MSPA کیا ہے — اور کیا نہیں

MSPA ایک نجی، معاہدہ پر مبنی فریم ورک ہے جو IAB نے شائع کیا ہے۔ یہ کوئی قانون نہیں اور ریاستی قوانین کی جگہ نہیں لیتا۔ بلکہ یہ ایک کثیر فریق معاہدہ ہے جسے شرکاء — پبلشرز، ایجنسیاں، اشتہاری نیٹ ورک، SSP، DSP، اور ڈیٹا فراہم کار — پروگرامیٹک اشتہار بازی میں ذاتی معلومات کے بہاؤ کے بارے میں یکساں قانونی دعوے کر سکنے کی خاطر دستخط کرتے ہیں۔ جب سلسلے میں ہر شخص ایک ہی معاہدے پر دستخط کرتا ہے تو ڈاؤن اسٹریم فروخت کنندگان کو ایک واحد بِڈ درخواست سنبھالنے کے لیے پچاس مختلف دوطرفہ ڈیٹا پروسیسنگ معاہدات مذاکرات کی ضرورت نہیں رہتی۔

MSPA کو بیک وقت تین چیزوں کے طور پر سمجھیں:

• ایک معاہدہ جو خودبخود ڈاؤن اسٹریم بہتا ہے جب کوئی دستخط کنندہ دوسرے دستخط کنندہ کو ڈیٹا منتقل کرے۔
• ایک لغت GPP انکوڈڈ سٹرنگز استعمال کرتے ہوئے صارف کی ترجیحات ظاہر کرنے کے لیے، بشمول فروخت، اشتراک، ہدف شدہ اشتہار، اور حساس ڈیٹا کی پروسیسنگ سے آپٹ آؤٹ۔
• ایک خطرہ تقسیم کا فریم ورک جو ہر دستخط کنندہ کو تین کرداروں میں سے ایک سے نقشہ کرتا ہے — کورڈ بزنس، سروس پرووائڈر/پروسیسر، یا تھرڈ پارٹی — اور ہر ایک سے وابستہ ذمہ داریاں۔

MSPA جو نہیں ہے: آپ کی رازداری نوٹس کا متبادل، جہاں ضرورت ہو وہاں براہ راست صارف کی رضامندی کا متبادل، یا کسی مخصوص ریاستی قانون کی تعمیل کی ضمانت نہیں۔ یہ ایک ایسا آلہ ہے جو، درست استعمال کیا جائے تو، متعدد ریاستی قوانین کی تعمیل کو آپریشنل طور پر ممکن بناتا ہے۔ غلط استعمال کیا جائے — مثلاً آپٹ آؤٹ کے بعد ڈیٹا شیئر کرتے رہنے کے باوجود شرکت کا سگنل دینا — تو یہ آپ کی ذمہ داری کم کرنے کی بجائے بڑھا دیتا ہے۔

کسے پرواہ کرنی چاہیے: MSPA کے تین کردار

کچھ بھی دستخط کرنے سے پہلے یہ پہچانیں کہ آپ دراصل کون سا کردار ادا کرتے ہیں۔ زیادہ تر پبلشرز یہ دیکھ کر حیران ہوتے ہیں کہ ڈیٹا فلو پر منحصر ہوتے ہوئے وہ ایک سے زیادہ ٹوپیاں پہنتے ہیں۔

کورڈ بزنس

آپ کورڈ بزنس ہیں اگر آپ کسی صارف کے بارے میں ذاتی معلومات کی پروسیسنگ کے مقاصد اور ذرائع طے کرتے ہیں — عموماً وہ پبلشر جو اس ویب سائٹ یا ایپ کو چلاتا ہے جسے صارف وزٹ کرتا ہے۔ کورڈ بزنس کے طور پر آپ رضامندی جمع کرنے، نوٹسز دکھانے، آپٹ آؤٹس کا احترام کرنے، اور GPP سگنل ترتیب دینے کے ذمہ دار ہیں جس پر ڈاؤن اسٹریم فروخت کنندہ انحصار کرتے ہیں۔ صارف سے متعلق بوجھ آپ کے ذمہ ہے۔

سروس پرووائڈر یا پروسیسر

آپ سروس پرووائڈر ہیں جب کسی کورڈ بزنس کی جانب سے معاہدے کے تحت اور صرف محدود، جائز مقاصد کے لیے ذاتی معلومات پروسیس کریں۔ زیادہ تر اینالیٹکس فروخت کنندہ، ہوسٹنگ فراہم کار، اور رضامندی مینجمنٹ پلیٹ فارم اس طریقے سے کام کرتے ہیں۔ MSPA پابندیاں لگاتا ہے: فروخت نہیں، اپنی جانب سے کراس کنٹیکسٹ رویاتی اشتہار نہیں، اور سخت طور پر تعریف شدہ برقراری اور حذف کے قواعد۔

تھرڈ پارٹی

آپ تھرڈ پارٹی ہیں جب کورڈ بزنس سے ذاتی معلومات حاصل کریں اور اپنے مقاصد کے لیے استعمال کریں — زیادہ تر SSP، DSP، شناخت فروخت کنندہ، اور ڈیٹا بروکرز یہاں آتے ہیں۔ تھرڈ پارٹیز کے سب سے بھاری معاہداتی فرائض ہیں، بشمول صارف حقوق کا براہ راست انتظام اور اپنے شراکت داروں کے ساتھ ڈیٹا شیئر کرتے وقت ڈاؤن اسٹریم فلو تھرو فرائض۔

MSPA اور Global Privacy Platform (GPP)

MSPA خلا میں موجود نہیں۔ یہ معاہداتی پرت ہے؛ GPP تکنیکی سگنلنگ پرت ہے۔ IAB Tech Lab کا Global Privacy Platform صارف کی ترجیحات کو ایک واحد سٹرنگ میں انکوڈ کرتا ہے جو OpenRTB پروٹوکول کے ذریعے بِڈ درخواستوں کے ساتھ سفر کرتی ہے۔ امریکی سگنلنگ کے لیے GPP ہر ریاست کے لیے جہاں جامع رازداری قانون ہو سیکشن سٹرنگز رکھتا ہے — مثلاً USCA (کیلیفورنیا)، USCO (کولوراڈو)، USVA (ورجینیا)، USCT (کنیکٹیکٹ)، USUT (یوٹاہ)، اور وہ ریاستیں جن کے لیے مخصوص سیکشن نہیں ہے ان کے لیے امریکی قومی سٹرنگ۔

MSPA آپ کے CMP کو بتاتا ہے کہ کوریج کا دعوی کرنے کے لیے ان GPP سیکشنز کے اندر کون سے فیلڈز سیٹ کریں۔ پبلشرز جو اہم ترین فیلڈز دیکھیں گے اور ترتیب دیں گے ان میں شامل ہیں:

• MspaCoveredTransaction — جب پبلشر یہ دعوی کرے کہ بِڈ درخواست MSPA فریم ورک کے تحت آتی ہے تو ہاں پر سیٹ کریں۔
• MspaOptOutOptionMode — یہ ظاہر کرتا ہے کہ آیا صارف کو MSPA کے شفافیت قواعد کے مطابق ایک واضح آپٹ آؤٹ آپشن دیا گیا تھا۔
• MspaServiceProviderMode — جب ڈاؤن اسٹریم فروخت کنندگان کو ڈیٹا کو صرف سروس پرووائڈر کے طور پر برتنا ہو تو سیٹ کریں۔
• SaleOptOut، SharingOptOut، TargetedAdvertisingOptOut — تفصیلی رضامندی فلیگز جو بِڈر پڑھتے ہیں یہ فیصلہ کرنے کے لیے کہ وہ امپریشن کے ساتھ کیا کر سکتے ہیں۔
• SensitiveDataProcessing — ایک کثیر عناصر والی صف جو نسلی اصل، مذہبی عقائد، صحت، جنسی رجحان، شہریت، درست جیولوکیشن، اور ریاستی قانون کے ذریعہ بیان کردہ دیگر حساس زمروں کے لیے صارف کی ترجیحات سگنل کرتی ہے۔

اگر آپ کا CMP MspaCoveredTransaction = ہاں سیٹ کرتا ہے لیکن پبلشر نے MSPA معاہدے پر دستخط نہیں کیے تو آپ نے ایک غلط دعوی کیا ہے جس پر ڈاؤن اسٹریم دستخط کنندہ انحصار کریں گے۔ یہ معاہداتی تنازعہ اور، ریاست کے لحاظ سے، ریگولیٹری شکایت کی طرف جانے کا تیز راستہ ہے۔

حساس ڈیٹا: وہ پھندا جو زیادہ تر پبلشرز نظرانداز کر دیتے ہیں

کیلیفورنیا کے بعد سے منظور ہونے والے ہر جامع امریکی ریاستی رازداری قانون نے حساس ذاتی معلومات کی تعریف کو وسیع کیا ہے، اور MSPA ان کو ایک متحد GPP فیلڈ میں سمیٹتا ہے۔ زمرے عموماً شامل کرتے ہیں:

• سرکاری شناخت کار (سوشل سیکیورٹی نمبر، ڈرائیونگ لائسنس، پاسپورٹ)۔
• اکاؤنٹ اسناد اور مالی معلومات۔
• درست جیولوکیشن، عموماً 533 میٹر سے کم۔
• نسلی یا قومی اصل، مذہبی عقائد، ذہنی یا جسمانی صحت تشخیص۔
• جنسی زندگی اور جنسی رجحان۔
• شہریت اور امیگریشن اسٹیٹس۔
• جینیاتی اور بایومیٹرک ڈیٹا جو کسی شخص کی شناخت کے لیے استعمال ہو۔
• معلوم 13 سال سے کم عمر بچے کا ڈیٹا — اور بعض ریاستوں میں اضافی تحفظات کے ساتھ 16 سال سے کم۔

کئی ریاستیں حساس ڈیٹا کی پروسیسنگ کے لیے آپٹ ان رضامندی چاہتی ہیں جبکہ دیگر آپٹ آؤٹ کے حق کے ساتھ پروسیسنگ کی اجازت دیتی ہیں۔ MSPA کا GPP انکوڈنگ آپ کو یا تو ظاہر کرنے کی اجازت دیتا ہے، لیکن آپ کے CMP کو معلوم ہونا چاہیے کہ صارف کی ریاست کی بنیاد پر کون سا مانگنا ہے۔ حساس ڈیٹا کی غلط درجہ بندی — مثلاً صحت کے مواد کے براؤزنگ کو عام رویاتی ڈیٹا کے طور پر پیش کرنا — 2024–2025 کے نفاذی اقدامات میں ریاستی اٹارنی جنرل کے ذریعہ اجاگر کیا گیا سب سے عام ناکامی کا طریقہ ہے۔

MSPA کے لیے تیار رضامندی فلو بنانا

اپنی سائٹ یا ایپ پر MSPA کو نافذ کرنا قانونی، انجینئرنگ، اور اشتہاری آپریشنز کے درمیان ایک ہم آہنگی کا مسئلہ ہے۔ کام تقریباً پانچ ورک اسٹریمز میں تقسیم ہوتا ہے۔

1. MSPA پر دستخط کریں اور اپنے دستخط کنندہ کا اسٹیٹس برقرار رکھیں

MSPA ایک حقیقی معاہدہ ہے جسے قانونی مشیر کو جائزہ لینا اور عمل میں لانا چاہیے۔ آپ اپنا کردار یا کردار، وہ امریکی ریاستیں جہاں آپ کاروبار کرتے ہیں، اور ڈیٹا کے وہ زمرے جن کو آپ پروسیس کرتے ہیں، ظاہر کریں گے۔ سالانہ تجدید کریں اور جب آپ کا کردار یا دائرہ اختیار بدلے تو IAB Tech Lab کا دستخط کنندہ پورٹل اپڈیٹ کریں۔

2. کثیر ریاستی منطق کے لیے اپنا CMP ترتیب دیں

صرف CCPA والا ایک بینر اب کافی نہیں۔ آپ کے CMP کو صارف کی ریاست — عموماً رازداری فال بیک کے ساتھ IP جیولوکیشن کے ذریعے — کا پتہ لگانا چاہیے اور اس دائرہ اختیار کے لیے درست نوٹسز، لنکس، اور آپٹ آؤٹ کنٹرولز دکھانے چاہئیں۔ FlexyConsent اور دیگر جدید Google سرٹیفائیڈ CMPs کثیر ریاستی ٹیمپلیٹس کے ساتھ آتے ہیں جو ریاست بہ ریاست درست GPP سیکشن سٹرنگز پر نقشہ کرتے ہیں۔

3. GPP سٹرنگز کو اپنے اشتہاری اسٹیک سے جوڑیں

GPP سٹرنگ امریکی صارف سے آنے والی ہر OpenRTB بِڈ درخواست میں داخل ہونی چاہیے۔ Google Ad Manager صارفین کے لیے اس کا مطلب نیٹ ورک سیٹنگز میں GPP سپورٹ فعال کرنا ہے؛ Prebid صارفین کے لیے gppControl_usnat اور فی ریاست ماڈیولز انسٹال کرنا اور تصدیق کرنا کہ consentManagement ایڈیپٹر انکوڈڈ سٹرنگ فارورڈ کر رہا ہے۔ CMP سے بِڈ درخواست تک راؤنڈ ٹرپ تصدیق کرنے کے لیے IAB Tech Lab GPP ڈی کوڈر سے ٹیسٹ کریں۔

4. Global Privacy Control (GPC) سگنل کا احترام کریں

زیادہ تر ریاستی قوانین — کیلیفورنیا، کولوراڈو، کنیکٹیکٹ، اور بڑھتی ہوئی فہرست — براؤزر سطح کے GPC سگنل کو بطور درست آپٹ آؤٹ قبول کرنا لازمی قرار دیتے ہیں۔ MSPA توقع کرتا ہے کہ دستخط کنندہ GPC کا پتہ لگائیں اور صارف کے بینر کو چھونے سے پہلے ہی SaleOptOut، SharingOptOut، اور TargetedAdvertisingOptOut فیلڈز کو اس کے مطابق پری سیٹ کریں۔ اگر آپ کا CMP GPC کا پتہ لگا کر اس پر عمل نہیں کر سکتا تو MSPA رکنیت سے قطع نظر آپ عدم تعمیل میں ہیں۔

5. ڈاؤن اسٹریم فروخت کنندگان کا آڈٹ کریں

MSPA کی ڈاؤن اسٹریم فلو منطق تبھی کام کرتی ہے جب آپ کے فروخت کنندہ بھی دستخط کنندہ ہوں۔ کسی SSP، DSP، یا ڈیٹا پارٹنر کو ڈیٹا بھیجنے سے پہلے IAB Tech Lab پورٹل میں ان کے دستخط کنندہ اسٹیٹس کی تصدیق کریں۔ غیر دستخط کنندہ فروخت کنندگان کو یا تو امریکی ٹریفک کے لیے آپ کے اشتہاری اسٹیک سے ہٹانا ہوگا یا MSPA شرائط کی عکاسی کرنے والے علیحدہ دوطرفہ DPAs سے ڈھانپنا ہوگا۔

نفاذ کے عام نقصانات

پبلشر آڈٹس میں بار بار ظاہر ہونے والے کئی ناکامی کے نمونے:

• دستخط کیے بغیر MSPA کوریج سگنل کرنا۔ پبلشر کی قانونی ہستی نے MSPA عمل میں نہیں لایا لیکن GPP سٹرنگ میں MspaCoveredTransaction = ہاں سیٹ کرنا پبلشر کو ڈاؤن اسٹریم دستخط کنندگان کی طرف سے غلط بیانی کے دعووں کا سامنا کرنے پر مجبور کرتا ہے جنہوں نے سگنل پر انحصار کیا۔
• ٹیکساس، اوریگون، اور مونٹانا کو بھولنا۔ ابتدائی پانچ ریاستی منظر نامے کے لیے ترتیب دیے گئے پبلشرز 2024 اور 2025 میں نافذ ہونے والے قوانین سے محروم رہ جاتے ہیں۔ ہر ایک کے اپنے آپٹ آؤٹ محرکات ہیں؛ MSPA انہیں ڈھانپتا ہے، لیکن صرف تبھی جب آپ کے CMP کی ریاست کا پتہ لگانے کی منطق انہیں شامل کرے۔
• خبروں اور طرز زندگی کے مواد میں حساس ڈیٹا سگنلز کو نظرانداز کرنا۔ صحت، مذہب، یا LGBTQ مرکوز مضمون کا قاری بالواسطہ حساس ڈیٹا پروسیس کر سکتا ہے۔ مواد کا آڈٹ کریں اور CMP میں زمرہ سطح کے اوور رائیڈز ترتیب دیں۔
• GPC کو مشاورتی سمجھنا۔ کیلیفورنیا کے ریگولیٹر نے 2024 میں واضح کیا کہ GPC نظرانداز کرنا فی خلاف ورزی کی خلاف ورزی ہے۔ MSPA آپ کو اس سے نہیں بچاتا — GPC کا احترام کرنا آپ پر منحصر ہے۔
• ایج پر کیش شدہ پرانی GPP سٹرنگز۔ CDN یا سروس ورکر صفحات کی کیشنگ صارف کو پچھلے سیشن کی پرانی GPP سٹرنگ فراہم کر سکتی ہے۔ رضامندی اینڈ پوائنٹ پر کیشنگ بند کریں اور رضامندی تبدیلی پر ایک تازہ فیچ مرحلہ شامل کریں۔

MSPA اشتہاری آمدن کو کیسے متاثر کرتا ہے

MSPA کو درست طریقے سے نافذ کرنے والے پبلشرز عموماً قلیل مدتی آمدن میں معمولی کمی دیکھتے ہیں جس کے بعد استحکام آتا ہے، جبکہ لاپرواہ نفاذ یا تو بِڈز کو ضرورت سے زیادہ محدود کر دیتا ہے یا پبلشر کو نفاذ کے خطرے سے دوچار کرتا ہے۔ وہ متغیرات جو پلڑا بدلتے ہیں:

• آپٹ آؤٹ کی شرحیں — نمایاں آپٹ آؤٹ لنکس والی ریاستوں میں عموماً 5–15% صارفین فروخت یا اشتراک سے آپٹ آؤٹ کر لیتے ہیں۔ آپٹ آؤٹ شدہ امپریشنز پر بِڈ قیمتیں عموماً 30–60% گر جاتی ہیں کیونکہ رویاتی ہدف بندی دستیاب نہیں ہوتی۔
• حساس مواد کی درجہ بندی — عام مواد کو حساس کے طور پر غلط درجہ بندی کرنا مانگ کو تباہ کر دے گا۔ محتاط اور زمرہ درست رہیں۔
• Header bidding پارٹنر مرکب — غیر MSPA دستخط کنندہ پارٹنرز جنہیں آپ کو امریکی ٹریفک کے لیے بند کرنا پڑتا ہے آپ کی نیلامی کو سکیڑ دیتے ہیں۔ پتلی مانگ کے ساتھ چلنے کے بجائے انہیں دستخط کنندگان سے تبدیل کریں۔
• سرور سائیڈ ٹیگنگ — ایک سرور سائیڈ کنٹینر جو GPP سٹرنگ پڑھتا ہے اور مشروط طور پر ٹیگز فائر کرتا ہے اینالیٹکس اور رضامندی کو ہم آہنگ رکھنے کا صاف ترین طریقہ ہے۔

آگے کیا: 2026 اور اس کے بعد

MSPA ایک زندہ معاہدہ ہے۔ IAB اسے ہر سال یا دو سال میں اپڈیٹ کرتا ہے جیسے جیسے نئے ریاستی قوانین، اٹارنی جنرل رہنمائی، اور وفاقی تجاویز منظر نامے کو نئی شکل دیتے ہیں۔ 2026 میں نگرانی کے موضوعات:

• ایک ممکنہ وفاقی رازداری قانون جو ریاستی نظاموں کو جزوی طور پر منسوخ کر سکتا ہے — MSPA میں پری ایمپشن فال بیک منطق شامل ہے، اس لیے دستخط کنندگان پھنسے نہیں رہیں گے۔
• Washington My Health My Data Act اور اس جیسی قانون سازی کے تحت صحت سے مخصوص سگنلنگ کو ڈھانپنے کے لیے GPP کی توسیع۔
• California Privacy Protection Agency اور ٹیکساس اٹارنی جنرل کی طرف سے آپٹ آؤٹ فلوز میں ڈارک پیٹرن قواعد کا سخت تر نفاذ۔
• AI اور بڑے لینگویج ماڈل ٹریننگ انکشافات کے ساتھ انضمام، جس پر کئی ریاستی مقننہ بحث کر رہی ہیں۔

جو پبلشرز MSPA نفاذ کو ایک وقتی منصوبہ سمجھتے ہیں وہ پیچھے رہ جائیں گے۔ اسے مستمر آپریشنل صفائی کے طور پر سمجھیں، جو قانونی، اشتہاری آپریشنز، اور پروڈکٹ انجینئرنگ کی مشترکہ ملکیت میں ہو، اور سہ ماہی جائزہ لیا جائے۔ امریکی کثیر ریاستی تعمیل میں کامیاب ہونے والے پبلشرز وہ نہیں جن کے پاس سب سے زیادہ وکیل ہیں — وہ ہیں جن کا CMP، اشتہاری اسٹیک، اور آڈٹ لاگز سب ایک ہی کہانی بیان کرتے ہیں جب کوئی ریگولیٹر پوچھتا ہے۔

نتیجہ

MSPA منقسم امریکی رازداری منظر نامے کا عملی جواب ہے۔ یہ آپ کے لیے قوانین نہیں بنائے گا، لیکن آپ کے بِڈ اسٹریم، آپ کے فروخت کنندگان، اور آپ کی قانونی ٹیم کو آپٹ آؤٹس، حساس ڈیٹا، اور ڈاؤن اسٹریم ذمہ داریوں کے لیے ایک مشترک زبان دے گا۔ اسے ریاست سے واقف CMP، درست GPP سگنلنگ، اور منضبط فروخت کنندہ انتظام کے ساتھ جوڑیں، اور آپ دائرہ اختیار پر بحث کرنے میں کم وقت اور ان امپریشنز کو منیٹائز کرنے میں زیادہ وقت لگائیں گے جن کو منیٹائز کرنے کی آپ کو اجازت ہے۔ یہ 2026 اور اس کے پیچھے قطار میں کھڑے ریاستی قوانین کی لہر سے گزرنے کا واحد پائیدار راستہ ہے۔