Що таке MSPA — і чим вона не є

MSPA — це приватна, договірна структура, опублікована IAB. Це не закон і він не замінює законодавство штатів. Натомість це багатостороння угода, яку учасники — видавці, агентства, рекламні мережі, SSP, DSP та постачальники даних — підписують, щоб мати змогу висувати послідовні правові твердження про те, як особиста інформація рухається через програматичну рекламу. Коли всі в ланцюжку підписують один і той самий контракт, постачальникам нижче за течією не потрібно укладати п'ятдесят різних двосторонніх угод про обробку даних для обробки одного запиту ставки.

Уявіть MSPA як три речі одночасно:

• Контракт, що автоматично поширюється нижче за течією, коли підписант передає дані іншому підписанту.
• Словник для вираження вибору користувача за допомогою рядків, закодованих у GPP, включаючи відмову від продажу, обміну, таргетованої реклами та обробки чутливих даних.
• Структуру розподілу ризиків, яка відображає кожного підписанта в одну з трьох ролей — Покрита компанія, Постачальник послуг/Обробник або Третя сторона — та відповідні зобов'язання для кожної.

Чим MSPA не є: замінником вашого повідомлення про конфіденційність, заміною прямої згоди користувача там, де вона потрібна, або гарантією відповідності будь-якому конкретному закону штату. Це інструмент, який при правильному використанні робить відповідність кільком законам штатів операційно здійсненною. При неправильному використанні — наприклад, шляхом надсилання сигналу про участь при продовженні обміну даними після відмови — він розширює вашу відповідальність, а не зменшує її.

Хто має дбати: Три ролі MSPA

Перш ніж щось підписати, визначте, яку роль ви насправді відіграєте. Більшість видавців здивовані, виявивши, що вони грають більше ніж одну роль залежно від потоку даних.

Покрита компанія

Ви є Покритою компанією, якщо визначаєте цілі та засоби обробки персональної інформації про користувача — як правило, видавець, який управляє веб-сайтом або додатком, який відвідує користувач. Як Покрита компанія, ви відповідаєте за збір згоди, показ сповіщень, дотримання відмов та налаштування сигналу GPP, на який покладаються постачальники нижче за течією. Тягар, звернений до користувача, лежить на вас.

Постачальник послуг або Обробник

Ви є Постачальником послуг, коли обробляєте персональну інформацію від імені Покритої компанії за контрактом і лише для обмежених, дозволених цілей. Більшість постачальників аналітики, хостинг-провайдерів та платформ управління згодою працюють у цьому режимі. MSPA встановлює обмеження: заборона на продаж, заборона на міжконтекстну поведінкову рекламу від власного імені та суворо визначені правила зберігання та видалення.

Третя сторона

Ви є Третьою стороною, коли отримуєте персональну інформацію від Покритої компанії та використовуєте її для власних цілей — більшість SSP, DSP, постачальників ідентифікаторів та брокерів даних потрапляють сюди. Треті сторони мають найтяжчі договірні зобов'язання, включаючи пряме управління правами користувачів і обов'язки наскрізного потоку при обміні даними з власними партнерами.

MSPA та Global Privacy Platform (GPP)

MSPA не існує у вакуумі. Це договірний рівень; GPP — це технічний рівень сигналізації. Global Privacy Platform від IAB Tech Lab кодує вибір користувача в єдиний рядок, що подорожує разом із запитами ставок через протокол OpenRTB. Для американської сигналізації GPP несе секційні рядки для кожного штату з комплексним законом про конфіденційність — наприклад, USCA (Каліфорнія), USCO (Колорадо), USVA (Вірджинія), USCT (Коннектикут), USUT (Юта) та загальний американський національний рядок для штатів без виділеного розділу.

MSPA повідомляє вашій CMP, які поля слід встановити в цих секціях GPP, щоб заявити про охоплення. Найважливіші поля, які видавці побачать і налаштують, включають:

• MspaCoveredTransaction — встановлюється на Так, коли видавець стверджує, що запит ставки охоплюється рамкою MSPA.
• MspaOptOutOptionMode — вказує, чи була надана користувачу чітка можливість відмови, як того вимагають правила прозорості MSPA.
• MspaServiceProviderMode — встановлюється, коли постачальники нижче за течією повинні обробляти дані виключно як постачальники послуг.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — деталізовані прапори згоди, які рекламодавці зчитують, щоб вирішити, що вони можуть робити з показом.
• SensitiveDataProcessing — багатоелементний масив, що сигналізує про вибір користувача щодо расового походження, релігійних переконань, здоров'я, сексуальної орієнтації, громадянства, точного геолоку та інших чутливих категорій, визначених законодавством штату.

Якщо ваша CMP встановлює MspaCoveredTransaction = Так, але видавець насправді не підписав контракт MSPA, ви щойно зробили хибне твердження, на яке покладатимуться підписанти нижче за течією. Це швидкий шлях до договірного спору і, залежно від штату, регуляторної скарги.

Чутливі дані: Пастка, яку більшість видавців пропускає

Кожен комплексний американський закон про конфіденційність штату, прийнятий після Каліфорнії, розширив визначення чутливої персональної інформації, і MSPA складає їх у єдине поле GPP. Категорії зазвичай включають:

• Державні ідентифікатори (номер соціального страхування, водійські права, паспорт).
• Облікові дані акаунту та фінансову інформацію.
• Точне географічне розташування, як правило вужче за 533 метри.
• Расове або етнічне походження, релігійні переконання, діагнози психічного або фізичного здоров'я.
• Статеве життя та сексуальну орієнтацію.
• Громадянство та імміграційний статус.
• Генетичні та біометричні дані, що використовуються для ідентифікації особи.
• Дані стосовно відомої дитини до 13 років — а в деяких штатах до 16 років з додатковим захистом.

Деякі штати вимагають згоди opt-in для обробки чутливих даних, тоді як інші дозволяють обробку з правом відмови. Кодування GPP MSPA дозволяє вам виразити будь-який варіант, але ваша CMP повинна знати, який саме запитувати залежно від штату користувача. Неправильна класифікація чутливих даних — наприклад, обробка перегляду медичного контенту як звичайних поведінкових даних — є найпоширенішим типом збоїв, на якому акцентують увагу генеральні прокурори штатів у правозастосовних діях 2024–2025 рр.

Побудова потоку згоди, готового до MSPA

Впровадження MSPA на вашому сайті чи в додатку — це проблема координації між юридичним відділом, інженерією та рекламними операціями. Робота поділяється приблизно на п'ять робочих потоків.

1. Підпишіть MSPA та підтримуйте статус підписанта

MSPA — це справжній контракт, який юридичний радник повинен перевірити та підписати. Ви оголосите роль або ролі, в яких ви працюєте, штати США, де ви ведете бізнес, та категорії даних, які ви обробляєте. Поновлюйте щорічно та оновлюйте портал підписантів IAB Tech Lab при зміні вашої ролі або юрисдикції.

2. Налаштуйте CMP для багатоштатної логіки

Єдиний банер лише для CCPA більше не є достатнім. Ваша CMP повинна визначати штат користувача — зазвичай через IP-геолокацію з резервним варіантом конфіденційності — і відображати правильні повідомлення, посилання та засоби відмови для цієї юрисдикції. FlexyConsent та інші сучасні CMP, сертифіковані Google, постачаються з багатоштатними шаблонами, що відображають кожен штат на правильні рядки секцій GPP.

3. Підключіть рядки GPP до вашого рекламного стеку

Рядок GPP повинен вставлятися в кожен запит ставки OpenRTB від американського користувача. Для користувачів Google Ad Manager це означає увімкнення підтримки GPP у налаштуваннях мережі; для користувачів Prebid — встановлення модулів gppControl_usnat та модулів для кожного штату і підтвердження того, що адаптер consentManagement передає закодований рядок. Перевірте за допомогою декодера GPP від IAB Tech Lab, щоб переконатися в правильності маршруту від CMP до запиту ставки.

4. Дотримуйтесь сигналу Global Privacy Control (GPC)

Більшість законів штатів — Каліфорнія, Колорадо, Коннектикут та зростаючий список — вимагають визнання сигналу GPC на рівні браузера як дійсної відмови. MSPA очікує, що підписанти виявлятимуть GPC і попередньо встановлять поля SaleOptOut, SharingOptOut та TargetedAdvertisingOptOut відповідно, навіть до того, як користувач торкнеться банера. Якщо ваша CMP не може виявляти та реагувати на GPC, ви не відповідаєте вимогам незалежно від членства в MSPA.

5. Перевіряйте постачальників нижче за течією

Логіка наскрізного потоку MSPA працює лише тоді, коли ваші постачальники також є підписантами. Перш ніж надсилати дані будь-якому SSP, DSP або партнеру з даних, перевірте їхній статус підписанта на порталі IAB Tech Lab. Постачальники, які не є підписантами, повинні або бути видалені з вашого рекламного стеку для американського трафіку, або охоплені окремими двосторонніми DPA, що відображають умови MSPA.

Поширені помилки впровадження

Кілька шаблонів збоїв регулярно виявляються під час аудитів видавців:

• Сигналізація охоплення MSPA без підписання. Встановлення MspaCoveredTransaction = Так у рядку GPP, тоді як юридична особа видавця не підписала MSPA, наражає видавця на претензії про неправдиве представлення від підписантів нижче за течією, які покладалися на сигнал.
• Забуття Техасу, Орегону та Монтани. Видавці, налаштовані для початкового п'ятиштатного ландшафту, пропускають закони, що набули чинності у 2024 та 2025 роках. Кожен має власні тригери відмови; MSPA їх охоплює, але лише якщо логіка визначення штату у вашій CMP їх включає.
• Ігнорування сигналів чутливих даних у новинному та лайфстайл-контенті. Читач статті про здоров'я, релігію або LGBTQ-тематику може неявно обробляти чутливі дані. Проведіть аудит контенту та налаштуйте перевизначення на рівні категорій у CMP.
• Ставлення до GPC як до рекомендаційного. Каліфорнійський регулятор уточнив у 2024 році, що ігнорування GPC є порушенням за кожен випадок. MSPA не захищає вас від цього — дотримання GPC залежить від вас.
• Застарілі рядки GPP, кешовані на периферії. Кешування сторінок CDN або сервіс-воркером може надати користувачу застарілий рядок GPP з попередньої сесії. Вимкніть кешування на кінцевій точці згоди та додайте крок свіжого отримання при зміні згоди.

Як MSPA впливає на доходи від реклами

Видавці, які правильно впроваджують MSPA, зазвичай бачать помірне короткострокове падіння доходів, за яким слідує стабілізація, тоді як недбале впровадження або надмірно обмежує ставки, або наражає видавця на ризик правозастосування. Змінні, які рухають стрілку:

• Рівні відмов — У штатах з помітними посиланнями на відмову 5–15% користувачів зазвичай відмовляються від продажу або обміну. Ціни ставок на показах з відмовою зазвичай падають на 30–60%, оскільки поведінкове таргетування недоступне.
• Класифікація чутливого контенту — Неправильна класифікація звичайного контенту як чутливого призведе до обвалу попиту. Будьте консервативними та точними щодо категорії.
• Склад партнерів header bidding — Партнери, які не є підписантами MSPA і яких ви повинні відключити для американського трафіку, зменшують ваш аукціон. Замініть їх підписантами, а не працюйте з меншим попитом.
• Теггінг на стороні сервера — Контейнер на стороні сервера, який зчитує рядок GPP та умовно запускає теги, є найчистішим способом синхронізації аналітики та згоди.

Що далі: 2026 рік і після

MSPA — це жива угода. IAB оновлює її кожен рік-два, коли нові закони штатів, керівництво генеральних прокурорів та федеральні пропозиції змінюють ландшафт. Теми для спостереження у 2026 році:

• Можливий федеральний закон про конфіденційність, який частково може замінити законодавство штатів — MSPA включає резервну логіку превентивного впливу, тому підписанти не залишаться в безвиході.
• Розширення GPP для охоплення сигналізації, пов'язаної зі здоров'ям, відповідно до Washington My Health My Data Act та аналогічних законів.
• Посилення правозастосування правил темних патернів у потоках відмов з боку California Privacy Protection Agency та генерального прокурора Техасу.
• Інтеграція з ШІ та розкриттям інформації про навчання великих мовних моделей, яку обговорюють кілька законодавчих зборів штатів.

Видавці, які ставляться до впровадження MSPA як до одноразового проєкту, відставатимуть. Ставтеся до неї як до постійної операційної гігієни, що перебуває у спільному веденні юридичного відділу, рекламних операцій та продуктової інженерії, і переглядається щоквартально. Видавці, що виграють у відповідності вимогам кількох штатів США, — це не ті, хто має найбільше юристів, а ті, чия CMP, рекламний стек та журнали аудиту розповідають одну й ту саму історію, коли регулятор ставить запитання.

Підсумок

MSPA — це практична відповідь на фрагментований американський ландшафт конфіденційності. Вона не прийматиме закони за вас, але надасть вашому потоку ставок, вашим постачальникам та вашій юридичній команді єдину спільну мову для відмов, чутливих даних та зобов'язань нижче за течією. Поєднайте її з CMP, що враховує специфіку штатів, точною сигналізацією GPP та дисциплінованим управлінням постачальниками, і ви витрачатимете менше часу на суперечки про юрисдикцію та більше часу на монетизацію показів, які вам дозволено монетизувати. Це єдиний стійкий шлях через 2026 рік і хвилю законів штатів, що ще чергуються за ним.