MSPA係乜嘢——同埋它唔係乜嘢

MSPA係由IAB發佈嘅私人合約框架，它既唔係法律，亦唔能取代各州法規。它係一份多方協議，發佈商、代理商、廣告網絡、SSP、DSP同埋數據提供商透過簽署此協議，就個人信息在程序化廣告中流轉方式作出一致嘅法律承諾。當鏈條中嘅每一方都簽署同一份合約時，下游供應商便無需為處理單次競價請求而同五十個不同方逐一磋商數據處理協議。

可以將MSPA理解為三位一體：

• 一份合約，當簽約方向另一簽約方傳遞數據時自動向下傳遞約束力。
• 一套詞彙表，使用GPP編碼字串來表達用戶選擇，包括拒絕出售、拒絕共享、拒絕定向廣告，以及對敏感數據處理嘅選擇。
• 一個風險分配框架，將每位簽約方映射至三種角色之一——受覆蓋業務方、服務提供商/處理方或第三方——並明確各角色嘅相應義務。

MSPA唔係：私隱聲明嘅替代品、在需要直接用戶同意時嘅替代手段，或對任何特定州法合規嘅背書。它係一種工具，正確使用時可令同時遵守多個州法律在操作層面切實可行；若使用不當——例如，在訊號中聲稱參與協議嘅同時，在用戶選擇退出後仍繼續共享數據——則會擴大而非減少您嘅法律責任。

邊個需要關注：MSPA嘅三種角色

在簽署任何文件之前，請先確認您實際扮演嘅角色。大多數發佈商會驚訝地發現，根據數據流向嘅不同，佢哋往往同時身兼多職。

受覆蓋業務方

如果您負責決定處理用戶個人信息嘅目的與方式——通常係指運營用戶所訪問嘅網站或應用嘅發佈商——則您屬於受覆蓋業務方。作為受覆蓋業務方，您有責任收集同意、展示告知聲明、履行退出請求，並配置下游供應商所依賴嘅GPP訊號。面向用戶嘅合規責任由您承擔。

服務提供商或處理方

當您依據合約代表受覆蓋業務方處理個人信息，且僅為有限嘅、許可嘅目的而處理時，您屬於服務提供商。大多數分析供應商、托管服務提供商同埋同意管理平台都在此範疇內運營。MSPA對此設有限制：禁止出售、禁止以自身名義進行跨場景行為廣告，並對保留和刪除規則有嚴格規定。

第三方

當您從受覆蓋業務方接收個人信息並將其用於自身目的時，您屬於第三方——大多數SSP、DSP、身份解析供應商同埋數據經紀商均屬此類。第三方承擔最重嘅合約義務，包括直接處理用戶權利請求，以及在與自身合作夥伴共享數據時嘅下游流轉責任。

MSPA與全球私隱平台（GPP）

MSPA並非孤立存在。它係合約層；GPP係技術訊號層。IAB Tech Lab嘅全球私隱平台將用戶選擇編碼為單一字串，隨競價請求透過OpenRTB協議流轉。在美國訊號傳遞方面，GPP為每個擁有全面私隱法律嘅州承載專屬字串——例如USCA（加利福尼亞）、USCO（科羅拉多）、USVA（弗吉尼亞）、USCT（康涅狄格）、USUT（猶他），以及面向尚無專屬字串嘅州嘅全國通用字串。

MSPA告知您嘅CMP應在這些GPP字段中設置哪些值來聲明合規覆蓋。發佈商最常見和需要配置嘅核心字段包括：

• MspaCoveredTransaction — 當發佈商聲明該競價請求受MSPA框架覆蓋時，設置為是。
• MspaOptOutOptionMode — 表明用戶是否獲得了MSPA透明度規則所要求嘅明確退出選項。
• MspaServiceProviderMode — 當下游供應商必須以服務提供商身份處理該數據時設置。
• SaleOptOut、SharingOptOut、TargetedAdvertisingOptOut — 競價方讀取以判斷可對該展示機會採取何種操作嘅細粒度同意標誌。
• SensitiveDataProcessing — 多元素陣列，傳遞用戶對種族來源、宗教信仰、健康狀況、性取向、公民身份、精確地理位置及其他各州法律所定義嘅敏感類別嘅選擇。

如果您嘅CMP將MspaCoveredTransaction設置為是，但發佈商實際上尚未簽署MSPA合約，您便向依賴該訊號嘅下游簽約方作出了虛假聲明。呢個係引發合約糾紛嘅捷徑，且視所在州嘅規定，可能觸發監管投訴。

敏感數據：大多數發佈商忽視嘅暗門

自加州以來，美國每一部全面私隱法都擴展了敏感個人信息嘅定義，而MSPA將這些定義整合進統一嘅GPP字段。敏感數據類別通常包括：

• 政府標識符（社會安全號碼、駕照、護照）。
• 帳戶憑證和金融信息。
• 精確地理位置，通常精度高於1,750英尺。
• 種族或民族來源、宗教信仰、身心健康診斷。
• 性生活與性取向。
• 公民身份與移民狀態。
• 用於識別個人身份嘅基因和生物特徵數據。
• 涉及已知13歲以下兒童嘅數據——部分州對16歲以下兒童提供額外保護。

部分州要求對敏感數據處理獲得選擇加入同意，其他州則允許在賦予用戶退出權利嘅前提下進行處理。MSPA嘅GPP編碼可表達兩種方式，但您嘅CMP必須根據用戶所在州判斷應請求哪種方式。誤分類敏感數據——例如將健康內容瀏覽行為視為普通行為數據——係2024至2025年各州檢察長執法行動中最常見嘅違規情形。

構建MSPA就緒嘅同意流程

在您嘅網站或應用上實施MSPA係一項跨越法務、工程和廣告運營嘅協同工程，大致可分為五個工作流。

1. 簽署MSPA並維持簽約方資格

MSPA係一份真實嘅合約，需由法律顧問審核並執行。您需聲明所扮演嘅一個或多個角色、開展業務嘅美國各州，以及所處理嘅數據類別。每年續簽一次，並在角色或管轄範圍發生變化時及時更新IAB Tech Lab簽約方門戶。

2. 為CMP配置多州邏輯

僅針對CCPA嘅單一橫幅聲明已不再足夠。您嘅CMP必須檢測用戶所在州——通常透過IP地理定位並輔以私隱回退機制——並為該司法管轄區呈現正確嘅告知聲明、連結和退出控件。FlexyConsent及其他經Google認證嘅現代CMP均內置多州模板，可將各州要求映射至對應嘅GPP字串。

3. 將GPP字串接入廣告技術棧

GPP字串必須插入每一個來自美國用戶嘅OpenRTB競價請求中。對於Google Ad Manager用戶，呢個意味著在網絡設置中啟用GPP支持；對於Prebid用戶，則需安裝gppControl_usnat及各州模塊，並確認consentManagement適配器正在轉發編碼字串。使用IAB Tech Lab GPP解碼器進行測試，以驗證從CMP到競價請求嘅全鏈路數據完整性。

4. 響應全球私隱控制（GPC）訊號

大多數州法——加利福尼亞、科羅拉多、康涅狄格以及越來越多嘅州——要求將瀏覽器級GPC訊號視為有效嘅退出請求加以響應。MSPA期望簽約方能夠檢測GPC並相應地預設SaleOptOut、SharingOptOut和TargetedAdvertisingOptOut字段，甚至在用戶點擊橫幅之前就應完成設置。如果您嘅CMP無法檢測和響應GPC，則無論是否加入MSPA，您都處於不合規狀態。

5. 審計下游供應商

MSPA嘅下游流轉邏輯只有在您嘅供應商也係簽約方時才能正常運作。在向任何SSP、DSP或數據合作夥伴發送數據之前，請在IAB Tech Lab門戶中核實其簽約方狀態。對於非簽約方供應商，要麼將其從您面向美國流量嘅廣告棧中移除，要麼透過與MSPA條款對標嘅單獨雙邊數據處理協議加以覆蓋。

常見實施陷阱

在發佈商審計中，以下幾種失敗模式反覆出現：

• 未簽署協議卻聲明MSPA覆蓋。在GPP字串中將MspaCoveredTransaction設置為是，而發佈商法律實體實際上尚未執行MSPA，將使發佈商面臨來自依賴該訊號嘅下游簽約方嘅虛假陳述索賠。
• 遺漏德克薩斯、俄勒岡和蒙大拿。按照最初五州格局配置嘅發佈商忽略了2024年和2025年生效嘅新法規。每部法律都有各自嘅退出觸發條件；MSPA對其提供覆蓋，但前提係您嘅CMP州檢測邏輯中包含了這些州。
• 在新聞和生活類內容中忽視敏感數據訊號。健康、宗教或LGBTQ主題文章嘅讀者可能隱含地涉及敏感數據處理。進行內容審計，並在CMP中配置類別級別嘅覆蓋規則。
• 將GPC視為建議性訊號。加州監管機構在2024年明確指出，忽略GPC屬於每次違規。MSPA不能使您免於此責任——它依賴您去履行GPC響應義務。
• 邊緣節點緩存了過期嘅GPP字串。CDN或Service Worker對頁面嘅緩存可能向用戶提供來自先前會話嘅過期GPP字串。對同意端點禁用緩存，並在同意狀態變更時添加即時獲取步驟。

MSPA對廣告收益嘅影響

正確實施MSPA嘅發佈商通常會在短期內見到溫和嘅收益下跌，隨後趨於穩定；而粗放嘅實施方式要麼過度限制競價，要麼使發佈商暴露於執法風險之下。影響收益嘅關鍵變量：

• 退出率 — 在擁有顯著退出連結嘅州，通常有5%至15%嘅用戶選擇退出出售或共享。由於行為定向不可用，退出展示機會嘅競價價格通常下跌30%至60%。
• 敏感內容分類 — 將普通內容誤分類為敏感內容將導致需求崩潰。保持保守態度，並精確到內容類別。
• 頭部競價合作夥伴組合 — 不得不針對美國流量禁用嘅非MSPA簽約方合作夥伴會壓縮您嘅競價池。用簽約方合作夥伴替換佢哋，而非在需求稀薄嘅情況下維持運營。
• 服務端標籤 — 讀取GPP字串並按條件觸發標籤嘅服務端容器，係保持分析與同意同步嘅最簡潔方式。

展望未來：2026年及以後

MSPA係一份活嘅協議，IAB每隔一兩年會隨著新州法、檢察長指引和聯邦立法提案重塑格局而進行更新。2026年值得關注嘅主題：

• 可能出台嘅聯邦私隱法，將部分取代各州體制——MSPA包含優先權回退邏輯，因此簽約方唔會陷入兩難境地。
• GPP擴展至覆蓋《華盛頓我的健康我的數據法》及類似法規下嘅健康專項訊號。
• 加州私隱保護局和德克薩斯州檢察長對退出流程中暗黑模式嘅更嚴格執法。
• 與AI及大語言模型訓練披露嘅整合，多個州立法機構正在就此進行討論。

將MSPA實施視為一次性項目嘅發佈商將逐漸落後。將其視為持續嘅運營規範，由法務、廣告運營和產品工程共同負責，並每季度審查一次。在美國多州合規競爭中勝出嘅發佈商，並非律師最多嘅那些——而係當監管機構詢問時，其CMP、廣告棧和審計日誌能夠講述同一個故事嘅那些。

總結

MSPA係應對碎片化美國私隱格局嘅實用答案。它唔能替您立法，但它能為您嘅競價流、您嘅供應商和您嘅法律團隊提供一套關於退出、敏感數據和下游義務嘅共同語言。將其與具備州感知能力嘅CMP、準確嘅GPP訊號以及嚴格嘅供應商管理相結合，您將減少在管轄權爭議上耗費嘅時間，更多地專注於變現那些您有權變現嘅展示機會。呢個係貫穿2026年及其後續一波波州法浪潮嘅唯一可持續路徑。