글로벌 프라이버시 플랫폼이 실제로 무엇인가

GPP는 새로운 동의 프레임워크가 아닌 전송 프로토콜입니다. 이는 여러 지역별 동의 신호를 단일 Base64 문자열로 인코딩하는 컨테이너로, SSP, DSP, 측정 벤더가 쿼리할 수 있는 표준 JavaScript API(__gpp())를 통해 노출됩니다. 각 지역은 GPP 문자열 내에 자체 섹션을 갖습니다. 섹션 2는 TCF EU v2를, 섹션 6은 US Privacy(더 이상 사용되지 않음)를, 섹션 7은 USNat을 포함하며, 섹션 8부터 12까지는 각각 캘리포니아, 버지니아, 콜로라도, 유타, 코네티컷을 포함합니다. 텍사스, 오레곤, 몬태나 및 기타 주에 대한 추가 섹션은 해당 법률이 발효됨에 따라 추가되고 있습니다.

핵심 설계 선택은 단일 GPP 문자열이 여러 섹션을 동시에 전달할 수 있다는 것입니다. 유럽 방문자는 TCF EU 데이터를 받고, 캘리포니아 방문자는 US-CA 데이터를 받으며, IP가 두 관할권 모두에 지오로케이팅되는 사용자(VPN을 통해 드물지만 가능)는 두 섹션 모두 채워질 수 있습니다. 애드테크 벤더는 자신에게 관련된 섹션만 읽고 나머지는 무시합니다.

GPP가 존재하는 이유와 지금 중요한 이유

GPP 이전에는 미국의 새로운 주 프라이버시 법이 생길 때마다 퍼블리셔는 또 다른 신호를 구현해야 했습니다. 캘리포니아에는 USP가 있었습니다. 버지니아의 VCDPA는 다른 옵트아웃 시맨틱을 요구했습니다. 콜로라도의 CPA는 Global Privacy Control 브라우저 신호를 인식했습니다. 유타와 코네티컷은 각각 더 많은 뉘앙스를 추가했습니다. 애드테크 벤더들은 수십 가지 형식을 파싱해야 했으며, 종종 일관성 없이 처리했고, 한 채널에서 "사용자가 동의했다"는 신호를 보내면서 사용자가 다른 채널에서 옵트아웃한 경우가 실제 컴플라이언스 위험이 되었습니다.

GPP는 전송을 표준화합니다. CMP가 GPP 문자열을 설정하면 모든 다운스트림 벤더가 동일한 인코딩을 읽습니다. 퍼블리셔에게 이는 세 가지 이유로 중요합니다. Google의 2024년 정책은 이제 Google Ad Manager 인벤토리의 미국 주 신호에 대한 GPP 지원을 요구합니다. Prebid.js 8.x와 대부분의 주요 SSP 어댑터는 GPP를 기대합니다. 그리고 규제 당국은 GPP 준수를 선의의 신호 전파 증거로 점점 더 많이 인용합니다.

GPP 섹션과 그 의미

각 GPP 섹션에는 기반이 되는 프레임워크를 반영하는 자체 인코딩 규칙이 있습니다.

섹션 2: TCF EU v2

이미 유럽 트래픽을 위해 생성하고 있는 독립형 TCF v2.2 문자열과 동일합니다. CMP가 TCF 인증을 받은 경우 이미 이 섹션을 생성하고 있습니다. GPP는 단순히 이를 감쌉니다.

섹션 7: US National(USNat)

가장 새로운 섹션으로, 모든 미국 연방 및 주 프라이버시 법을 포괄하는 단일 신호로 설계되었습니다. 제공된 통지, 판매 옵트아웃, 공유 옵트아웃, 타겟 광고 옵트아웃, 민감한 데이터 옵트아웃, 알려진 아동 데이터 처리를 인코딩합니다. 여러 미국 주에서 운영하는 벤더는 가능한 경우 주별 섹션보다 USNat을 선호해야 합니다.

섹션 8-12: 주별 미국 신호

캘리포니아(US-CA), 버지니아(US-VA), 콜로라도(US-CO), 유타(US-UT), 코네티컷(US-CT). 각 섹션에는 해당 주의 법률에 고유한 필드가 있습니다. 예를 들어 US-CA는 이전의 CCPA/CPRA 판매 및 공유 옵트아웃을 유지하고, US-CO는 콜로라도 프라이버시법이 요구하는 민감한 데이터 동의 플래그를 추가합니다. 텍사스(CPA 섹션 13의 US-TX)와 오레곤(CPA 섹션 14의 US-OR)은 2024년 7월에 법률이 발효된 후 추가되었습니다.

퍼블리셔가 마이그레이션해야 하는 방법

대부분의 퍼블리셔는 이미 EU 트래픽을 위한 TCF 문자열과 캘리포니아를 위한 USP 문자열을 생성하는 CMP를 보유하고 있습니다. GPP로의 마이그레이션 경로는 다음과 같습니다.

1단계: CMP 업그레이드

CMP 벤더가 IAB GPP 인증 CMP 목록에 등재되어 있는지 확인하세요. FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics 및 대부분의 Google 인증 CMP는 이제 유효한 GPP 문자열을 생성합니다. CMP가 아직 TCF 또는 USP만 출력하는 경우 GPP 지원에 대한 로드맵을 요청하세요. 여기서 계획이 없는 벤더는 2026년에 뒤처질 것입니다.

2단계: 지리별 GPP 섹션 구성

CMP는 IP 지오로케이션을 기반으로 어떤 GPP 섹션을 채울지 자동으로 결정해야 합니다. 유럽 방문자는 섹션 2(TCF EU)를 받습니다. 미국 방문자는 벤더 스택이 신호를 읽는 방법에 따라 섹션 7(USNat) 또는 주별 섹션을 받습니다. 모든 방문자에 대해 모든 섹션을 채우지 마세요. 이는 관할권에 무관한 데이터를 누출시키는 일반적인 잘못된 구성입니다.

3단계: 다운스트림 전파 확인

GPP 문자열은 SSP, DSP, 분석 및 픽셀 벤더가 읽을 때만 유용합니다. 광고 스택을 감사하세요. Prebid.js에서는 gppControl 모듈이 활성화되었는지 확인하고, Google Ad Manager에서는 GPP 문자열이 GAM 동의 API를 통해 전달되는지 확인하며, Google Analytics 4에서는 Consent Mode v2가 TCF와 함께 GPP를 읽고 있는지 확인하세요. GPP를 조용히 무시하는 벤더는 컴플라이언스 격차입니다.

GPP, Consent Mode v2 및 Google의 요구사항

Google의 2024년 12월 정책 업데이트는 Google Ad Manager를 통해 미국 인벤토리를 수익화하는 퍼블리셔에게 GPP 지원을 의무화했습니다. 이 변경은 미묘하지만 중요합니다. Consent Mode v2는 여전히 자체 ad_storage 및 analytics_storage 신호를 사용하지만, GAM은 이제 미국 주법 트래픽에 대한 광고 요청에 GPP 문자열이 존재하기를 기대합니다. 누락되거나 형식이 잘못된 GPP 문자열은 광고가 제한 모드로 게재될 수 있으며, 이는 채우기 및 수익에 상당한 영향을 미칩니다. 또는 반복 위반자의 경우 인벤토리가 경매에서 제외될 수 있습니다.

실질적인 의미는 역사적으로 수익이 캘리포니아에서만 나왔기 때문에 미국 주법을 무시했던 퍼블리셔도 이제 GPP가 필요하다는 것입니다. 버지니아, 콜로라도, 코네티컷, 유타, 텍사스, 오레곤, 몬태나, 아이오와 모두 2026년 기준으로 시행 중인 법률이 있으며, Google은 GPP 문자열을 읽어 광고 요청이 각각에 대해 준수되는지 판단합니다.

일반적인 마이그레이션 함정

퍼블리셔가 GPP를 추가할 때 반복적으로 목격되는 네 가지 실수:

중복 신호. 일부 퍼블리셔는 GPP와 함께 독립형 TCF 및 USP 문자열을 유지하여 서로 불일치할 수 있는 세 가지 진실의 원천을 만듭니다. GPP가 활성화되면 독립형 문자열을 폐기하세요.

잘못된 섹션 채우기. 실제 주와 무관하게 모든 미국 방문자에 대해 US-CA를 채우면 지리를 누출하고 캘리포니아 외 거주자에 대해 CCPA 옵트아웃 권리를 허위로 주장할 수 있습니다. IP 지오로케이션을 사용하여 올바른 섹션을 선택하세요.

GPC 무시. Global Privacy Control 브라우저 신호는 GPP 섹션이 아닙니다. 별도의 HTTP 헤더 및 JS 속성입니다. CMP는 페이지 로드 시 GPC를 읽고 관련 GPP 섹션에 옵트아웃으로 반영해야 합니다. 그렇지 않으면 콜로라도, 코네티컷, 캘리포니아 법을 위반합니다.

오래된 벤더 어댑터. 이전 Prebid 어댑터 및 SSP 통합은 GPP 문자열이 입찰자에게 도달하기 전에 제거할 수 있습니다. 마이그레이션 완료를 선언하기 전에 IAB GPP 유효성 검사기로 광고 스택의 모든 벤더를 테스트하세요.

장기적 관점: 미국을 넘어선 GPP

GPP는 TCF EU와 미국 주법을 넘어 확장되도록 설계되었습니다. 캐나다(PIPEDA 및 퀘벡 25법), 브라질(LGPD), 한국(PIPA) 및 기타 관할권의 새로운 섹션이 IAB 워킹 그룹에서 활발히 개발 중입니다. 글로벌 인벤토리를 제공하는 퍼블리셔에게 GPP는 모든 지역별 프로토콜을 대체하는 단일 동의 전송 수단이 되고 있습니다. 오늘 GPP에 투자하면 또 다른 통합 스프린트 없이 지역 프라이버시 법의 다음 물결을 흡수할 수 있도록 스택을 포지셔닝할 수 있습니다.