Hva Delete Act faktisk gjør

Delete Act er et strukturelt tillegg til Californias eksisterende registreringsregime for datameglere, som har vært i kraft siden 2020. Der det opprinnelige rammeverket bare krevde at meglere registrerte seg årlig hos delstaten og opplyste om sine kategorier av personopplysninger, legger Delete Act til en sentralisert slettemekanisme med harde tidsfrister, revisjonsforpliktelser og bøter ved manglende etterlevelse.

Det sentraliserte slette-registeret

Registeret er en CPPA-drevet plattform der californiske forbrukere sender inn én sletteforespørsel som automatisk videresendes til alle registrerte datameglere. Meglere må sjekke registeret minst hver femogfirti dag, identifisere nye forespørsler som samsvarer med enkeltpersoner i datasettene deres, og slette de samsvarende postene innen fristen som regelverket angir. Forbrukere trenger ikke å vite hvilke meglere som har dataene deres — registeret håndterer spredningen.

Hvem som regnes som datamegler

Loven definerer en datamegler som en virksomhet som bevisst samler inn og selger personopplysninger om en forbruker som virksomheten ikke har et direkte forhold til. Definisjonen er snevrere enn den høres ut — utgivere med egne data som selger sitt eget publikum er ikke meglere, behandlere som håndterer data på vegne av en behandlingsansvarlig er ikke meglere — men den fanger identitetsgrafleverandørene, de kryssinnholdsmessige reklameplattformene, personsøketjenestene og en stor del av publikumsutvidelseslaget som utgivere ruter programmatiske data gjennom.

Registrering og den offentlige listen

Enhver berørt megler må registrere seg årlig, betale et gebyr og fremgå på en offentlig liste som CPPA vedlikeholder. Innen 2026 er listen det praktiske referansepunktet for utgivere som reviderer sine downstream-datastrømmer: enhver leverandør på listen er en datamegler for Delete Act-formål, og utgiverens kontraktuelle forpliktelser overfor den leverandøren må gjenspeile den faktiske slette-spredningsforpliktelsen.

Den femogfiriti-dagers sweepen og dens operasjonelle konsekvenser

Den avgjørende operasjonelle regelen er slette-sweep-kadansen. Hver femogfiriti dag må hver registrert megler sjekke registeret og slette hver samsvarende post. Kadansen skaper en ny type identitetsavtak som utgivere må bygge systemene sine for å håndtere.

Hvordan publikum minker under sweepen

Et publikum bygget på datameglerberiking vil krympe på en omtrent seksukersklokkesyklus ettersom californiske forbrukere som har sendt inn sletteforespørsler, sprer seg gjennom meglernettet. Utgivere som driver amerikansk måling avhengig av identitetsoppløsning — programmatisk publikumstargeting, attribusjonsvindu som avhenger av tverrsideidentifikatorer, lookalike-modellering som bruker meglerlevererte frø — vil se at californiske publikumsstørrelser driver nedover i et sagtannet mønster: hver sweep fjerner en del, deretter fyller nye besøkende på igjen til neste sweep.

Gjenidentifisering er forbudt

Loven forbyr eksplisitt meglere å gjenidentifisere en forbruker som er slettet, selv om megleren deretter innhenter de samme dataene fra en annen kilde. Forbudet lukker det åpenbare smutthullet og betyr at utgivere ikke kan stole på egne data for å sy slettede forbrukere tilbake inn i meglerrutede publikum. Slettingen er ment å være varig, og tilsynsmyndighetens revisjonsprogram er bygget for å oppdage gjenidentifiseringsmønstre.

Utgivers egne data er utenfor sweepen

Utgiverens egne data — registrerte brukere, nyhetsbrevabonnenter, lojalitetsmedlemmer — er ikke underlagt Delete Act-sweepen fordi utgiveren ikke er datamegler for disse postene. Utgiveren er fortsatt underlagt CCPA- og CPRA-sletterettighetene, som er separate. De to regimene kan samhandle: en Delete Act-sletting på meglernivå kan likevel etterlate utgiverens egne poster intakt, og utgiveren må fortsette å respektere forbrukerens separate CCPA-sletteforespørsel gjennom utgiverens eget inntak.

Global Privacy Control-signalet i den nye verden

Delete Act griper inn i Global Privacy Control (GPC)-headeren som nettlesere og personvernannex sender for å indikere at brukeren har angitt en universell opt-ut-preferanse. CPPAs regelverk bekrefter at utgivere og meglere må respektere GPC som en gyldig CCPA-opt-ut, og Delete Acts sentraliserte register legger til en parallell vei til samme utfall.

To signaler, ett utfall

En californisk forbruker har to måter å forlate det kommersielle dataøkosystemet på: sende GPC-headeren fra alle nettlesere de bruker, eller sende inn én Delete Act-registerforespørsel. De to veiene gir likeverdige utfall for de fleste brukstilfeller, men de skiller seg i omfang. GPC styrer pågående salg og deling på hvert nettsted forbrukeren besøker. Registeret sletter eksisterende poster hos meglere. Utgivere bør behandle begge som autoritative signaler, og CMP bør konfigureres til å gjenkjenne begge.

CMPs rolle i å vise frem begge veiene

Den etterlevelses-konforme CMP for californiske målgrupper i 2026 viser GPC-respektstatus (besøkeren har GPC angitt, opt-ut er aktiv), utgiverens egen opt-ut-lenke (forbrukeren kan avvise salg og deling på dette nettstedet spesifikt) og en tydelig peker til CPPA-registeret for forbrukere som vil ha slette-fra-megler-utfallet. Arkitekturen er ikke teknisk krevende — tre kontroller i samtykkegrensesnittet i stedet for én — men ordlyden er viktig, og CPPA-håndhevingen har vært aktiv mot villedende eller nedgravde opt-ut-veier.

Hva utgivere må gjøre

Delete Act er en regulering rettet mot meglere, ikke utgivere, men de operasjonelle konsekvensene for utgivere er reelle og krever spesifikke endringer i samtykke- og dataarkitekturen.

Revider leverandørstakken mot meglerregisteret

Enhver leverandør i utgiverens annonse- og analysestack bør kryssjekkes mot CPPAs offentlige meglerliste. Leverandører på listen er underlagt Delete Act-regimet, og utgiverens kontrakter med disse leverandørene må gjenspeile slette-spredning, revisjonslogglagring og femogfiriti-dagers sweep-kadansen. De fleste store identitetsoppløsningsleverandører og flere store SSP-er er nå på listen; revisjonen er ikke tyngende, men den må gjennomføres minst én gang i året.

Oppdater personvernmerknad og samtykkegrensesnitt

Utgiverens personvernmerknad bør forklare Delete Act-registerveien ved siden av den eksisterende CCPA-slette rettigheten, med en direkte lenke til CPPAs register. Samtykkegrensesnittet bør vise GPC-respektstatuss når besøkende har headeren angitt, og opt-ut-kontrollene bør ha like fremtredende utseende som godta-kontrollene — statsadvokat-håndhevelsesavgjørelsene gjennom 2024 og 2025 gjorde mørk-mønster-testen eksplisitt.

Planlegg for publikums sagtannmønster

Målings- og publikumstargetingteamene må vite at californiske publikumsmålinger vil følge et seksukersklokkesagtannmønster drevet av sweep-kadansen. Dashboardene og budpacingmodellene bør tilpasses mønsteret i stedet for å behandle hvert fall som en feil. Utgivere med grundig attribusjon bør også modellere meglerslette-veien som en separat avtakskilde, slik at tallene etter sweepen kan avstemmes ryddig.

Vanlige Delete Act-feil som utløser funn

Den første bølgen av CPPA-håndhevelse under Delete Act gjennom 2025 har produsert et tydelig mønster av utgiverfunn. Utgiverens personvernmerknad beskriver CCPA-opt-ut-veien, men nevner aldri Delete Act-registeret. Samtykkebanneret respekterer GPC for salg og deling, men videreformidler ikke signalet til utgiverens eget slette-inntak. Utgiveren inngår kontrakt med en registrert megler og oppdaterer aldri kontrakten til å reflektere Delete Act-slette-spredningsforpliktelsene. CMP viser et panel for «behandle preferanser» som begraver opt-uten tre klikk inne bak en mørkere knapp enn godta alt. Hvert av disse er en dokumentasjons- eller UX-feil snarere enn en dyp arkitektonisk endring — men hvert av dem er også nøyaktig det CPPA åpner en undersøkelse med.

Bunnlinjen

Delete Act gir californiske forbrukere én knapp som tar dem ut av det kommersielle dataøkosystemet, og innen 2026 er registeret operativt, meglerlisten er offentlig og håndhevingsprogrammet er aktivt. For utgivere er implikasjonene reelle men avgrensede: Delete Act krever ikke at utgivere gjør noe dramatisk, men den krever at utgivere vet hvilke nedstrøms leverandører som er meglere, oppdaterer personvernmerknaden og samtykkegrensesnittet for å vise den nye veien, respekterer GPC konsekvent og planlegger for publikums sagtannmønster som femogfiriti-dagers sweepen produserer. Ingenting av dette er teknisk vanskelig. Alt er operasjonelt spesifikt. Utgiverne som gjennomførte en grundig revisjon i 2024 og 2025, jobber nå etter en etablert arkitektur; utgiverne som behandlet Delete Act som et datameklerproblem som ikke angikk dem, bruker 2026 på å skrive svarsbrev og revidere personvernmerknader under regulatortidsfrister.