Kas yra MSPA — ir kas nėra

MSPA yra privati, sutartimi pagrįsta sistema, kurią paskelbė IAB. Ji nėra įstatymas ir nepakeičia valstijų įstatymų. Vietoj to, tai daugiašalis susitarimas, kurį pasirašo dalyviai — leidėjai, agentūros, reklamos tinklai, SSP, DSP ir duomenų teikėjai — kad galėtų teikti nuoseklius teisinius teiginius apie tai, kaip asmeninė informacija teka per programatinę reklamą. Kai visi grandinėje pasirašo tą patį sutartį, toliau esantys pardavėjai neturi derėtis dėl penkiasdešimties skirtingų dvišalių duomenų tvarkymo susitarimų vienam pasiūlymo prašymui apdoroti.

Įsivaizduokite MSPA kaip tris dalykus kartu:

• Sutartis, kuri automatiškai teka žemyn, kai pasirašantysis perduoda duomenis kitam pasirašančiajam.
• Žodynas naudotojo pasirinkimams išreikšti naudojant GPP užkoduotas eilutes, įskaitant atsisakymą pardavimo, dalijimosi, tikslinės reklamos ir jautrių duomenų tvarkymo.
• Rizikos paskirstymo sistema, priskirianti kiekvieną pasirašantįjį vienam iš trijų vaidmenų — Covered Business, Service Provider/Processor arba Third Party — su kiekvienu susijusiomis pareigomis.

Kas MSPA nėra: jūsų privatumo pranešimo pakaitalas, tiesioginio naudotojo sutikimo pakaitalas ten, kur tai reikalinga, arba atitikties konkrečiam valstijos įstatymui garantija. Tai priemonė, kuri, tinkamai naudojama, daro atitiktį keliems valstijų įstatymams operaciniu požiūriu įmanomu. Netinkamai naudojama — pavyzdžiui, signalizuojant apie dalyvavimą tęsiant duomenų dalijimąsi po atsisakymo — padidina jūsų atsakomybę, o ne sumažina.

Kam tai rūpi: trys MSPA vaidmenys

Prieš pasirašydami bet ką, nustatykite, kokį vaidmenį iš tikrųjų atliekate. Dauguma leidėjų nustebsta sužinoję, kad priklausomai nuo duomenų srauto jie turi daugiau nei vieną skrybėlę.

Covered Business

Jūs esate Covered Business, jei nustatote naudotojo asmeninės informacijos tvarkymo tikslus ir priemones — paprastai leidėjas, valdantis svetainę ar programėlę, kurią lanko naudotojas. Kaip Covered Business, esate atsakingas už sutikimo rinkimą, pranešimų rodymą, atsisakymų gerbimą ir GPP signalo konfigūravimą, kuriuo pasikliauja toliau esantys pardavėjai. Su naudotoju susijusi našta tenka jums.

Service Provider arba Processor

Jūs esate Service Provider, kai tvarkote asmeninę informaciją Covered Business vardu pagal sutartį ir tik dėl ribotų, leidžiamų tikslų. Dauguma analitikos pardavėjų, prieglobos paslaugų teikėjų ir sutikimų valdymo platformų veikia šioje kategorijoje. MSPA nustato apribojimus: joks pardavimas, jokia kryžminio konteksto elgsenos reklama savo vardu ir griežtai apibrėžtos saugojimo bei ištrynimo taisyklės.

Third Party

Jūs esate Third Party, kai gaunate asmeninę informaciją iš Covered Business ir naudojate ją savo tikslams — dauguma SSP, DSP, tapatybės pardavėjų ir duomenų tarpininkų patenka čia. Third Party turi sunkiausias sutartines pareigas, įskaitant tiesioginį naudotojo teisių tvarkymą ir toliau esančio srauto perdavimo pareigas, kai jie dalijasi duomenimis su savo partneriais.

MSPA ir Global Privacy Platform (GPP)

MSPA egzistuoja ne vakuume. Tai sutartinis lygmuo; GPP yra techninis signalizavimo lygmuo. IAB Tech Lab Global Privacy Platform koduoja naudotojo pasirinkimus į vieną eilutę, kuri keliauja su pasiūlymo prašymais per OpenRTB protokolą. JAV signalizavimui GPP perneša sekcijų eilutes kiekvienai valstijai su išsamiu privatumo įstatymu — pavyzdžiui, USCA (Kalifornija), USCO (Koloradas), USVA (Virdžinija), USCT (Konektikutas), USUT (Juta) ir visą apimanti US National eilutė valstijoms be atskiros sekcijos.

MSPA nurodo jūsų CMP, kokius laukus nustatyti tose GPP sekcijose, norint pareikšti apimtį. Svarbiausi laukai, kuriuos leidėjai matys ir konfigūruos, apima:

• MspaCoveredTransaction — nustatomas į Yes, kai leidėjas teigia, kad pasiūlymo prašymas patenka į MSPA sistemos taikymo sritį.
• MspaOptOutOptionMode — nurodo, ar naudotojui buvo suteikta aiški atsisakymo galimybė, kaip reikalaujama MSPA skaidrumo taisyklėmis.
• MspaServiceProviderMode — nustatomas, kai toliau esantys pardavėjai turi tvarkyti duomenis tik kaip paslaugų teikėjai.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — granuliarūs sutikimo žymekliai, kuriuos siūlytojai skaito sprendžiant, ką jie gali daryti su rodymu.
• SensitiveDataProcessing — kelių elementų masyvas, signalizuojantis naudotojo pasirinkimus dėl rasinės kilmės, religinių įsitikinimų, sveikatos, seksualinės orientacijos, pilietybės, tikslios buvimo vietos ir kitų jautrių kategorijų, apibrėžtų valstijos įstatymo.

Jei jūsų CMP nustato MspaCoveredTransaction = Yes, bet leidėjas iš tikrųjų nepasirašė MSPA sutarties, padarėte melagingą pareiškimą, kuriuo pasikliaus toliau esantys pasirašantieji. Tai greitas kelias į sutartinį ginčą ir, priklausomai nuo valstijos, reguliavimo skundą.

Jautrūs duomenys: Spąstai, kurių dauguma leidėjų praleido

Kiekvienas visapusiškas JAV valstijos privatumo įstatymas, priimtas nuo Kalifornijos, išplėtė jautrios asmeninės informacijos apibrėžimą, o MSPA juos sutelkia į vieningą GPP lauką. Kategorijos paprastai apima:

• Vyriausybės identifikatoriai (socialinio draudimo numeris, vairuotojo pažymėjimas, pasas).
• Paskyros prisijungimo duomenys ir finansinė informacija.
• Tiksli buvimo vieta, paprastai tikslesnė nei 533 metrai.
• Rasinė arba etninė kilmė, religiniai įsitikinimai, psichinės arba fizinės sveikatos diagnozės.
• Lytinis gyvenimas ir seksualinė orientacija.
• Pilietybė ir imigracijos statusas.
• Genetiniai ir biometriniai duomenys, naudojami asmeniui identifikuoti.
• Duomenys apie žinomą vaiką iki 13 metų — kai kuriose valstijose iki 16 metų su papildomu apsauga.

Kai kurios valstijos reikalauja sutikimo opt-in formos jautrių duomenų tvarkymui, kitos leidžia tvarkymą su teise atsisakyti. MSPA GPP kodavimas leidžia išreikšti abu, tačiau jūsų CMP turi žinoti, kurio prašyti remiantis naudotojo valstija. Klaidinga jautrių duomenų klasifikacija — pavyzdžiui, sveikatos turinio naršymo traktavimas kaip įprasti elgsenos duomenys — yra dažniausias nesėkmės būdas, kurį pažymėjo valstijų generaliniai prokurorai 2024–2025 m. vykdymo veiksmuose.

MSPA parengto sutikimų srauto kūrimas

MSPA diegimas jūsų svetainėje ar programėlėje yra koordinavimo problema tarp teisės, inžinerijos ir reklamos operacijų. Darbas skirstomas į maždaug penkias darbo srautų sritis.

1. Pasirašykite MSPA ir išlaikykite pasirašančiojo statusą

MSPA yra tikra sutartis, kurią turi peržiūrėti ir sudaryti teisinis patarėjas. Deklaruosite vaidmenį ar vaidmenis, kuriuos atliekate, JAV valstijas, kuriose vykdote veiklą, ir duomenų kategorijas, kurias tvarkote. Atnaujinkite kasmet ir atnaujinkite IAB Tech Lab pasirašančiųjų portalą kiekvieną kartą, kai keičiasi jūsų vaidmuo arba jurisdikcija.

2. Sukonfigūruokite CMP daugiavalstybijai logikai

Vienas tik CCPA reklamjuostė nebėra pakankama. Jūsų CMP turi nustatyti naudotojo valstiją — paprastai per IP geolokaciją, palaikomą privatumo atsarginio variantu — ir pateikti tinkamus pranešimus, nuorodas ir atsisakymo valdiklius tai jurisdikcijai. FlexyConsent ir kitos modernios Google sertifikuotos CMP pateikia daugiavalstybinius šablonus, kurie kiekvienai valstijai atitinka teisingas GPP sekcijų eilutes.

3. GPP eilutes sujunkite su reklamos paketu

GPP eilutė turi būti įterpta į kiekvieną OpenRTB pasiūlymo prašymą, kylantį iš JAV naudotojo. Google Ad Manager naudotojams tai reiškia GPP palaikymo įjungimą tinklo nustatymuose; Prebid naudotojams — gppControl_usnat ir valstybiniu lygiu modulių diegimą ir patvirtinimą, kad consentManagement adapteris perduoda užkoduotą eilutę. Patikrinkite naudodami IAB Tech Lab GPP dekoderį, kad patvirtintumėte kelionę nuo CMP iki pasiūlymo prašymo.

4. Gerbiamas Global Privacy Control (GPC) signalas

Dauguma valstijų įstatymų — Kalifornija, Koloradas, Konektikutas ir augantis sąrašas — reikalauja gerbti naršyklės lygio GPC signalą kaip galiojantį atsisakymą. MSPA tikisi, kad pasirašantieji aptiks GPC ir iš anksto nustatys SaleOptOut, SharingOptOut ir TargetedAdvertisingOptOut laukus atitinkamai, net prieš naudotojui palietiant reklamjuostę. Jei jūsų CMP negali aptikti ir reaguoti į GPC, nesate atitinkantis nepaisant MSPA narystės.

5. Toliau esančių pardavėjų auditas

MSPA toliau esančio srauto logika veikia tik tuo atveju, jei jūsų pardavėjai taip pat yra pasirašantieji. Prieš siunčiant duomenis bet kuriam SSP, DSP ar duomenų partneriui, patikrinkite jų pasirašančiojo statusą IAB Tech Lab portale. Nepasirašantys pardavėjai turi būti pašalinti iš jūsų reklamos paketo JAV srautui arba padengti atskirais dvišaliais DPA, atspindinčiais MSPA sąlygas.

Dažnos diegimo klaidos

Keli nesėkmės modeliai pasikartoja leidėjų audituose:

• MSPA apimties signalizavimas be pasirašymo. Nustatant MspaCoveredTransaction = Yes GPP eilutėje, kai leidėjo juridinis asmuo nepasirašė MSPA, leidėjas atsiduria prieš klaidingos atstovybės reikalavimus iš toliau esančių pasirašančiųjų, kurie rėmėsi signalu.
• Teksaso, Oregono ir Montanos pamiršimas. Leidėjai, sukonfigūruoti pradiniam penkių valstijų scenarijui, praleido 2024 ir 2025 m. įsigaliojusius įstatymus. Kiekvienas turi savus atsisakymo trigerius; MSPA juos apima, bet tik jei jūsų CMP valstijos aptikimo logika juos įtraukia.
• Jautrių duomenų signalų ignoravimas naujienų ir gyvenimo būdo turinyje. Sveikatos, religijos ar LGBTQ orientuoto straipsnio skaitytojas gali netiesiogiai tvarkyti jautrius duomenis. Atlikite turinio auditą ir sukonfigūruokite kategorijos lygio perrašymus CMP.
• GPC vertinimas kaip patariamojo. Kalifornijos reguliuotojas 2024 m. patikslino, kad GPC ignoravimas yra pažeidimas už kiekvieną pažeidimą. MSPA neapsaugo jūsų nuo to — tai priklauso nuo to, ar gerbiamas GPC.
• Senos GPP eilutės, saugomos talpykloje. CDN ar paslaugų darbuotojo puslapių talpykla gali pateikti naudotojui seną GPP eilutę iš ankstesnės sesijos. Išjunkite talpyklą sutikimo galiniame taške ir pridėkite naujų duomenų gavimo žingsnį pasikeitus sutikimui.

Kaip MSPA veikia reklamos pajamas

Leidėjai, tinkamai diegiantys MSPA, paprastai mato nedidelį trumpalaikį pajamų kritimą, po kurio seka stabilizacija, o nerūpestingas diegimas arba per daug apriboja pasiūlymus, arba kelia leidėją vykdymo rizikai. Kintamieji, judantys skalę:

• Atsisakymo rodikliai — Valstijose su ryškiomis atsisakymo nuorodomis 5–15% naudotojų paprastai atsisako pardavimo arba dalijimosi. Pasiūlymų kainos atsisakiusiems rodymams paprastai krinta 30–60%, nes elgsenos taikymas nepasiekiamas.
• Jautraus turinio klasifikacija — Klaidinga įprasto turinio klasifikacija kaip jautraus sugriaus paklausą. Būkite konservatyvus ir tikslus pagal kategoriją.
• Header bidding partnerių mišinys — Ne MSPA pasirašantieji partneriai, kuriuos turite išjungti JAV srautui, siaurina aukcioną. Pakeiskite juos pasirašančiaisiais, o ne dirbkite su plonesnę paklausa.
• Serverio pusės žymėjimas — Serverio pusės konteineris, skaitantis GPP eilutę ir sąlygiškai paleidžiantis žymas, yra gryniausias būdas sinchronizuoti analitiką ir sutikimą.

Kas laukia toliau: 2026 m. ir vėliau

MSPA yra gyvas susitarimas. IAB jį atnaujina kas metus ar dvejus, kai nauji valstijų įstatymai, generalinių prokurorų gairės ir federaliniai pasiūlymai pertvarko aplinką. Stebėtinos temos 2026 m.:

• Galimas federalinis privatumo įstatymas, iš dalies panaikinantis valstijų režimus — MSPA apima pirmumo atsarginio variantu logiką, todėl pasirašantieji nebus palikti be priemonių.
• GPP išplėtimas, apimantis sveikatai būdingą signalizavimą pagal Washington My Health My Data Act ir analogiškus įstatymus.
• Griežtesnis tamsių modelių taisyklių vykdymas atsisakymo srautuose California Privacy Protection Agency ir Teksaso generalinio prokuroro.
• Integracija su dirbtinio intelekto ir didelių kalbos modelių mokymo atskleidimais, kuriuos svarsto kelios valstijų įstatymų leidybos institucijos.

Leidėjai, kurie MSPA diegimą laiko vienkartiniumi projektu, atsiliks. Elkitės su ja kaip su nuolatine veiklos higiena, bendrai valdoma teisės, reklamos operacijų ir produktų inžinerijos, peržiūrima kas ketvirtį. Leidėjai, laimintys JAV daugiavalstybiją atitiktį, yra ne tie, kurie turi daugiausiai teisininkų — tai tie, kurių CMP, reklamos paketas ir audito žurnalai visi pasakoja tą pačią istoriją, kai reguliuotojas klausia.

Galutinė išvada

MSPA yra praktinis atsakas į susiskaidžiusią JAV privatumo aplinką. Ji neprims jūsų vardu įstatymų, bet suteiks jūsų pasiūlymų srautui, pardavėjams ir teisinei komandai vieną bendrą kalbą atsisakymams, jautriais duomenimis ir toliau esančioms pareigoms. Derinkite ją su valstiją žinančia CMP, tikslia GPP signalizacija ir drausminga pardavėjų valdymu, ir praleiste mažiau laiko ginčydamiesi dėl jurisdikcijos ir daugiau laiko monetizuodami rodymų, kuriuos turite teisę monetizuoti. Tai vienintelis tvaraus kelio per 2026 m. ir dar laukiančią valstijų įstatymų bangą.