Delete Act가 실제로 하는 일

Delete Act는 2020년부터 시행된 캘리포니아의 기존 데이터 브로커 등록 체제에 대한 구조적 추가입니다. 원래 프레임워크가 단순히 브로커에게 매년 주에 등록하고 개인 정보 범주를 공개하도록 요구했다면, Delete Act는 엄격한 일정, 감사 의무, 그리고 미준수에 대한 제재를 갖춘 중앙 집중식 삭제 메커니즘을 추가합니다.

중앙 집중식 삭제 레지스트리

레지스트리는 캘리포니아 소비자가 단일 삭제 요청을 제출하면 자동으로 모든 등록 데이터 브로커에게 전파되는 CPPA 운영 플랫폼입니다. 브로커는 최소한 사십오 일마다 레지스트리를 확인하고, 데이터 세트의 개인과 일치하는 새로운 요청을 식별하며, 규정이 명시한 일정 내에 일치하는 레코드를 삭제해야 합니다. 소비자는 어느 브로커가 자신의 데이터를 보유하는지 알 필요가 없습니다 — 레지스트리가 확산을 처리합니다.

데이터 브로커로 간주되는 대상

이 법은 데이터 브로커를 사업체와 직접적인 관계가 없는 소비자에 대한 개인 정보를 알면서 수집하고 판매하는 사업체로 정의합니다. 이 정의는 들리는 것보다 좁습니다 — 자체 오디언스를 판매하는 퍼스트파티 퍼블리셔는 브로커가 아니고, 컨트롤러를 대신하여 데이터를 처리하는 프로세서는 브로커가 아닙니다 — 그러나 신원 그래프 제공자, 교차 컨텍스트 광고 플랫폼, 인물 검색 서비스, 그리고 퍼블리셔가 프로그래매틱 데이터를 라우팅하는 오디언스 확장 레이어의 상당 부분을 포착합니다.

등록과 공개 목록

적용되는 모든 브로커는 매년 등록하고, 수수료를 지불하며, CPPA가 유지하는 공개 목록에 나타나야 합니다. 2026년까지 이 목록은 퍼블리셔가 다운스트림 데이터 흐름을 감사할 때의 실제 참조 지점입니다: 목록에 있는 모든 공급업체는 Delete Act 목적을 위한 데이터 브로커이며, 해당 공급업체와의 퍼블리셔의 계약적 의무는 삭제 전파 현실을 반영해야 합니다.

사십오 일 사이클과 그 운영적 결과

핵심 운영 규칙은 삭제 사이클의 케이던스입니다. 사십오 일마다, 모든 등록 브로커는 레지스트리를 확인하고 모든 일치하는 레코드를 삭제해야 합니다. 케이던스는 퍼블리셔가 엔지니어링해야 하는 새로운 종류의 신원 감소를 만듭니다.

사이클 하에서 오디언스가 감소하는 방식

데이터 브로커 보강을 기반으로 구축된 오디언스는 삭제 요청을 제출한 캘리포니아 소비자가 브로커 네트워크를 통해 전파될수록 약 육 주 주기로 줄어듭니다. 신원 확인에 의존하는 미국 측정을 실행하는 퍼블리셔 — 프로그래매틱 오디언스 타겟팅, 교차 사이트 식별자에 의존하는 기여 윈도우, 브로커 공급 시드를 사용하는 유사 모델링 — 는 캘리포니아 오디언스 크기가 톱니 패턴으로 하향하는 것을 보게 됩니다: 각 사이클이 일부를 제거하면 다음 사이클까지 증분 방문자가 채웁니다.

재식별은 금지되어 있습니다

이 법은 브로커가 나중에 다른 출처에서 동일한 데이터를 얻더라도 삭제된 소비자를 재식별하는 것을 명시적으로 금지합니다. 이 금지는 명백한 허점을 닫고, 퍼블리셔가 삭제된 소비자를 브로커 라우팅 오디언스에 다시 연결하기 위해 자체 퍼스트파티 데이터에 의존할 수 없음을 의미합니다. 삭제는 지속적이어야 하며, 규제 기관의 감사 프로그램은 재식별 패턴을 감지하도록 구축되어 있습니다.

퍼블리셔의 퍼스트파티 데이터는 사이클 밖에 있습니다

퍼블리셔 자체 퍼스트파티 데이터 — 등록 사용자, 뉴스레터 구독자, 로열티 회원 — 는 퍼블리셔가 해당 레코드에 대한 데이터 브로커가 아니기 때문에 Delete Act 사이클의 적용을 받지 않습니다. 퍼블리셔는 별도인 CCPA 및 CPRA 삭제 권리에 계속 적용됩니다. 두 체제는 상호작용할 수 있습니다: 브로커 레이어에서의 Delete Act 삭제는 여전히 퍼블리셔의 퍼스트파티 레코드를 그대로 둘 수 있으며, 퍼블리셔는 퍼블리셔 자체 접수 채널을 통해 소비자의 별도 CCPA 삭제 요청을 계속 이행해야 합니다.

새로운 세계에서의 Global Privacy Control 신호

Delete Act는 브라우저와 프라이버시 확장 기능이 사용자가 범용 옵트아웃 기본 설정을 지정했음을 나타내기 위해 보내는 Global Privacy Control (GPC) 헤더와 교차합니다. CPPA의 규정은 퍼블리셔와 브로커가 GPC를 유효한 CCPA 옵트아웃으로 준수해야 한다는 것을 확인하고, Delete Act의 중앙 집중식 레지스트리는 같은 결과로 가는 병렬 경로를 추가합니다.

두 신호, 하나의 결과

캘리포니아 소비자는 상업 데이터 생태계에서 나가는 두 가지 방법이 있습니다: 사용하는 모든 브라우저에서 GPC 헤더를 보내거나, 단일 Delete Act 레지스트리 요청을 제출하는 것입니다. 두 경로는 대부분의 사용 사례에서 동등한 결과를 낳지만 범위에서 다릅니다. GPC는 소비자가 방문하는 모든 사이트에서 진행 중인 판매 및 공유를 관리합니다. 레지스트리는 브로커가 보유한 기존 레코드를 삭제합니다. 퍼블리셔는 둘 다 권위 있는 신호로 취급해야 하며, CMP는 둘 중 어느 것이든 인식하도록 구성되어야 합니다.

두 경로를 표면화하는 CMP의 역할

2026년 캘리포니아 오디언스에 대한 컴플라이언트 CMP는 GPC 준수 상태 (방문자가 GPC가 설정된 상태이며, 옵트아웃이 활성화), 퍼블리셔 자체 옵트아웃 링크 (소비자가 이 사이트에서 특정하여 판매 및 공유를 거부할 수 있음), 그리고 브로커에서의 삭제 결과를 원하는 소비자를 위한 CPPA 레지스트리에 대한 명확한 포인터를 표면화합니다. 아키텍처는 기술적으로 까다롭지 않습니다 — 하나 대신 동의 UI에 세 개의 컨트롤 — 그러나 문구가 중요하며 CPPA 집행은 오해를 불러일으키거나 숨겨진 옵트아웃 경로에 대해 적극적이었습니다.

퍼블리셔가 해야 할 일

Delete Act는 퍼블리셔가 아닌 브로커를 대상으로 하는 규제이지만, 퍼블리셔에 대한 운영적 결과는 실재하며 동의 및 데이터 아키텍처에 대한 구체적인 변경이 필요합니다.

브로커 레지스트리에 대한 공급업체 스택 감사

퍼블리셔의 광고 및 분석 스택에 있는 모든 공급업체는 CPPA의 공개 브로커 목록과 교차 확인되어야 합니다. 목록에 있는 공급업체는 Delete Act 체제에 적용되며, 해당 공급업체와의 퍼블리셔 계약은 삭제 전파, 감사 로그 보존, 그리고 사십오 일 사이클 케이던스를 반영해야 합니다. 주요 신원 확인 공급업체 대부분과 일부 대형 SSP가 이제 목록에 있습니다; 감사는 힘들지 않지만 최소한 매년 이루어져야 합니다.

개인정보 고지와 동의 UI 업데이트

퍼블리셔의 개인정보 고지는 기존 CCPA 삭제 권리와 함께 Delete Act 레지스트리 경로를 설명하고, CPPA 레지스트리에 대한 직접 링크를 포함해야 합니다. 동의 UI는 방문자가 헤더를 설정한 경우 GPC 준수 상태를 노출해야 하며, 옵트아웃 컨트롤은 수락 컨트롤과 동등한 두드러짐으로 스타일링되어야 합니다 — 2024년과 2025년의 법무장관 집행 결정은 다크 패턴 테스트를 명시적으로 만들었습니다.

오디언스 톱니 패턴 계획하기

측정 및 오디언스 타겟팅 팀은 캘리포니아 오디언스 지표가 사이클 케이던스에 의해 구동되는 육 주 주기 톱니 패턴을 따를 것이라는 점을 알아야 합니다. 대시보드와 입찰 페이싱 모델은 각 하락을 결함으로 취급하는 대신 패턴에 맞게 조정되어야 합니다. 엄격한 귀속을 실행하는 퍼블리셔는 또한 사이클 이후 수치가 깔끔하게 조정될 수 있도록 브로커 삭제 경로를 별도의 감소 소스로 모델링해야 합니다.

발견 사항을 유발하는 일반적인 Delete Act 실수들

2025년 동안 Delete Act에 따른 CPPA 집행의 첫 번째 물결은 퍼블리셔 측 발견 사항의 명확한 패턴을 만들었습니다. 퍼블리셔의 개인정보 고지는 CCPA 옵트아웃 경로를 설명하지만 Delete Act 레지스트리를 한 번도 언급하지 않습니다. 동의 배너는 판매 및 공유에 대해 GPC를 준수하지만 퍼블리셔의 퍼스트파티 삭제 접수로 신호를 전파하지 않습니다. 퍼블리셔는 등록된 브로커와 계약을 맺고 Delete Act 삭제 전파 의무를 반영하기 위해 계약을 업데이트하지 않습니다. CMP는 '기본 설정 관리' 패널을 제공하는데, 옵트아웃을 전체 수락보다 어두운 버튼 뒤에 세 번 클릭 깊이로 묻어버립니다. 이 각각은 깊은 아키텍처 변경이 아닌 문서 또는 UX 수정입니다 — 그러나 각각은 또한 CPPA가 조사를 시작할 때 사용하는 것이기도 합니다.

결론

Delete Act는 캘리포니아 소비자에게 상업 데이터 생태계에서 나가게 하는 단일 버튼을 제공하며, 2026년까지 레지스트리가 운영되고, 브로커 목록이 공개되며, 집행 프로그램이 활성화됩니다. 퍼블리셔에게 있어 그 영향은 실재하지만 제한적입니다: Delete Act는 퍼블리셔에게 극적인 일을 할 것을 요구하지 않지만, 어떤 다운스트림 공급업체가 브로커인지 알고, 새 경로를 표면화하기 위해 개인정보 고지와 동의 UI를 업데이트하고, GPC를 일관되게 준수하고, 사십오 일 사이클이 생산하는 오디언스 톱니 패턴에 대해 계획하도록 요구합니다. 이 중 어느 것도 기술적으로 어렵지 않습니다. 모두 운영적으로 구체적입니다. 2024년과 2025년에 깨끗한 감사를 실행한 퍼블리셔는 이제 안정된 아키텍처를 실행하고 있습니다; Delete Act를 자신들과 무관한 데이터 브로커 문제로 취급한 퍼블리셔는 규제 기관의 마감일 하에 응답 서한을 쓰고 개인정보 고지를 개정하며 2026년을 보내고 있습니다.