Vad Global Privacy Platform faktiskt är

GPP är ett transportprotokoll, inte ett nytt samtyckesramverk. Det är en behållare som kodar flera regionspecifika samtyckessignaler i en enda Base64-sträng, exponerad via ett standard JavaScript API (__gpp()) som SSP:er, DSP:er och mätleverantörer kan ställa frågor till. Varje region har sin egen sektion inuti GPP-strängen: Sektion 2 bär TCF EU v2, Sektion 6 bär US Privacy (föråldrad), Sektion 7 täcker USNat, och Sektionerna 8 till 12 täcker Kalifornien, Virginia, Colorado, Utah och Connecticut respektive. Ytterligare sektioner för Texas, Oregon, Montana och andra delstater läggs till när deras lagar träder i kraft.

Det viktigaste designvalet är att en enda GPP-sträng kan bära flera sektioner samtidigt. En europeisk besökare får TCF EU-data; en besökare från Kalifornien får US-CA-data; en användare vars IP-geolokalisering placerar dem i båda jurisdiktionerna (sällsynt men möjligt via VPN) kan ha båda sektionerna ifyllda. Ad tech-leverantörer läser bara de sektioner som är relevanta för dem och ignorerar resten.

Varför GPP finns och varför det spelar roll nu

Före GPP tvingade varje ny amerikansk delstats integritetslag utgivare att implementera ytterligare en signal. Kalifornien hade USP. Virginias VCDPA krävde olika opt-out-semantik. Colorados CPA erkände Global Privacy Control-webbläsarsignalen. Utah och Connecticut lade var och en till fler nyanser. Ad tech-leverantörer behövde tolka ett halvdussin format, ofta inkonsekvent, och risken att signalera "användaren har samtyckt" i en kanal medan användaren hade opt-at ut i en annan blev en verklig efterlevnadsexponering.

GPP standardiserar transporten. När en CMP sätter GPP-strängen läser varje nedströms leverantör samma kodning. För utgivare spelar detta roll av tre skäl: Googles policy från 2024 kräver nu GPP-stöd för amerikanska delstatssignaler på Google Ad Manager-inventarie; Prebid.js 8.x och de flesta stora SSP-adaptrar förväntar sig GPP; och regulatorer hänvisar i allt högre grad till GPP-efterlevnad som bevis på signaleringsöverensstämmelse i god tro.

GPP-sektioner och vad de betyder

Varje GPP-sektion har sina egna kodningsregler, som speglar det underliggande ramverket:

Sektion 2: TCF EU v2

Identisk med den fristående TCF v2.2-strängen du redan genererar för europeisk trafik. Om din CMP är TCF-certifierad producerar du redan den här sektionen — GPP omsluter den helt enkelt.

Sektion 7: US National (USNat)

Den nyaste sektionen, utformad som en enda signal som täcker alla amerikanska federala och delstats-integritetslagar. Den kodar givet meddelande, opt-out från försäljning, opt-out från delning, opt-out från riktad reklam, opt-out från känsliga data och hantering av känd barndata. Leverantörer som verkar i flera amerikanska delstater bör föredra USNat framför de delstatsspecifika sektionerna när det är möjligt.

Sektionerna 8-12: Per-delstats amerikanska signaler

Kalifornien (US-CA), Virginia (US-VA), Colorado (US-CO), Utah (US-UT) och Connecticut (US-CT). Varje sektion bär fält som är specifika för den delstatens lag — till exempel behåller US-CA de äldre CCPA/CPRA-opt-outs för försäljning och delning, medan US-CO lägger till flaggan för känslig data-samtycke som krävs av Colorado Privacy Act. Texas (US-TX under CPA sektion 13) och Oregon (US-OR under CPA sektion 14) lades till efter att deras lagar trädde i kraft i juli 2024.

Hur utgivare bör migrera

De flesta utgivare har redan en CMP som genererar TCF-strängar för EU-trafik och USP-strängar för Kalifornien. Migrationsvägen till GPP ser ut så här:

Steg 1: Uppgradera din CMP

Bekräfta att din CMP-leverantör finns listad på IAB:s GPP-certifierade CMP-lista. FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics och de flesta Google-certifierade CMP:er producerar nu giltiga GPP-strängar. Om din CMP fortfarande bara genererar TCF eller USP, begär en roadmap för GPP-stöd — varje leverantör utan en plan här kommer att bli förbigången 2026.

Steg 2: Konfigurera GPP-sektioner efter geografi

Din CMP bör automatiskt avgöra vilka GPP-sektioner som ska fyllas i baserat på IP-geolokalisering. Europeiska besökare får Sektion 2 (TCF EU); amerikanska besökare får Sektion 7 (USNat) eller delstatsspecifika sektioner beroende på hur din leverantörsstapel läser signalen. Fyll inte i varje sektion för varje besökare — det är en vanlig felkonfiguration som läcker jurisdiktionsirrelevanta data.

Steg 3: Verifiera nedströmsutbredning

GPP-strängen är bara användbar om SSP:er, DSP:er, analys och pixelleverantörer läser den. Granska din annonsstack: i Prebid.js, bekräfta att gppControl-modulen är aktiverad; i Google Ad Manager, bekräfta att GPP-strängen skickas via GAM samtyckes-API:t; i Google Analytics 4, bekräfta att Consent Mode v2 läser GPP tillsammans med TCF. Varje leverantör som tyst ignorerar GPP är en efterlevnadslucka.

GPP, Consent Mode v2 och Googles krav

Googles policyuppdatering i december 2024 gjorde GPP-stöd obligatoriskt för utgivare som monetiserar amerikanskt inventarie via Google Ad Manager. Denna förändring är subtil men viktig: Consent Mode v2 använder fortfarande sina egna ad_storage- och analytics_storage-signaler, men GAM förväntar sig nu att GPP-strängen är närvarande i annonsbegäran för all trafik som lyder under amerikanska delstatslagar. Saknade eller felaktiga GPP-strängar kan resultera i att annonser serveras i begränsat läge — med betydande påverkan på fill rate och intäkter — eller, för upprepade överträdare, att inventarie utesluts från auktion.

Den praktiska implikationen: även utgivare som historiskt ignorerat amerikanska delstatslagar eftersom deras intäkter var enbart från Kalifornien behöver nu GPP. Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Montana och Iowa har alla lagar i kraft från och med 2026, och Google läser GPP-strängen för att avgöra om din annonsbegäran är i enlighet med var och en av dem.

Vanliga migrationsfall

Fyra misstag vi ser upprepade gånger när utgivare lägger till GPP:

Duplicerade signaler. Vissa utgivare behåller fristående TCF- och USP-strängar vid sidan av GPP, vilket skapar tre sanningskällor som kan vara oense. När GPP är live, ta bort de fristående strängarna.

Fel sektionsifyllning. Att fylla i US-CA för varje amerikansk besökare oavsett faktisk delstat läcker geografi och kan falskt hävda CCPA/CPRA opt-out-rättigheter för icke-kaliforniska invånare. Använd IP-geolokalisering för att välja rätt sektion.

Ignorera GPC. Global Privacy Control-webbläsarsignalen är inte en GPP-sektion — det är ett separat HTTP-huvud och en JS-egenskap. Din CMP måste läsa GPC vid sidinläsning och återspegla det som en opt-out i relevanta GPP-sektioner, annars bryter du mot Colorados, Connecticuts och Kaliforniens lag.

Inaktuella leverantörsadaptrar. Äldre Prebid-adaptrar och SSP-integrationer kan ta bort GPP-strängen innan den når budgivaren. Testa varje leverantör i din annonsstack med IAB GPP-validatorn innan du förklarar migrationen fullständig.

Det långa perspektivet: GPP bortom USA

GPP är utformat för att sträcka sig bortom TCF EU och amerikanska delstatslagar. Nya sektioner för Kanada (PIPEDA plus Quebecs lag 25), Brasilien (LGPD), Sydkorea (PIPA) och andra jurisdiktioner är under aktiv IAB-arbetsgruppsutveckling. För utgivare som servar globalt inventarie blir GPP den enda samtyckestransport som ersätter varje regionalt protokoll. Att investera i GPP idag positionerar din stack för att absorbera nästa våg av regionala integritetslagar utan ytterligare en integrationssprint.