Vad Delete Act faktiskt gör

Delete Act är ett strukturellt tillägg till Californiens befintliga datamäklarregistreringsregim som har funnits sedan 2020. Medan det ursprungliga ramverket helt enkelt krävde att mäklare registrerade sig årligen hos staten och redovisade sina kategorier av personlig information, lägger Delete Act till en centraliserad raderingsmekanism med hårda tidsramar, revisionsskyldigheter och böter för bristande efterlevnad.

Det centraliserade raderingsregistret

Registret är en CPPA-driven plattform där californiska konsumenter skickar in en enda raderingsbegäran som automatiskt sprids till varje registrerad datamäklare. Mäklare måste kontrollera registret minst var fyrtioåttonde dag, identifiera eventuella nya begäranden som matchar individer i deras datauppsättningar, och radera de matchande posterna inom den tidslinje som reglerna specificerar. Konsumenter behöver inte veta vilka mäklare som innehar deras data — registret hanterar spridningen.

Vem räknas som datamäklare

Lagen definierar en datamäklare som ett företag som medvetet samlar in och säljer personlig information om en konsument med vilken företaget inte har en direkt relation. Definitionen är snävare än den låter — förstapartsutgivare som säljer sin egen målgrupp är inte mäklare, behandlare som hanterar data på uppdrag av en registeransvarig är inte mäklare — men den fångar identitetsgrafleverantörer, plattformar för reklam i flera sammanhang, personsökningstjänster och en stor del av målgruppsutvidgningslagret som utgivare dirigerar programmatisk data genom.

Registrering och den offentliga listan

Varje berörd mäklare måste registrera sig årligen, betala en avgift och visas på en offentlig lista som CPPA upprätthåller. År 2026 är listan den praktiska referenspunkten för utgivare som granskar sina nedströms dataflöden: vilken leverantör som helst på listan är en datamäklare för Delete Act-ändamål, och utgivarens avtalsförpliktelser med den leverantören måste återspegla raderingsfördelningsverkligheten.

Fyrtiofemdarscykeln och dess operativa konsekvenser

Den avgörande operativa regeln är raderingscykelns kadenser. Var fyrtioåttonde dag måste varje registrerad mäklare kontrollera registret och radera varje matchande post. Kadensen skapar en ny typ av identitetsförlust som utgivare måste konstruera för.

Hur målgrupper krymper under cykeln

En målgrupp byggd på datamäklarberikad data kommer att krympa ungefär var sjätte vecka när californiska konsumenter som skickade raderingsbegäranden sprids genom mäklarnätverket. Utgivare som kör US-mätning som beror på identitetslösning — programmatisk målgruppsanpassning, attributionsfönster som beror på webbplatsövergripande identifierare, lookalike-modellering som använder mäklarlevererade frön — kommer att se californiska målgruppsstorlekar driva nedåt i ett sågtaggsmönster: varje cykel tar bort en tranch, sedan fyller gradvisa besökare på tills nästa cykel.

Återidentifiering är förbjuden

Lagen förbjuder uttryckligen mäklare från att återidentifiera en konsument som har raderats, även om mäklaren efteråt erhåller samma data från en annan källa. Förbudet stänger den uppenbara kryphålet och innebär att utgivare inte kan förlita sig på sin egna förstapartsdata för att sy ihop raderade konsumenter tillbaka i mäklarruttade målgrupper. Raderingen är avsedd att vara varaktig, och tillsynsmyndighetens revisionsprogram är byggt för att upptäcka återidentifieringsmönster.

Utgivarens förstapartsdata är utanför cykeln

Utgivarens egna förstapartsdata — registrerade användare, nyhetsbrevsprenumeranter, lojalitetsmedlemmar — är inte föremål för Delete Act-cykeln eftersom utgivaren inte är en datamäklare för dessa poster. Utgivaren förblir föremål för CCPA- och CPRA-raderingsrättigheter, som är separata. De två regelverken kan interagera: en Delete Act-radering på mäklarlagret kan fortfarande lämna utgivarens förstapartspost intakt, och utgivaren måste fortsätta att respektera konsumentens separata CCPA-raderingsbegäran via utgivarens eget intag.

Global Privacy Control-signalen i den nya världen

Delete Act skär ihop med Global Privacy Control (GPC)-rubriken som webbläsare och integritetsutökningar skickar för att indikera att användaren har ställt in en universell opt-out-preferens. CPPA:s regler bekräftar att utgivare och mäklare måste respektera GPC som en giltig CCPA-avregistrering, och Delete Acts centraliserade register lägger till en parallell väg för samma utfall.

Två signaler, ett utfall

En californisk konsument har två sätt att lämna det kommersiella dataekosystemet: skicka GPC-rubriken från varje webbläsare de använder, eller skicka in en enda Delete Act-registerbegäran. De två vägarna ger motsvarande utfall för de flesta användningsfall men skiljer sig i omfång. GPC styr pågående försäljning och delning på varje webbplats konsumenten besöker. Registret raderar befintliga poster som innehas av mäklare. Utgivare bör behandla båda som auktoritativa signaler, och CMP bör konfigureras för att känna igen endera.

CMP:s roll i att visa upp båda vägarna

Den efterlevnadsgodkända CMP för californiska målgrupper 2026 visar GPC-hedersstatusen (besökaren har GPC inställt, opt-out är aktiv), utgivarens egna opt-out-länk (konsumenten kan avböja försäljning och delning på just denna webbplats), och en tydlig pekare till CPPA-registret för konsumenter som vill ha raderingsresultatet från mäklare. Arkitekturen är inte tekniskt krävande — tre kontroller i samtyckesgränssnittet istället för en — men formuleringen är viktig och CPPA:s verkställighet har varit aktiv på vilseledande eller begravda opt-out-vägar.

Vad utgivare måste göra

Delete Act är en förordning riktad mot mäklare, inte utgivare, men de operativa konsekvenserna för utgivare är verkliga och kräver specifika ändringar av samtyckets och datans arkitektur.

Granska leverantörsstacken mot mäklarregistret

Varje leverantör i utgivarens annons- och analysstack bör korskontrolleras mot CPPA:s offentliga mäklarlista. Leverantörer på listan är föremål för Delete Act-regimen, och utgivarens kontrakt med dessa leverantörer måste återspegla raderingsfördelning, revisionsloggbevaring och fyrtiofemdarscykelkadensen. De flesta stora identitetslösningsleverantörer och flera stora SSP:er finns nu på listan; granskningen är inte smärtsam men den behöver ske minst en gång per år.

Uppdatera integritetsmeddelandet och samtyckesgränssnittet

Utgivarens integritetsmeddelande bör förklara Delete Act-registervägen vid sidan av den befintliga CCPA-raderingsrätten, med en direkt länk till CPPA:s register. Samtyckesgränssnittet bör exponera GPC-hedersstatusen när besökaren har rubriken inställd, och opt-out-kontrollerna bör stiliseras med lika framträdande som acceptkontroller — justitieministerns verkställighetsbeslut under 2024 och 2025 gjorde mörkt-mönster-testet explicit.

Planera för sågtaggsmålgruppen

Mätnings- och målgruppsanpassningsteamen behöver veta att californiska målgruppsmätvärden kommer att följa ett sexveckorssågtaggsmönster drivet av raderingscykelkadensen. Kontrollpanelerna och budgivningspacingsmodellerna bör ställas in på mönstret snarare än att behandla varje dip som ett fel. Utgivare som kör rigorös attribution bör också modellera mäklarraderingsvägen som en separat förlustkälla så att numren efter raderingen kan stämmas av rent.

Vanliga Delete Act-misstag som utlöser fynd

Den första vågen av CPPA-verkställighet under Delete Act under 2025 har producerat ett tydligt mönster av utgivarsidiga fynd. Utgivarens integritetsmeddelande beskriver CCPA opt-out-vägen men nämner aldrig Delete Act-registret. Samtyckesbannern respekterar GPC för försäljning och delning men sprider inte signalen till utgivarens förstapartsdeletion. Utgivaren ingår kontrakt med en registrerad mäklare och uppdaterar aldrig kontraktet för att återspegla Delete Act-raderingsfördelningsskyldigheterna. CMP levererar en preferenshanteringspanel som begräver opt-out tre klick djupt bakom en mörkare knapp än acceptera-alla. Var och en av dessa är en dokumentations- eller UX-fix snarare än en djup arkitektonisk förändring — men var och en är också exakt vad CPPA öppnar en undersökning med.

Slutsatsen

Delete Act ger californiska konsumenter en enda knapp som tar dem ur det kommersiella dataekosystemet, och år 2026 är registret operativt, mäklarlistan är offentlig och verkställighetsprogrammet är aktivt. För utgivare är konsekvenserna verkliga men begränsade: Delete Act kräver inte att utgivaren gör något dramatiskt, men det kräver att utgivaren vet vilka nedströmsleverantörer som är mäklare, uppdaterar integritetsmeddelandet och samtyckesgränssnittet för att visa den nya vägen, konsekvent respekterar GPC och planerar för det sågtaggsmönstret för målgrupper som fyrtiofemdarscykeln producerar. Ingenting av detta är tekniskt svårt. Allt är operativt specifikt. Utgivare som körde en ren granskning 2024 och 2025 genomför nu på en fastlagd arkitektur; utgivare som behandlade Delete Act som ett datamäklarproblem som inte berörde dem spenderar 2026 på svarsbrev och reviderar integritetsmeddelanden under regulatorers deadline.