Hva MSPA Er — og Hva Den Ikke Er

MSPA er et privat, kontraktsbasert rammeverk utgitt av IAB. Det er ikke en lov og erstatter ikke delstatslovgivning. Det er i stedet en flerpartsavtale som deltakere — utgivere, byråer, annonsenettverk, SSP-er, DSP-er og dataleverandører — signerer slik at de kan fremsette konsistente juridiske påstander om hvordan personlig informasjon flyter gjennom programmatisk annonsering. Når alle i en kjede signerer den samme kontrakten, trenger ikke nedstrøms leverandører å forhandle femti forskjellige bilaterale databehandlingsavtaler for å håndtere én enkelt budforespørsel.

Tenk på MSPA som tre ting på én gang:

• En kontrakt som flyter nedstrøms automatisk når en underteikner sender data til en annen underteikner.
• Et vokabular for å uttrykke brukervalg ved hjelp av GPP-kodede strenger, inkludert opt-out for salg, deling, målrettet annonsering og behandling av sensitiv data.
• Et risikoallokeringsrammeverk som kartlegger hver underteikner til én av tre roller — Dekket Virksomhet, Tjenesteleverandør/Behandler eller Tredjepart — og forpliktelsene knyttet til hver.

Hva MSPA ikke er: en erstatning for personvernmerknadene dine, en erstatning for direkte brukersamtykke der dette kreves, eller en garanti for overholdelse av noen bestemt delstatslov. Det er et verktøy som, brukt riktig, gjør etterlevelse av flere delstatslover operativt gjennomførbart. Brukt feil — for eksempel ved å signalisere deltakelse mens man fortsetter å dele data etter en opt-out — øker det ansvaret ditt fremfor å redusere det.

Hvem Som Bør Bry Seg: De Tre MSPA-rollene

Før du signerer noe, identifiser hvilken rolle du faktisk spiller. De fleste utgivere blir overrasket over å oppdage at de bærer mer enn én hatt avhengig av dataflyten.

Dekket Virksomhet

Du er en Dekket Virksomhet hvis du bestemmer formålene og midlene for behandling av personlig informasjon om en bruker — vanligvis utgiveren som driver nettstedet eller appen som brukeren besøker. Som Dekket Virksomhet er du ansvarlig for å samle inn samtykke, vise varsler, overholde opt-out-er og konfigurere GPP-signalet som nedstrøms leverandører er avhengige av. Brukervending-byrden ligger hos deg.

Tjenesteleverandør eller Behandler

Du er en Tjenesteleverandør når du behandler personlig informasjon på vegne av en Dekket Virksomhet under kontrakt og kun for begrensede, tillatte formål. De fleste analyseleverandører, hostingleverandører og samtykkeadministrasjonsplattformer opererer i dette sporet. MSPA pålegger restriksjoner: ikke selge, ikke kryssbetegnet atferdsannonsering på egne vegne, og strengt definerte oppbevarings- og slettingsregler.

Tredjepart

Du er en Tredjepart når du mottar personlig informasjon fra en Dekket Virksomhet og bruker den til egne formål — de fleste SSP-er, DSP-er, identitetsleverandører og datameglere faller her. Tredjeparter har de tyngste kontraktuelle forpliktelsene, inkludert direkte håndtering av brukerrettigheter og nedstrøms gjennomstrømmingsforpliktelser når de deler data med sine egne partnere.

MSPA og Global Privacy Platform (GPP)

MSPA eksisterer ikke i et vakuum. Det er det kontraktuelle laget; GPP er det tekniske signaleringslagget. IAB Tech Labs Global Privacy Platform koder brukervalg inn i én enkelt streng som følger med budforespørsler gjennom OpenRTB-protokollen. For amerikansk signalering bærer GPP seksjonsstrenger for hver delstat med en omfattende personvernlov — for eksempel USCA (California), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah) og den overordnede US National-strengen for delstater uten en dedikert seksjon.

MSPA forteller CMP-en din hvilke felt som skal angis inne i de GPP-seksjonene for å hevde dekning. De viktigste feltene utgivere vil se og konfigurere inkluderer:

• MspaCoveredTransaction — satt til Ja når utgiveren hevder at budforespørselen er dekket av MSPA-rammeverket.
• MspaOptOutOptionMode — indikerer om brukeren ble gitt et tydelig opt-out-alternativ slik MSPA-transparensreglene krever.
• MspaServiceProviderMode — satt når nedstrøms leverandører må behandle data som kun tjenesteleverandørdata.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — de detaljerte samtykke-flaggene som budgivere leser for å avgjøre hva de kan gjøre med visningen.
• SensitiveDataProcessing — en flerelements-array som signaliserer brukerens valg for rasemessig opprinnelse, religiøse overbevisninger, helse, seksuell orientering, statsborgerskap, nøyaktig geoposisjon og andre sensitive kategorier definert av delstatslovgivning.

Hvis CMP-en din setter MspaCoveredTransaction = Ja, men utgiveren faktisk ikke har signert MSPA-kontrakten, har du nettopp fremsatt en falsk påstand som nedstrøms underskrivere vil stole på. Det er en rask vei til en kontraktstvist og, avhengig av delstat, en regulatorisk klage.

Sensitiv Data: Fellen de Fleste Utgivere Går Glipp av

Hver omfattende delstatlig personvernlov vedtatt siden California har utvidet definisjonen av sensitiv personlig informasjon, og MSPA bretter disse inn i ett samlet GPP-felt. Kategoriene inkluderer typisk:

• Offentlige identifikatorer (personnummer, førerkort, pass).
• Kontoopplysninger og finansiell informasjon.
• Nøyaktig geoposisjon, generelt smalere enn 533 meter.
• Rase eller etnisk opprinnelse, religiøse overbevisninger, diagnoser for psykisk eller fysisk helse.
• Sexliv og seksuell orientering.
• Statsborgerskap og immigrasjonsstatus.
• Genetiske og biometriske data brukt til å identifisere en person.
• Data om et kjent barn under 13 år — og i noen delstater, under 16 år med ekstra beskyttelse.

Flere delstater krever opt-in-samtykke for behandling av sensitiv data, mens andre tillater behandling med en rett til å reservere seg. MSPAs GPP-koding lar deg uttrykke begge, men CMP-en din må vite hvilken som skal etterspørres basert på brukerens delstat. Feilklassifisering av sensitiv data — for eksempel å behandle helserelatert nettlesing som vanlige atferdsdata — er det enkeltvanligste sviktmønsteret som delstaters statsadvokater har flagget i håndhevingstiltak i 2024–2025.

Bygge en MSPA-klar Samtykkeflyting

Å implementere MSPA på nettstedet eller appen din er et koordineringsproblem på tvers av juridisk, engineering og annonsedrift. Arbeidet deles inn i omtrent fem arbeidsstrømmer.

1. Signer MSPA og Oppretthold Undertegnerstatusen Din

MSPA er en ekte kontrakt som juridisk rådgiver må gjennomgå og utføre. Du vil oppgi rollen eller rollene du opererer i, de amerikanske delstatene der du driver virksomhet, og kategoriene med data du behandler. Forny hvert år og oppdater IAB Tech Lab-undertegnerportalen når rollen eller jurisdiksjonen din endres.

2. Konfigurer CMP-en for Flerstatlig Logikk

Ett enkelt CCPA-bare banner er ikke lenger tilstrekkelig. CMP-en din må oppdage brukerens delstat — typisk via IP-geolokasjon støttet av en personvern-fallback — og presentere riktige varsler, lenker og opt-out-kontroller for den jurisdiksjonen. FlexyConsent og andre moderne Google-sertifiserte CMP-er leveres med flerstatlige maler som kartlegger delstat for delstat til de riktige GPP-seksjonsstrengene.

3. Koble GPP-strenger Inn i Annonsestakken Din

GPP-strengen må settes inn i alle OpenRTB-budforespørsler som stammer fra en amerikansk bruker. For Google Ad Manager-brukere betyr dette å aktivere GPP-støtte i nettverksinnstillingene; for Prebid-brukere betyr dette å installere gppControl_usnat- og per-delstat-modulene og bekrefte at consentManagement-adapteren videresender den kodede strengen. Test ved å bruke IAB Tech Lab GPP-dekoderen for å verifisere rundturen fra CMP til budforespørsel.

4. Overhold Global Privacy Control (GPC)-signalet

De fleste delstatslover — California, Colorado, Connecticut og en voksende liste — krever å overholde et GPC-signal på nettlesernivå som en gyldig opt-out. MSPA forventer at underskrivere oppdager GPC og forhåndsinnstiller SaleOptOut, SharingOptOut og TargetedAdvertisingOptOut-feltene tilsvarende, selv før brukeren berører banneret. Hvis CMP-en din ikke kan oppdage og handle på GPC, er du ikke i samsvar uavhengig av MSPA-medlemskap.

5. Revidér Nedstrøms Leverandører

MSPAs nedstrømsflytlogikk fungerer bare hvis leverandørene dine også er underskrivere. Før du sender data til en SSP, DSP eller datapartner, verifiser undertegnerstatusen deres i IAB Tech Lab-portalen. Leverandører som ikke er underskrivere, må enten fjernes fra annonsestakken din for amerikansk trafikk eller dekkes av separate bilaterale DPA-er som speiler MSPA-vilkårene.

Vanlige Implementasjonsfeller

Flere sviktmønstre dukker opp gjentatte ganger på tvers av utgiverrevisjoner:

• Signalisere MSPA-dekning uten å signere. Å sette MspaCoveredTransaction = Ja i GPP-strengen mens utgiverens juridiske enhet ikke har utført MSPA, utsetter utgiveren for krav om feilrepresentasjon fra nedstrøms underskrivere som stolte på signalet.
• Glemme Texas, Oregon og Montana. Utgivere konfigurert for det opprinnelige femdelstatsbildet savner lover som trådte i kraft i 2024 og 2025. Hver har sine egne opt-out-triggere; MSPA dekker dem, men bare hvis CMP-ens delstatsdeteksjonslogikk inkluderer dem.
• Ignorere sensitive datasignaler på nyhets- og livsstilsinnhold. En leser av en helse-, religions- eller LGBTQ-fokusert artikkel kan behandle sensitiv data implisitt. Gjennomfør en innholdsrevisjon og konfigurer kategorinivå-overstyringer i CMP-en.
• Behandle GPC som rådgivende. Californias regulator klargjorde i 2024 at å ignorere GPC er en overtredelse per brudd. MSPA beskytter deg ikke mot dette — det avhenger av at du overholder GPC.
• Utdaterte GPP-strenger cachet på kanten. CDN- eller service worker-caching av sider kan servere en bruker en utdatert GPP-streng fra en tidligere sesjon. Deaktiver caching på samtykkesluttpunktet og legg til et ferskhentingstrinn ved samtykkeendring.

Hvordan MSPA Påvirker Annonseinntektene

Utgivere som implementerer MSPA riktig, ser typisk beskjedne kortsiktige inntektsnedganger etterfulgt av stabilisering, mens slurvete implementeringer enten overbegrenser bud eller utsetter utgiveren for håndhevingsrisiko. Variablene som beveger viseren:

• Opt-out-rater — I delstater med fremtredende opt-out-lenker velger 5–15 % av brukerne typisk ut av salg eller deling. Budpriser på optede-ut visninger faller vanligvis 30–60 % fordi atferdsrettet annonsering er utilgjengelig.
• Klassifisering av sensitivt innhold — Å feilklassifisere ordinært innhold som sensitivt vil kollapse etterspørselen. Vær konservativ og kategoripresise.
• Sammensetning av header bidding-partnere — Ikke-MSPA-underskrivende partnere som du må deaktivere for amerikansk trafikk, krymper auksjonen din. Erstatt dem med underskrivere fremfor å kjøre med tynnere etterspørsel.
• Server-side tagging — En server-side container som leser GPP-strengen og betinget fyrer av tagger er den reneste måten å holde analyse og samtykke synkronisert.

Hva Kommer Neste: 2026 og Fremover

MSPA er en levende avtale. IAB oppdaterer den hvert eller hvert annet år etter hvert som nye delstatslover, statsadvokatveiledning og føderale forslag omformer landskapet. Temaene å følge med på i 2026:

• En mulig føderal personvernlov som delvis ville overstyre delstatsregimene — MSPA inkluderer preemption-reserve-logikk, slik at underskrivere ikke vil stå på bar bakke.
• Utvidelse av GPP til å dekke helsespesifikk signalering under Washington My Health My Data Act og tilsvarende lover.
• Strengere håndhevelse av regler mot mørke mønstre i opt-out-flyting av California Privacy Protection Agency og Texas Attorney General.
• Integrasjon med avsløringer om AI- og store språkmodell-trening, som flere delstatslovgivere debatterer.

Utgivere som behandler MSPA-implementering som et engangsprosjekt, vil henge etter. Behandle det som løpende operasjonell hygiene, eid i fellesskap av juridisk, annonsedrift og produktingeniøring, og gjennomgå hvert kvartal. Utgiverne som vinner på amerikansk flerstatsoverholdelse er ikke de med flest advokater — de er de hvis CMP, annonsestakk og revisjonslokker alle forteller den samme historien når en regulator spør.

Konklusjonen

MSPA er det praktiske svaret på et fragmentert amerikansk personvernlandskap. Den vil ikke vedta lover for deg, men den vil gi budstrømmen din, leverandørene dine og det juridiske teamet ditt ett felles språk for opt-out-er, sensitiv data og nedstrømsforpliktelser. Kombinér det med en delstatsbevisst CMP, nøyaktig GPP-signalering og disiplinert leverandørstyring, og du vil bruke mindre tid på å diskutere jurisdiksjon og mer tid på å monetisere visningene du har lov til å monetisere. Det er den eneste bærekraftige veien gjennom 2026 og bølgen av delstatslover som fremdeles er i kø bak den.