MSPA Là Gì — và Không Phải Là Gì

MSPA là một khuôn khổ tư nhân dựa trên hợp đồng do IAB công bố. Đây không phải là luật và không thay thế luật tiểu bang. Thay vào đó, đây là một thỏa thuận đa bên mà các bên tham gia — nhà xuất bản, đại lý, mạng quảng cáo, SSP, DSP và nhà cung cấp dữ liệu — ký kết để có thể đưa ra các tuyên bố pháp lý nhất quán về cách thông tin cá nhân lưu chuyển qua quảng cáo lập trình. Khi tất cả mọi người trong chuỗi ký cùng một hợp đồng, các nhà cung cấp xuôi dòng không cần đàm phán năm mươi thỏa thuận xử lý dữ liệu song phương khác nhau để xử lý một yêu cầu đặt giá duy nhất.

Hãy nghĩ về MSPA như là ba thứ cùng một lúc:

• Một hợp đồng tự động chảy xuôi dòng khi một bên ký kết chuyển dữ liệu cho bên ký kết khác.
• Một từ vựng để diễn đạt lựa chọn của người dùng bằng chuỗi mã hóa GPP, bao gồm từ chối bán, chia sẻ, quảng cáo có mục tiêu và xử lý dữ liệu nhạy cảm.
• Một khuôn khổ phân bổ rủi ro ánh xạ mỗi bên ký kết vào một trong ba vai trò — Doanh nghiệp được bảo phủ, Nhà cung cấp dịch vụ/Bộ xử lý hoặc Bên thứ ba — và các nghĩa vụ gắn với mỗi vai trò.

Những gì MSPA không phải: thay thế cho thông báo quyền riêng tư của bạn, thay thế cho sự đồng ý trực tiếp của người dùng khi cần thiết, hoặc đảm bảo tuân thủ bất kỳ luật tiểu bang cụ thể nào. Đây là một công cụ mà khi sử dụng đúng cách sẽ khiến việc tuân thủ nhiều luật tiểu bang trở nên khả thi về mặt vận hành. Nếu sử dụng sai — ví dụ bằng cách phát tín hiệu tham gia trong khi tiếp tục chia sẻ dữ liệu sau khi opt-out — nó sẽ mở rộng trách nhiệm của bạn thay vì giảm thiểu.

Ai Cần Quan Tâm: Ba Vai Trò trong MSPA

Trước khi ký bất cứ thứ gì, hãy xác định bạn thực sự đóng vai trò nào. Hầu hết nhà xuất bản đều ngạc nhiên khi phát hiện ra rằng họ đội nhiều hơn một chiếc mũ tùy thuộc vào luồng dữ liệu.

Doanh nghiệp được bảo phủ

Bạn là Doanh nghiệp được bảo phủ nếu bạn xác định mục đích và phương tiện xử lý thông tin cá nhân về người dùng — thường là nhà xuất bản vận hành trang web hoặc ứng dụng mà người dùng truy cập. Là Doanh nghiệp được bảo phủ, bạn chịu trách nhiệm thu thập sự đồng ý, hiển thị thông báo, tuân thủ các lựa chọn từ chối và cấu hình tín hiệu GPP mà các nhà cung cấp xuôi dòng dựa vào. Gánh nặng hướng đến người dùng thuộc về bạn.

Nhà cung cấp dịch vụ hoặc Bộ xử lý

Bạn là Nhà cung cấp dịch vụ khi bạn xử lý thông tin cá nhân thay mặt cho Doanh nghiệp được bảo phủ theo hợp đồng và chỉ cho các mục đích hạn chế, được phép. Hầu hết nhà cung cấp phân tích, nhà cung cấp lưu trữ và nền tảng quản lý sự đồng ý hoạt động theo hướng này. MSPA áp đặt các hạn chế: không được bán, không được quảng cáo hành vi xuyên ngữ cảnh cho mình và các quy tắc lưu giữ và xóa được định nghĩa chặt chẽ.

Bên thứ ba

Bạn là Bên thứ ba khi bạn nhận thông tin cá nhân từ Doanh nghiệp được bảo phủ và sử dụng cho mục đích của riêng bạn — hầu hết SSP, DSP, nhà cung cấp danh tính và người môi giới dữ liệu đều nằm trong nhóm này. Bên thứ ba có các nghĩa vụ hợp đồng nặng nề nhất, bao gồm xử lý trực tiếp quyền của người dùng và các nghĩa vụ thông suốt xuôi dòng khi họ chia sẻ dữ liệu với đối tác của chính họ.

MSPA và Global Privacy Platform (GPP)

MSPA không tồn tại trong chân không. Đó là lớp hợp đồng; GPP là lớp tín hiệu kỹ thuật. Global Privacy Platform của IAB Tech Lab mã hóa lựa chọn của người dùng vào một chuỗi duy nhất đi kèm với các yêu cầu đặt giá qua giao thức OpenRTB. Đối với tín hiệu tại Mỹ, GPP mang các chuỗi phần cho mỗi tiểu bang có luật quyền riêng tư toàn diện — ví dụ USCA (California), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah) và chuỗi quốc gia Mỹ tổng hợp cho các tiểu bang không có phần riêng.

MSPA cho CMP của bạn biết những trường nào cần thiết lập trong các phần GPP đó để tuyên bố phạm vi bảo phủ. Các trường quan trọng nhất mà nhà xuất bản sẽ thấy và cấu hình bao gồm:

• MspaCoveredTransaction — đặt thành Có khi nhà xuất bản khẳng định rằng yêu cầu đặt giá được bảo phủ bởi khuôn khổ MSPA.
• MspaOptOutOptionMode — cho biết người dùng có được cung cấp tùy chọn từ chối rõ ràng theo yêu cầu của quy tắc minh bạch của MSPA hay không.
• MspaServiceProviderMode — được thiết lập khi các nhà cung cấp xuôi dòng phải coi dữ liệu là chỉ của nhà cung cấp dịch vụ.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — các cờ đồng ý chi tiết mà người đặt giá đọc để quyết định họ có thể làm gì với lần hiển thị.
• SensitiveDataProcessing — một mảng nhiều phần tử báo hiệu lựa chọn của người dùng về nguồn gốc chủng tộc, tín ngưỡng tôn giáo, sức khỏe, khuynh hướng tình dục, quốc tịch, vị trí địa lý chính xác và các danh mục nhạy cảm khác được định nghĩa bởi luật tiểu bang.

Nếu CMP của bạn đặt MspaCoveredTransaction = Có nhưng nhà xuất bản chưa thực sự ký hợp đồng MSPA, bạn vừa đưa ra một tuyên bố sai mà các bên ký kết xuôi dòng sẽ dựa vào. Đó là con đường nhanh dẫn đến tranh chấp hợp đồng và, tùy thuộc vào tiểu bang, khiếu nại quy định.

Dữ liệu nhạy cảm: Cái bẫy mà hầu hết nhà xuất bản bỏ qua

Mỗi luật quyền riêng tư toàn diện của tiểu bang Mỹ được thông qua kể từ California đều mở rộng định nghĩa về thông tin cá nhân nhạy cảm và MSPA gấp chúng vào một trường GPP thống nhất. Các danh mục thường bao gồm:

• Định danh chính phủ (số an sinh xã hội, bằng lái xe, hộ chiếu).
• Thông tin đăng nhập tài khoản và thông tin tài chính.
• Vị trí địa lý chính xác, thường hẹp hơn 533 mét.
• Nguồn gốc chủng tộc hoặc dân tộc, tín ngưỡng tôn giáo, chẩn đoán sức khỏe tâm thần hoặc thể chất.
• Đời sống tình dục và khuynh hướng tình dục.
• Quốc tịch và tình trạng nhập cư.
• Dữ liệu di truyền và sinh trắc học dùng để nhận dạng một người.
• Dữ liệu liên quan đến trẻ em đã biết dưới 13 tuổi — và ở một số tiểu bang, dưới 16 tuổi với sự bảo vệ bổ sung.

Một số tiểu bang yêu cầu sự đồng ý opt-in để xử lý dữ liệu nhạy cảm, trong khi những tiểu bang khác cho phép xử lý với quyền opt-out. Mã hóa GPP của MSPA cho phép bạn diễn đạt cả hai, nhưng CMP của bạn phải biết cái nào cần yêu cầu dựa trên tiểu bang của người dùng. Phân loại sai dữ liệu nhạy cảm — ví dụ coi việc duyệt nội dung sức khỏe là dữ liệu hành vi thông thường — là kiểu thất bại phổ biến nhất được tổng chưởng lý tiểu bang chỉ ra trong các hành động thực thi 2024–2025.

Xây dựng luồng đồng ý sẵn sàng cho MSPA

Triển khai MSPA trên trang web hoặc ứng dụng của bạn là một vấn đề phối hợp giữa pháp lý, kỹ thuật và vận hành quảng cáo. Công việc chia thành khoảng năm luồng làm việc.

1. Ký MSPA và duy trì trạng thái ký kết của bạn

MSPA là một hợp đồng thực mà cố vấn pháp lý phải xem xét và thực thi. Bạn sẽ khai báo vai trò hoặc các vai trò bạn đang hoạt động, các tiểu bang Mỹ nơi bạn kinh doanh và các danh mục dữ liệu bạn xử lý. Gia hạn hàng năm và cập nhật cổng thông tin ký kết của IAB Tech Lab bất cứ khi nào vai trò hoặc quyền tài phán của bạn thay đổi.

2. Cấu hình CMP cho logic đa tiểu bang

Một banner chỉ dành cho CCPA không còn đủ nữa. CMP của bạn phải phát hiện tiểu bang của người dùng — thường thông qua định vị địa lý IP được hỗ trợ bởi biện pháp dự phòng về quyền riêng tư — và hiển thị thông báo, liên kết và điều khiển từ chối phù hợp cho quyền tài phán đó. FlexyConsent và các CMP hiện đại được Google chứng nhận khác đi kèm với các mẫu đa tiểu bang ánh xạ từng tiểu bang đến các chuỗi phần GPP chính xác.

3. Kết nối chuỗi GPP vào stack quảng cáo của bạn

Chuỗi GPP phải được chèn vào mỗi yêu cầu đặt giá OpenRTB xuất phát từ người dùng Mỹ. Đối với người dùng Google Ad Manager, điều này có nghĩa là bật hỗ trợ GPP trong cài đặt mạng; đối với người dùng Prebid, điều này có nghĩa là cài đặt các mô-đun gppControl_usnat và từng tiểu bang và xác nhận rằng bộ điều hợp consentManagement đang chuyển tiếp chuỗi đã mã hóa. Kiểm tra bằng trình giải mã GPP của IAB Tech Lab để xác minh hành trình khứ hồi từ CMP đến yêu cầu đặt giá.

4. Tôn trọng tín hiệu Global Privacy Control (GPC)

Hầu hết luật tiểu bang — California, Colorado, Connecticut và danh sách ngày càng tăng — yêu cầu tôn trọng tín hiệu GPC ở cấp trình duyệt như một lựa chọn từ chối hợp lệ. MSPA mong đợi các bên ký kết phát hiện GPC và thiết lập trước các trường SaleOptOut, SharingOptOut và TargetedAdvertisingOptOut cho phù hợp, ngay cả trước khi người dùng chạm vào banner. Nếu CMP của bạn không thể phát hiện và hành động theo GPC, bạn không tuân thủ bất kể tư cách thành viên MSPA.

5. Kiểm tra các nhà cung cấp xuôi dòng

Logic luồng xuôi dòng của MSPA chỉ hoạt động nếu các nhà cung cấp của bạn cũng là bên ký kết. Trước khi gửi dữ liệu cho bất kỳ SSP, DSP hoặc đối tác dữ liệu nào, hãy xác minh trạng thái ký kết của họ trong cổng thông tin IAB Tech Lab. Các nhà cung cấp không phải là bên ký kết phải bị xóa khỏi stack quảng cáo của bạn đối với lưu lượng Mỹ hoặc được bảo phủ bởi các DPA song phương riêng biệt phản ánh các điều khoản MSPA.

Những lỗi triển khai phổ biến

Một số mô hình thất bại xuất hiện lặp đi lặp lại trong các cuộc kiểm tra nhà xuất bản:

• Phát tín hiệu bảo phủ MSPA mà không ký kết. Đặt MspaCoveredTransaction = Có trong chuỗi GPP trong khi pháp nhân của nhà xuất bản chưa thực thi MSPA khiến nhà xuất bản bị phơi bày trước các tuyên bố trình bày sai thực tế từ các bên ký kết xuôi dòng đã dựa vào tín hiệu.
• Quên Texas, Oregon và Montana. Các nhà xuất bản được cấu hình cho cảnh quan năm tiểu bang ban đầu bỏ lỡ các luật có hiệu lực vào năm 2024 và 2025. Mỗi tiểu bang có các yếu tố kích hoạt opt-out riêng; MSPA bảo phủ chúng, nhưng chỉ khi logic phát hiện tiểu bang của CMP của bạn bao gồm chúng.
• Bỏ qua tín hiệu dữ liệu nhạy cảm trong nội dung tin tức và phong cách sống. Người đọc bài viết tập trung vào sức khỏe, tôn giáo hoặc LGBTQ có thể xử lý dữ liệu nhạy cảm một cách ngầm định. Thực hiện kiểm tra nội dung và cấu hình các ghi đè ở cấp danh mục trong CMP.
• Coi GPC là tư vấn. Cơ quan quản lý California làm rõ vào năm 2024 rằng việc bỏ qua GPC là vi phạm mỗi lần vi phạm. MSPA không bảo vệ bạn khỏi điều này — việc tôn trọng GPC phụ thuộc vào bạn.
• Chuỗi GPP cũ được lưu vào bộ nhớ đệm ở edge. Việc lưu vào bộ nhớ đệm trang CDN hoặc service worker có thể cung cấp cho người dùng chuỗi GPP cũ từ phiên trước. Vô hiệu hóa bộ nhớ đệm trên điểm cuối đồng ý và thêm bước tải mới khi đồng ý thay đổi.

Cách MSPA ảnh hưởng đến doanh thu quảng cáo

Các nhà xuất bản triển khai MSPA đúng cách thường thấy mức giảm doanh thu ngắn hạn nhỏ sau đó ổn định, trong khi các triển khai cẩu thả hoặc hạn chế quá mức đấu giá hoặc phơi bày nhà xuất bản trước rủi ro thực thi. Các biến số tác động đến kết quả:

• Tỷ lệ opt-out — Ở các tiểu bang có liên kết opt-out nổi bật, thường 5–15% người dùng opt-out khỏi bán hoặc chia sẻ. Giá đặt giá trên các lần hiển thị đã opt-out thường giảm 30–60% vì nhắm mục tiêu hành vi không khả dụng.
• Phân loại nội dung nhạy cảm — Phân loại sai nội dung thông thường là nhạy cảm sẽ làm sụp đổ nhu cầu. Hãy thận trọng và chính xác về danh mục.
• Hỗn hợp đối tác header bidding — Các đối tác không phải là bên ký kết MSPA mà bạn phải vô hiệu hóa cho lưu lượng Mỹ làm thu hẹp phiên đấu giá của bạn. Thay thế chúng bằng các bên ký kết thay vì chạy với nhu cầu mỏng hơn.
• Gắn thẻ phía máy chủ — Một container phía máy chủ đọc chuỗi GPP và kích hoạt thẻ có điều kiện là cách gọn gàng nhất để giữ phân tích và đồng ý đồng bộ.

Điều gì tiếp theo: 2026 và xa hơn

MSPA là một thỏa thuận sống. IAB cập nhật nó mỗi một hoặc hai năm khi các luật tiểu bang mới, hướng dẫn của tổng chưởng lý và các đề xuất liên bang định hình lại bối cảnh. Các chủ đề cần theo dõi vào năm 2026:

• Một luật quyền riêng tư liên bang khả năng sẽ một phần lấn át các chế độ tiểu bang — MSPA bao gồm logic dự phòng ưu thế, vì vậy các bên ký kết sẽ không bị bỏ lại.
• Mở rộng GPP để bảo phủ tín hiệu đặc thù về sức khỏe theo Washington My Health My Data Act và các đạo luật tương tự.
• Thực thi chặt chẽ hơn các quy tắc về mô hình tối trong luồng opt-out bởi California Privacy Protection Agency và Tổng chưởng lý Texas.
• Tích hợp với AI và các công bố đào tạo mô hình ngôn ngữ lớn, mà nhiều cơ quan lập pháp tiểu bang đang tranh luận.

Các nhà xuất bản coi việc triển khai MSPA là một dự án một lần sẽ tụt hậu. Hãy coi nó như vệ sinh vận hành liên tục, được chia sẻ đồng sở hữu bởi pháp lý, vận hành quảng cáo và kỹ thuật sản phẩm, và được xem xét hàng quý. Các nhà xuất bản đang thắng trong việc tuân thủ đa tiểu bang của Mỹ không phải là những người có nhiều luật sư nhất — mà là những người có CMP, stack quảng cáo và nhật ký kiểm tra đều kể cùng một câu chuyện khi cơ quan quản lý hỏi.

Kết luận

MSPA là câu trả lời thực tiễn cho bối cảnh quyền riêng tư phân mảnh của Mỹ. Nó sẽ không thông qua luật thay bạn, nhưng sẽ cung cấp cho luồng đặt giá, nhà cung cấp và nhóm pháp lý của bạn một ngôn ngữ chung duy nhất cho opt-out, dữ liệu nhạy cảm và các nghĩa vụ xuôi dòng. Kết hợp với CMP biết về tiểu bang, tín hiệu GPP chính xác và quản lý nhà cung cấp có kỷ luật, bạn sẽ dành ít thời gian hơn để tranh luận về quyền tài phán và nhiều thời gian hơn để kiếm tiền từ các lần hiển thị mà bạn được phép kiếm tiền. Đó là con đường bền vững duy nhất qua năm 2026 và làn sóng luật tiểu bang vẫn còn đang xếp hàng phía sau.