Czym Jest MSPA — i Czym Nie Jest

MSPA to prywatna, kontraktowa struktura opublikowana przez IAB. Nie jest prawem i nie zastępuje ustaw stanowych. Jest to wielostronna umowa, którą podpisują uczestnicy — wydawcy, agencje, sieci reklamowe, SSP, DSP i dostawcy danych — aby móc formułować spójne roszczenia prawne dotyczące sposobu przepływu danych osobowych przez programmatic advertising. Gdy wszyscy w łańcuchu podpiszą tę samą umowę, dostawcy niższego szczebla nie muszą negocjować pięćdziesięciu różnych dwustronnych umów o przetwarzaniu danych, aby obsłużyć jedno żądanie licytacji.

Wyobraź sobie MSPA jako trzy rzeczy jednocześnie:

• Kontrakt, który automatycznie przepływa w dół strumienia, gdy sygnatariusz przekazuje dane innemu sygnatariuszowi.
• Słownik do wyrażania wyborów użytkownika za pomocą zakodowanych ciągów GPP, w tym rezygnacji ze sprzedaży, udostępniania, reklamy ukierunkowanej i przetwarzania danych wrażliwych.
• Strukturę alokacji ryzyka, która przypisuje każdego sygnatariusza do jednej z trzech ról — Pokrytego Podmiotu, Podmiotu Przetwarzającego/Procesora lub Strony Trzeciej — wraz z obowiązkami przypisanymi do każdej z nich.

Czym MSPA nie jest: zastępstwem Twojej informacji o prywatności, zastępstwem bezpośredniej zgody użytkownika tam, gdzie jest ona wymagana, ani gwarancją zgodności z jakimkolwiek konkretnym prawem stanowym. To narzędzie, które używane prawidłowo sprawia, że spełnianie wymogów wielu praw stanowych staje się operacyjnie wykonalne. Używane nieprawidłowo — na przykład przez sygnalizowanie uczestnictwa przy jednoczesnym dalszym udostępnianiu danych po rezygnacji — zwiększa Twoją odpowiedzialność zamiast ją zmniejszać.

Kto Powinien Zwrócić Uwagę: Trzy Role MSPA

Zanim cokolwiek podpiszesz, określ, jaką rolę faktycznie pełnisz. Większość wydawców jest zaskoczona, odkrywając, że noszą więcej niż jeden kapelusz w zależności od przepływu danych.

Pokryty Podmiot

Jesteś Pokrytym Podmiotem, jeśli określasz cele i środki przetwarzania danych osobowych użytkownika — zazwyczaj wydawca prowadzący stronę internetową lub aplikację odwiedzaną przez użytkownika. Jako Pokryty Podmiot odpowiadasz za zbieranie zgód, wyświetlanie powiadomień, honorowanie rezygnacji i konfigurowanie sygnału GPP, na którym polegają dostawcy niższego szczebla. Ciężar po stronie użytkownika spoczywa na Tobie.

Podmiot Przetwarzający lub Procesor

Jesteś Podmiotem Przetwarzającym, gdy przetwarzasz dane osobowe w imieniu Pokrytego Podmiotu na podstawie umowy i wyłącznie w ograniczonych, dozwolonych celach. Większość dostawców analitycznych, dostawców hostingu i platform do zarządzania zgodami działa w tym obszarze. MSPA nakłada ograniczenia: brak sprzedaży, brak reklamy behawioralnej między kontekstami na własny rachunek oraz ściśle określone zasady przechowywania i usuwania danych.

Strona Trzecia

Jesteś Stroną Trzecią, gdy otrzymujesz dane osobowe od Pokrytego Podmiotu i wykorzystujesz je do własnych celów — większość SSP, DSP, dostawców tożsamości i brokerów danych należy do tej kategorii. Strony Trzecie mają najcięższe obowiązki umowne, w tym bezpośrednią obsługę praw użytkowników i obowiązki przepływu w dół strumienia przy udostępnianiu danych własnym partnerom.

MSPA i Global Privacy Platform (GPP)

MSPA nie istnieje w próżni. To warstwa kontraktowa; GPP to warstwa sygnalizacji technicznej. Global Privacy Platform IAB Tech Lab koduje wybory użytkownika w jeden ciąg znaków, który podróżuje z żądaniami licytacji przez protokół OpenRTB. W przypadku sygnalizacji USA, GPP przenosi ciągi sekcji dla każdego stanu z kompleksowym prawem o prywatności — na przykład USCA (Kalifornia), USCO (Kolorado), USVA (Wirginia), USCT (Connecticut), USUT (Utah) i ogólny ciąg US National dla stanów bez dedykowanej sekcji.

MSPA informuje Twój CMP, które pola ustawić w tych sekcjach GPP, aby zgłosić pokrycie. Najważniejsze pola, które wydawcy będą widzieć i konfigurować, obejmują:

• MspaCoveredTransaction — ustawiane na Tak, gdy wydawca twierdzi, że żądanie licytacji jest objęte strukturą MSPA.
• MspaOptOutOptionMode — wskazuje, czy użytkownikowi zaoferowano wyraźną opcję rezygnacji zgodnie z wymogami zasad przejrzystości MSPA.
• MspaServiceProviderMode — ustawiane, gdy dostawcy niższego szczebla muszą traktować dane wyłącznie jako dane podmiotu przetwarzającego.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — szczegółowe flagi zgody, które czytają licytanci, aby zdecydować, co mogą zrobić z wyświetleniem.
• SensitiveDataProcessing — tablica wieloelementowa sygnalizująca wybory użytkownika dotyczące pochodzenia rasowego, przekonań religijnych, zdrowia, orientacji seksualnej, obywatelstwa, precyzyjnej geolokalizacji i innych wrażliwych kategorii zdefiniowanych przez prawo stanowe.

Jeśli Twój CMP ustawia MspaCoveredTransaction = Tak, ale wydawca faktycznie nie podpisał umowy MSPA, właśnie złożyłeś fałszywe oświadczenie, na którym będą polegać sygnatariusze niższego szczebla. To szybka droga do sporu kontraktowego i — w zależności od stanu — do skargi regulacyjnej.

Dane Wrażliwe: Pułapka, Którą Większość Wydawców Przeoczywa

Każde kompleksowe prawo stanowe o prywatności uchwalone od czasu Kalifornii rozszerzyło definicję wrażliwych danych osobowych, a MSPA włącza je w jedno zunifikowane pole GPP. Kategorie zazwyczaj obejmują:

• Identyfikatory rządowe (numer PESEL, prawo jazdy, paszport).
• Dane logowania do konta i informacje finansowe.
• Precyzyjną geolokalizację, generalnie węższą niż 533 metry.
• Pochodzenie rasowe lub etniczne, przekonania religijne, diagnozy zdrowia psychicznego lub fizycznego.
• Życie seksualne i orientację seksualną.
• Obywatelstwo i status imigracyjny.
• Dane genetyczne i biometryczne używane do identyfikacji osoby.
• Dane dotyczące znanych dzieci poniżej 13 lat — a w niektórych stanach poniżej 16 lat z dodatkowymi zabezpieczeniami.

Kilka stanów wymaga zgody opt-in na przetwarzanie danych wrażliwych, podczas gdy inne zezwalają na przetwarzanie z prawem do rezygnacji. Kodowanie GPP MSPA pozwala wyrazić jedno i drugie, ale Twój CMP musi wiedzieć, o które zapytać na podstawie stanu użytkownika. Błędna klasyfikacja danych wrażliwych — na przykład traktowanie przeglądania treści zdrowotnych jako zwykłych danych behawioralnych — to najczęstszy tryb błędu zgłaszany przez prokuratorów generalnych stanowych w działaniach egzekwowania prawa w latach 2024–2025.

Budowanie Gotowego na MSPA Przepływu Zgody

Wdrożenie MSPA na Twojej stronie lub w aplikacji to problem koordynacji między działami prawnym, technicznym i operacjami reklamowymi. Praca dzieli się na z grubsza pięć strumieni roboczych.

1. Podpisz MSPA i Utrzymuj Status Sygnatariusza

MSPA to prawdziwa umowa, którą musi przejrzeć i podpisać radca prawny. Zadeklarujesz rolę lub role, które pełnisz, stany USA, w których prowadzisz działalność, oraz kategorie danych, które przetwarzasz. Odnawiaj co roku i aktualizuj portal sygnatariuszy IAB Tech Lab za każdym razem, gdy Twoja rola lub jurysdykcja ulegnie zmianie.

2. Skonfiguruj CMP dla Wielostanowej Logiki

Jeden baner tylko CCPA nie jest już wystarczający. Twój CMP musi wykryć stan użytkownika — zazwyczaj za pomocą geolokalizacji IP z rezerwowym mechanizmem prywatności — i wyświetlić odpowiednie powiadomienia, linki i kontrolki rezygnacji dla tej jurysdykcji. FlexyConsent i inne nowoczesne CMP certyfikowane przez Google dostarczają wielostanowe szablony mapujące stan po stanie na poprawne ciągi sekcji GPP.

3. Zintegruj Ciągi GPP z Twoim Stosem Reklamowym

Ciąg GPP musi być wstawiany do każdego żądania licytacji OpenRTB pochodzącego od użytkownika z USA. Dla użytkowników Google Ad Manager oznacza to włączenie obsługi GPP w ustawieniach sieci; dla użytkowników Prebid oznacza instalację modułów gppControl_usnat i stanowych oraz potwierdzenie, że adapter consentManagement przekazuje zakodowany ciąg. Testuj za pomocą dekodera GPP IAB Tech Lab, aby zweryfikować podróż od CMP do żądania licytacji.

4. Honoruj Sygnał Global Privacy Control (GPC)

Większość praw stanowych — Kalifornia, Kolorado, Connecticut i rosnąca lista — wymaga respektowania sygnału GPC na poziomie przeglądarki jako ważnej rezygnacji. MSPA oczekuje, że sygnatariusze wykryją GPC i z wyprzedzeniem ustawią pola SaleOptOut, SharingOptOut i TargetedAdvertisingOptOut, nawet zanim użytkownik dotknie banera. Jeśli Twój CMP nie może wykryć sygnału GPC i zareagować na niego, nie spełniasz wymogów niezależnie od członkostwa w MSPA.

5. Przeprowadź Audyt Dostawców Niższego Szczebla

Logika przepływu niższego szczebla MSPA działa tylko wtedy, gdy Twoi dostawcy są również sygnatariuszami. Przed wysłaniem danych do jakiegokolwiek SSP, DSP lub partnera danych sprawdź ich status sygnatariusza w portalu IAB Tech Lab. Dostawcy niebędący sygnatariuszami muszą zostać usunięci ze stosu reklamowego dla ruchu z USA lub objęci oddzielnymi dwustronnymi DPA odzwierciedlającymi warunki MSPA.

Typowe Pułapki Implementacyjne

Kilka wzorców błędów pojawia się wielokrotnie w audytach wydawców:

• Sygnalizowanie pokrycia MSPA bez podpisania. Ustawienie MspaCoveredTransaction = Tak w ciągu GPP, gdy podmiot prawny wydawcy nie wykonał MSPA, naraża wydawcę na roszczenia o wprowadzenie w błąd ze strony sygnatariuszy niższego szczebla, którzy polegali na tym sygnale.
• Zapominanie o Teksasie, Oregonie i Montanie. Wydawcy skonfigurowani dla pierwotnego krajobrazu pięciu stanów pomijają prawa, które weszły w życie w 2024 i 2025 roku. Każdy ma własne wyzwalacze rezygnacji; MSPA je obejmuje, ale tylko jeśli logika wykrywania stanów Twojego CMP je uwzględnia.
• Ignorowanie sygnałów danych wrażliwych w treściach informacyjnych i lifestylowych. Czytelnik artykułu skupionego na zdrowiu, religii lub LGBTQ może pośrednio przetwarzać dane wrażliwe. Przeprowadź audyt treści i skonfiguruj przesłonięcia na poziomie kategorii w CMP.
• Traktowanie GPC jako doradczego. Kalifornijski regulator wyjaśnił w 2024 roku, że ignorowanie GPC stanowi naruszenie za każde wykroczenie. MSPA nie chroni Cię przed tym — zależy od Twojego respektowania GPC.
• Przestarzałe ciągi GPP buforowane na krawędzi. Buforowanie stron przez CDN lub service worker może serwować użytkownikowi przestarzały ciąg GPP z poprzedniej sesji. Wyłącz buforowanie w punkcie końcowym zgody i dodaj krok świeżego pobrania przy zmianie zgody.

Jak MSPA Wpływa na Przychody z Reklam

Wydawcy, którzy prawidłowo wdrażają MSPA, zazwyczaj doświadczają skromnych krótkoterminowych spadków przychodów, po których następuje stabilizacja, podczas gdy niedbałe wdrożenia albo nadmiernie ograniczają licytacje, albo narażają wydawcę na ryzyko egzekwowania przepisów. Zmienne wpływające na wynik:

• Wskaźniki rezygnacji — W stanach z wyraźnymi linkami do rezygnacji zazwyczaj 5–15% użytkowników rezygnuje ze sprzedaży lub udostępniania. Ceny licytacji za wyświetlenia z rezygnacją zwykle spadają o 30–60%, ponieważ ukierunkowanie behawioralne jest niedostępne.
• Klasyfikacja treści wrażliwych — Błędna klasyfikacja zwykłych treści jako wrażliwych spowoduje załamanie popytu. Bądź konserwatywny i precyzyjny co do kategorii.
• Skład partnerów header bidding — Partnerzy niebędący sygnatariuszami MSPA, których musisz wyłączyć dla ruchu z USA, zmniejszają Twojego aukcję. Zastąp ich sygnatariuszami zamiast działać ze słabszym popytem.
• Tagowanie po stronie serwera — Kontener po stronie serwera odczytujący ciąg GPP i warunkowo uruchamiający tagi to najczystszy sposób na utrzymanie synchronizacji analityki i zgód.

Co Czeka Nas Dalej: 2026 i Dalej

MSPA to żywa umowa. IAB aktualizuje ją co roku lub dwa lata w miarę jak nowe prawa stanowe, wytyczne prokuratorów generalnych i propozycje federalne zmieniają krajobraz. Tematy do obserwowania w 2026 roku:

• Możliwe federalne prawo o prywatności, które częściowo zastąpi reżimy stanowe — MSPA zawiera rezerwową logikę pierwszeństwa, więc sygnatariusze nie zostaną pozostawieni sami.
• Rozszerzenie GPP na sygnalizację specyficzną dla zdrowia w ramach Washington My Health My Data Act i analogicznych ustaw.
• Ściślejsze egzekwowanie zasad dotyczących ciemnych wzorców w przepływach rezygnacji przez California Privacy Protection Agency i prokuratora generalnego Teksasu.
• Integracja z ujawnieniami dotyczącymi szkoleń AI i dużych modeli językowych, które debatuje kilka stanowych legislatur.

Wydawcy traktujący wdrożenie MSPA jako jednorazowy projekt pozostaną w tyle. Traktuj to jako bieżącą higienę operacyjną, wspólnie zarządzaną przez dział prawny, operacje reklamowe i inżynierię produktu, i przeglądaj co kwartał. Wydawcy wygrywający w zakresie wielostanowej zgodności w USA to nie ci z największą liczbą prawników — to ci, których CMP, stos reklamowy i dzienniki audytów mówią tę samą historię, gdy regulator zapyta.

Podsumowanie

MSPA to praktyczna odpowiedź na rozdrobniony krajobraz prywatności w USA. Nie uchwali praw w Twoim imieniu, ale da Twojemu strumieniowi licytacji, dostawcom i zespołowi prawnemu jeden wspólny język do rezygnacji, danych wrażliwych i obowiązków niższego szczebla. Połącz to ze świadomym stanów CMP, dokładną sygnalizacją GPP i zdyscyplinowanym zarządzaniem dostawcami, a poświęcisz mniej czasu na spory o jurysdykcję, a więcej na monetyzację wyświetleń, które masz prawo monetyzować. To jedyna zrównoważona ścieżka przez 2026 rok i falę praw stanowych, które wciąż czekają za nią w kolejce.