Apa Itu MSPA — dan Apa yang Bukan

MSPA adalah rangka kerja berasaskan kontrak swasta yang diterbitkan oleh IAB. Ia bukan undang-undang dan tidak menggantikan statut negeri. Sebaliknya, ia adalah perjanjian berbilang pihak yang ditandatangani oleh peserta — penerbit, agensi, rangkaian iklan, SSP, DSP, dan pembekal data — supaya mereka dapat membuat tuntutan undang-undang yang konsisten tentang cara maklumat peribadi mengalir melalui pengiklanan terancang. Apabila semua orang dalam rantaian menandatangani kontrak yang sama, vendor hiliran tidak perlu berunding lima puluh perjanjian pemprosesan data dua hala yang berbeza untuk mengendalikan satu permintaan bidaan.

Anggap MSPA sebagai tiga perkara sekaligus:

• Kontrak yang mengalir ke hiliran secara automatik apabila penandatangan menghantar data kepada penandatangan lain.
• Perbendaharaan kata untuk menyatakan pilihan pengguna menggunakan rentetan berkod GPP, termasuk opt-out jualan, perkongsian, pengiklanan tersasar, dan pemprosesan data sensitif.
• Rangka kerja peruntukan risiko yang memetakan setiap penandatangan kepada salah satu daripada tiga peranan — Perniagaan Dilindungi, Pembekal Perkhidmatan/Pemproses, atau Pihak Ketiga — dan kewajipan yang melekat pada setiap peranan.

Apa yang MSPA bukan: pengganti notis privasi anda, pengganti persetujuan langsung pengguna di mana diperlukan, atau jaminan pematuhan dengan mana-mana undang-undang negeri tertentu. Ia adalah alat yang, jika digunakan dengan betul, menjadikan pematuhan dengan pelbagai undang-undang negeri dapat dilaksanakan secara operasi. Jika digunakan dengan salah — contohnya, dengan mengisyaratkan penyertaan sambil terus berkongsi data selepas opt-out — ia meningkatkan liabiliti anda dan bukannya mengurangkannya.

Siapa yang Perlu Peduli: Tiga Peranan MSPA

Sebelum anda menandatangani apa-apa, kenal pasti peranan yang sebenarnya anda mainkan. Kebanyakan penerbit terkejut mendapati bahawa mereka memakai lebih daripada satu topi bergantung pada aliran data.

Perniagaan Dilindungi

Anda adalah Perniagaan Dilindungi jika anda menentukan tujuan dan cara pemprosesan maklumat peribadi tentang pengguna — biasanya penerbit yang mengendalikan laman web atau apl yang dikunjungi pengguna. Sebagai Perniagaan Dilindungi, anda bertanggungjawab untuk mengumpul persetujuan, memaparkan notis, menghormati opt-out, dan mengkonfigurasi isyarat GPP yang digunakan oleh vendor hiliran. Beban yang menghadap pengguna terletak pada anda.

Pembekal Perkhidmatan atau Pemproses

Anda adalah Pembekal Perkhidmatan apabila anda memproses maklumat peribadi bagi pihak Perniagaan Dilindungi di bawah kontrak dan hanya untuk tujuan yang terhad dan dibenarkan. Kebanyakan vendor analitik, pembekal pengehosan, dan platform pengurusan persetujuan beroperasi dalam laluan ini. MSPA mengenakan sekatan: tiada penjualan, tiada pengiklanan tingkah laku merentas konteks atas nama sendiri, dan peraturan pengekalan dan pemadaman yang ditakrifkan dengan ketat.

Pihak Ketiga

Anda adalah Pihak Ketiga apabila anda menerima maklumat peribadi daripada Perniagaan Dilindungi dan menggunakannya untuk tujuan anda sendiri — kebanyakan SSP, DSP, vendor identiti, dan broker data termasuk di sini. Pihak Ketiga mempunyai kewajipan kontrak yang paling berat, termasuk pengendalian hak pengguna secara langsung dan kewajipan aliran melalui hiliran apabila mereka berkongsi data dengan rakan kongsi mereka sendiri.

MSPA dan Platform Privasi Global (GPP)

MSPA tidak wujud dalam vakum. Ia adalah lapisan kontrak; GPP adalah lapisan isyarat teknikal. Platform Privasi Global IAB Tech Lab mengekodkan pilihan pengguna ke dalam satu rentetan yang bergerak bersama permintaan bidaan melalui protokol OpenRTB. Untuk isyarat AS, GPP membawa rentetan bahagian untuk setiap negeri dengan undang-undang privasi yang komprehensif — contohnya, USCA (California), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah), dan rentetan Nasional AS untuk negeri-negeri tanpa bahagian khusus.

MSPA memberitahu CMP anda medan mana yang perlu ditetapkan di dalam bahagian GPP tersebut untuk menuntut liputan. Medan paling penting yang akan dilihat dan dikonfigurasi oleh penerbit termasuk:

• MspaCoveredTransaction — ditetapkan kepada Ya apabila penerbit menegaskan bahawa permintaan bidaan dilindungi oleh rangka kerja MSPA.
• MspaOptOutOptionMode — menunjukkan sama ada pengguna diberi pilihan opt-out yang jelas seperti yang dikehendaki oleh peraturan ketelusan MSPA.
• MspaServiceProviderMode — ditetapkan apabila vendor hiliran mesti menganggap data sebagai data pembekal perkhidmatan sahaja.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — bendera persetujuan terperinci yang dibaca oleh penawar untuk memutuskan apa yang boleh mereka lakukan dengan tayangan.
• SensitiveDataProcessing — susunan berbilang elemen yang mengisyaratkan pilihan pengguna untuk asal-usul kaum, kepercayaan agama, kesihatan, orientasi seksual, kewarganegaraan, geolokasi tepat, dan kategori sensitif lain yang ditakrifkan oleh undang-undang negeri.

Jika CMP anda menetapkan MspaCoveredTransaction = Ya tetapi penerbit sebenarnya belum menandatangani kontrak MSPA, anda baru sahaja membuat tuntutan palsu yang akan digunakan oleh penandatangan hiliran. Itu adalah laluan pantas menuju pertikaian kontrak dan, bergantung pada negeri, aduan kawal selia.

Data Sensitif: Perangkap yang Kebanyakan Penerbit Terlepas

Setiap undang-undang privasi negeri AS yang komprehensif yang diluluskan sejak California telah meluaskan definisi maklumat peribadi sensitif, dan MSPA melipat ini ke dalam medan GPP yang bersatu. Kategori biasanya termasuk:

• Pengecam kerajaan (nombor Keselamatan Sosial, lesen memandu, pasport).
• Kelayakan akaun dan maklumat kewangan.
• Geolokasi tepat, umumnya lebih sempit daripada 533 meter.
• Asal-usul kaum atau etnik, kepercayaan agama, diagnosis kesihatan mental atau fizikal.
• Kehidupan seks dan orientasi seksual.
• Kewarganegaraan dan status imigresen.
• Data genetik dan biometrik yang digunakan untuk mengenal pasti seseorang.
• Data berkenaan kanak-kanak di bawah 13 tahun — dan di sesetengah negeri, di bawah 16 tahun dengan perlindungan tambahan.

Beberapa negeri memerlukan persetujuan opt-in untuk memproses data sensitif, manakala yang lain membenarkan pemprosesan dengan hak untuk opt-out. Pengekodan GPP MSPA membolehkan anda menyatakan sama ada, tetapi CMP anda mesti mengetahui yang mana perlu diminta berdasarkan negeri pengguna. Salah mengklasifikasikan data sensitif — contohnya, menganggap penyemakan imbas kandungan kesihatan sebagai data tingkah laku biasa — adalah mod kegagalan paling biasa yang ditandakan oleh peguam negara negeri dalam tindakan penguatkuasaan 2024–2025.

Membina Aliran Persetujuan Bersedia MSPA

Melaksanakan MSPA di laman web atau apl anda adalah masalah penyelarasan merentasi undang-undang, kejuruteraan, dan operasi iklan. Kerja ini dibahagikan kepada kira-kira lima aliran kerja.

1. Tandatangani MSPA dan Kekalkan Status Penandatangan Anda

MSPA adalah kontrak sebenar yang mesti disemak dan dilaksanakan oleh penasihat undang-undang. Anda akan mengisytiharkan peranan atau peranan yang anda jalani, negeri AS di mana anda berniaga, dan kategori data yang anda proses. Perbaharui setiap tahun dan kemaskini portal penandatangan IAB Tech Lab setiap kali peranan atau bidang kuasa anda berubah.

2. Konfigurasikan CMP Anda untuk Logik Pelbagai Negeri

Sepanduk hanya CCPA tunggal tidak lagi mencukupi. CMP anda mesti mengesan negeri pengguna — biasanya melalui geolokasi IP yang disokong oleh penggantian privasi — dan memaparkan notis, pautan, dan kawalan opt-out yang betul untuk bidang kuasa tersebut. FlexyConsent dan CMP lain yang diperakui Google moden menghantarkan templat pelbagai negeri yang memetakan negeri demi negeri kepada rentetan bahagian GPP yang betul.

3. Sambungkan Rentetan GPP ke Timbunan Iklan Anda

Rentetan GPP mesti dimasukkan ke dalam setiap permintaan bidaan OpenRTB yang berasal daripada pengguna AS. Untuk pengguna Google Ad Manager, ini bermakna mengaktifkan sokongan GPP dalam tetapan rangkaian; untuk pengguna Prebid, ini bermakna memasang modul gppControl_usnat dan setiap negeri dan mengesahkan bahawa penyesuai consentManagement memajukan rentetan berkod. Uji menggunakan penyahkod GPP IAB Tech Lab untuk mengesahkan perjalanan pulang pergi daripada CMP ke permintaan bidaan.

4. Hormati Isyarat Kawalan Privasi Global (GPC)

Kebanyakan undang-undang negeri — California, Colorado, Connecticut, dan senarai yang semakin berkembang — memerlukan penghormatan isyarat GPC peringkat penyemak imbas sebagai opt-out yang sah. MSPA mengharapkan penandatangan untuk mengesan GPC dan menetapkan medan SaleOptOut, SharingOptOut, dan TargetedAdvertisingOptOut terlebih dahulu dengan sewajarnya, walaupun sebelum pengguna menyentuh sepanduk. Jika CMP anda tidak dapat mengesan dan bertindak pada GPC, anda tidak mematuhi tanpa mengira keahlian MSPA.

5. Audit Vendor Hiliran

Logik aliran hiliran MSPA hanya berfungsi jika vendor anda juga adalah penandatangan. Sebelum menghantar data kepada mana-mana SSP, DSP, atau rakan kongsi data, sahkan status penandatangan mereka di portal IAB Tech Lab. Vendor bukan penandatangan mesti sama ada dikeluarkan daripada timbunan iklan anda untuk trafik AS atau dilindungi oleh DPA dua hala berasingan yang mencerminkan terma MSPA.

Perangkap Pelaksanaan Biasa

Beberapa corak kegagalan muncul berulang kali dalam audit penerbit:

• Mengisyaratkan liputan MSPA tanpa menandatangani. Menetapkan MspaCoveredTransaction = Ya dalam rentetan GPP sementara entiti undang-undang penerbit belum melaksanakan MSPA mendedahkan penerbit kepada tuntutan salah nyata daripada penandatangan hiliran yang bergantung pada isyarat tersebut.
• Melupakan Texas, Oregon, dan Montana. Penerbit yang dikonfigurasi untuk landskap lima negeri asal terlepas undang-undang yang berkuat kuasa pada 2024 dan 2025. Masing-masing mempunyai pencetus opt-out sendiri; MSPA meliputi mereka, tetapi hanya jika logik pengesanan negeri CMP anda memasukkan mereka.
• Mengabaikan isyarat data sensitif pada kandungan berita dan gaya hidup. Pembaca artikel yang memfokuskan kesihatan, agama, atau LGBTQ mungkin memproses data sensitif secara tersirat. Jalankan audit kandungan dan konfigurasikan penggantian peringkat kategori dalam CMP.
• Memperlakukan GPC sebagai nasihat. Pengawal selia California menjelaskan pada 2024 bahawa mengabaikan GPC adalah pelanggaran setiap pelanggaran. MSPA tidak melindungi anda daripada ini — ia bergantung kepada anda untuk menghormati GPC.
• Rentetan GPP lapuk yang dicache di tepi. Pencachean CDN atau pekerja perkhidmatan halaman boleh melayani pengguna rentetan GPP lapuk dari sesi sebelumnya. Lumpuhkan pencachean pada titik akhir persetujuan dan tambah langkah pengambilan segar pada perubahan persetujuan.

Bagaimana MSPA Mempengaruhi Hasil Iklan

Penerbit yang melaksanakan MSPA dengan betul biasanya melihat penurunan hasil jangka pendek yang sederhana diikuti oleh penstabilan, sementara pelaksanaan yang cuai sama ada terlalu menyekat bidaan atau mendedahkan penerbit kepada risiko penguatkuasaan. Pemboleh ubah yang menggerakkan penunjuk:

• Kadar opt-out — Di negeri dengan pautan opt-out yang menonjol, 5–15% pengguna biasanya memilih keluar daripada jualan atau perkongsian. Harga bidaan pada tayangan yang telah opt-out biasanya turun 30–60% kerana penargetan tingkah laku tidak tersedia.
• Klasifikasi kandungan sensitif — Salah mengklasifikasikan kandungan biasa sebagai sensitif akan meruntuhkan permintaan. Bersikap konservatif dan tepat mengikut kategori.
• Campuran rakan kongsi bidaan pengepala — Rakan kongsi bukan penandatangan MSPA yang perlu anda lumpuhkan untuk trafik AS mengecilkan lelongan anda. Gantikan mereka dengan penandatangan daripada beroperasi dengan permintaan yang lebih nipis.
• Penandaan sisi pelayan — Bekas sisi pelayan yang membaca rentetan GPP dan secara bersyarat membakar tag adalah cara terbersih untuk memastikan analitik dan persetujuan disegerakkan.

Apa yang Akan Datang: 2026 dan Seterusnya

MSPA adalah perjanjian yang hidup. IAB mengemas kininya setiap satu atau dua tahun apabila undang-undang negeri baru, panduan peguam negara, dan cadangan persekutuan membentuk semula landskap. Tema yang perlu dipantau pada 2026:

• Kemungkinan undang-undang privasi persekutuan yang sebahagiannya akan mengatasi rejim negeri — MSPA merangkumi logik penggantian sandaran, jadi penandatangan tidak akan ditinggalkan terdampar.
• Pengembangan GPP untuk merangkumi isyarat khusus kesihatan di bawah Washington My Health My Data Act dan statut yang analog.
• Penguatkuasaan yang lebih ketat terhadap peraturan corak gelap dalam aliran opt-out oleh Agensi Perlindungan Privasi California dan Peguam Negara Texas.
• Integrasi dengan pendedahan latihan AI dan model bahasa besar, yang sedang diperdebatkan oleh beberapa badan perundangan negeri.

Penerbit yang menganggap pelaksanaan MSPA sebagai projek sekali sahaja akan ketinggalan. Anggaplah ia sebagai kebersihan operasi yang berterusan, dimiliki bersama oleh undang-undang, ops iklan, dan kejuruteraan produk, dan dikaji semula setiap suku tahun. Penerbit yang menang dalam pematuhan pelbagai negeri AS bukan mereka yang mempunyai peguam paling ramai — mereka adalah mereka yang CMP, timbunan iklan, dan log audit mereka semua menceritakan kisah yang sama apabila pengawal selia bertanya.

Kesimpulan

MSPA adalah jawapan praktikal kepada landskap privasi AS yang berpecah-belah. Ia tidak akan meluluskan undang-undang untuk anda, tetapi ia akan memberikan aliran bidaan, vendor, dan pasukan undang-undang anda satu bahasa bersama untuk opt-out, data sensitif, dan kewajipan hiliran. Padankan dengan CMP yang sedar negeri, isyarat GPP yang tepat, dan pengurusan vendor yang berdisiplin, dan anda akan menghabiskan lebih sedikit masa berdebat tentang bidang kuasa dan lebih banyak masa memonetisasi tayangan yang anda dibenarkan untuk memonetisasi. Itulah satu-satunya laluan mampan melalui 2026 dan gelombang undang-undang negeri yang masih beratur di belakangnya.