California Delete Act และการยกเลิกสิทธิ์แบบสากล: คู่มือการปฏิบัติตามกฎหมายสำหรับผู้เผยแพร่ปี 2026
Delete Act (SB 362) ของ California เป็นกฎระเบียบด้านนายหน้าข้อมูลของ US ที่มีนัยสำคัญทางการปฏิบัติมากที่สุดนับตั้งแต่ CCPA ต้นฉบับ ลงนามเป็นกฎหมายในเดือนตุลาคม 2023 และดำเนินการเป็นขั้นตอนตลอด 2025 และเข้าสู่ปี 2026 กฎหมายนี้สร้าง ทะเบียนการลบข้อมูลแบบรวมศูนย์ ที่ดำเนินการโดยรัฐ ซึ่งอนุญาตให้ผู้บริโภคใน California ยื่นคำขอเดียวที่จากนั้นจะถูกส่งต่อไปยังนายหน้าข้อมูลที่ลงทะเบียนทุกรายที่ดำเนินธุรกิจในรัฐ ภายในปี 2026 California Privacy Protection Agency (CPPA) มีทะเบียนที่ใช้งานได้จริง ได้ลงทะเบียนนายหน้าข้อมูลประมาณห้าร้อยรายภายใต้การคุกคามของค่าปรับที่เป็นจำนวนมาก และได้ออกกฎการดำเนินงานที่กำหนดว่านายหน้าต้องตรวจสอบคำขอลบข้อมูลใหม่บ่อยแค่ไหน คำขอเหล่านั้นโต้ตอบกับข้อมูลฝ่ายแรกของผู้เผยแพร่อย่างไร และสัญญาณการยกเลิกสิทธิ์แบบสากลที่ส่งโดยส่วนหัว Global Privacy Control เกี่ยวข้องกับระบบใหม่อย่างไร สำหรับผู้เผยแพร่ โดยเฉพาะผู้ที่การสร้างรายได้ขึ้นอยู่กับการระบุตัวตน การขยายกลุ่มเป้าหมาย การวัดผลแบบโปรแกรมมาติก หรือการแลกเปลี่ยนข้อมูลใด ๆ กับนายหน้าที่ลงทะเบียน Delete Act ไม่ใช่ปัญหาของนายหน้าข้อมูลในสำนักงานหลังบ้าน แต่เป็นกลไกในทางปฏิบัติที่ผู้บริโภคใน California จะสามารถออกจากระบบนิเวศข้อมูลเชิงพาณิชย์ทั้งหมดด้วยการคลิกเพียงครั้งเดียวเป็นครั้งแรก คู่มือนี้จะพาคุณผ่านสิ่งที่กฎหมายต้องการจริง ๆ สิ่งที่ผู้เผยแพร่จำเป็นต้องทำเพื่อรักษาการปฏิบัติตามกฎหมาย และวิธีที่สถาปัตยกรรม CMP และ ad-stack จะต้องพัฒนาเพื่อจัดการกับรูปแบบการสูญเสียตัวตนใหม่ที่ทะเบียนกำลังผลิต
Delete Act ทำอะไรจริง ๆ
Delete Act เป็นการเพิ่มเติมเชิงโครงสร้างต่อระบอบการลงทะเบียนนายหน้าข้อมูลที่มีอยู่แล้วของ California ซึ่งมีมาตั้งแต่ปี 2020 ในขณะที่กรอบงานเดิมเพียงกำหนดให้นายหน้าลงทะเบียนกับรัฐเป็นประจำทุกปีและเปิดเผยหมวดหมู่ข้อมูลส่วนบุคคลของตน Delete Act เพิ่มกลไกการลบข้อมูลแบบรวมศูนย์พร้อมกำหนดเวลาที่เข้มงวด ภาระผูกพันในการตรวจสอบ และบทลงโทษสำหรับการไม่ปฏิบัติตาม
ทะเบียนการลบข้อมูลแบบรวมศูนย์
ทะเบียนคือแพลตฟอร์มที่ดำเนินการโดย CPPA ซึ่งผู้บริโภคใน California ยื่นคำขอลบข้อมูลครั้งเดียวที่แพร่กระจายโดยอัตโนมัติไปยังนายหน้าข้อมูลที่ลงทะเบียนทุกราย นายหน้าต้องตรวจสอบทะเบียนอย่างน้อยทุกสี่สิบห้าวัน ระบุคำขอใหม่ที่ตรงกับบุคคลในชุดข้อมูลของตน และลบบันทึกที่ตรงกันภายในระยะเวลาที่กฎระเบียบกำหนด ผู้บริโภคไม่จำเป็นต้องรู้ว่านายหน้ารายใดมีข้อมูลของตน เนื่องจากทะเบียนจะจัดการการแพร่กระจาย
ใครนับว่าเป็นนายหน้าข้อมูล
กฎหมายกำหนดนายหน้าข้อมูลว่าเป็นธุรกิจที่จงใจรวบรวมและขายข้อมูลส่วนบุคคลเกี่ยวกับผู้บริโภคที่ธุรกิจไม่มีความสัมพันธ์โดยตรงด้วย คำนิยามแคบกว่าที่ฟังดู ผู้เผยแพร่ฝ่ายแรกที่ขายกลุ่มเป้าหมายของตนเองไม่ใช่นายหน้า ผู้ประมวลผลที่จัดการข้อมูลในนามของผู้ควบคุมไม่ใช่นายหน้า แต่ครอบคลุมผู้ให้บริการกราฟตัวตน แพลตฟอร์มโฆษณาข้ามบริบท บริการค้นหาบุคคล และส่วนใหญ่ของชั้นการขยายกลุ่มเป้าหมายที่ผู้เผยแพร่ส่งข้อมูลโปรแกรมมาติกผ่าน
การลงทะเบียนและรายการสาธารณะ
นายหน้าที่ครอบคลุมทุกรายต้องลงทะเบียนเป็นประจำทุกปี จ่ายค่าธรรมเนียม และปรากฏในรายการสาธารณะที่ CPPA ดูแล ภายในปี 2026 รายการนี้เป็นจุดอ้างอิงในทางปฏิบัติสำหรับผู้เผยแพร่ที่ตรวจสอบการไหลของข้อมูลปลายน้ำ ผู้จำหน่ายรายใดในรายการนี้คือนายหน้าข้อมูลตามวัตถุประสงค์ของ Delete Act และภาระผูกพันตามสัญญาของผู้เผยแพร่กับผู้จำหน่ายรายนั้นต้องสะท้อนความเป็นจริงของการแพร่กระจายการลบข้อมูล
รอบการล้างข้อมูลสี่สิบห้าวันและผลกระทบในการดำเนินงาน
กฎการดำเนินงานที่สำคัญคือจังหวะของรอบการลบข้อมูล ทุก ๆ สี่สิบห้าวัน นายหน้าที่ลงทะเบียนทุกรายต้องตรวจสอบทะเบียนและลบบันทึกที่ตรงกันทุกรายการ จังหวะนี้สร้างการสูญเสียตัวตนรูปแบบใหม่ที่ผู้เผยแพร่จำเป็นต้องออกแบบให้รองรับ
กลุ่มเป้าหมายเสื่อมสลายอย่างไรภายใต้รอบการล้าง
กลุ่มเป้าหมายที่สร้างขึ้นจากการเพิ่มคุณค่าของนายหน้าข้อมูลจะลดลงในช่วงประมาณหกสัปดาห์เมื่อผู้บริโภคใน California ที่ยื่นคำขอลบข้อมูลแพร่กระจายผ่านเครือข่ายนายหน้า ผู้เผยแพร่ที่ดำเนินการวัดผลใน US ที่ขึ้นอยู่กับการระบุตัวตน ได้แก่ การกำหนดกลุ่มเป้าหมายแบบโปรแกรมมาติก หน้าต่างการระบุที่มาที่ขึ้นอยู่กับตัวระบุข้ามไซต์ การสร้างแบบจำลองที่มีลักษณะคล้ายกันซึ่งใช้เมล็ดพันธุ์ที่นายหน้าจัดหา จะเห็นขนาดกลุ่มเป้าหมายใน California ลดลงในรูปแบบฟันเลื่อย รอบละรอบจะลบส่วนหนึ่งออก จากนั้นผู้เยี่ยมชมที่เพิ่มขึ้นทีละน้อยจะเติมกลับจนกว่าจะถึงรอบถัดไป
การระบุตัวตนซ้ำถูกห้าม
กฎหมายห้ามนายหน้าระบุตัวตนผู้บริโภคที่ถูกลบข้อมูลซ้ำโดยชัดแจ้ง แม้ว่านายหน้าจะได้รับข้อมูลเดียวกันจากแหล่งอื่นในภายหลังก็ตาม การห้ามนี้ปิดช่องโหว่ที่ชัดเจนและหมายความว่าผู้เผยแพร่ไม่สามารถพึ่งพาข้อมูลฝ่ายแรกของตนเองเพื่อเชื่อมผู้บริโภคที่ถูกลบกลับเข้าสู่กลุ่มเป้าหมายที่ผ่านนายหน้า การลบข้อมูลมีวัตถุประสงค์เพื่อให้คงทนถาวร และโปรแกรมตรวจสอบของหน่วยงานกำกับดูแลถูกสร้างขึ้นเพื่อตรวจจับรูปแบบการระบุตัวตนซ้ำ
ข้อมูลฝ่ายแรกของผู้เผยแพร่อยู่นอกขอบเขตรอบการล้าง
ข้อมูลฝ่ายแรกของผู้เผยแพร่เอง ได้แก่ ผู้ใช้ที่ลงทะเบียน สมาชิกจดหมายข่าว สมาชิกโปรแกรมความภักดี ไม่ได้อยู่ภายใต้รอบการล้างของ Delete Act เนื่องจากผู้เผยแพร่ไม่ใช่นายหน้าข้อมูลสำหรับบันทึกเหล่านั้น ผู้เผยแพร่ยังคงอยู่ภายใต้สิทธิการลบข้อมูลของ CCPA และ CPRA ซึ่งเป็นอีกเรื่องหนึ่ง ระบอบทั้งสองอาจโต้ตอบกัน การลบข้อมูลตาม Delete Act ที่ชั้นนายหน้ายังคงทิ้งบันทึกฝ่ายแรกของผู้เผยแพร่ไว้ได้ และผู้เผยแพร่ต้องยังคงยึดถือคำขอลบข้อมูล CCPA ที่แยกต่างหากของผู้บริโภคผ่านช่องทางรับข้อมูลของผู้เผยแพร่เอง
สัญญาณ Global Privacy Control ในโลกใหม่
Delete Act ตัดกับส่วนหัว Global Privacy Control (GPC) ที่เบราว์เซอร์และส่วนขยายความเป็นส่วนตัวส่งเพื่อระบุว่าผู้ใช้ได้ตั้งค่าการยกเลิกสิทธิ์แบบสากล กฎระเบียบของ CPPA ยืนยันว่าผู้เผยแพร่และนายหน้าต้องยึดถือ GPC เป็นการยกเลิกสิทธิ์ CCPA ที่ถูกต้อง และทะเบียนแบบรวมศูนย์ของ Delete Act เพิ่มเส้นทางขนานสำหรับผลลัพธ์เดียวกัน
สองสัญญาณ หนึ่งผลลัพธ์
ผู้บริโภคใน California มีสองวิธีในการออกจากระบบนิเวศข้อมูลเชิงพาณิชย์ ส่งส่วนหัว GPC จากทุกเบราว์เซอร์ที่ตนใช้ หรือยื่นคำขอทะเบียน Delete Act ครั้งเดียว เส้นทางทั้งสองให้ผลลัพธ์เทียบเท่ากันสำหรับกรณีการใช้งานส่วนใหญ่ แต่แตกต่างกันในขอบเขต GPC ควบคุมการขายและการแบ่งปันที่ต่อเนื่องในทุกไซต์ที่ผู้บริโภคเยี่ยมชม ทะเบียนลบบันทึกที่มีอยู่ซึ่งนายหน้าถืออยู่ ผู้เผยแพร่ควรถือว่าทั้งสองเป็นสัญญาณที่มีอำนาจ และ CMP ควรได้รับการกำหนดค่าให้รู้จักทั้งสองอย่าง
บทบาทของ CMP ในการแสดงเส้นทางทั้งสอง
CMP ที่สอดคล้องสำหรับกลุ่มเป้าหมายใน California ในปี 2026 แสดงสถานะการยึดถือ GPC (ผู้เยี่ยมชมมี GPC ตั้งค่าไว้ การยกเลิกสิทธิ์ใช้งานอยู่) ลิงก์การยกเลิกสิทธิ์ของผู้เผยแพร่เอง (ผู้บริโภคสามารถปฏิเสธการขายและการแบ่งปันที่ไซต์นี้โดยเฉพาะ) และตัวชี้ที่ชัดเจนไปยังทะเบียน CPPA สำหรับผู้บริโภคที่ต้องการผลลัพธ์การลบจากนายหน้า สถาปัตยกรรมไม่ต้องการด้านเทคนิคมากนัก มีตัวควบคุมสามตัวใน UI ความยินยอมแทนที่จะเป็นหนึ่ง แต่การใช้คำมีความสำคัญและการบังคับใช้ CPPA มีความกระตือรือร้นต่อเส้นทางการยกเลิกสิทธิ์ที่ทำให้เข้าใจผิดหรือซ่อนอยู่
สิ่งที่ผู้เผยแพร่ต้องทำ
Delete Act เป็นกฎระเบียบที่มุ่งเป้าไปที่นายหน้า ไม่ใช่ผู้เผยแพร่ แต่ผลกระทบในการดำเนินงานสำหรับผู้เผยแพร่นั้นมีอยู่จริงและต้องการการเปลี่ยนแปลงเฉพาะในสถาปัตยกรรมความยินยอมและข้อมูล
ตรวจสอบกลุ่มผู้จำหน่ายกับทะเบียนนายหน้า
ผู้จำหน่ายทุกรายใน ad stack และ analytics stack ของผู้เผยแพร่ควรถูกตรวจสอบกับรายการนายหน้าสาธารณะของ CPPA ผู้จำหน่ายในรายการอยู่ภายใต้ระบอบ Delete Act และสัญญาของผู้เผยแพร่กับผู้จำหน่ายรายเหล่านั้นต้องสะท้อนการแพร่กระจายการลบข้อมูล การเก็บรักษาบันทึกการตรวจสอบ และจังหวะรอบการล้างข้อมูลสี่สิบห้าวัน ผู้จำหน่ายการระบุตัวตนรายใหญ่ส่วนใหญ่และ SSP ขนาดใหญ่หลายรายอยู่ในรายการแล้ว การตรวจสอบไม่เจ็บปวดแต่จำเป็นต้องเกิดขึ้นอย่างน้อยปีละครั้ง
อัปเดตประกาศความเป็นส่วนตัวและ UI ความยินยอม
ประกาศความเป็นส่วนตัวของผู้เผยแพร่ควรอธิบายเส้นทางทะเบียน Delete Act ควบคู่กับสิทธิการลบข้อมูล CCPA ที่มีอยู่ พร้อมลิงก์โดยตรงไปยังทะเบียนของ CPPA UI ความยินยอมควรแสดงสถานะการยึดถือ GPC เมื่อผู้เยี่ยมชมมีส่วนหัวตั้งค่าไว้ และตัวควบคุมการยกเลิกสิทธิ์ควรมีสไตล์ที่มีความโดดเด่นเท่ากับตัวควบคุมการยอมรับ การตัดสินใจบังคับใช้ของอัยการสูงสุดตลอดปี 2024 และ 2025 ทำให้การทดสอบรูปแบบมืดชัดเจน
วางแผนสำหรับกลุ่มเป้าหมายแบบฟันเลื่อย
ทีมวัดผลและกำหนดกลุ่มเป้าหมายจำเป็นต้องรู้ว่าตัวชี้วัดกลุ่มเป้าหมายใน California จะเป็นไปตามรูปแบบฟันเลื่อยหกสัปดาห์ที่ขับเคลื่อนโดยจังหวะรอบการล้าง แดชบอร์ดและโมเดลการกำหนดจังหวะการประมูลควรได้รับการปรับแต่งตามรูปแบบแทนที่จะถือว่าการลดลงแต่ละครั้งเป็นข้อผิดพลาด ผู้เผยแพร่ที่ดำเนินการระบุที่มาอย่างเข้มงวดควรสร้างแบบจำลองเส้นทางการลบข้อมูลของนายหน้าเป็นแหล่งการสูญเสียที่แยกต่างหาก เพื่อให้ตัวเลขหลังการล้างสามารถกระทบยอดได้อย่างชัดเจน
ข้อผิดพลาด Delete Act ทั่วไปที่ก่อให้เกิดผลการตรวจสอบ
คลื่นแรกของการบังคับใช้ CPPA ภายใต้ Delete Act ตลอดปี 2025 ได้สร้างรูปแบบผลการตรวจสอบฝั่งผู้เผยแพร่ที่ชัดเจน ประกาศความเป็นส่วนตัวของผู้เผยแพร่อธิบายเส้นทางการยกเลิกสิทธิ์ CCPA แต่ไม่เคยกล่าวถึงทะเบียน Delete Act แบนเนอร์ความยินยอมยึดถือ GPC สำหรับการขายและการแบ่งปันแต่ไม่ส่งสัญญาณไปยังช่องทางรับการลบข้อมูลฝ่ายแรกของผู้เผยแพร่ ผู้เผยแพร่ทำสัญญากับนายหน้าที่ลงทะเบียนและไม่เคยอัปเดตสัญญาเพื่อสะท้อนภาระผูกพันการแพร่กระจายการลบข้อมูลของ Delete Act CMP ให้บริการแผงการจัดการการตั้งค่าที่ซ่อนการยกเลิกสิทธิ์ไว้สามคลิกลึกหลังปุ่มที่มืดกว่าปุ่มยอมรับทั้งหมด แต่ละข้อเหล่านี้เป็นการแก้ไขเอกสารหรือ UX แทนที่จะเป็นการเปลี่ยนแปลงสถาปัตยกรรมเชิงลึก แต่ละข้อยังเป็นสิ่งที่ CPPA เปิดการสืบสวนด้วยพอดี
บทสรุป
Delete Act มอบปุ่มเดียวให้ผู้บริโภคใน California ที่พาพวกเขาออกจากระบบนิเวศข้อมูลเชิงพาณิชย์ และภายในปี 2026 ทะเบียนใช้งานได้จริง รายการนายหน้าเป็นสาธารณะ และโปรแกรมบังคับใช้กฎหมายมีความกระตือรือร้น สำหรับผู้เผยแพร่ ผลกระทบนั้นมีอยู่จริงแต่อยู่ในขอบเขต Delete Act ไม่ต้องการให้ผู้เผยแพร่ทำอะไรที่ดราม่า แต่ต้องการให้ผู้เผยแพร่รู้ว่าผู้จำหน่ายปลายน้ำรายใดเป็นนายหน้า อัปเดตประกาศความเป็นส่วนตัวและ UI ความยินยอมเพื่อแสดงเส้นทางใหม่ ยึดถือ GPC อย่างสม่ำเสมอ และวางแผนสำหรับรูปแบบฟันเลื่อยกลุ่มเป้าหมายที่รอบการล้างสี่สิบห้าวันผลิต ไม่มีสิ่งใดเหล่านี้ที่ยากทางเทคนิค ทุกอย่างมีความเฉพาะเจาะจงในการดำเนินงาน ผู้เผยแพร่ที่ดำเนินการตรวจสอบที่สะอาดในปี 2024 และ 2025 กำลังดำเนินการตามสถาปัตยกรรมที่ตั้งใจไว้ ผู้เผยแพร่ที่ปฏิบัติต่อ Delete Act ว่าเป็นปัญหานายหน้าข้อมูลที่ไม่เกี่ยวข้องกับตน กำลังใช้ปี 2026 ในการตอบจดหมายและแก้ไขประกาศความเป็นส่วนตัวภายใต้กำหนดเวลาของหน่วยงานกำกับดูแล