IAB MSPA Uyumluluğu: ABD'li Yayıncılar için Çok Eyaletli Gizlilik Anlaşması Rehberi 2026
ABD eyalet gizlilik mevzuatı, 2020'deki Kaliforniya merakından 2026'ya kadar her birinin kendi vazgeçme biçimi, hassas veri listesi ve uygulama eğilimi olan on dokuzun üzerinde kanun mozaiğine dönüştü. IAB Tech Lab ve IAB, dijital reklamcılık ekosistemine hepsini karşılayan tek bir ortak sözleşme ve sinyalleme katmanı sunmak amacıyla Çok Eyaletli Gizlilik Anlaşması'nı (MSPA) inşa etti. Reklam satıyorsanız, header bidding çalıştırıyorsanız, kitleler paylaşıyorsanız ya da kullanıcı tanımlayıcılarını aşağı akıştaki bir SSP'ye iletiyorsanız, MSPA artık isteğe bağlı bir ödev değil — reklam yığınınızın Kaliforniya, Colorado, Connecticut, Virginia, Utah, Teksas, Oregon, Montana ve diğerlerindeki kullanıcılara yasal olarak hizmet vermesini sağlayan bağ dokusudur. Bu rehber MSPA'nın aslında ne yaptığını, Global Privacy Platform (GPP) ile nasıl etkileşime girdiğini ve teklif akışınızda onaylı bir imzacı haline gelmek için rıza yönetim platformunuzda atmanız gereken somut adımları ele almaktadır.
MSPA Nedir — ve Nedir Değildir
MSPA, IAB tarafından yayımlanan özel, sözleşme tabanlı bir çerçevedir. Bir yasa değildir ve eyalet kanunlarının yerini almaz. Bunun yerine; yayıncıların, ajansların, reklam ağlarının, SSP'lerin, DSP'lerin ve veri sağlayıcılarının programatik reklamcılık yoluyla kişisel bilgilerin nasıl aktığına ilişkin tutarlı yasal iddialar öne sürebilmek amacıyla imzaladığı çok taraflı bir anlaşmadır. Bir zincirdeki herkes aynı sözleşmeyi imzaladığında, aşağı akıştaki satıcıların tek bir teklif isteğini işlemek için elli farklı ikili veri işleme anlaşması müzakere etmesi gerekmez.
MSPA'yı aynı anda üç şey olarak düşünün:
- Bir sözleşme: Bir imzacı verileri başka bir imzacıya ilettiğinde otomatik olarak aşağı akar.
- Bir sözlük: GPP kodlu dizeler kullanarak kullanıcı tercihlerini ifade etmek için; satıştan, paylaşımdan, hedefli reklamcılıktan ve hassas veri işlemeden vazgeçmeler dahil.
- Bir risk dağıtım çerçevesi: Her imzacıyı üç rolden birine eşler — Kapsanan İşletme, Hizmet Sağlayıcı/İşleyici ya da Üçüncü Taraf — ve her birine ilişkin yükümlülükler.
MSPA'nın olmadığı şey: Gizlilik bildiriminizin yerine geçen bir araç, gerekli olan durumlarda doğrudan kullanıcı rızasının alternatifi ya da herhangi bir eyalet yasasına uyum garantisi değildir. Doğru kullanıldığında birden fazla eyalet yasasına uyumu operasyonel olarak mümkün kılan bir araçtır. Yanlış kullanıldığında — örneğin vazgeçme sonrasında veri paylaşmaya devam ederken katılım sinyali verilmesi durumunda — sorumluluğunuzu azaltmak yerine genişletir.
Kimin Önem Vermesi Gerekiyor: MSPA'nın Üç Rolü
Herhangi bir şeyi imzalamadan önce gerçekte hangi rolü oynadığınızı belirleyin. Çoğu yayıncı, veri akışına bağlı olarak birden fazla şapka taktığını keşfettiğinde şaşırır.
Kapsanan İşletme
Bir kullanıcı hakkındaki kişisel bilgilerin işlenmesinin amaç ve araçlarını belirleyenler — genellikle kullanıcının ziyaret ettiği web sitesini veya uygulamayı işleten yayıncılar — Kapsanan İşletme'dir. Kapsanan İşletme olarak rızanın toplanmasından, bildirimlerin gösterilmesinden, vazgeçmelerin dikkate alınmasından ve aşağı akıştaki satıcıların dayandığı GPP sinyalinin yapılandırılmasından siz sorumlusunuzdur. Kullanıcıya yönelik yük sizdedir.
Hizmet Sağlayıcı veya İşleyici
Kişisel bilgileri bir Kapsanan İşletme adına sözleşme kapsamında ve yalnızca sınırlı, izin verilen amaçlar için işlediğinizde Hizmet Sağlayıcı olursunuz. Analitik satıcıların, barındırma sağlayıcılarının ve rıza yönetim platformlarının büyük çoğunluğu bu şeritte faaliyet gösterir. MSPA kısıtlamalar getirir: satış yasağı, kendi adına çapraz bağlam davranışsal reklamcılık yasağı ve sıkı tanımlanmış saklama ve silme kuralları.
Üçüncü Taraf
Bir Kapsanan İşletmeden kişisel bilgi alıp kendi amaçlarınız için kullandığınızda Üçüncü Taraf olursunuz — çoğu SSP, DSP, kimlik satıcısı ve veri komisyoncusu bu kategoriye girer. Üçüncü Taraflar, doğrudan kullanıcı hakları yönetimi ve kendi ortaklarıyla veri paylaşımında aşağı akış geçiş yükümlülükleri dahil en ağır sözleşme yükümlülüklerine sahiptir.
MSPA ve Global Privacy Platform (GPP)
MSPA bir boşlukta var olmaz. Sözleşme katmanıdır; GPP ise teknik sinyalleme katmanıdır. IAB Tech Lab'ın Global Privacy Platform'u kullanıcı tercihlerini OpenRTB protokolü üzerinden teklif istekleriyle birlikte seyahat eden tek bir diziye kodlar. ABD sinyallemesi için GPP, kapsamlı bir gizlilik yasasına sahip her eyalet için bölüm dizeleri taşır — örneğin USCA (Kaliforniya), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah) ve özel bir bölümü olmayan eyaletler için kapsamlı ABD Ulusal dizisi.
MSPA, CMP'nize kapsama iddiasında bulunmak için söz konusu GPP bölümlerinde hangi alanları ayarlaması gerektiğini söyler. Yayıncıların göreceği ve yapılandıracağı en önemli alanlar şunlardır:
- MspaCoveredTransaction — Yayıncı teklif isteğinin MSPA çerçevesi kapsamında olduğunu beyan ettiğinde Evet olarak ayarlanır.
- MspaOptOutOptionMode — MSPA şeffaflık kurallarının gerektirdiği şekilde kullanıcıya net bir vazgeçme seçeneği sunulup sunulmadığını gösterir.
- MspaServiceProviderMode — Aşağı akıştaki satıcıların verileri yalnızca hizmet sağlayıcı olarak ele alması gerektiğinde ayarlanır.
- SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — Teklif verenlerin gösterimle ne yapabileceklerine karar vermek için okuduğu ayrıntılı rıza bayrakları.
- SensitiveDataProcessing — Irk kökenine, dini inançlara, sağlığa, cinsel yönelime, vatandaşlığa, hassas coğrafi konuma ve eyalet hukuku tarafından tanımlanan diğer hassas kategorilere ilişkin kullanıcı tercihlerini sinyalleyen çok elemanlı bir dizi.
CMP'niz MspaCoveredTransaction = Evet ayarı yapıyorsa ancak yayıncı aslında MSPA sözleşmesini imzalamamışsa, aşağı akıştaki imzacıların güveneceği asılsız bir iddiada bulunmuş olursunuz. Bu, sözleşme anlaşmazlığına ve eyalete bağlı olarak düzenleyici şikayete giden hızlı bir yoldur.
Hassas Veriler: Çoğu Yayıncının Gözden Kaçırdığı Tuzak
Kaliforniya'dan bu yana çıkarılan her kapsamlı ABD eyalet gizlilik yasası hassas kişisel bilgi tanımını genişletti ve MSPA bunları birleşik bir GPP alanında topladı. Kategoriler genellikle şunları içerir:
- Devlet tanımlayıcıları (sosyal güvenlik numarası, ehliyet, pasaport).
- Hesap kimlik bilgileri ve finansal bilgiler.
- Hassas coğrafi konum, genellikle 533 metreden daha dar.
- Irk veya etnik köken, dini inançlar, zihinsel veya fiziksel sağlık tanıları.
- Cinsel yaşam ve cinsel yönelim.
- Vatandaşlık ve göçmenlik statüsü.
- Bir kişiyi tanımlamak için kullanılan genetik ve biyometrik veriler.
- 13 yaşından küçük bilinen bir çocuğa ilişkin veriler — bazı eyaletlerde ek korumalarla 16 yaşın altındakiler de dahil.
Bazı eyaletler hassas verilerin işlenmesi için opt-in rızası isterken diğerleri vazgeçme hakkıyla birlikte işlemeye izin verir. MSPA'nın GPP kodlaması her ikisini de ifade etmenize olanak tanır, ancak CMP'niz kullanıcının eyaletine göre hangisini soracağını bilmelidir. Hassas verilerin yanlış sınıflandırılması — örneğin sağlıkla ilgili içerik taramalarını sıradan davranışsal veri olarak işlemek — 2024–2025 uygulama eylemlerinde eyalet başsavcıları tarafından işaret edilen tek en yaygın başarısızlık biçimidir.
MSPA'ya Hazır Rıza Akışı Oluşturma
MSPA'yı sitenizde veya uygulamanızda hayata geçirmek; hukuk, mühendislik ve reklam operasyonları arasında bir koordinasyon sorunudur. İş yaklaşık beş iş akışına bölünür.
1. MSPA'yı İmzalayın ve İmzacı Statünüzü Koruyun
MSPA, hukuk danışmanının incelemesi ve imzalaması gereken gerçek bir sözleşmedir. İşlettiğiniz rolü veya rolleri, iş yaptığınız ABD eyaletlerini ve işlediğiniz veri kategorilerini beyan edeceksiniz. Her yıl yenileyin ve rolünüz veya yetki alanınız değiştiğinde IAB Tech Lab'ın imzacı portalını güncelleyin.
2. CMP'nizi Çok Eyaletli Mantık için Yapılandırın
Yalnızca CCPA odaklı tek bir banner artık yeterli değil. CMP'niz kullanıcının eyaletini — genellikle gizlilik yedeğiyle desteklenen IP coğrafi konumu aracılığıyla — tespit etmeli ve o yargı bölgesi için doğru bildirimleri, bağlantıları ve vazgeçme denetimlerini göstermelidir. FlexyConsent ve Google onaylı diğer modern CMP'ler, eyalet bazında doğru GPP bölüm dizelerine eşlenen çok eyaletli şablonlar sunar.
3. GPP Dizelerini Reklam Yığınınıza Bağlayın
GPP dizesi, ABD'li bir kullanıcıdan gelen her OpenRTB teklif isteğine eklenmelidir. Google Ad Manager kullanıcıları için bu, ağ ayarlarında GPP desteğinin etkinleştirilmesi anlamına gelir; Prebid kullanıcıları için ise gppControl_usnat ve eyalet başına modüllerin kurulması ve consentManagement adaptörünün kodlanmış dizeyi ilettiğinin doğrulanması gerekir. CMP'den teklif isteğine gidiş-dönüş yolculuğunu doğrulamak için IAB Tech Lab GPP kod çözücüsüyle test edin.
4. Global Privacy Control (GPC) Sinyaline Uyun
Çoğu eyalet yasası — Kaliforniya, Colorado, Connecticut ve büyüyen bir liste — tarayıcı düzeyindeki GPC sinyalini geçerli bir vazgeçme olarak kabul etmeyi zorunlu kılar. MSPA, imzacıların GPC'yi algılamasını ve kullanıcı bannerı dokunmadan önce bile SaleOptOut, SharingOptOut ve TargetedAdvertisingOptOut alanlarını buna göre önceden ayarlamasını bekler. CMP'niz GPC'yi algılayıp buna göre hareket edemiyorsa, MSPA üyeliğiniz ne olursa olsun uyumsuz sayılırsınız.
5. Aşağı Akış Satıcılarını Denetleyin
MSPA'nın aşağı akış mantığı yalnızca satıcılarınız da imzacıysa işe yarar. Herhangi bir SSP, DSP veya veri ortağına veri göndermeden önce IAB Tech Lab portalında imzacı statülerini doğrulayın. İmzacı olmayan satıcılar ya ABD trafiği için reklam yığınınızdan çıkarılmalı ya da MSPA koşullarını yansıtan ayrı ikili DPA'larla kapsanmalıdır.
Yaygın Uygulama Hataları
Yayıncı denetimlerinde tekrar eden birkaç başarısızlık kalıbı:
- İmzalamadan MSPA kapsamı sinyali vermek. Yayıncının tüzel kişisi MSPA'yı imzalamadan GPP dizesinde MspaCoveredTransaction = Evet ayarlamak, sinyale güvenen aşağı akıştaki imzacılar tarafından yanlış beyan iddialarına yol açar.
- Teksas, Oregon ve Montana'yı unutmak. İlk beş eyalet düzenlemesine göre yapılandırılmış yayıncılar 2024 ve 2025'te yürürlüğe giren yasaları kaçırır. Her birinin kendine özgü vazgeçme tetikleyicileri vardır; MSPA bunları kapsar, ancak yalnızca CMP'nizin eyalet algılama mantığı bunları içeriyorsa.
- Haber ve yaşam tarzı içeriklerinde hassas veri sinyallerini görmezden gelmek. Sağlık, din veya LGBTQ odaklı bir makaleyi okuyan kullanıcı dolaylı olarak hassas verileri işliyor olabilir. Bir içerik denetimi yapın ve CMP'de kategori düzeyinde geçersiz kılmalar yapılandırın.
- GPC'yi tavsiye niteliğinde değerlendirmek. Kaliforniya düzenleyicisi 2024'te GPC'nin yok sayılmasının her ihlal başına ayrı bir ihlal oluşturduğunu netleştirdi. MSPA sizi bundan korumaz — GPC'ye uymak size düşer.
- Kenarda önbelleğe alınmış eski GPP dizeleri. CDN veya service worker sayfa önbelleklemesi, kullanıcıya önceki oturumdan kalma eski bir GPP dizesi sunabilir. Rıza uç noktasındaki önbelleğe almayı devre dışı bırakın ve rıza değiştiğinde yeni bir getirme adımı ekleyin.
MSPA Reklam Gelirini Nasıl Etkiler
MSPA'yı doğru uygulayan yayıncılar genellikle ardından istikrar gelen mütevazı kısa vadeli gelir düşüşleri yaşarken, özensiz uygulamalar ya teklifleri aşırı kısıtlar ya da yayıncıyı uygulama riskiyle karşı karşıya bırakır. Dengeyi etkileyen değişkenler:
- Vazgeçme oranları — Belirgin vazgeçme bağlantılarına sahip eyaletlerde kullanıcıların %5–15'i genellikle satıştan veya paylaşımdan vazgeçer. Vazgeçilen gösterimler üzerindeki teklif fiyatları, davranışsal hedefleme kullanılamaz olduğundan genellikle %30–60 düşer.
- Hassas içerik sınıflandırması — Sıradan içeriği hassas olarak yanlış sınıflandırmak talebi çökertir. Tutumlu ve kategori bazında hassas olun.
- Header bidding ortak karışımı — ABD trafiği için devre dışı bırakmak zorunda olduğunuz MSPA imzacısı olmayan ortaklar açık artırmanızı küçültür. Daha ince taleple devam etmek yerine imzacılarla değiştirin.
- Sunucu tarafı etiketleme — GPP dizesini okuyup etiketleri koşullu olarak tetikleyen sunucu tarafı bir konteyner, analitik ile rızayı senkronize tutmanın en temiz yoludur.
Sırada Ne Var: 2026 ve Ötesi
MSPA yaşayan bir anlaşmadır. IAB, yeni eyalet yasaları, başsavcı rehberleri ve federal öneriler manzarayı yeniden şekillendirdikçe onu bir ya da iki yılda bir günceller. 2026'da izlenmesi gereken konular:
- Eyalet rejimlerini kısmen geçersiz kılabilecek olası bir federal gizlilik yasası — MSPA önalım yedek mantığı içerir, bu nedenle imzacılar çıkmazda kalmaz.
- Washington My Health My Data Act ve benzeri statüler kapsamında sağlığa özgü sinyallemeyi kapsayacak şekilde GPP'nin genişletilmesi.
- California Privacy Protection Agency ve Teksas Başsavcısı tarafından vazgeçme akışlarındaki karanlık düzen kurallarının daha sıkı uygulanması.
- Birkaç eyalet meclisinin tartıştığı yapay zeka ve büyük dil modeli eğitim açıklamalarıyla entegrasyon.
MSPA uygulamasını tek seferlik bir proje olarak gören yayıncılar geride kalır. Bunu; hukuk, reklam operasyonları ve ürün mühendisliği tarafından birlikte sahiplenilen ve üç ayda bir gözden geçirilen sürekli operasyonel bir hijyen olarak değerlendirin. ABD çok eyaletli uyumunda kazanan yayıncılar en fazla avukata sahip olanlar değil, bir düzenleyici sorduğunda CMP'si, reklam yığını ve denetim günlükleri aynı hikayeyi anlatan kişilerdir.
Sonuç
MSPA, parçalanmış ABD gizlilik ortamına pratik bir yanıttır. Sizin adınıza yasa çıkarmaz, ancak teklif akışınıza, satıcılarınıza ve hukuk ekibinize vazgeçmeler, hassas veriler ve aşağı akış yükümlülükleri için tek bir ortak dil sunar. Eyalet farkında bir CMP, doğru GPP sinyallemesi ve disiplinli satıcı yönetimiyle birleştirin; yargı yetkisi tartışmalarına daha az, monetize etmeye izin verildiğiniz gösterimleri monetize etmeye daha fazla zaman harcarsınız. 2026 boyunca ve arkasındaki eyalet yasaları dalgasını geçmenin tek sürdürülebilir yolu budur.