Hva Global Privacy Platform egentlig er

GPP er en transportprotokoll, ikke et nytt samtykkesystem. Det er en beholder som koder flere regionspesifikke samtykke-signaler inn i én Base64-streng, eksponert gjennom et standard JavaScript-API (__gpp()) som SSP-er, DSP-er og måleleverandører kan spørre. Hver region har sin egen seksjon inne i GPP-strengen: Seksjon 2 bærer TCF EU v2, Seksjon 6 bærer US Privacy (utdatert), Seksjon 7 dekker USNat, og Seksjoner 8 til 12 dekker henholdsvis California, Virginia, Colorado, Utah og Connecticut. Ekstra seksjoner for Texas, Oregon, Montana og andre stater legges til etter hvert som lovene deres trer i kraft.

Det viktigste designvalget er at én GPP-streng kan bære flere seksjoner samtidig. En europeisk besøkende får TCF EU-data; en californisk besøkende får US-CA-data; en bruker hvis IP geografisk er i begge jurisdiksjoner (sjelden men mulig via VPN) kan ha begge seksjoner utfylt. Ad-tech-leverandører leser bare seksjonene som er relevante for dem og ignorerer resten.

Hvorfor GPP finnes og hvorfor det er viktig nå

Før GPP tvang hver ny personvernlov i en amerikansk stat utgivere til å implementere enda et signal. California hadde USP. Virginias VCDPA krevde annen opt-out-semantikk. Colorados CPA anerkjente Global Privacy Control-nettlesersignalet. Utah og Connecticut la hver til mer nyanse. Ad-tech-leverandører måtte analysere et halvt dusin formater, ofte inkonsekvent, og risikoen for å signalere at en bruker hadde samtykket i én kanal mens brukeren hadde valgt bort i en annen ble en reell overholdelseseksponering.

GPP standardiserer transporten. Når en CMP setter GPP-strengen, leser hver nedstrøms leverandør samme koding. For utgivere er dette viktig av tre grunner: Googles 2024-policy krever nå GPP-støtte for amerikanske statssignaler på Google Ad Manager-beholdning; Prebid.js 8.x og de fleste store SSP-adaptere forventer GPP; og regulatorer refererer i økende grad til GPP-samsvar som bevis på god-tro signalpropagering.

GPP-seksjoner og hva de betyr

Hver GPP-seksjon har sine egne kodingsregler, som gjenspeiler det underliggende rammeverket:

Seksjon 2: TCF EU v2

Identisk med den frittstående TCF v2.2-strengen du allerede genererer for europeisk trafikk. Hvis CMP-en din er TCF-sertifisert, produserer du allerede denne seksjonen — GPP pakker den bare inn.

Seksjon 7: US National (USNat)

Den nyeste seksjonen, designet som ett enkelt signal som dekker alle amerikanske føderale og statlige personvernlover. Den koder varselet som er gitt, opt-out fra salg, opt-out fra deling, opt-out fra målrettet annonsering, opt-out fra sensitive data og håndtering av kjente barnedata. Leverandører som opererer i flere amerikanske stater bør foretrekke USNat fremfor per-stat-seksjoner der det er mulig.

Seksjoner 8-12: Per-stat amerikanske signaler

California (US-CA), Virginia (US-VA), Colorado (US-CO), Utah (US-UT) og Connecticut (US-CT). Hver seksjon inneholder felt som er spesifikke for den statens lov — for eksempel beholder US-CA de eldre CCPA/CPRA-opt-outene for salg og deling, mens US-CO legger til samtykkeflaget for sensitive data som kreves av Colorado Privacy Act. Texas (US-TX under CPA-seksjon 13) og Oregon (US-OR under CPA-seksjon 14) ble lagt til etter at lovene deres trådte i kraft i juli 2024.

Hvordan utgivere bør migrere

De fleste utgivere vil allerede ha en CMP som genererer TCF-strenger for EU-trafikk og USP-strenger for California. Migreringsveien til GPP ser slik ut:

Steg 1: Oppgrader CMP-en din

Bekreft at CMP-leverandøren din er oppført på IABs GPP-sertifiserte CMP-liste. FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics og de fleste Google-sertifiserte CMP-er produserer nå gyldige GPP-strenger. Hvis CMP-en din fortsatt bare produserer TCF eller USP, be om en veikart for GPP-støtte — enhver leverandør uten en plan her vil bli etter i 2026.

Steg 2: Konfigurer GPP-seksjoner etter geografi

CMP-en din bør automatisk bestemme hvilke GPP-seksjoner som skal fylles ut basert på IP-geolokasjon. Europeiske besøkende får Seksjon 2 (TCF EU); amerikanske besøkende får Seksjon 7 (USNat) eller per-stat-seksjoner avhengig av hvordan leverandørstakken din leser signalet. Ikke fyll ut hver seksjon for hver besøkende — det er en vanlig feilkonfigurasjon som lekker jurisdiksjonsirrelevante data.

Steg 3: Verifiser nedstrøms propagering

GPP-strengen er bare nyttig hvis SSP-er, DSP-er, analyse og piksel-leverandører leser den. Revider annonse-stakken din: i Prebid.js, bekreft at gppControl-modulen er aktivert; i Google Ad Manager, bekreft at GPP-strengen sendes via GAM-samtykke-API-en; i Google Analytics 4, bekreft at Consent Mode v2 leser GPP ved siden av TCF. Enhver leverandør som stille ignorerer GPP er et samsvarsgap.

GPP, Consent Mode v2 og Googles krav

Googles policy-oppdatering fra desember 2024 gjorde GPP-støtte obligatorisk for utgivere som monetiserer amerikansk beholdning gjennom Google Ad Manager. Denne endringen er subtil, men viktig: Consent Mode v2 bruker fortsatt sine egne ad_storage- og analytics_storage-signaler, men GAM forventer nå at GPP-strengen er til stede i annonseanmodningen for all trafikk under amerikanske statslover. Manglende eller feilformede GPP-strenger kan føre til at annonser serveres i begrenset modus — med betydelig påvirkning på fill og inntekter — eller, for gjentatte overtredere, at beholdningen utelukkes fra auksjon.

Den praktiske konsekvensen: selv utgivere som historisk ignorerte amerikanske statslover fordi inntektene bare kom fra California, trenger nå GPP. Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Montana og Iowa har alle lover i kraft i 2026, og Google leser GPP-strengen for å fastslå om annonseforespørselen din er i samsvar med hver av dem.

Vanlige migrasjonsfallgruver

Fire feil vi ser gjentatte ganger når utgivere legger til GPP:

Dupliserte signaler. Noen utgivere beholder frittstående TCF- og USP-strenger ved siden av GPP, noe som skaper tre sannhetskilder som kan være uenige. Når GPP er live, trekk tilbake de frittstående strengene.

Feil seksjonsbefolkning. Å fylle US-CA for hver amerikansk besøkende uavhengig av faktisk stat lekker geografi og kan falskt hevde CCPA-opt-out-rettigheter for ikke-californiske innbyggere. Bruk IP-geolokasjon til å velge riktig seksjon.

Ignorere GPC. Global Privacy Control-nettlesersignalet er ikke en GPP-seksjon — det er en separat HTTP-header og JS-egenskap. CMP-en din må lese GPC ved sidelasting og gjenspeile det som en opt-out i de relevante GPP-seksjonene, ellers bryter du Colorados, Connecticuts og Californias lover.

Utdaterte leverandøradaptere. Eldre Prebid-adaptere og SSP-integrasjoner kan strippe GPP-strengen før den når budgiveren. Test hver leverandør i annonse-stakken din med IAB GPP-validatoren før du erklærer migreringen fullført.

Det lange perspektivet: GPP utenfor USA

GPP er designet for å strekke seg utover TCF EU og amerikanske statslover. Nye seksjoner for Canada (PIPEDA pluss Quebecs lov 25), Brasil (LGPD), Sør-Korea (PIPA) og andre jurisdiksjoner er under aktiv IAB-arbeidsgruppeutvikling. For utgivere som betjener globalt lager, blir GPP den eneste samtykketransporten som erstatter hvert regionale protokoll. Å investere i GPP i dag posisjonerer stakken din til å absorbere neste bølge av regionale personvernlover uten enda en integreringssprint.