Что такое MSPA — и чем оно не является

MSPA — это частная, основанная на договоре система, опубликованная IAB. Это не закон, и оно не заменяет статуты штатов. Вместо этого это многостороннее соглашение, которое участники — издатели, агентства, рекламные сети, SSP, DSP и поставщики данных — подписывают, чтобы делать согласованные юридические заявления о том, как личная информация течёт через программатическую рекламу. Когда все в цепочке подписывают один и тот же договор, нижестоящие поставщики не должны вести переговоры о пятидесяти разных двусторонних соглашениях об обработке данных, чтобы обработать один запрос ставки.

Думайте о MSPA как о трёх вещах одновременно:

• Договор, который течёт вниз автоматически, когда подписант передаёт данные другому подписанту.
• Словарь для выражения выбора пользователя с помощью закодированных GPP строк, включая отказы от продажи, передачи, таргетированной рекламы и обработки чувствительных данных.
• Система распределения рисков, которая сопоставляет каждого подписанта с одной из трёх ролей — Covered Business, Service Provider/Processor или Third Party — и обязательствами, привязанными к каждой.

Чем MSPA не является: заменой вашего уведомления о конфиденциальности, заменой прямого согласия пользователя там, где это требуется, или гарантией соответствия любому конкретному закону штата. Это инструмент, который при правильном использовании делает соответствие нескольким законам штатов операционно осуществимым. При неправильном использовании — например, сигнализируя об участии при продолжении передачи данных после отказа — оно расширяет вашу ответственность, а не уменьшает её.

Кого это должно волновать: три роли MSPA

Прежде чем что-либо подписывать, определите, какую роль вы на самом деле играете. Большинство издателей удивляются, обнаружив, что носят более одной шляпы в зависимости от потока данных.

Covered Business

Вы являетесь Covered Business, если определяете цели и средства обработки личной информации о пользователе — обычно издатель, управляющий сайтом или приложением, которое посещает пользователь. Как Covered Business, вы отвечаете за сбор согласия, отображение уведомлений, соблюдение отказов и настройку сигнала GPP, на который полагаются нижестоящие поставщики. Бремя, обращённое к пользователю, лежит на вас.

Service Provider или Processor

Вы являетесь Service Provider, когда обрабатываете личную информацию от имени Covered Business по договору и только для ограниченных, допустимых целей. Большинство поставщиков аналитики, провайдеров хостинга и платформ управления согласием работают в этой полосе. MSPA налагает ограничения: никакой продажи, никакой кросс-контекстной поведенческой рекламы от своего имени и жёстко определённые правила хранения и удаления.

Third Party

Вы являетесь Third Party, когда получаете личную информацию от Covered Business и используете её для собственных целей — большинство SSP, DSP, поставщиков идентичности и брокеров данных попадают сюда. У Third Parties самые тяжёлые договорные обязательства, включая прямую обработку прав пользователей и обязанности по дальнейшей передаче, когда они делятся данными со своими партнёрами.

MSPA и Global Privacy Platform (GPP)

MSPA не существует в вакууме. Это договорный слой; GPP — это технический сигнальный слой. Global Privacy Platform от IAB Tech Lab кодирует выбор пользователя в единую строку, которая путешествует со запросами ставок через протокол OpenRTB. Для сигнализации в США GPP несёт строки секций для каждого штата с комплексным законом о конфиденциальности — например, USCA (Калифорния), USCO (Колорадо), USVA (Вирджиния), USCT (Коннектикут), USUT (Юта) и универсальную строку US National для штатов без выделенной секции.

MSPA говорит вашей CMP, какие поля устанавливать внутри этих секций GPP, чтобы заявить о покрытии. Самые важные поля, которые издатели увидят и настроят, включают:

• MspaCoveredTransaction — устанавливается в Yes, когда издатель утверждает, что запрос ставки покрыт системой MSPA.
• MspaOptOutOptionMode — указывает, был ли пользователю предоставлен чёткий вариант отказа, как требуют правила прозрачности MSPA.
• MspaServiceProviderMode — устанавливается, когда нижестоящие поставщики должны рассматривать данные как предназначенные только для service-provider.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — детальные флаги согласия, которые читают участники торгов, чтобы решить, что они могут делать с показом.
• SensitiveDataProcessing — многоэлементный массив, сигнализирующий о выборе пользователя для расового происхождения, религиозных убеждений, здоровья, сексуальной ориентации, гражданства, точной геолокации и других чувствительных категорий, определённых законом штата.

Если ваша CMP устанавливает MspaCoveredTransaction = Yes, но издатель на самом деле не подписал договор MSPA, вы только что сделали ложное заявление, на которое будут полагаться нижестоящие подписанты. Это быстрый путь к договорному спору и, в зависимости от штата, к регуляторной жалобе.

Чувствительные данные: люк, который большинство издателей упускают

Каждый комплексный закон штата США о конфиденциальности, принятый после Калифорнии, расширил определение чувствительной личной информации, и MSPA сворачивает их в унифицированное поле GPP. Категории обычно включают:

• Государственные идентификаторы (номер социального страхования, водительские права, паспорт).
• Учётные данные аккаунтов и финансовую информацию.
• Точную геолокацию, обычно уже 1 750 футов.
• Расовое или этническое происхождение, религиозные убеждения, диагнозы психического или физического здоровья.
• Половую жизнь и сексуальную ориентацию.
• Гражданство и иммиграционный статус.
• Генетические и биометрические данные, используемые для идентификации человека.
• Данные о известном ребёнке младше 13 лет — а в некоторых штатах младше 16 с дополнительной защитой.

Несколько штатов требуют согласия opt-in для обработки чувствительных данных, в то время как другие разрешают обработку с правом на отказ. Кодирование GPP в MSPA позволяет выразить любое, но ваша CMP должна знать, какое запрашивать, исходя из штата пользователя. Неправильная классификация чувствительных данных — например, рассмотрение просмотра контента о здоровье как обычных поведенческих данных — это самый распространённый режим отказа, отмеченный генеральными прокурорами штатов в мерах правоприменения 2024–2025 годов.

Построение готового к MSPA потока согласия

Внедрение MSPA на вашем сайте или в приложении — это проблема координации между юристами, инженерами и рекламными операциями. Работа делится примерно на пять рабочих потоков.

1. Подпишите MSPA и поддерживайте свой статус подписанта

MSPA — это реальный договор, который юрисконсульт должен проверить и подписать. Вы объявите роль или роли, в которых работаете, штаты США, где вы ведёте бизнес, и категории данных, которые обрабатываете. Обновляйте ежегодно и обновляйте портал подписантов IAB Tech Lab всякий раз, когда меняется ваша роль или юрисдикция.

2. Настройте вашу CMP для многоштатной логики

Единственного баннера только для CCPA больше недостаточно. Ваша CMP должна определять штат пользователя — обычно через IP-геолокацию с резервом конфиденциальности — и выводить правильные уведомления, ссылки и элементы управления отказом для этой юрисдикции. FlexyConsent и другие современные сертифицированные Google CMP поставляют многоштатные шаблоны, которые сопоставляются штат за штатом с правильными строками секций GPP.

3. Встройте строки GPP в ваш рекламный стек

Строка GPP должна быть вставлена в каждый запрос ставки OpenRTB, исходящий от пользователя из США. Для пользователей Google Ad Manager это означает включение поддержки GPP в настройках сети; для пользователей Prebid это означает установку модулей gppControl_usnat и по штатам и подтверждение, что адаптер consentManagement пересылает закодированную строку. Тестируйте с помощью декодера GPP от IAB Tech Lab, чтобы проверить путь туда-обратно от CMP к запросу ставки.

4. Соблюдайте сигнал Global Privacy Control (GPC)

Большинство законов штатов — Калифорния, Колорадо, Коннектикут и растущий список — требуют соблюдения сигнала GPC на уровне браузера как действительного отказа. MSPA ожидает, что подписанты будут обнаруживать GPC и предустанавливать поля SaleOptOut, SharingOptOut и TargetedAdvertisingOptOut соответственно, ещё до того, как пользователь коснётся баннера. Если ваша CMP не может обнаружить и действовать по GPC, вы не соответствуете требованиям независимо от членства в MSPA.

5. Проверьте нижестоящих поставщиков

Логика дальнейшей передачи MSPA работает только если ваши поставщики тоже являются подписантами. Прежде чем отправлять данные любому SSP, DSP или партнёру по данным, проверьте их статус подписанта в портале IAB Tech Lab. Поставщики, не являющиеся подписантами, должны быть либо удалены из вашего рекламного стека для трафика США, либо покрыты отдельными двусторонними DPA, которые отражают условия MSPA.

Распространённые ловушки внедрения

Несколько паттернов отказа неоднократно появляются в аудитах издателей:

• Сигнализация покрытия MSPA без подписания. Установка MspaCoveredTransaction = Yes в строке GPP, когда юридическое лицо издателя не подписало MSPA, подвергает издателя претензиям о введении в заблуждение от нижестоящих подписантов, которые полагались на сигнал.
• Забывание Техаса, Орегона и Монтаны. Издатели, настроенные для исходного ландшафта из пяти штатов, упускают законы, которые вступили в силу в 2024 и 2025 годах. У каждого свои триггеры отказа; MSPA их покрывает, но только если логика определения штата вашей CMP их включает.
• Игнорирование сигналов чувствительных данных на новостном и лайфстайл-контенте. Читатель статьи о здоровье, религии или с фокусом на LGBTQ может обрабатывать чувствительные данные неявно. Проведите аудит контента и настройте переопределения на уровне категорий в CMP.
• Рассмотрение GPC как рекомендательного. Регулятор Калифорнии разъяснил в 2024 году, что игнорирование GPC является нарушением за каждый случай. MSPA не изолирует вас от этого — оно зависит от вас в соблюдении GPC.
• Устаревшие строки GPP, кэшированные на границе. Кэширование страниц CDN или service worker может обслужить пользователю устаревшую строку GPP из предыдущей сессии. Отключите кэширование на конечной точке согласия и добавьте шаг свежей выборки при изменении согласия.

Как MSPA влияет на рекламный доход

Издатели, которые внедряют MSPA правильно, обычно видят умеренные краткосрочные падения дохода с последующей стабилизацией, в то время как небрежные внедрения либо чрезмерно ограничивают ставки, либо подвергают издателя риску правоприменения. Переменные, которые двигают стрелку:

• Уровни отказов — в штатах с заметными ссылками отказа 5–15% пользователей обычно отказываются от продажи или передачи. Цены ставок на отказавшихся показах обычно падают на 30–60%, потому что поведенческий таргетинг недоступен.
• Классификация чувствительного контента — неправильная классификация обычного контента как чувствительного обрушит спрос. Будьте консервативны и точны по категориям.
• Состав партнёров header bidding — партнёры, не являющиеся подписантами MSPA, которых вам приходится отключать для трафика США, сжимают ваш аукцион. Замените их подписантами, а не работайте с более тонким спросом.
• Серверная маркировка — серверный контейнер, который читает строку GPP и условно запускает теги, — это самый чистый способ держать аналитику и согласие синхронизированными.

Что дальше: 2026 год и далее

MSPA — это живое соглашение. IAB обновляет его каждый год или два, поскольку новые законы штатов, рекомендации генеральных прокуроров и федеральные предложения переформируют ландшафт. Темы, за которыми стоит следить в 2026 году:

• Возможный федеральный закон о конфиденциальности, который частично вытеснит режимы штатов — MSPA включает логику резерва вытеснения, так что подписанты не останутся в подвешенном состоянии.
• Расширение GPP для покрытия специфической для здоровья сигнализации согласно Washington My Health My Data Act и аналогичным статутам.
• Более строгое правоприменение правил тёмных паттернов в потоках отказа со стороны California Privacy Protection Agency и генерального прокурора Техаса.
• Интеграция с раскрытием обучения ИИ и больших языковых моделей, которое обсуждают несколько законодательных собраний штатов.

Издатели, которые рассматривают внедрение MSPA как разовый проект, отстанут. Рассматривайте это как постоянную операционную гигиену, совместно принадлежащую юристам, рекламным операциям и продуктовой инженерии, и проверяемую ежеквартально. Издатели, побеждающие в многоштатном соответствии США, — это не те, у кого больше всего юристов, а те, чья CMP, рекламный стек и журналы аудита рассказывают одну и ту же историю, когда спрашивает регулятор.

Итог

MSPA — это практический ответ на фрагментированный ландшафт конфиденциальности США. Оно не примет за вас законы, но даст вашему потоку ставок, вашим поставщикам и вашей юридической команде единый общий язык для отказов, чувствительных данных и нижестоящих обязательств. Соедините его с CMP, осведомлённой о штатах, точной сигнализацией GPP и дисциплинированным управлением поставщиками, и вы потратите меньше времени на споры о юрисдикции и больше времени на монетизацию показов, которые вам разрешено монетизировать. Это единственный устойчивый путь через 2026 год и волну законов штатов, всё ещё стоящих в очереди за ним.