Čo Delete Act skutočne robí

Delete Act je štrukturálnym doplnením existujúceho kalifornského režimu registrácie dátových maklérov, ktorý je v platnosti od roku 2020. Zatiaľ čo pôvodný rámec jednoducho vyžadoval od maklérov každoročnú registráciu u štátu a zverejnenie kategórií osobných údajov, Delete Act pridáva centralizovaný mechanizmus vymazania s prísnymi termínmi, povinnosťami auditu a pokutami za nesúlad.

Centralizovaný register vymazania

Register je platforma prevádzkovaná CPPA, kde spotrebitelia z Kalifornie podávajú jednu žiadosť o vymazanie, ktorá sa automaticky propaguje ku všetkým registrovaným dátovým maklérom. Makléri musia kontrolovať register aspoň každých štyridsaťpäť dní, identifikovať nové žiadosti zodpovedajúce osobám v ich súboroch údajov a vymazať zodpovedajúce záznamy v lehote stanovenej nariadeniami. Spotrebitelia nemusia vedieť, ktorí makléri majú ich údaje — register spracúva distribúciu.

Kto sa počíta ako dátový maklér

Zákon definuje dátového makléra ako podnik, ktorý vedome zhromažďuje a predáva osobné informácie o spotrebiteľovi, s ktorým podnik nemá priamy vzťah. Definícia je užšia, ako to znie — vydavatelia z prvej strany predávajúci vlastné publikum nie sú makléri, spracúvatelia spracúvajúci údaje v mene prevádzkovateľa nie sú makléri — no zachytáva poskytovateľov grafov identity, platformy krížovej reklamy, vyhľadávacie služby pre osoby a veľkú časť vrstvy rozšírenia publika, cez ktorú vydavatelia smerujú programatické dáta.

Registrácia a verejný zoznam

Každý zahrnutý maklér sa musí každoročne registrovať, zaplatiť poplatok a objaviť na verejnom zozname, ktorý vedie CPPA. Do roku 2026 je zoznam praktickým referenčným bodom pre vydavateľov auditujúcich ich downstream dátové toky: každý predajca na zozname je dátovým maklérom na účely Delete Act a zmluvné záväzky vydavateľa voči tomuto predajcovi musia odrážať realitu propagácie vymazania.

Štyridsaťpäťdňový cyklus a jeho prevádzkové dôsledky

Kľúčovým prevádzkovým pravidlom je kadencia cyklu vymazania. Každých štyridsaťpäť dní musí každý registrovaný maklér skontrolovať register a vymazať každý zodpovedajúci záznam. Kadencia vytvára nový druh úbytku identity, pre ktorý musia vydavatelia navrhnúť svoje systémy.

Ako sa publikum zmenšuje počas cyklu

Publikum vytvorené na obohatení dátovými makléri sa bude zmenšovať zhruba v šesťtýždňovom cykle, keďže spotrebitelia z Kalifornie, ktorí podali žiadosti o vymazanie, sa šíria cez sieť maklérov. Vydavatelia prevádzkujúci americké meranie závislé od rozlíšenia identity — programatické cieľovanie publika, okná priradenia závislé od medzisitových identifikátorov, modelovanie lookalike využívajúce semená dodané maklérom — uvidia, že veľkosti publika z Kalifornie klesajú v pilovitom vzore: každý cyklus odstráni časť, potom prírastkoví návštevníci doplnia znova až do nasledujúceho cyklu.

Opätovná identifikácia je zakázaná

Zákon výslovne zakazuje maklérom opätovne identifikovať spotrebiteľa, ktorý bol vymazaný, aj keď maklér následne získa rovnaké údaje z iného zdroja. Zákaz uzatvára zjavnú medzeru a znamená, že vydavatelia sa nemôžu spoliehať na vlastné údaje z prvej strany, aby znovu prepojili vymazaných spotrebiteľov s publikami smerovanými cez maklérov. Vymazanie je určené na trvácnosť a program auditu regulátora je navrhnutý na detekciu vzorcov opätovnej identifikácie.

Údaje z prvej strany vydavateľa sú mimo cyklu

Vlastné údaje vydavateľa z prvej strany — registrovaní používatelia, predplatitelia bulletinu, členovia vernostných programov — nepodliehajú cyklu Delete Act, pretože vydavateľ nie je dátovým maklérom pre tieto záznamy. Vydavateľ naďalej podlieha právam na vymazanie podľa CCPA a CPRA, ktoré sú samostatné. Dva režimy môžu vzájomne pôsobiť: vymazanie podľa Delete Act na úrovni makléra môže stále ponechať záznam vydavateľa z prvej strany nedotknutý a vydavateľ musí naďalej rešpektovať samostatnú žiadosť spotrebiteľa o vymazanie podľa CCPA prostredníctvom vlastného procesu príjmu vydavateľa.

Signál Global Privacy Control v novom svete

Delete Act sa pretína s hlavičkou Global Privacy Control (GPC), ktorú prehliadače a rozšírenia pre súkromie odosielajú, aby naznačili, že používateľ nastavil preferenciu univerzálneho odhlásenia. Nariadenia CPPA potvrdzujú, že vydavatelia a makléri musia rešpektovať GPC ako platné odhlásenie podľa CCPA a centralizovaný register Delete Act pridáva paralelnú cestu k rovnakému výsledku.

Dva signály, jeden výsledok

Spotrebiteľ z Kalifornie má dve možnosti, ako opustiť komerčný dátový ekosystém: odoslať hlavičku GPC z každého prehliadača, ktorý používa, alebo podať jednu žiadosť do registra Delete Act. Obe cesty prinášajú ekvivalentné výsledky pre väčšinu prípadov použitia, ale líšia sa rozsahom. GPC upravuje prebiehajúci predaj a zdieľanie na každej stránke, ktorú spotrebiteľ navštívi. Register vymazáva existujúce záznamy uchovávané makléri. Vydavatelia by mali považovať oba za smerodajné signály a CMP by malo byť nakonfigurované na rozpoznanie ktoréhokoľvek z nich.

Úloha CMP pri sprístupnení oboch ciest

Kompatibilný CMP pre publikum z Kalifornie v roku 2026 zobrazuje stav rešpektovania GPC (návštevník má nastavený GPC, odhlásenie je aktívne), vlastný odkaz na odhlásenie vydavateľa (spotrebiteľ môže odmietnuť predaj a zdieľanie na tejto konkrétnej stránke) a jasný ukazovateľ na register CPPA pre spotrebiteľov, ktorí chcú výsledok vymazania od maklérov. Architektúra nie je technicky náročná — tri ovládacie prvky v rozhraní súhlasu namiesto jedného — ale formulácia je dôležitá a vymáhanie CPPA bolo aktívne pri zavádzajúcich alebo ukrytých cestách odhlásenia.

Čo musia vydavatelia urobiť

Delete Act je regulácia zameraná na maklérov, nie na vydavateľov, ale prevádzkové dôsledky pre vydavateľov sú reálne a vyžadujú konkrétne zmeny v architektúre súhlasu a dát.

Auditujte zásobník predajcov voči registru maklérov

Každý predajca v zásobníku reklám a analytiky vydavateľa by mal byť krížovo skontrolovaný voči verejnému zoznamu maklérov CPPA. Predajcovia na zozname podliehajú režimu Delete Act a zmluvy vydavateľa s týmito predajcami musia odrážať propagáciu vymazania, uchovávanie protokolu auditu a štyridsaťpäťdňovú kadenciu cyklu. Väčšina hlavných predajcov rozlíšenia identity a niekoľko veľkých SSP je teraz na zozname; audit nie je náročný, ale musí sa vykonať aspoň raz ročne.

Aktualizujte oznámenie o ochrane osobných údajov a rozhranie súhlasu

Oznámenie vydavateľa o ochrane osobných údajov by malo vysvetliť cestu registra Delete Act spolu s existujúcim právom na vymazanie podľa CCPA s priamym odkazom na register CPPA. Rozhranie súhlasu by malo zobrazovať stav rešpektovania GPC, keď návštevník má nastavenú hlavičku, a ovládacie prvky odhlásenia by mali byť štylizované s rovnakým výrazným zvýraznením ako ovládacie prvky prijatia — rozhodnutia o vymáhaní generálneho prokurátora v rokoch 2024 a 2025 explicitne vymedzili test tmavého vzoru.

Naplánujte pre pilovitý vzor publika

Tímy merania a cieľovania publika musia vedieť, že metriky publika z Kalifornie budú sledovať šesťtýždňový pilovitý vzor riadený kadenciu cyklu. Dashboardy a modely tempa ponúkania by mali byť naladené na vzor namiesto toho, aby každý pokles považovali za chybu. Vydavatelia prevádzkujúci dôkladné priradenie by mali tiež modelovať cestu vymazania maklérom ako samostatný zdroj úbytku, aby čísla po cykle mohli byť čisto zosúladené.

Bežné chyby Delete Act, ktoré spúšťajú zistenia

Prvá vlna vymáhania CPPA podľa Delete Act v priebehu roka 2025 priniesla jasný vzorec zistení na strane vydavateľov. Oznámenie vydavateľa o ochrane osobných údajov popisuje cestu odhlásenia podľa CCPA, ale nikdy nespomína register Delete Act. Banner súhlasu rešpektuje GPC pre predaj a zdieľanie, ale nepropaguje signál do príjmu vymazania z prvej strany vydavateľa. Vydavateľ uzatvára zmluvu s registrovaným maklérom a nikdy neaktualizuje zmluvu tak, aby odrážala záväzky propagácie vymazania podľa Delete Act. CMP zobrazuje panel na správu preferencií, ktorý ukrýva odhlásenie tri kliknutia hlboko za tmavším tlačidlom ako prijať všetko. Každé z týchto pochybení je opravou dokumentácie alebo UX, nie hlbokou architektonickou zmenou — ale každé je tiež presne tým, čím CPPA otvára vyšetrovanie.

Záver

Delete Act dáva spotrebiteľom z Kalifornie jediné tlačidlo, ktoré ich vyvedenie z komerčného dátového ekosystému, a do roku 2026 je register funkčný, zoznam maklérov je verejný a program vymáhania je aktívny. Pre vydavateľov sú dôsledky reálne, ale ohraničené: Delete Act nevyžaduje od vydavateľa nič dramatické, ale vyžaduje, aby vydavateľ vedel, ktorí downstream predajcovia sú makléri, aby aktualizoval oznámenie o ochrane osobných údajov a rozhranie súhlasu na sprístupnenie novej cesty, aby dôsledne rešpektoval GPC a aby plánoval pilovitý vzor publika, ktorý produkuje štyridsaťpäťdňový cyklus. Nič z toho nie je technicky náročné. Všetko je prevádzkovo špecifické. Vydavatelia, ktorí vykonali dôkladný audit v rokoch 2024 a 2025, teraz realizujú ustálenú architektúru; vydavatelia, ktorí považovali Delete Act za problém dátových maklérov, ktorý sa ich netýka, trávia rok 2026 písaním odpovedných listov a revíziou oznámení o ochrane osobných údajov pod tlakom termínov regulátora.