通过
从周四开始,IAB的多州隐私协议(MSPA)可供广告商、出版商和广告技术合作伙伴签署,并开始用于跟踪他们的数据流。
什么是MSPA?
(请先原谅我。)
MSPA是建立在IAB有限服务提供商协议基础上的合同框架,旨在帮助公司共享全球隐私平台他们与在线广告供应链中的合作伙伴发出同意信号,同时也遵守州隐私法,包括加利福尼亚州的CPRA(它本身就是CCPA的演变),以及科罗拉多州(CPA)、弗吉尼亚州(VCDPA)、康涅狄格州(CTDPA)和犹他州(UCPA)正在生效的其他隐私法。
这句话对广告技术律师来说很重要。
解压MSPA
简而言之:IAB正在努力制定规范和法律合同,以便在遵守隐私法和维持在线广告现状之间取得平衡。
具体来说,MSPA是有限服务提供商协议(LSPA)的演变,LSPA是IAB创建的标准合同,从理论上讲,通过确保下游公司尊重选择退出信号来帮助遵守CCPA。
但由于其他五个州的隐私法将于2023年生效,IAB不得不设计一个解决方案,以处理不同州和地区这些法规的细微差别。
IAB技术实验室助理总法律顾问托尼·菲卡罗塔(Tony Ficarrotta)在周四的MSPA网络研讨会上说,IAB还对MSPA进行了调整,“以采取更模块化的方法”。
“如果将来真的通过了新的州隐私法,”他说,“我们就不必花一年时间对协议的许多方面进行全面修改。”
强行推销
但在此时此刻,有足够多的挑战需要应对,其中最大的挑战之一是理解销售的定义。
整个夏天,丝芙兰同意支付120万美元罚款,以了结CCPA规定的一起案件未能尊重全球隐私控制作为选择退出,未能向消费者披露“出售”他们的个人信息给第三方以创建定向广告的档案,以及未能与合作伙伴签订适当的服务提供商合同。
在加州,只要客户被告知发生了什么,企业就可以向服务提供商披露个人信息,服务提供商只会处理数据以实现必要的“商业目的”,并且有合同明确规定了这一目的。
这是一种例外,这意味着企业可以为了有限和特定的目的,与第三方签约作为服务提供商,比如提供客户服务、分析、处理支付或验证客户信息。
不过,与丝芙兰的和解应该给在线广告行业敲响了警钟。
任何向合作伙伴提供个人信息的企业,无论是cookie ID、设备ID还是IP地址,并获得某种利益作为回报——“这将被视为一种销售,”菲卡罗塔说,“包括我们以前可能认为不需要选择退出的活动”,比如频率上限。
他说:“这是一个巨大的变化,作为一个行业,我们需要做好应对的准备。”
增加复杂性
这就是MSPA的用武之地。它的功能是作为合同空中掩护,在需要时迅速到位,这样第三方就可以作为特定目的的服务提供商,比如频率封顶和测量。
该框架还允许公司在表面上保持合规的情况下,执行大多数在线广告活动的受限版本。
以实时竞价为例。在RTB交易中,发布者与广告技术供应商共享设备ID和IP地址等信息,作为投标请求的一部分。然后,供应商将这些信息与第三方受众群体进行匹配,以提供个性化(又名跨上下文行为)广告。
(顺便说一下,CPRA明确将“跨情境行为广告”从商业目的的定义中排除。)
从法律上讲,人们有权选择退出跨背景的行为广告,如果他们这样做了,他们的选择需要在整个链条上得到尊重。
MSPA为出版商提供了一种标准化的方式,可以向他们的广告技术供应商发出某人选择退出的信号,同时还允许这些出版商使用自己的第一方数据来进行更有限的处理形式,比如支持上下文定位。
但主要的结论是:CPRA和其他州的隐私法对第三方合同有具体的要求,对在线广告生态系统来说,落实这些要求是一个不小的挑战,因为数字供应链在许多不同的合作伙伴之间是一个混乱的沼泽。
菲卡罗塔说:“你必须担心与大量公司建立这种合同关系。”“每个人都将面临一项艰巨的任务,要赶在明年上线的这些要求之前,获得他们更新过的、条款充足的所有合同。”
