Vad MSPA är — och vad det inte är

MSPA är ett privat, avtalsbaserat ramverk publicerat av IAB. Det är inte en lag och ersätter inte delstatliga lagar. Istället är det ett flerpartsavtal som deltagare — utgivare, byråer, annonsnätverk, SSP:er, DSP:er och dataleverantörer — skriver under för att kunna göra konsekventa juridiska påståenden om hur personuppgifter flödar genom programmatisk annonsering. När alla i en kedja skriver under samma kontrakt behöver inte nedströmsleverantörer förhandla fram femtio olika bilaterala databehandlingsavtal för att hantera en enda budförfrågan.

Tänk på MSPA som tre saker på en gång:

• Ett kontrakt som automatiskt flödar nedströms när en signatär skickar data till en annan signatär.
• Ett ordförråd för att uttrycka användarens val med GPP-kodade strängar, inklusive opt-out från försäljning, delning, riktad annonsering och behandling av känsliga uppgifter.
• Ett riskfördelningsramverk som mappar varje signatär till en av tre roller — Täckt verksamhet, Tjänsteleverantör/Personuppgiftsbiträde eller Tredje part — och skyldigheterna kopplade till var och en.

Vad MSPA inte är: en ersättning för ditt integritetsmeddelande, en ersättning för direkt användarsamtycke där det krävs, eller en garanti för efterlevnad av någon specifik delstatlig lag. Det är ett verktyg som, använt korrekt, gör efterlevnad av flera delstatliga lagar operativt genomförbart. Använt felaktigt — till exempel genom att signalera deltagande medan man fortsätter att dela data efter en opt-out — utökar det ditt ansvar snarare än att minska det.

Vem behöver bry sig: De tre MSPA-rollerna

Innan du skriver under något, identifiera vilken roll du faktiskt spelar. De flesta utgivare är förvånade över att de bär mer än en hatt beroende på dataflödet.

Täckt verksamhet

Du är en Täckt verksamhet om du bestämmer syftena och medlen för behandling av personuppgifter om en användare — vanligtvis utgivaren som driver webbplatsen eller appen som användaren besöker. Som Täckt verksamhet är du ansvarig för att samla in samtycke, visa meddelanden, respektera opt-outs och konfigurera GPP-signalen som nedströmsleverantörerna förlitar sig på. Den användarinriktade bördan ligger hos dig.

Tjänsteleverantör eller Personuppgiftsbiträde

Du är en Tjänsteleverantör när du behandlar personuppgifter för en Täckt verksamhets räkning enligt avtal och endast för begränsade, tillåtna ändamål. De flesta analysleverantörer, hostingleverantörer och plattformar för samtyckeshantering verkar i detta spår. MSPA ålägger begränsningar: ingen försäljning, ingen beteendemässig annonsering med korskontext för eget konto och strikta regler för lagring och radering.

Tredje part

Du är en Tredje part när du tar emot personuppgifter från en Täckt verksamhet och använder dem för egna ändamål — de flesta SSP:er, DSP:er, identitetsleverantörer och datamäklare faller in här. Tredje parter har de tyngsta avtalsförpliktelserna, inklusive direkt hantering av användarrättigheter och skyldigheter för nedströmsflöden när de delar data med sina egna partners.

MSPA och Global Privacy Platform (GPP)

MSPA existerar inte i ett vakuum. Det är avtalsskiktet; GPP är det tekniska signaleringslagret. IAB Tech Lads Global Privacy Platform kodar användarval i en enda sträng som följer med budförfrågningar genom OpenRTB-protokollet. För amerikansk signalering bär GPP sektionssträngar för varje delstat med en heltäckande integritetslag — till exempel USCA (Kalifornien), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah) och den nationella US-strängen för delstater utan en dedikerad sektion.

MSPA talar om för din CMP vilka fält som ska ställas in i de GPP-sektionerna för att hävda täckning. De viktigaste fälten som utgivare kommer att se och konfigurera inkluderar:

• MspaCoveredTransaction — ställ in på Ja när utgivaren hävdar att budförfrågan täcks av MSPA-ramverket.
• MspaOptOutOptionMode — anger om användaren gavs ett tydligt opt-out-alternativ enligt MSPA:s transparensregler.
• MspaServiceProviderMode — ställs in när nedströmsleverantörer måste behandla data enbart som tjänsteleverantör.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — de detaljerade samtyckeflaggorna som budgivare läser för att avgöra vad de får göra med intrycket.
• SensitiveDataProcessing — en flerdelad matris som signalerar användarens val för rasursprung, religiösa övertygelser, hälsa, sexuell läggning, medborgarskap, exakt geolokalisering och andra känsliga kategorier definierade av delstatlig lag.

Om din CMP ställer in MspaCoveredTransaction = Ja men utgivaren faktiskt inte har skrivit under MSPA-avtalet, har du just gjort ett falskt påstående som nedströmssignatärer kommer att förlita sig på. Det är en snabb väg till en avtalskonflikt och, beroende på delstat, ett regulatoriskt klagomål.

Känsliga data: Fallgropen de flesta utgivare missar

Varje heltäckande delstatlig integritetslag som antagits sedan Kalifornien har utökat definitionen av känslig personlig information, och MSPA viker in dessa i ett enhetligt GPP-fält. Kategorier inkluderar vanligtvis:

• Statliga identifierare (personnummer, körkort, pass).
• Kontoinloggningsuppgifter och finansiell information.
• Exakt geolokalisering, generellt snävare än 533 meter.
• Rasligt eller etniskt ursprung, religiösa övertygelser, psykiska eller fysiska hälsodiagnoser.
• Sexualliv och sexuell läggning.
• Medborgarskap och immigrationsstatus.
• Genetisk och biometrisk data som används för att identifiera en person.
• Data om ett känt barn under 13 år — och i vissa delstater, under 16 år med extra skydd.

Flera delstater kräver opt-in-samtycke för behandling av känsliga data, medan andra tillåter behandling med rätt att opt-out. MSPA:s GPP-kodning låter dig uttrycka endera, men din CMP måste veta vilken som ska begäras baserat på användarens delstat. Felklassificering av känsliga data — till exempel att behandla webbsurfning på hälsoinnehåll som vanliga beteendedata — är det enskilt vanligaste felläget som flaggades av delstaternas generaladvokater i verkställighetsåtgärder 2024–2025.

Bygga ett MSPA-redo samtyckesflöde

Implementering av MSPA på din webbplats eller app är ett koordineringsproblem över juridik, teknik och annonsoperationer. Arbetet delas upp i ungefär fem arbetsströmmar.

1. Skriv under MSPA och upprätthåll din signatärstatus

MSPA är ett riktigt kontrakt som juridisk rådgivare måste granska och underteckna. Du kommer att deklarera rollen eller rollerna du verkar i, de amerikanska delstater där du bedriver verksamhet och de datakategorier du behandlar. Förnya årligen och uppdatera IAB Tech Lab:s signatärsportal när din roll eller jurisdiktion ändras.

2. Konfigurera din CMP för logik i flera delstater

En enda CCPA-only-banner räcker inte längre. Din CMP måste detektera användarens delstat — vanligtvis via IP-geolokalisering med en integritetsåtgärd som reserv — och visa rätt meddelanden, länkar och opt-out-kontroller för den jurisdiktionen. FlexyConsent och andra moderna Google-certifierade CMP:er levererar mallar för flera delstater som mappar delstat för delstat till rätt GPP-sektionssträngar.

3. Koppla GPP-strängar till din annonsstapel

GPP-strängen måste infogas i varje OpenRTB-budförfrågan från en amerikansk användare. För Google Ad Manager-användare innebär detta att aktivera GPP-stöd i nätverksinställningarna; för Prebid-användare innebär det att installera gppControl_usnat- och per-delstatsmoduler och bekräfta att consentManagement-adaptern vidarebefordrar den kodade strängen. Testa med IAB Tech Lab GPP-avkodaren för att verifiera rundturen från CMP till budförfrågan.

4. Respektera Global Privacy Control (GPC)-signalen

De flesta delstatliga lagar — Kalifornien, Colorado, Connecticut och en växande lista — kräver att en GPC-signal på webbläsarnivå respekteras som en giltig opt-out. MSPA förväntar sig att signatärer detekterar GPC och förinställer fälten SaleOptOut, SharingOptOut och TargetedAdvertisingOptOut i enlighet med detta, även innan användaren rör banern. Om din CMP inte kan detektera och agera på GPC är du inte i efterlevnad oavsett MSPA-medlemskap.

5. Granska nedströmsleverantörer

MSPA:s nedströmsflödeslogik fungerar bara om dina leverantörer också är signatärer. Innan du skickar data till något SSP, DSP eller datapartner, verifiera deras signatärstatus i IAB Tech Lab-portalen. Icke-signatärleverantörer måste antingen tas bort från din annonsstapel för amerikansk trafik eller täckas av separata bilaterala DPA:er som speglar MSPA-villkoren.

Vanliga implementeringsfallgropar

Flera misslyckandesmönster dyker upp upprepade gånger i utgivargranskningar:

• Signalera MSPA-täckning utan att skriva under. Att ställa in MspaCoveredTransaction = Ja i GPP-strängen medan utgivarens juridiska enhet inte har undertecknat MSPA exponerar utgivaren för påståenden om felaktig framställning från nedströmssignatärer som förlitade sig på signalen.
• Glömma Texas, Oregon och Montana. Utgivare konfigurerade för det ursprungliga femdelstatslandskapet missar lagar som trädde i kraft 2024 och 2025. Var och en har sina egna opt-out-utlösare; MSPA täcker dem, men bara om din CMP:s delstatsdetekteringslogik inkluderar dem.
• Ignorera känsliga datasignaler i nyhets- och livsstilsinnehåll. En läsare av en hälso-, religions- eller HBTQ-fokuserad artikel kan implicitt behandla känsliga data. Kör en innehållsgranskning och konfigurera kategori-nivåöverstyrningar i CMP:n.
• Behandla GPC som rådgivande. Kaliforniens regulator förtydligade 2024 att ignorera GPC är en överträdelse per incident. MSPA skyddar dig inte från detta — det beror på dig att respektera GPC.
• Inaktuella GPP-strängar cachade vid kanten. CDN- eller service worker-caching av sidor kan servera en användare en inaktuell GPP-sträng från en tidigare session. Inaktivera caching på samtyckesslutpunkten och lägg till ett färskhämtningssteg vid samtyckesändring.

Hur MSPA påverkar annonsintäkterna

Utgivare som implementerar MSPA korrekt ser vanligtvis blygsamma kortsiktiga intäktsminskningar följt av stabilisering, medan slarvig implementering antingen överbegränsar bud eller exponerar utgivaren för verkställighetsrisk. Variablerna som påverkar utfallet:

• Opt-out-frekvenser — I delstater med framträdande opt-out-länkar väljer vanligtvis 5–15% av användarna bort försäljning eller delning. Budpriser på opt-out-intryck sjunker vanligtvis 30–60% eftersom beteendemässig riktning är otillgänglig.
• Klassificering av känsligt innehåll — Felklassificering av vanligt innehåll som känsligt kommer att kollapsa efterfrågan. Var konservativ och kategoriprecis.
• Header bidding-partnermix — Icke-MSPA-signatärpartners som du måste inaktivera för amerikansk trafik krymper din auktion. Ersätt dem med signatärer snarare än att köra med tunnare efterfrågan.
• Serversidesmärkning — En serversidsbehållare som läser GPP-strängen och villkorligt avfyrar taggar är det renaste sättet att hålla analys och samtycke synkroniserade.

Vad som kommer härnäst: 2026 och framåt

MSPA är ett levande avtal. IAB uppdaterar det vart eller vartannat år när nya delstatliga lagar, generaladvokatvägledning och federala förslag omformar landskapet. Teman att bevaka 2026:

• En möjlig federal integritetslag som delvis skulle föregripa delstatliga regimer — MSPA inkluderar logik för förgreningsfallback, så signatärer kommer inte att lämnas på bar backe.
• Utvidgning av GPP för att täcka hälsospecifik signalering enligt Washington My Health My Data Act och liknande lagar.
• Strängare verkställighet av regler om mörka mönster i opt-out-flöden av California Privacy Protection Agency och Texas Attorney General.
• Integration med AI och avslöjanden om träning av stora språkmodeller, vilket flera delstatliga lagstiftande församlingar debatterar.

Utgivare som behandlar MSPA-implementering som ett engångsprojekt kommer att halka efter. Behandla det som löpande operativ hygien, gemensamt ägt av juridik, annonsoperationer och produktteknik, och granskat kvartalsvis. De utgivare som vinner på amerikansk efterlevnad i flera delstater är inte de med flest advokater — de är de vars CMP, annonsstapel och granskningsloggar alla berättar samma historia när en regulator frågar.

Slutsatsen

MSPA är det praktiska svaret på ett fragmenterat amerikanskt integritetslandskap. Det kommer inte att stifta lagar åt dig, men det kommer att ge ditt budflöde, dina leverantörer och ditt juridiska team ett gemensamt språk för opt-outs, känsliga data och nedströmsförpliktelser. Para ihop det med en delstatsmedveten CMP, korrekt GPP-signalering och disciplinerad leverantörshantering, och du kommer att spendera mindre tid på att argumentera om jurisdiktion och mer tid på att monetarisera de intryck du får monetarisera. Det är den enda hållbara vägen genom 2026 och den våg av delstatliga lagar som fortfarande köar bakom.