt þrengri en 533 metra.
• Kynþáttarlegur eða þjóðernislegur uppruni, trúarlegar skoðanir, geðheilsu- eða líkamsheilsufarsgreining.
• Kynlíf og kynhneigð.
• Ríkisborgararéttur og innflytjendastatús.
• Erfðafræðileg og líffræðileg gögn notuð til að bera kennsl á einstakling.
• Gögn varðandi þekktan barn undir 13 ára — og í sumum ríkjum, undir 16 ára með auknum verndum.

Sum ríki krefjast opt-in samþykkis fyrir meðferð viðkvæmra gagna, á meðan önnur leyfa meðhöndlun með rétt til opt-out. GPP kóðun MSPA leyfir þér að tjá hvort tveggja, en CMP þitt verður að vita hvort að biðja um eftir ríki notandans. Rangt flokkun viðkvæmra gagna — til dæmis, meðhöndlun á heilsufarsefni vafra sem venjuleg hegðunargögn — er algengasta bilunarmátinn sem ríkissaksóknendur bentu á í framkvæmdaraðgerðum 2024–2025.

Að byggja upp MSPA-tilbúið samþykkisflæði

Innleiðing MSPA á vefsíðu þinni eða forriti er samhæfingarvandamál þvert á lögfræði, verkfræði og auglýsingastarfsemi. Vinnunni er skipt upp í um fimm verkflæðisstrauma.

1. Undirrita MSPA og viðhalda undirritarastöðu þinni

MSPA er raunverulegt samningur sem lögfræðiráðgjafi verður að fara yfir og framkvæma. Þú munt lýsa hlutverkinu eða hlutverkum sem þú gegnir, ríki í Bandaríkjunum þar sem þú stundar viðskipti og flokkar gagna sem þú vinnur úr. Endurnýjaðu árlega og uppfærðu undirritaraskrá IAB Tech Lab þegar hlutverk þitt eða lögsögu breytist.

2. Stilla CMP þitt fyrir fjölríkjarökstuðning

Eitt CCPA-eitt borði er ekki lengur nóg. CMP þitt verður að greina ríki notandans — venjulega í gegnum IP staðsetningarmörkunar studda af friðhelgisafleggjara — og birta réttar tilkynningar, tengla og opt-out stýringar fyrir þá lögsögu. FlexyConsent og önnur nútímaleg Google-vottuð CMP koma með fjölríkjasniðmát sem kortleggja ríki fyrir ríki á réttar GPP hlutastrengjar.

3. Tengja GPP strengja við auglýsingabunkann þinn

GPP strengurinn verður að vera settur inn í hverja OpenRTB tilboðsbeiðni sem kemur frá bandarískum notanda. Fyrir notendur Google Ad Manager þýðir þetta að virkja GPP stuðning í netsstillingum; fyrir Prebid notendur þýðir þetta að setja upp gppControl_usnat og ríkiseininga og staðfesta að consentManagement millistykki sendir kóðaða strenginn áfram. Prófaðu með IAB Tech Lab GPP afkóðara til að staðfesta hringferðina frá CMP til tilboðsbeiðni.

4. Virða Global Privacy Control (GPC) merkið

Flest ríkislög — Kalifornía, Colorado, Connecticut og vaxandi listi — krefjast þess að vafra-stigs GPC merki sé virt sem gilt opt-out. MSPA býst við að undirritarar greini GPC og forstilli SaleOptOut, SharingOptOut og TargetedAdvertisingOptOut reiti í samræmi við það, jafnvel áður en notandinn snertir borðann. Ef CMP þitt getur ekki greint og brugðist við GPC, ert þú ekki í samræmi óháð MSPA aðild.

5. Endurskoða niðstreymslánardrottna

Niðstreymsflæðisrökstuðningur MSPA virkar aðeins ef lánardrottnar þínir eru einnig undirritarar. Áður en þú sendir gögn til einhvers SSP, DSP eða gagnasamstarfsaðila, staðfestu undirritarastöðu þeirra í IAB Tech Lab gáttinni. Lánardrottnar sem eru ekki undirritarar verða annaðhvort fjarlægðir úr auglýsingabunkanum þínum fyrir bandarískan umferð eða þektir með sérstökum tvíhliða DPA sem speglast í MSPA skilmálum.

Algengar innleiðingargildrur

Nokkur bilunarmynstur koma upp aftur og aftur í endurskoðunum útgefenda:

• Merking MSPA þekju án undirskriftar. Stilling MspaCoveredTransaction = Já í GPP strengnum á meðan lögleg eining útgefandans hefur ekki framkvæmt MSPA útsetur útgefandann fyrir misskilningskröfur frá niðstreymundirritara sem treystir á merkið.
• Gleyma Texas, Oregon og Montana. Útgefendur stilltir fyrir upprunalegt fimm-ríkjalandslag missa lög sem tóku gildi 2024 og 2025. Hvert hefur sína eigin opt-out kveikjur; MSPA þekur þau, en aðeins ef ríkisgreiningargrunnskrá CMP þíns inniheldur þau.
• Hunsa viðkvæmar gagnamerki á frétta- og lífsstílsefni. Lesandi heilsugrein, trúargreinar eða LGBTQ-miðaðrar greinar kann að vera að vinna úr viðkvæmum gögnum óbeint. Keyrðu efnisnedurkomu og stilltu flokka-stigs hnekki í CMP.
• Meðhöndla GPC sem ráðleggingarlegt. Kalifornísk eftirlitsaðili skýrði 2024 að hunsa GPC er brot á hverri atvik. MSPA verndar þig ekki gegn þessu — það er háð því að þú virt GPC.
• Gamlar GPP strengir geymdar við jaðar. CDN eða service worker skyndiminni á síðum getur þjónað notanda gamall GPP strengur frá fyrri lotu. Slökktu á skyndiminni á samþykkisendapunktinum og bættu við nýju sóttunarskref þegar samþykki breytist.

Hvernig MSPA hefur áhrif á auglýsingatekjur

Útgefendur sem innleiða MSPA rétt sjá venjulega lítið skammtímatekjufall fylgt af stöðugun, á meðan klúðurlegar innleiðingar annaðhvort takmarkaðar of mikið tilboð eða útseta útgefanda fyrir framkvæmdaráhættu. Breyturnar sem hreyfa vogina:

• Opt-out hlutfall — Í ríkjum með áberandi opt-out tengla velja 5–15% notenda venjulega opt-out úr sölu eða deilingu. Tilboðsverð á opt-out birtingum fer venjulega niður um 30–60% vegna þess að hegðunarmiðun er ekki tiltæk.
• Flokkun viðkvæms efnis — Rangt flokkun venjulegs efnis sem viðkvæmt mun fella eftirspurn. Vertu íhaltssamur og nákvæmur í flokkum.
• Hausbeiðnisamstarfsaðilasamsetning — Samstarfsaðilar sem ekki eru MSPA-undirritarar og þú þarft að slökkva á fyrir bandaríska umferð þrengja uppboðið. Skiptu þeim út með undirritara frekar en að keyra með þynnri eftirspurn.
• Þjónustuhlið-merking — Þjónustuhlið-geymir sem les GPP strenginn og kveikir skilyrt á merkjum er hreinlegasta leiðin til að halda greiningum og samþykki í samræmi.

Hvað kemur næst: 2026 og þar á eftir

MSPA er lifandi samkomulag. IAB uppfærir það á hvert eitt til tvö ár eftir því sem ný ríkislög, leiðbeiningar saksóknara og alríkistillögur endurskapa landslag. Þemu til að fylgjast með 2026:

• Möguleg alríkisfriðhelgislöggjöf sem myndi að hluta leggja ríkiskerfi undir sig — MSPA inniheldur fortimansskreppu-rökstuðning, þannig að undirritarar verða ekki skildir eftir.
• Útvíkkun GPP til að þekja heilsu-sértæk merki undir Washington My Health My Data Act og hliðstæð lög.
• Þrengri framkvæmd á myrkurmunsturreglum í opt-out flæðum af California Privacy Protection Agency og Texas saksóknara.
• Samþætting við AI og stór-tungumálalíkan þjálfunaruppljóstranir, sem nokkrar ríkislöggjafir eru að ræða.

Útgefendur sem meðhöndla MSPA innleiðingu sem einstakt verkefni munu dragast aftur úr. Meðhöndlaðu það sem viðhaldsrekstrarhreinsanir, í eigu sameiginlega af lögfræðilegri deild, auglýsingastjórnun og vöruverkfræðilegri deild og farið yfir á fjórðungslegum grundvelli. Útgefendur sem vinna í bandarísku fjölríkjasamræmi eru ekki þeir með flestar lögmenn — þeir eru þeir sem CMP, auglýsingabunki og endurskoðunarskrár segja allar sömu sögu þegar eftirlitsaðili spyr.

Niðurstaðan

MSPA er hagnýt svar við brotakenndu bandarísku friðhelgislandslagi. Það mun ekki samþykkja lög fyrir þig, en það mun gefa tilboðsstraum þinn, lánardrottnum og lögfræðiteymi eitt sameiginlegt tungumál fyrir opt-out, viðkvæmar upplýsingar og niðstreymsskyldur. Pairu það með ríkis-meðværu CMP, nákvæmum GPP merkjum og agaðri lánardrottnastjórnun, og þú munt eyða minna tíma í deilur um lögsögu og meiri tíma í að monetiserast birtingarnar sem þú hefur leyfi til að monetisera. Það er eina sjálfbæra leiðin í gegnum 2026 og bylgjuna af ríkislögum sem enn bíður á bak við hana.