რა არის MSPA — და რა არ არის

MSPA არის IAB-ის მიერ გამოქვეყნებული კერძო, სახელშეკრულებო ჩარჩო. ეს არ არის კანონი და არ ანაცვლებს სახელმწიფო კანონებს. სამაგიეროდ, ეს არის მრავალმხრივი შეთანხმება, რომელსაც მონაწილეები — გამომცემლები, სარეკლამო სააგენტოები, სარეკლამო ქსელები, SSP-ები, DSP-ები და მონაცემთა პროვაიდერები — ხელს აწერენ, რათა შეძლონ თანმიმდევრული სამართლებრივი განცხადებების გაკეთება იმის შესახებ, თუ როგორ მიედინება პერსონალური ინფორმაცია პროგრამატული სარეკლამო საქმიანობის გავლით. როდესაც ჯაჭვში ყველა ხელს აწერს ერთ და იმავე კონტრაქტს, ქვემდინარე გამყიდველებს არ სჭირდებათ ერთი bid მოთხოვნის დასამუშავებლად ორმოცდაათი სხვადასხვა ორმხრივი მონაცემთა დამუშავების შეთანხმების შეთანხმება.

MSPA ერთდროულად სამ რამედ წარმოიდგინეთ:

• კონტრაქტი, რომელიც ავტომატურად მიედინება ქვემოთ, როდესაც ხელმომწერი სხვა ხელმომწერს მონაცემებს გადასცემს.
• ლექსიკა GPP-ით კოდირებული სტრინგების გამოყენებით მომხმარებლის არჩევანის გამოხატვისთვის, მათ შორის გაყიდვის, გაზიარების, სამიზნე რეკლამის და მგრძნობიარე მონაცემთა დამუშავებიდან გასვლის opt-out-ები.
• რისკის განაწილების ჩარჩო, რომელიც ყოველ ხელმომწერს სამი როლიდან ერთ-ერთს ანიჭებს — Covered Business, Service Provider/Processor ან Third Party — შესაბამისი ვალდებულებებით.

რა MSPA არ არის: კონფიდენციალობის შეტყობინების შემცვლელი, პირდაპირი მომხმარებლის თანხმობის შემცვლელი სადაც ეს საჭიროა, ან კონკრეტული სახელმწიფო კანონის შესრულების გარანტია. ეს არის ინსტრუმენტი, რომელიც, სწორად გამოყენებული, ოპერაციულად შესაძლებელს ხდის რამდენიმე სახელმწიფო კანონის შესაბამისობას. არასწორად გამოყენებული — მაგალითად, opt-out-ის შემდეგ მონაცემების გაზიარების გაგრძელებისას მონაწილეობის სიგნალის გაგზავნით — გაზრდის თქვენს პასუხისმგებლობას შემცირების ნაცვლად.

ვის უნდა ადარდებდეს: სამი MSPA როლი

სანამ რამეს ხელს მოაწერთ, განსაზღვრეთ, რომელ როლს ასრულებთ სინამდვილეში. გამომცემლების უმეტესობა გაკვირვებული აღმოაჩენს, რომ მონაცემთა ნაკადის მიხედვით ერთზე მეტ ქუდს ატარებს.

Covered Business

თქვენ ხართ Covered Business, თუ განსაზღვრავთ მომხმარებლის პერსონალური ინფორმაციის დამუშავების მიზნებსა და საშუალებებს — ჩვეულებრივ გამომცემელი, რომელიც მართავს ვებსაიტს ან აპლიკაციას, რომელსაც მომხმარებელი სტუმრობს. Covered Business-ის სახით, პასუხისმგებელი ხართ თანხმობის შეგროვებაზე, შეტყობინებების ჩვენებაზე, opt-out-ების პატივისცემაზე და GPP სიგნალის კონფიგურაციაზე, რომელზეც ეყრდნობიან ქვემდინარე გამყიდველები. მომხმარებელთან დაკავშირებული ტვირთი თქვენზეა.

Service Provider ან Processor

თქვენ ხართ Service Provider, როდესაც ამუშავებთ პერსონალურ ინფორმაციას Covered Business-ის სახელით კონტრაქტის საფუძველზე და მხოლოდ შეზღუდული, დასაშვები მიზნებისთვის. ანალიტიკის გამყიდველთა, ჰოსტინგის პროვაიდერთა და კონსენტის მართვის პლატფორმების უმეტესობა ამ კატეგორიაში მუშაობს. MSPA შეზღუდვებს წარუდგენს: გაყიდვა აკრძალულია, საკუთარი სახელით cross-context ბიჰევიორული რეკლამა აკრძალულია, ხოლო შენახვისა და წაშლის წესები მკაცრად არის განსაზღვრული.

Third Party

თქვენ ხართ Third Party, როდესაც Covered Business-ისგან მიიღებთ პერსონალურ ინფორმაციას და საკუთარი მიზნებისთვის იყენებთ — SSP-ების, DSP-ების, ID გამყიდველებისა და მონაცემთა ბროკერების უმეტესობა აქ ხვდება. Third Party-ს ყველაზე მძიმე სახელშეკრულებო ვალდებულებები აქვს, მათ შორის მომხმარებელთა უფლებების პირდაპირი მართვა და ქვემდინარე ნაკადის ვალდებულებები, როდესაც ისინი მონაცემებს თავიანთ პარტნიორებთან იზიარებენ.

MSPA და Global Privacy Platform (GPP)

MSPA არ არსებობს ვაკუუმში. ეს სახელშეკრულებო ფენაა; GPP ტექნიკური სიგნალიზაციის ფენაა. IAB Tech Lab-ის Global Privacy Platform მომხმარებლის არჩევანს OpenRTB პროტოკოლით bid მოთხოვნებთან ერთად გადადინებულ ერთ სტრინგში შიფრავს. აშშ-ის სიგნალიზაციისთვის, GPP ატარებს სექციის სტრინგებს ყოველი შტატისთვის, რომელსაც ყოვლისმომცველი კონფიდენციალობის კანონი აქვს — მაგალითად, USCA (კალიფორნია), USCO (კოლორადო), USVA (ვირჯინია), USCT (კონექტიკუტი), USUT (იუტა) და US National სტრინგი, რომელიც მოიცავს სპეციალური სექციის არმქონე შტატებს.

MSPA ეუბნება CMP-ს, GPP სექციებში რომელი ველები დაყენდეს დაფარვის დასამტკიცებლად. გამომცემლების მიერ დასანახი და კონფიგურაციისთვის ყველაზე მნიშვნელოვანი ველები მოიცავს:

• MspaCoveredTransaction — Yes-ზე დაყენებული, როდესაც გამომცემელი ამტკიცებს, რომ bid მოთხოვნა MSPA ჩარჩოს ფარგლებში ხვდება.
• MspaOptOutOptionMode — მიუთითებს, მომხმარებელს ეძლევა თუ არა MSPA-ს გამჭვირვალობის წესების მოთხოვნით მკაფიო opt-out ვარიანტი.
• MspaServiceProviderMode — დაყენებული, როდესაც ქვემდინარე გამყიდველებმა მონაცემები მხოლოდ სერვის-პროვაიდერის სახით უნდა განიხილონ.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — გრანულარული თანხმობის ნიშნები, რომლებსაც bidder-ები კითხულობენ იმ გადასაწყვეტად, რა შეუძლიათ impression-თან.
• SensitiveDataProcessing — მრავალელემენტიანი მასივი, რომელიც მომხმარებლის არჩევანს აჩვენებს რასობრივ წარმოშობაზე, რელიგიურ რწმენაზე, ჯანმრთელობაზე, სექსუალურ ორიენტაციაზე, მოქალაქეობაზე, ზუსტ გეოლოკაციაზე და სახელმწიფო კანონით განსაზღვრულ სხვა მგრძნობიარე კატეგორიებზე.

თუ CMP MspaCoveredTransaction = Yes-ს ადგენს, მაგრამ გამომცემელმა სინამდვილეში MSPA კონტრაქტი არ ხელი მოაწერა, მოჩვენებითი განცხადება გავაკეთეთ, რომელზეც ქვემდინარე ხელმომწერები დაეყრდნობიან. ეს სახელშეკრულებო დავისა და, შტატის მიხედვით, მარეგულირებლის საჩივრის სწრაფი გზაა.

მგრძნობიარე მონაცემები: ხაფანგი, რომელსაც გამომცემლების უმეტესობა ვერ ამჩნევს

კალიფორნიის შემდეგ მიღებულმა ყველა ყოვლისმომცველმა აშშ-ის სახელმწიფო კონფიდენციალობის კანონმა გააფართოვა მგრძნობიარე პერსონალური ინფორმაციის განმარტება, ხოლო MSPA ამათ ერთიან GPP ველში ახვევს. კატეგორიები ჩვეულებრივ მოიცავს:

• სახელმწიფო იდენტიფიკატორები (სოციალური დაცვის ნომერი, მართვის მოწმობა, პასპორტი).
• ანგარიშის სარეგისტრაციო მონაცემები და ფინანსური ინფორმაცია.
• ზუსტი გეოლოკაცია, ჩვეულებრივ 533 მეტრზე ვიწრო.
• რასობრივი ან ეთნიკური წარმოშობა, რელიგიური რწმენა, ფსიქიკური ან ფიზიკური ჯანმრთელობის დიაგნოზები.
• სქესობრივი ცხოვრება და სექსუალური ორიენტაცია.
• მოქალაქეობა და სტატუსი ემიგრანტის.
• გენეტიკური და ბიომეტრული მონაცემები, რომლებიც პიროვნების იდენტიფიცირებისთვის გამოიყენება.
• ცნობილი 13 წლამდე ასაკის ბავშვის შესახებ მონაცემები — ზოგ შტატში 16 წლამდე დამატებითი დაცვით.

ზოგი შტატი მგრძნობიარე მონაცემთა დამუშავებისთვის opt-in თანხმობას მოითხოვს, სხვები კი opt-out უფლებით დამუშავებას უშვებენ. MSPA-ს GPP კოდირება ორივეს გამოხატვის საშუალებას იძლევა, მაგრამ CMP-მ უნდა იცოდეს, მომხმარებლის შტატის მიხედვით, რომელი ითხოვოს. მგრძნობიარე მონაცემების არასწორი კლასიფიკაცია — მაგალითად, ჯანმრთელობასთან დაკავშირებული კონტენტის გადახედვის ჩვეულებრივ ბიჰევიორულ მონაცემად განხილვა — 2024–2025 წლების სახელმწიფო გენერალური პროკურორების მიერ შესრულების ქმედებებში ყველაზე გავრცელებული წარუმატებლობის სახეობაა.

MSPA-სთვის მზა კონსენტის ნაკადის შექმნა

MSPA-ს თქვენს საიტზე ან აპლიკაციაში დანერგვა სამართლებრივი, ინჟინრული და სარეკლამო ოპერაციების კოორდინაციის პრობლემაა. სამუშაო დაახლოებით ხუთ სამუშაო ნაკადად იყოფა.

1. ხელი მოაწერეთ MSPA-ს და შეინარჩუნეთ ხელმომწერის სტატუსი

MSPA ნამდვილი კონტრაქტია, რომელიც სამართლებრივ მრჩეველს უნდა განიხილა და შეასრულოს. გამოაცხადეთ ის როლი ან როლები, რომლებსაც ასრულებთ, ის აშშ-ის შტატები, სადაც ბიზნეს საქმიანობას ეწევით, და მონაცემთა კატეგორიები, რომლებსაც ამუშავებთ. ყოველწლიურად განაახლეთ და IAB Tech Lab-ის ხელმომწერთა პორტალი განაახლეთ ყოველ ჯერზე, როდესაც თქვენი როლი ან იურისდიქცია იცვლება.

2. კონფიგურაცია მოახდინეთ CMP-ის მრავალშტატიანი ლოგიკისთვის

ერთი მხოლოდ-CCPA ბანერი აღარ არის საკმარისი. CMP-მ უნდა განსაზღვროს მომხმარებლის შტატი — ჩვეულებრივ IP გეოლოკაციის საშუალებით, კონფიდენციალობის fallback-ით გამყარებული — და ამ იურისდიქციისთვის სათანადო შეტყობინებები, ბმულები და opt-out კონტროლები გამოჩინოს. FlexyConsent და სხვა Google-სერტიფიცირებული თანამედროვე CMP-ები მოიყვანენ მრავალშტატიან შაბლონებს, რომლებიც შტატ-შტატ სწორ GPP სექციის სტრინგებზე ასახავენ.

3. GPP სტრინგები ჩართეთ სარეკლამო სტეკში

GPP სტრინგი OpenRTB-ის ყოველ bid მოთხოვნაში ჩასმული უნდა იყოს, რომელიც აშშ-ის მომხმარებლიდან მომდინარეობს. Google Ad Manager-ის მომხმარებლებისთვის ეს ნიშნავს ქსელის პარამეტრებში GPP-ის მხარდაჭერის ჩართვას; Prebid-ის მომხმარებლებისთვის ეს ნიშნავს gppControl_usnat და შტატ-ლეველის მოდულების დაყენებას და consentManagement ადაპტერის მიერ კოდირებული სტრინგის გადამისამართების დადასტურებას. IAB Tech Lab-ის GPP დეკოდერის გამოყენებით ჩაატარეთ ტესტი CMP-დან bid მოთხოვნამდე ჩვენების გზის სრულყოფისა.

4. პატივი ეცით Global Privacy Control (GPC) სიგნალს

სახელმწიფო კანონების უმეტესობა — კალიფორნია, კოლორადო, კონექტიკუტი და მზარდი ჩამონათვალი — ბრაუზერის დონის GPC სიგნალის ვალიდურ opt-out-ად პატივისცემას მოითხოვს. MSPA მოელის, რომ ხელმომწერები GPC-ს განსაზღვრავენ და SaleOptOut, SharingOptOut და TargetedAdvertisingOptOut ველებს შესაბამისად წინასწარ დაყენებენ, მომხმარებლის ბანერზე შეხებამდეც. თუ CMP-ს არ შეუძლია GPC-ის განსაზღვრა და მასზე რეაგირება, MSPA-ს წევრობის მიუხედავად, შეუსაბამოობის პირობებში ხართ.

5. ქვემდინარე გამყიდველების აუდიტი

MSPA-ს ქვემდინარე ნაკადის ლოგიკა მხოლოდ მაშინ მუშაობს, თუ გამყიდველებიც ხელმომწერები არიან. ნებისმიერი SSP-ის, DSP-ის ან მონაცემთა პარტნიორისთვის მონაცემების გაგზავნამდე, IAB Tech Lab-ის პორტალში გადაამოწმეთ მათი ხელმომწერის სტატუსი. არა-ხელმომწერი გამყიდველები ან სარეკლამო სტეკიდან ამოიღება აშშ-ის ტრაფიკისთვის, ან MSPA-ს პირობების ასახვით ცალკე ორმხრივი DPA-ებით დაიფარება.

გავრცელებული დანერგვის ხარვეზები

გამომცემლების აუდიტებში განმეორებით რამდენიმე წარუმატებლობის ნიმუში ვლინდება:

• MSPA-ს დაფარვის სიგნალიზება ხელწერის გარეშე. GPP სტრინგში MspaCoveredTransaction = Yes-ის დაყენება, სანამ გამომცემლის სამართლებრივი სუბიექტი MSPA-ს ხელს არ მოაწერს, გამომცემელს სიგნალზე დამოკიდებული ქვემდინარე ხელმომწერების მცდარი წარდგენის მოთხოვნებს უქვემდებარებს.
• ტეხასის, ორეგონის და მონტანის დავიწყება. ყოფილი ხუთ-შტატიანი ლანდშაფტისთვის კონფიგურაციული გამომცემლები 2024 და 2025 წლებში ძალაში შესულ კანონებს ვეღარ ახდენენ. თითოეულს საკუთარი opt-out გამომწვევი აქვს; MSPA ამას ფარავს, მაგრამ მხოლოდ თუ CMP-ის შტატის განსაზღვრის ლოგიკა მათ მოიცავს.
• სიახლეების და ცხოვრების სტილის კონტენტში მგრძნობიარე მონაცემთა სიგნალების იგნორირება. ჯანმრთელობაზე, რელიგიაზე ან LGBTQ-ფოკუსირებული სტატიის მკითხველი შეიძლება ნაგულვებად მგრძნობიარე მონაცემებს ამუშავებდეს. ჩაატარეთ კონტენტის აუდიტი და CMP-ში კონფიგურაცია მოახდინეთ კატეგორიის-ლეველის override-ებისა.
• GPC-ს საკონსულტაციოდ განხილვა. კალიფორნიის მარეგულირებელმა 2024 წელს განმარტა, რომ GPC-ს იგნორირება თითო-დარღვევა წარმოადგენს. MSPA ამისგან არ გიცავთ — ეს GPC-ს პატივისცემაზე თქვენს მზაობაზეა დამოკიდებული.
• კიდეზე ქეშირებული ძველი GPP სტრინგები. CDN ან service worker-ის კიდის ქეშირებამ შეიძლება მომხმარებელს წინა სესიიდან ძველი GPP სტრინგი გაუგზავნოს. გამორთეთ ქეშირება კონსენტის endpoint-ზე და კონსენტის ცვლილებისას fresh-fetch ნაბიჯი დაამატეთ.

როგორ მოქმედებს MSPA სარეკლამო შემოსავლებზე

MSPA-ს სწორად დამნერგველი გამომცემლები ჩვეულებრივ ხედავენ მოკლევადიანი შემოსავლის უმნიშვნელო კლებას, რომელსაც სტაბილიზაცია მოსდევს, ხოლო უნარ-ჩვევების გარეშე დანერგვები ან ზედმეტად ზღუდავს bid-ებს, ან გამომცემელს სამართლებრივ რისკებს უქვემდებარებს. ბერკეტზე მოქმედი ცვლადები:

• Opt-out განაკვეთები — გამოჩენილი opt-out ბმულების მქონე შტატებში მომხმარებლების 5–15% ჩვეულებრივ ოპტ-ოუტ ახდენს გაყიდვიდან ან გაზიარებიდან. opt-out impression-ებზე bid ფასები ბიჰევიორული targeting-ის მიუწვდომლობის გამო 30–60%-ით ეცემა.
• მგრძნობიარე კონტენტის კლასიფიკაცია — ჩვეულებრივი კონტენტის მგრძნობიარედ არასწორი კლასიფიკაცია მოთხოვნას შეამცირებს. იყავით კონსერვატიული და კატეგორიით ზუსტი.
• Header bidding პარტნიორთა შემადგენლობა — არა-MSPA-ხელმომწერი პარტნიორები, რომლებიც აშშ-ის ტრაფიკისთვის გამორთვა გჭირდებათ, აუქციონს ამცირებენ. ჩაანაცვლეთ ხელმომწერებით, ვიდრე გათხელებული მოთხოვნით გაგრძელება.
• სერვერ-მხარის ტეგირება — სერვერ-მხარის კონტეინერი, რომელიც GPP სტრინგს კითხულობს და პირობითად ახვევს ტეგებს, ანალიტიკისა და კონსენტის სინქრონიზაციის ყველაზე სუფთა გზაა.

რა მოვა შემდეგ: 2026 და შემდეგ

MSPA ცოცხალი შეთანხმებაა. IAB მას ყოველ ერთ-ორ წელიწადში ახლებს, ახალი სახელმწიფო კანონები, გენერალური პროკურორების სახელმძღვანელოები და ფედერალური წინადადებები ლანდშაფტს ხელახლა აყალიბებს. 2026 წელს დასაკვირვებელი თემები:

• შესაძლო ფედერალური კონფიდენციალობის კანონი, რომელიც ნაწილობრივ სახელმწიფო რეჟიმებს გაუუქმებდა — MSPA მოიცავს preemption fallback ლოგიკას, ამიტომ ხელმომწერები სადღეგრძელოს გარეშე არ დარჩებიან.
• GPP-ის გაფართოება ჯანმრთელობა-სპეციფიკური სიგნალიზაციის დასაფარად Washington My Health My Data Act-ისა და ანალოგიური წესდების ფარგლებში.
• California Privacy Protection Agency-ს და Texas-ის გენერალური პროკურორის მხრიდან opt-out ნაკადებში dark-pattern წესების მკაცრი აღსრულება.
• ინტეგრაცია AI-ს და დიდი ენობრივი მოდელების სწავლების განმჟღავნებებთან, რომლებიც რამდენიმე სახელმწიფო საკანონმდებლო ორგანოს მიერ განიხილება.

გამომცემლები, რომლებიც MSPA-ს დანერგვას ერთჯერად პროექტად განიხილავენ, ჩამოიტოვებიან. განიხილეთ, როგორც მიმდინარე ოპერაციული ჰიგიენა, სამართლებრივი, ad ops-ის და პროდუქტის ინჟინრების ერთობლივი საკუთრებაში, მეოთხედ გადასინჯული. აშშ-ის მრავალშტატიანი შესაბამისობით მომგებიანი გამომცემლები ყველაზე მეტი ადვოკატის მქონე არ არიან — ისინი, ვისი CMP, სარეკლამო სტეკი და აუდიტის ჟურნალები ყველა ერთ ამბავს ყვებიან, როდესაც მარეგულირებელი ჰკითხავს.

დასკვნა

MSPA პრაქტიკული პასუხია ფრაგმენტული აშშ-ის კონფიდენციალობის ლანდშაფტის მიმართ. ის კანონებს თქვენს მაგივრად არ მიიღებს, მაგრამ bid ნაკადს, გამყიდველებს და სამართლებრივ გუნდს opt-out-ების, მგრძნობიარე მონაცემებისა და ქვემდინარე ვალდებულებების ერთ საერთო ენას მისცემს. შეუთავსეთ შტატ-ცნობიერ CMP-ს, ზუსტ GPP სიგნალიზაციას და გამყიდველთა დისციპლინირებულ მართვას, ნაკლებ დროს დახარჯავთ იურისდიქციაზე კამათში და მეტ დროს დასაშვები impression-ების მონეტიზებაში. ეს 2026-ისა და მის შემდეგ მოსული სახელმწიფო კანონების ტალღაში გასვლის ერთადერთი მდგრადი გზაა.