Ką iš tikrųjų daro Delete Act

Delete Act – tai struktūrinis papildymas Kalifornijos esamam duomenų tarpininkų registravimo režimui, galiojančiam nuo 2020 m. Jei pirminis pagrindas paprasčiausiai reikalavo, kad tarpininkai kasmet registruotųsi valstijoje ir atskleistų savo asmens informacijos kategorijas, tai Delete Act prideda centralizuotą trynimo mechanizmą su griežtais terminais, audito prievolėmis ir sankcijomis už neatitiktį.

Centralizuotas trynimo registras

Registras yra CPPA valdomos platformos, kurioje Kalifornijos vartotojai pateikia vieną trynimo prašymą, automatiškai perduodamą kiekvienam registruotam duomenų tarpininkui. Tarpininkai privalo tikrinti registrą bent kas keturiasdešimt penkias dienas, nustatyti naujus prašymus, atitinkančius asmenis jų duomenų rinkiniuose, ir ištrinti atitinkančius įrašus per reglamentais nustatytą laikotarpį. Vartotojams nereikia žinoti, kurie tarpininkai saugo jų duomenis – registras tvarko perdavimą.

Kas laikomas duomenų tarpininku

Įstatymas apibrėžia duomenų tarpininką kaip verslą, kuris sąmoningai renka ir parduoda asmens informaciją apie vartotoją, su kuriuo verslas neturi tiesioginio ryšio. Apibrėžimas yra siauresnis, nei skamba: pirmosios šalies leidėjai, parduodantys savo auditoriją, nėra tarpininkai; procesoriai, tvarkantys duomenis kontrolieriaus vardu, taip pat nėra tarpininkai. Tačiau apibrėžimas apima tapatybės grafo teikėjus, kryžminių kontekstų reklamavimo platformas, asmenų paieškos paslaugas ir didelę auditorijos plėtros sluoksnio, per kurį leidėjai nukreipia programatinius duomenis, dalį.

Registracija ir viešas sąrašas

Kiekvienas apimtas tarpininkas privalo kasmet registruotis, sumokėti mokestį ir būti įtrauktas į CPPA valdomą viešą sąrašą. 2026 m. sąrašas yra praktinis orientyras leidėjams, audituojantiems savo žemesnio lygio duomenų srautus: bet kuris sąraše esantis tiekėjas yra duomenų tarpininkas Delete Act tikslais, o leidėjo sutartiniai įsipareigojimai su tuo tiekėju turi atspindėti trynimo perdavimo realybę.

Keturiasdešimt Penkių Dienų Ciklas ir jo veiklos pasekmės

Svarbiausias veiklos taisykles yra trynimo ciklo kadencija. Kas keturiasdešimt penkias dienas kiekvienas registruotas tarpininkas privalo patikrinti registrą ir ištrinti kiekvieną atitinkantį įrašą. Kadencija sukuria naują tapatybės atsitraukimo tipą, kuriam leidėjai turi pasirengti.

Kaip auditorijos mažėja ciklo metu

Auditorija, sukurta remiantis duomenų tarpininko praturtinimu, maždaug kas šešias savaites mažės, nes Kalifornijos vartotojai, pateikę trynimo prašymus, sklindasi tarpininkų tinkle. Leidėjai, vykdantys JAV matavimus, priklausančius nuo tapatybės nustatymo – programatinio auditorijos taikymo, priskyrimo langų, priklausančių nuo kelių svetainių identifikatorių, panašių modeliavimų, naudojančių tarpininkų pateiktus sėklų duomenis – matys, kad Kalifornijos auditorijos dydžiai mažės pjūklo dantų modeliu: kiekvieną ciklą pašalinama dalis, po to priaugę lankytojai užpildo, kol prasideda kitas ciklas.

Pakartotinas tapatybės nustatymas yra draudžiamas

Įstatymas aiškiai draudžia tarpininkams pakartotinai identifikuoti vartotoją, kurio duomenys buvo ištrinti, net jei tarpininkas vėliau gauna tuos pačius duomenis iš kito šaltinio. Šis draudimas uždaro akivaizdžią spragą ir reiškia, kad leidėjai negali pasikliauti savo pirmosios šalies duomenimis, siekdami pakartotinai sujungti ištrintus vartotojus su tarpininkų nukreiptomis auditorijomis. Trynimas turi būti ilgalaikis, o reguliatoriaus audito programa sukurta tam, kad aptiktų pakartotino identifikavimo modelius.

Leidėjo pirmosios šalies duomenys yra už ciklo ribų

Pačio leidėjo pirmosios šalies duomenys – registruoti vartotojai, naujienlaiškio prenumeratoriai, lojalumo nariai – nepriklauso Delete Act trynimo ciklui, nes leidėjas nėra šių įrašų duomenų tarpininkas. Leidėjas ir toliau laikosi CCPA ir CPRA trynimo teisių, kurios yra atskiros. Du režimai gali sąveikauti: Delete Act trynimas tarpininko lygmeniu vis tiek gali palikti leidėjo pirmosios šalies įrašą nepažeistą, o leidėjas privalo toliau vykdyti atskirą vartotojo CCPA trynimo prašymą per leidėjo paties priėmimą.

Global Privacy Control signalas naujame pasaulyje

Delete Act kertasi su Global Privacy Control (GPC) antraštimi, kurią siunčia naršyklės ir privatumo plėtiniai, nurodydami, kad vartotojas nustatė visuotinę atsisakymo nuostatą. CPPA taisyklės patvirtina, kad leidėjai ir tarpininkai turi laikyti GPC galiojančiu CCPA atsisakymu, o Delete Act centralizuotas registras prideda lygiagrečią kelią tam pačiam rezultatui pasiekti.

Du signalai, vienas rezultatas

Kalifornijos vartotojas turi du būdus, kaip pasitraukti iš komercinių duomenų ekosistemos: siųsti GPC antraštę iš kiekvienos naudojamos naršyklės arba pateikti vieną Delete Act registro prašymą. Abu keliai daugumoje naudojimo atvejų duoda lygiaverčius rezultatus, tačiau skiriasi apimtimi. GPC reguliuoja nuolatinį pardavimą ir dalijimąsi kiekvienoje vartotojo lankomoje svetainėje. Registras ištrina esamus įrašus, kuriuos laiko tarpininkai. Leidėjai turėtų laikyti abu autoritetingais signalais, o CMP turėtų būti sukonfigūruotas atpažinti bet kurį iš jų.

CMP vaidmuo iškeliant abu kelius

Atitinkantis CMP Kalifornijos auditorijoms 2026 m. išrodo GPC laikymosi būseną (lankytojas turi nustatytą GPC, atsisakymas aktyvus), paties leidėjo atsisakymo nuorodą (vartotojas gali atsisakyti pardavimo ir dalijimosi būtent šioje svetainėje) ir aiškų nuorodą į CPPA registrą vartotojams, norintiems pasiekti trynimo iš tarpininkų rezultatą. Architektūra techniškai nereikli – trys valdikliai sutikimo vartotojo sąsajoje vietoj vieno – tačiau formuluotė svarbi, o CPPA vykdymas buvo aktyvus dėl klaidinančių ar paslėptų atsisakymo kelių.

Ką turi daryti leidėjai

Delete Act yra tarpininkams, o ne leidėjams skirtas reglamentas, tačiau leidėjų veiklos pasekmės yra realios ir reikalauja konkrečių sutikimo bei duomenų architektūros pakeitimų.

Tiekėjų paketo auditas pagal tarpininkų registrą

Kiekvienas leidėjo reklamų ir analizės paketo tiekėjas turėtų būti patikrintas pagal CPPA viešą tarpininkų sąrašą. Sąraše esantys tiekėjai priklauso Delete Act režimui, o leidėjo sutartys su tais tiekėjais turi atspindėti trynimo perdavimą, audito žurnalų saugojimą ir keturiasdešimt penkių dienų ciklo kadenciją. Dauguma pagrindinių tapatybės nustatymo tiekėjų ir keli dideli SSP dabar yra sąraše; auditas nėra skausmingas, tačiau jis turi vykti bent kasmet.

Privatumo pranešimo ir sutikimo vartotojo sąsajos atnaujinimas

Leidėjo privatumo pranešimas turėtų paaiškinti Delete Act registro kelią kartu su esama CCPA trynimo teise ir tiesiogine nuoroda į CPPA registrą. Sutikimo vartotojo sąsaja turėtų atskleisti GPC laikymosi būseną, kai lankytojas turi nustatytą antraštę, o atsisakymo valdikliai turėtų būti pavaizduoti tokiu pat matomumu kaip sutikimo valdikliai – Generalinio prokuroro vykdymo sprendimai 2024 m. ir 2025 m. aiškiai apibrėžė tamsiojo šablono testą.

Auditorijos pjūklo dantų modelio planavimas

Matavimų ir auditorijos taikymo komandos turi žinoti, kad Kalifornijos auditorijos rodikliai seks šešių savaičių pjūklo dantų modelį, varomą ciklo kadencijos. Prietaisų skydeliai ir pasiūlymų tempimo modeliai turėtų būti suderinti su modeliu, o ne kiekvieną nuosmukį laikyti gedimu. Leidėjai, vykdantys griežtą priskyrimą, taip pat turėtų modeliuoti tarpininko trynimo kelią kaip atskirą atsitraukimo šaltinį, kad po ciklo esantys skaičiai galėtų būti aiškiai suderinami.

Dažniausios Delete Act klaidos, sukeliančios išvadas

Pirmoji CPPA vykdymo banga pagal Delete Act 2025 m. davė aiškų leidėjų pusės išvadų modelį. Leidėjo privatumo pranešimas aprašo CCPA atsisakymo kelią, tačiau niekada nepamini Delete Act registro. Sutikimo reklamjuostė laikosi GPC dėl pardavimo ir dalijimosi, tačiau neskleidžia signalo į leidėjo pirmosios šalies trynimo priėmimą. Leidėjas sudaro sutartį su registruotu tarpininku ir niekada neatnaujina sutarties, kad atspindėtų Delete Act trynimo perdavimo įsipareigojimus. CMP pateikia 'tvarkyti nuostatas' skydelį, kuris tris paspaudimus giliau paslėpia atsisakymą už tamsesnio mygtuko nei 'sutikti su visais'. Kiekvienas iš jų yra dokumentacijos ar vartotojo sąsajos pataisa, o ne gili architektūrinė permaina – tačiau kiekvienas taip pat yra būtent tai, kuo CPPA atidaro tyrimą.

Esmė

Delete Act suteikia Kalifornijos vartotojams vieną mygtuką, leidžiantį jiems pasitraukti iš komercinių duomenų ekosistemos, o 2026 m. registras veikia, tarpininkų sąrašas yra viešas, o vykdymo programa – aktyvi. Leidėjams pasekmės yra realios, tačiau ribotos: Delete Act nereikalauja, kad leidėjas darytų ką nors dramatiška, tačiau reikalauja, kad leidėjas žinotų, kurie žemesnio lygio tiekėjai yra tarpininkai, atnaujintų privatumo pranešimą ir sutikimo vartotojo sąsają, kad iškeltų naują kelią, nuosekliai laikytųsi GPC ir planuotų pjūklo dantų auditorijos modelį, kurį sukuria keturiasdešimt penkių dienų ciklas. Niekas iš to nėra techniškai sunku. Viskas yra veiklos požiūriu konkretu. Leidėjai, 2024 m. ir 2025 m. atlikę švarų auditą, dabar vykdo jau nusistovėjusią architektūrą; leidėjai, laikę Delete Act duomenų tarpininkų problema, jų nesusijusia, 2026 m. rašo atsakymo laiškus ir peržiūri privatumo pranešimus pagal reguliatoriaus terminus.