MSPA是什么——以及它不是什么

MSPA是由IAB发布的私人合同框架，它既不是法律，也不能取代各州法规。它是一份多方协议，发布商、代理商、广告网络、SSP、DSP和数据提供商通过签署该协议，就个人信息在程序化广告中的流转方式作出一致的法律承诺。当链条中的每一方都签署同一份合同时，下游供应商便无需为处理单次竞价请求而与五十个不同方逐一谈判数据处理协议。

可以将MSPA理解为三位一体：

• 一份合同，当签约方向另一签约方传递数据时自动向下传递约束力。
• 一套词汇表，使用GPP编码字符串来表达用户选择，包括拒绝出售、拒绝共享、拒绝定向广告，以及对敏感数据处理的选择。
• 一个风险分配框架，将每位签约方映射至三种角色之一——受覆盖业务方、服务提供商/处理方或第三方——并明确各角色的相应义务。

MSPA不是：隐私声明的替代品、在需要直接用户同意时的替代手段，或对任何特定州法合规的背书。它是一种工具，正确使用时可使同时遵守多个州法律在操作层面切实可行；若使用不当——例如，在信号中声称参与协议的同时，在用户选择退出后仍继续共享数据——则会扩大而非减少您的法律责任。

谁需要关注：MSPA的三种角色

在签署任何文件之前，请先确认您实际扮演的角色。大多数发布商会惊讶地发现，根据数据流向的不同，他们往往同时身兼多职。

受覆盖业务方

如果您负责决定处理用户个人信息的目的与方式——通常是指运营用户所访问的网站或应用的发布商——则您属于受覆盖业务方。作为受覆盖业务方，您有责任收集同意、展示告知声明、履行退出请求，并配置下游供应商所依赖的GPP信号。面向用户的合规责任由您承担。

服务提供商或处理方

当您依据合同代表受覆盖业务方处理个人信息，且仅为有限的、许可的目的而处理时，您属于服务提供商。大多数分析供应商、托管服务提供商和同意管理平台都在此范畴内运营。MSPA对此设有限制：禁止出售、禁止以自身名义进行跨场景行为广告，并对保留和删除规则有严格规定。

第三方

当您从受覆盖业务方接收个人信息并将其用于自身目的时，您属于第三方——大多数SSP、DSP、身份解析供应商和数据经纪商均属此类。第三方承担最重的合同义务，包括直接处理用户权利请求，以及在与自身合作伙伴共享数据时的下游流转责任。

MSPA与全球隐私平台（GPP）

MSPA并非孤立存在。它是合同层；GPP是技术信号层。IAB Tech Lab的全球隐私平台将用户选择编码为单一字符串，随竞价请求通过OpenRTB协议流转。在美国信号传递方面，GPP为每个拥有全面隐私法律的州承载专属字符串——例如USCA（加利福尼亚）、USCO（科罗拉多）、USVA（弗吉尼亚）、USCT（康涅狄格）、USUT（犹他），以及面向尚无专属字符串的州的全国通用字符串。

MSPA告知您的CMP应在这些GPP字段中设置哪些值来声明合规覆盖。发布商最常见和需要配置的核心字段包括：

• MspaCoveredTransaction — 当发布商声明该竞价请求受MSPA框架覆盖时，设置为是。
• MspaOptOutOptionMode — 表明用户是否获得了MSPA透明度规则所要求的明确退出选项。
• MspaServiceProviderMode — 当下游供应商必须以服务提供商身份处理该数据时设置。
• SaleOptOut、SharingOptOut、TargetedAdvertisingOptOut — 竞价方读取以判断可对该展示机会采取何种操作的细粒度同意标志。
• SensitiveDataProcessing — 多元素数组，传递用户对种族来源、宗教信仰、健康状况、性取向、公民身份、精确地理位置及其他各州法律所定义的敏感类别的选择。

如果您的CMP将MspaCoveredTransaction设置为是，但发布商实际上尚未签署MSPA合同，您便向依赖该信号的下游签约方作出了虚假声明。这是引发合同纠纷的捷径，且视所在州的规定，可能触发监管投诉。

敏感数据：大多数发布商忽视的暗门

自加州以来，美国每一部全面隐私法都扩展了敏感个人信息的定义，而MSPA将这些定义整合进统一的GPP字段。敏感数据类别通常包括：

• 政府标识符（社会安全号码、驾照、护照）。
• 账户凭证和金融信息。
• 精确地理位置，通常精度高于1,750英尺。
• 种族或民族来源、宗教信仰、身心健康诊断。
• 性生活与性取向。
• 公民身份与移民状态。
• 用于识别个人身份的基因和生物特征数据。
• 涉及已知13岁以下儿童的数据——部分州对16岁以下儿童提供额外保护。

部分州要求对敏感数据处理获得选择加入同意，其他州则允许在赋予用户退出权利的前提下进行处理。MSPA的GPP编码可表达两种方式，但您的CMP必须根据用户所在州判断应请求哪种方式。误分类敏感数据——例如将健康内容浏览行为视为普通行为数据——是2024至2025年各州检察长执法行动中最常见的违规情形。

构建MSPA就绪的同意流程

在您的网站或应用上实施MSPA是一项跨越法务、工程和广告运营的协同工程，大致可分为五个工作流。

1. 签署MSPA并维持签约方资格

MSPA是一份真实的合同，需由法律顾问审核并执行。您需声明所扮演的一个或多个角色、开展业务的美国各州，以及所处理的数据类别。每年续签一次，并在角色或管辖范围发生变化时及时更新IAB Tech Lab签约方门户。

2. 为CMP配置多州逻辑

仅针对CCPA的单一横幅声明已不再足够。您的CMP必须检测用户所在州——通常通过IP地理定位并辅以隐私回退机制——并为该司法管辖区呈现正确的告知声明、链接和退出控件。FlexyConsent及其他经Google认证的现代CMP均内置多州模板，可将各州要求映射至对应的GPP字符串。

3. 将GPP字符串接入广告技术栈

GPP字符串必须插入每一个来自美国用户的OpenRTB竞价请求中。对于Google Ad Manager用户，这意味着在网络设置中启用GPP支持；对于Prebid用户，则需安装gppControl_usnat及各州模块，并确认consentManagement适配器正在转发编码字符串。使用IAB Tech Lab GPP解码器进行测试，以验证从CMP到竞价请求的全链路数据完整性。

4. 响应全球隐私控制（GPC）信号

大多数州法——加利福尼亚、科罗拉多、康涅狄格以及越来越多的州——要求将浏览器级GPC信号视为有效的退出请求加以响应。MSPA期望签约方能够检测GPC并相应地预设SaleOptOut、SharingOptOut和TargetedAdvertisingOptOut字段，甚至在用户点击横幅之前就应完成设置。如果您的CMP无法检测和响应GPC，则无论是否加入MSPA，您都处于不合规状态。

5. 审计下游供应商

MSPA的下游流转逻辑只有在您的供应商也是签约方时才能正常运转。在向任何SSP、DSP或数据合作伙伴发送数据之前，请在IAB Tech Lab门户中核实其签约方状态。对于非签约方供应商，要么将其从您面向美国流量的广告栈中移除，要么通过与MSPA条款对标的单独双边数据处理协议加以覆盖。

常见实施陷阱

在发布商审计中，以下几种失败模式反复出现：

• 未签署协议却声明MSPA覆盖。在GPP字符串中将MspaCoveredTransaction设置为是，而发布商法律实体实际上尚未执行MSPA，将使发布商面临来自依赖该信号的下游签约方的虚假陈述索赔。
• 遗漏德克萨斯、俄勒冈和蒙大拿。按照最初五州格局配置的发布商忽略了2024年和2025年生效的新法规。每部法律都有各自的退出触发条件；MSPA对其提供覆盖，但前提是您的CMP州检测逻辑中包含了这些州。
• 在新闻和生活类内容中忽视敏感数据信号。健康、宗教或LGBTQ主题文章的读者可能隐含地涉及敏感数据处理。进行内容审计，并在CMP中配置类别级别的覆盖规则。
• 将GPC视为建议性信号。加州监管机构在2024年明确指出，忽略GPC属于每次违规。MSPA不能使您免于此责任——它依赖您去履行GPC响应义务。
• 边缘节点缓存了过期的GPP字符串。CDN或Service Worker对页面的缓存可能向用户提供来自先前会话的过期GPP字符串。对同意端点禁用缓存，并在同意状态变更时添加即时获取步骤。

MSPA对广告收入的影响

正确实施MSPA的发布商通常会在短期内看到温和的收入下降，随后趋于稳定；而粗放的实施方式要么过度限制竞价，要么使发布商暴露于执法风险之下。影响收入的关键变量：

• 退出率 — 在拥有显著退出链接的州，通常有5%至15%的用户选择退出出售或共享。由于行为定向不可用，退出展示机会的竞价价格通常下降30%至60%。
• 敏感内容分类 — 将普通内容误分类为敏感内容将导致需求崩溃。保持保守态度，并精确到内容类别。
• 头部竞价合作伙伴组合 — 不得不针对美国流量禁用的非MSPA签约方合作伙伴会压缩您的竞价池。用签约方合作伙伴替换他们，而非在需求稀薄的情况下维持运营。
• 服务端标签 — 读取GPP字符串并按条件触发标签的服务端容器，是保持分析与同意同步的最简洁方式。

展望未来：2026年及以后

MSPA是一份活的协议，IAB每隔一两年会随着新州法、检察长指南和联邦立法提案重塑格局而进行更新。2026年值得关注的主题：

• 可能出台的联邦隐私法，将部分取代各州体制——MSPA包含优先权回退逻辑，因此签约方不会陷入两难境地。
• GPP扩展至覆盖《华盛顿我的健康我的数据法》及类似法规下的健康专项信号。
• 加州隐私保护局和德克萨斯州检察长对退出流程中暗黑模式的更严格执法。
• 与AI及大语言模型训练披露的整合，多个州立法机构正在就此进行讨论。

将MSPA实施视为一次性项目的发布商将逐渐落伍。将其视为持续的运营规范，由法务、广告运营和产品工程共同负责，并每季度审查一次。在美国多州合规竞争中胜出的发布商，并非律师最多的那些——而是当监管机构询问时，其CMP、广告栈和审计日志能够讲述同一个故事的那些。

结语

MSPA是应对碎片化美国隐私格局的实用答案。它不能替您立法，但它能为您的竞价流、您的供应商和您的法律团队提供一套关于退出、敏感数据和下游义务的共同语言。将其与具备州感知能力的CMP、准确的GPP信号以及严格的供应商管理相结合，您将减少在管辖权争议上耗费的时间，更多地专注于变现那些您有权变现的展示机会。这是贯穿2026年及其后续一波波州法浪潮的唯一可持续路径。