Что на самом деле делает Delete Act

Delete Act — это структурное дополнение к существующему калифорнийскому режиму регистрации брокеров данных, действующему с 2020 года. Там, где исходная схема просто требовала, чтобы брокеры ежегодно регистрировались в штате и раскрывали свои категории персональной информации, Delete Act добавляет централизованный механизм удаления с жёсткими сроками, аудиторскими обязательствами и штрафами за несоблюдение.

Централизованный реестр удалений

Реестр — это платформа под управлением CPPA, где калифорнийские потребители подают единый запрос на удаление, который автоматически распространяется на каждого зарегистрированного брокера данных. Брокеры должны проверять реестр не реже чем каждые сорок пять дней, выявлять любые новые запросы, совпадающие с лицами в их наборах данных, и удалять совпадающие записи в срок, указанный в правилах. Потребителям не нужно знать, какие брокеры хранят их данные — реестр обрабатывает рассылку.

Кто считается брокером данных

Закон определяет брокера данных как бизнес, который сознательно собирает и продаёт персональную информацию о потребителе, с которым у бизнеса нет прямых отношений. Определение уже, чем кажется — собственно издатели, продающие свою аудиторию, не являются брокерами, обработчики, работающие с данными от имени контролёра, не являются брокерами — но оно охватывает провайдеров графов идентичности, платформы кросс-контекстной рекламы, сервисы поиска людей и значительную часть слоя расширения аудитории, через который издатели направляют программатические данные.

Регистрация и публичный список

Каждый охваченный брокер должен ежегодно регистрироваться, платить сбор и появляться в публичном списке, который ведёт CPPA. К 2026 году список является практической точкой отсчёта для издателей, проверяющих свои нисходящие потоки данных: любой поставщик в списке является брокером данных для целей Delete Act, и договорные обязательства издателя с этим поставщиком должны отражать реальность распространения удалений.

Сметание каждые сорок пять дней и его операционные последствия

Ключевое операционное правило — периодичность сметания удалений. Каждые сорок пять дней каждый зарегистрированный брокер должен проверять реестр и удалять каждую совпадающую запись. Периодичность создаёт новый вид оттока идентичности, под который издатели должны проектировать.

Как аудитории убывают при сметании

Аудитория, построенная на обогащении данными брокеров, будет сокращаться примерно по шестинедельному циклу по мере того, как калифорнийские потребители, подавшие запросы на удаление, распространяются по сети брокеров. Издатели, проводящие измерения в США, зависящие от разрешения идентичности — программатический таргетинг аудитории, окна атрибуции, зависящие от кросс-сайтовых идентификаторов, моделирование двойников, использующее семена, поставляемые брокерами — увидят, как размеры калифорнийской аудитории дрейфуют вниз по пилообразному паттерну: каждое сметание удаляет часть, затем постепенные посетители заполняют обратно до следующего сметания.

Повторная идентификация запрещена

Закон прямо запрещает брокерам повторно идентифицировать потребителя, который был удалён, даже если брокер впоследствии получит те же данные из другого источника. Запрет закрывает очевидную лазейку и означает, что издатели не могут полагаться на собственные данные первой стороны, чтобы повторно вшить удалённых потребителей обратно в аудитории, маршрутизируемые брокерами. Удаление должно быть устойчивым, а аудиторская программа регулятора построена для обнаружения паттернов повторной идентификации.

Данные первой стороны издателя вне сметания

Собственные данные первой стороны издателя — зарегистрированные пользователи, подписчики рассылки, участники программ лояльности — не подлежат сметанию по Delete Act, потому что издатель не является брокером данных для этих записей. Издатель остаётся субъектом прав на удаление по CCPA и CPRA, которые отдельны. Два режима могут взаимодействовать: удаление по Delete Act на уровне брокера может всё же оставить запись первой стороны издателя нетронутой, и издатель должен продолжать соблюдать отдельный запрос потребителя на удаление по CCPA через собственный приём издателя.

Сигнал Global Privacy Control в новом мире

Delete Act пересекается с заголовком Global Privacy Control (GPC), который браузеры и расширения конфиденциальности отправляют, чтобы указать, что пользователь установил предпочтение универсального отказа. Правила CPPA подтверждают, что издатели и брокеры должны соблюдать GPC как действительный отказ по CCPA, а централизованный реестр Delete Act добавляет параллельный путь к тому же результату.

Два сигнала, один результат

У калифорнийского потребителя есть два способа выйти из коммерческой экосистемы данных: отправить заголовок GPC из каждого браузера, который он использует, или подать единый запрос в реестр Delete Act. Два пути дают эквивалентные результаты для большинства сценариев, но различаются по охвату. GPC управляет текущей продажей и передачей на каждом сайте, который посещает потребитель. Реестр удаляет существующие записи, хранящиеся у брокеров. Издатели должны рассматривать оба как авторитетные сигналы, и CMP должна быть настроена на распознавание любого из них.

Роль CMP в раскрытии обоих путей

Соответствующая требованиям CMP для калифорнийской аудитории в 2026 году раскрывает статус соблюдения GPC (у посетителя установлен GPC, отказ активен), собственную ссылку отказа издателя (потребитель может отказаться от продажи и передачи именно на этом сайте) и чёткий указатель на реестр CPPA для потребителей, желающих получить результат удаления-у-брокеров. Архитектура технически нетребовательна — три элемента управления в интерфейсе согласия вместо одного — но формулировки имеют значение, и правоприменение CPPA было активным в отношении вводящих в заблуждение или скрытых путей отказа.

Что должны делать издатели

Delete Act — это регулирование, нацеленное на брокеров, а не на издателей, но операционные последствия для издателей реальны и требуют конкретных изменений в архитектуре согласия и данных.

Сверьте стек поставщиков с реестром брокеров

Каждого поставщика в рекламном и аналитическом стеке издателя следует сверить с публичным списком брокеров CPPA. Поставщики в списке подпадают под режим Delete Act, и контракты издателя с этими поставщиками должны отражать распространение удалений, хранение аудиторских журналов и периодичность сметания в сорок пять дней. Большинство крупных поставщиков разрешения идентичности и несколько крупных SSP теперь в списке; аудит не болезнен, но он должен проводиться не реже одного раза в год.

Обновите уведомление о конфиденциальности и интерфейс согласия

Уведомление о конфиденциальности издателя должно объяснять путь реестра Delete Act наряду с существующим правом на удаление по CCPA, с прямой ссылкой на реестр CPPA. Интерфейс согласия должен раскрывать статус соблюдения GPC, когда у посетителя установлен заголовок, а элементы управления отказом должны быть оформлены с равной заметностью элементам принятия — решения по правоприменению Генерального прокурора в течение 2024 и 2025 годов сделали тест на тёмные паттерны явным.

Планируйте под пилообразную аудиторию

Командам измерения и таргетинга аудитории нужно знать, что метрики калифорнийской аудитории будут следовать шестинедельному пилообразному паттерну, обусловленному периодичностью сметания. Дашборды и модели темпа ставок должны быть настроены под паттерн, а не трактовать каждое падение как сбой. Издатели, проводящие строгую атрибуцию, должны также моделировать путь удаления-у-брокеров как отдельный источник оттока, чтобы числа после сметания можно было чисто согласовать.

Распространённые ошибки по Delete Act, вызывающие замечания

Первая волна правоприменения CPPA по Delete Act в течение 2025 года выявила чёткий паттерн замечаний на стороне издателей. Уведомление о конфиденциальности издателя описывает путь отказа по CCPA, но никогда не упоминает реестр Delete Act. Баннер согласия соблюдает GPC для продажи и передачи, но не распространяет сигнал на приём удалений первой стороны издателя. Издатель заключает контракт с зарегистрированным брокером и никогда не обновляет контракт, чтобы отразить обязательства по распространению удалений Delete Act. CMP подаёт панель «управления предпочтениями», которая закапывает отказ на три клика вглубь за более тёмной кнопкой, чем принять-всё. Каждое из этих является исправлением документации или UX, а не глубоким архитектурным изменением — но каждое из них — это именно то, с чего CPPA начинает расследование.

Итог

Delete Act даёт калифорнийским потребителям одну кнопку, которая выводит их из коммерческой экосистемы данных, и к 2026 году реестр работает, список брокеров публичен, а программа правоприменения активна. Для издателей последствия реальны, но ограничены: Delete Act не требует, чтобы издатель делал что-либо драматическое, но он требует, чтобы издатель знал, какие нисходящие поставщики являются брокерами, обновил уведомление о конфиденциальности и интерфейс согласия, чтобы раскрыть новый путь, последовательно соблюдал GPC и планировал под пилообразную аудиторию, которую производит сметание каждые сорок пять дней. Ничто из этого не является технически сложным. Всё это операционно конкретно. Издатели, проведшие чистый аудит в 2024 и 2025 годах, теперь исполняют устоявшуюся архитектуру; издатели, трактовавшие Delete Act как проблему брокеров данных, которая их не касается, проводят 2026 год за ответными письмами и пересмотром уведомлений о конфиденциальности под сроком регулятора.