IAB MSPA 준수: 2026년 미국 퍼블리셔를 위한 다주(多州) 개인정보 보호 계약 가이드
미국 주(州) 개인정보 보호법은 2020년 캘리포니아 특유의 현상에서 2026년에는 19개 이상의 법률이 뒤섞인 복잡한 패치워크로 변모했으며, 각각 고유한 옵트아웃 방식, 민감 데이터 목록, 집행 방식을 갖추고 있습니다. IAB Tech Lab과 IAB는 디지털 광고 생태계에 이 모든 요건을 충족하는 하나의 공통 계약·신호 레이어를 제공하기 위해 Multi-State Privacy Agreement(MSPA)를 구축했습니다. 광고를 판매하거나, 헤더 비딩을 운영하거나, 오디언스를 공유하거나, 사용자 식별자를 다운스트림 SSP에 전달하는 퍼블리셔라면 MSPA는 더 이상 선택 과제가 아닙니다. 캘리포니아, 콜로라도, 코네티컷, 버지니아, 유타, 텍사스, 오리건, 몬태나 등 여러 주의 사용자에게 광고 스택이 합법적으로 서비스할 수 있게 해주는 연결 조직입니다. 이 가이드는 MSPA가 실제로 하는 일, Global Privacy Platform(GPP)과의 연동 방식, 그리고 동의 관리 플랫폼을 비드 스트림의 준수 서명자로 만들기 위한 구체적인 단계를 설명합니다.
MSPA란 무엇이고, 무엇이 아닌가
MSPA는 IAB가 발행한 민간 계약 기반 프레임워크입니다. 법률이 아니며 주법을 대체하지 않습니다. 대신, 퍼블리셔, 에이전시, 광고 네트워크, SSP, DSP, 데이터 공급자 등 참여자들이 서명하는 다자간 계약으로, 프로그래매틱 광고를 통해 개인 정보가 흐르는 방식에 대해 일관된 법적 주장을 할 수 있게 합니다. 체인의 모든 구성원이 동일한 계약에 서명하면, 다운스트림 벤더들은 단일 비드 요청을 처리하기 위해 50가지 서로 다른 양자 데이터 처리 계약을 협상할 필요가 없습니다.
MSPA를 동시에 세 가지로 생각해 보십시오:
- 계약 — 서명자가 데이터를 다른 서명자에게 전달할 때 자동으로 다운스트림으로 흐릅니다.
- 어휘 — 판매, 공유, 타겟 광고, 민감 데이터 처리에 대한 옵트아웃을 포함하여 GPP 인코딩 문자열로 사용자 선택을 표현합니다.
- 리스크 배분 프레임워크 — 각 서명자를 Covered Business, Service Provider/Processor, Third Party의 세 역할 중 하나에 배정하고 각각의 의무를 정합니다.
MSPA가 아닌 것: 개인정보 처리방침의 대체물, 직접 사용자 동의가 필요한 경우의 대체물, 또는 특정 주법 준수에 대한 보증. MSPA는 올바르게 사용하면 여러 주법 준수를 운영상 실현 가능하게 만드는 도구입니다. 잘못 사용하면 — 예를 들어 옵트아웃 후에도 데이터 공유를 계속하면서 참여 신호를 보내는 경우 — 책임을 줄이는 대신 오히려 확대합니다.
누가 신경 써야 하는가: 세 가지 MSPA 역할
무엇에 서명하기 전에, 실제로 어떤 역할을 맡고 있는지 파악하십시오. 대부분의 퍼블리셔는 데이터 흐름에 따라 두 개 이상의 역할을 담당하고 있다는 사실을 알고 놀랍니다.
Covered Business
사용자에 관한 개인 정보 처리의 목적과 수단을 결정하는 경우 — 보통 사용자가 방문하는 웹사이트나 앱을 운영하는 퍼블리셔 — Covered Business입니다. Covered Business로서 동의 수집, 고지 표시, 옵트아웃 준수, 다운스트림 벤더가 의존하는 GPP 신호 구성에 책임이 있습니다. 사용자 대면 부담은 귀사에 있습니다.
Service Provider 또는 Processor
계약에 따라 Covered Business를 대신해 제한된 허용 목적으로만 개인 정보를 처리하는 경우 Service Provider입니다. 대부분의 분석 벤더, 호스팅 공급업체, 동의 관리 플랫폼이 이 범주에 해당합니다. MSPA는 제한을 부과합니다: 판매 금지, 자신을 위한 교차 맥락 행동 광고 금지, 엄격하게 정의된 보유 및 삭제 규칙.
Third Party
Covered Business로부터 개인 정보를 받아 자체 목적에 사용하는 경우 Third Party입니다. 대부분의 SSP, DSP, 아이덴티티 벤더, 데이터 브로커가 여기에 해당합니다. Third Party는 가장 무거운 계약상 의무를 지며, 직접적인 사용자 권리 처리와 자사 파트너와 데이터를 공유할 때의 다운스트림 전달 의무가 포함됩니다.
MSPA와 Global Privacy Platform(GPP)
MSPA는 진공 속에 존재하지 않습니다. 계약 레이어이고; GPP는 기술 신호 레이어입니다. IAB Tech Lab의 Global Privacy Platform은 사용자 선택을 OpenRTB 프로토콜을 통해 비드 요청과 함께 전달되는 단일 문자열로 인코딩합니다. 미국 신호를 위해 GPP는 포괄적인 개인정보 보호법이 있는 각 주에 대한 섹션 문자열을 운반합니다. 예를 들어 USCA(캘리포니아), USCO(콜로라도), USVA(버지니아), USCT(코네티컷), USUT(유타), 전용 섹션이 없는 주를 위한 US National 문자열 등입니다.
MSPA는 CMP에 적용 범위를 주장하기 위해 GPP 섹션 내에서 어떤 필드를 설정해야 하는지 알려줍니다. 퍼블리셔가 확인하고 구성하게 될 가장 중요한 필드에는 다음이 포함됩니다:
- MspaCoveredTransaction — 퍼블리셔가 비드 요청이 MSPA 프레임워크에 의해 적용된다고 주장할 때 Yes로 설정합니다.
- MspaOptOutOptionMode — MSPA 투명성 규칙에 따라 사용자에게 명확한 옵트아웃 옵션이 제공되었는지 나타냅니다.
- MspaServiceProviderMode — 다운스트림 벤더가 데이터를 서비스 공급자 전용으로 처리해야 할 때 설정합니다.
- SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — 입찰자가 인프레션으로 무엇을 할 수 있는지 결정하기 위해 읽는 세분화된 동의 플래그.
- SensitiveDataProcessing — 인종적 출신, 종교적 신념, 건강, 성적 지향, 시민권, 정확한 위치 정보, 기타 주법에서 정의한 민감 카테고리에 대한 사용자 선택을 나타내는 다중 요소 배열.
CMP가 MspaCoveredTransaction = Yes를 설정했지만 퍼블리셔가 실제로 MSPA 계약에 서명하지 않았다면, 다운스트림 서명자들이 의존하게 될 허위 주장을 한 셈입니다. 이는 계약 분쟁으로, 주에 따라서는 규제 기관 민원으로 가는 빠른 길입니다.
민감 데이터: 대부분의 퍼블리셔가 놓치는 함정
캘리포니아 이후 통과된 모든 포괄적인 미국 주 개인정보 보호법은 민감한 개인 정보의 정의를 확대했으며, MSPA는 이를 통합된 GPP 필드에 묶습니다. 카테고리에는 일반적으로 다음이 포함됩니다:
- 정부 발급 식별자(사회보장번호, 운전면허증, 여권).
- 계정 자격 증명 및 금융 정보.
- 정확한 위치 정보 — 일반적으로 533미터 이내.
- 인종 또는 민족적 출신, 종교적 신념, 정신적 또는 신체적 건강 진단.
- 성생활 및 성적 지향.
- 시민권 및 이민 신분.
- 개인을 식별하는 데 사용되는 유전 및 생체 인식 데이터.
- 13세 미만 아동에 관한 데이터 — 일부 주에서는 16세 미만에 추가 보호 적용.
일부 주는 민감 데이터 처리에 옵트인 동의를 요구하고, 다른 주는 옵트아웃 권리와 함께 처리를 허용합니다. MSPA의 GPP 인코딩은 두 가지 모두를 표현할 수 있지만, CMP는 사용자의 주에 따라 어느 것을 요청해야 하는지 알아야 합니다. 민감 데이터의 잘못된 분류 — 예를 들어 건강 콘텐츠 탐색을 일반 행동 데이터로 처리하는 것 — 는 2024~2025년 집행 조치에서 주 법무장관들이 지목한 가장 일반적인 실패 유형입니다.
MSPA 대응 동의 흐름 구축
사이트나 앱에 MSPA를 구현하는 것은 법무, 엔지니어링, 광고 운영에 걸친 조율 문제입니다. 작업은 대략 다섯 가지 워크스트림으로 나뉩니다.
1. MSPA에 서명하고 서명자 자격 유지
MSPA는 법률 자문이 검토하고 체결해야 하는 실제 계약서입니다. 수행하는 역할 또는 역할들, 사업을 영위하는 미국 주, 처리하는 데이터 카테고리를 신고하게 됩니다. 매년 갱신하고 역할이나 관할권이 변경될 때마다 IAB Tech Lab 서명자 포털을 업데이트하십시오.
2. 다주 로직을 위한 CMP 구성
단일 CCPA 전용 배너는 더 이상 충분하지 않습니다. CMP는 사용자의 주를 감지해야 하며 — 보통 개인정보 보호 폴백으로 뒷받침되는 IP 위치 정보를 통해 — 해당 관할권에 맞는 공지, 링크, 옵트아웃 컨트롤을 제공해야 합니다. FlexyConsent와 다른 Google 인증 최신 CMP는 주별로 올바른 GPP 섹션 문자열에 매핑하는 다주 템플릿을 제공합니다.
3. GPP 문자열을 광고 스택에 연결
GPP 문자열은 미국 사용자로부터 발생하는 모든 OpenRTB 비드 요청에 삽입되어야 합니다. Google Ad Manager 사용자의 경우 네트워크 설정에서 GPP 지원을 활성화하는 것을 의미합니다. Prebid 사용자의 경우 gppControl_usnat와 주별 모듈을 설치하고 consentManagement 어댑터가 인코딩된 문자열을 전달하는지 확인하는 것을 의미합니다. IAB Tech Lab GPP 디코더를 사용하여 CMP에서 비드 요청까지의 왕복 여정을 검증하십시오.
4. Global Privacy Control(GPC) 신호 준수
대부분의 주법 — 캘리포니아, 콜로라도, 코네티컷 및 늘어나는 목록 — 은 브라우저 수준의 GPC 신호를 유효한 옵트아웃으로 준수하도록 요구합니다. MSPA는 서명자들이 GPC를 감지하고 사용자가 배너를 건드리기 전에도 SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut 필드를 미리 설정하도록 기대합니다. CMP가 GPC를 감지하고 대응할 수 없다면 MSPA 가입 여부와 관계없이 비준수 상태입니다.
5. 다운스트림 벤더 감사
MSPA의 다운스트림 흐름 로직은 벤더들도 서명자인 경우에만 작동합니다. SSP, DSP 또는 데이터 파트너에 데이터를 전송하기 전에 IAB Tech Lab 포털에서 서명자 자격을 확인하십시오. 비서명자 벤더는 미국 트래픽에 대해 광고 스택에서 제거하거나 MSPA 조건을 반영한 별도의 양자 DPA로 커버해야 합니다.
일반적인 구현 함정
퍼블리셔 감사에서 몇 가지 실패 패턴이 반복적으로 나타납니다:
- 서명 없이 MSPA 적용 범위 신호 보내기. 퍼블리셔의 법인이 MSPA를 체결하지 않은 상태에서 GPP 문자열에 MspaCoveredTransaction = Yes를 설정하면, 신호에 의존한 다운스트림 서명자들로부터의 허위 진술 청구에 퍼블리셔가 노출됩니다.
- 텍사스, 오리건, 몬태나 잊기. 원래 5개 주 환경에 맞춰 구성된 퍼블리셔는 2024년과 2025년에 발효된 법률을 놓칩니다. 각각 고유한 옵트아웃 트리거가 있습니다. MSPA가 이를 포함하지만 CMP의 주 감지 로직에 포함된 경우에만 해당됩니다.
- 뉴스 및 라이프스타일 콘텐츠에서 민감 데이터 신호 무시. 건강, 종교 또는 LGBTQ 중심 기사의 독자는 암묵적으로 민감 데이터를 처리하고 있을 수 있습니다. 콘텐츠 감사를 실행하고 CMP에서 카테고리 수준의 재정의를 구성하십시오.
- GPC를 조언으로 취급하기. 캘리포니아 규제 당국은 2024년에 GPC 무시가 건당 위반이라고 명확히 했습니다. MSPA는 이로부터 보호하지 않습니다. GPC 준수 여부는 여전히 귀사에 달려 있습니다.
- 엣지에 캐시된 오래된 GPP 문자열. 페이지의 CDN 또는 서비스 워커 캐싱으로 인해 사용자에게 이전 세션의 오래된 GPP 문자열이 제공될 수 있습니다. 동의 엔드포인트에서 캐싱을 비활성화하고 동의 변경 시 새로 가져오기 단계를 추가하십시오.
MSPA가 광고 수익에 미치는 영향
MSPA를 올바르게 구현한 퍼블리셔는 보통 단기 수익 소폭 감소 후 안정화를 경험하는 반면, 부실한 구현은 비드를 과도하게 제한하거나 퍼블리셔를 집행 리스크에 노출시킵니다. 수익에 영향을 미치는 변수들:
- 옵트아웃 비율 — 눈에 띄는 옵트아웃 링크가 있는 주에서는 보통 5~15%의 사용자가 판매 또는 공유에서 옵트아웃합니다. 옵트아웃된 인프레션의 비드 가격은 행동 타겟팅이 불가능하기 때문에 일반적으로 30~60% 하락합니다.
- 민감 콘텐츠 분류 — 일반 콘텐츠를 민감으로 잘못 분류하면 수요가 붕괴됩니다. 보수적이고 카테고리별로 정확하게 분류하십시오.
- 헤더 비딩 파트너 믹스 — 미국 트래픽에 대해 비활성화해야 하는 비MSPA 서명자 파트너는 경매를 줄입니다. 얇은 수요로 운영하는 대신 서명자로 교체하십시오.
- 서버 사이드 태깅 — GPP 문자열을 읽고 조건부로 태그를 실행하는 서버 사이드 컨테이너는 분석과 동의를 동기화하는 가장 깔끔한 방법입니다.
다음에 올 것: 2026년과 그 이후
MSPA는 살아 있는 계약입니다. IAB는 새로운 주법, 법무장관 지침, 연방 제안들이 환경을 재편할 때마다 1~2년마다 업데이트합니다. 2026년에 주목해야 할 주제들:
- 주 체제를 부분적으로 선점할 수 있는 연방 개인정보 보호법 가능성 — MSPA에는 선점 폴백 로직이 포함되어 있어 서명자들이 고립되지 않습니다.
- Washington My Health My Data Act 및 유사 법령에 따른 건강 특화 신호를 포함하도록 GPP 확장.
- California Privacy Protection Agency와 텍사스 법무장관에 의한 옵트아웃 흐름 내 다크 패턴 규칙의 더 엄격한 집행.
- 여러 주 의회에서 논의 중인 AI 및 대형 언어 모델 학습 공개와의 통합.
MSPA 구현을 일회성 프로젝트로 다루는 퍼블리셔는 뒤처지게 됩니다. 법무, 광고 운영, 제품 엔지니어링이 공동 소유하고 분기별로 검토하는 지속적인 운영 위생으로 취급하십시오. 미국 다주 준수에서 이기는 퍼블리셔는 가장 많은 변호사를 보유한 곳이 아니라 규제 당국이 물어볼 때 CMP, 광고 스택, 감사 로그가 모두 동일한 이야기를 하는 곳입니다.
결론
MSPA는 단편화된 미국 개인정보 보호 환경에 대한 실용적인 해답입니다. 귀사를 대신해 법률을 통과시켜 주지는 않지만, 비드 스트림, 벤더, 법무팀에 옵트아웃, 민감 데이터, 다운스트림 의무에 대한 하나의 공통 언어를 제공합니다. 주 인식 CMP, 정확한 GPP 신호, 규율 있는 벤더 관리와 결합하면 관할권에 대해 논쟁하는 시간이 줄고 허용된 인프레션을 수익화하는 시간이 늘어납니다. 그것이 2026년과 그 뒤에 줄지어 있는 주법의 파도를 헤쳐 나가는 유일하고 지속 가능한 길입니다.