Разуменне каліфарнійскай сістэмы прыватнасці

Каліфорнія ўзначаліла Злучаныя Штаты ў заканадаўстве аб прыватнасці спажыўцоў, і яе законы закранаюць сайты па ўсім свеце. Закон аб ахове правоў спажыўцоў Каліфорніі (CCPA), істотна зменены Законам аб правах на прыватнасць Каліфорніі (CPRA), які ўступіў у сілу ў студзені 2023 года, стварае абавязацельствы для любога бізнесу, які збірае персанальную інфармацыю жыхароў Каліфорніі — незалежна ад таго, дзе гэты бізнес фізічна размешчаны.

Для ўладальнікаў сайтаў практычныя наступствы засяроджаны на файлах cookie, тэхналогіях адсочвання і тым, як даныя карыстальнікаў перадаюцца трэцім бакам. Хоць каліфарнійская мадэль фундаментальна адрозніваецца ад еўрапейскага GDPR, яна ўсё роўна патрабуе ўважлівых адносін да механізмаў згоды і правоў карыстальнікаў.

CCPA/CPRA: на каго распаўсюджваецца?

Закон прымяняецца да камерцыйных прадпрыемстваў, якія адпавядаюць любому аднаму з наступных парогаў:

• Гадавы валавы даход, які перавышае 25 мільёнаў долараў.
• Купля, продаж або перадача персанальнай інфармацыі 100 000 або больш жыхароў, дамагаспадарак або прылад Каліфорніі штогод.
• Атрыманне 50 працэнтаў або больш гадавога даходу ад продажу або перадачы персанальнай інфармацыі жыхароў Каліфорніі.

Другі парог асабліва важны для сайтаў з рэкламай. Калі ваш сайт выкарыстоўвае старонніх файлы cookie для таргетаванай рэкламы і атрымлівае значны трафік з Каліфорніі, вы можаце апрацоўваць даныя значна больш за 100 000 карыстальнікаў з Каліфорніі штогод толькі праз гэтыя файлы cookie.

Opt-out супраць opt-in: фундаментальнае адрозненне ад GDPR

Гэта самае крытычнае адрозненне, якое павінны разумець аператары сайтаў. Згодна з GDPR, па змаўчанні дзейнічае opt-in: вы не можаце ўсталёўваць неасноўныя файлы cookie, пакуль карыстальнік актыўна не дасць згоду. Згодна з CCPA/CPRA, па змаўчанні дзейнічае opt-out: вы можаце апрацоўваць персанальную інфармацыю (у тым ліку праз файлы cookie), пакуль карыстальнік не скажа вам спыніцца.

Гэта азначае, што вопыт згоды для наведвальнікаў з Каліфорніі выглядае фундаментальна іначай:

• Падыход GDPR: блакіруйце ўсе неасноўныя файлы cookie. Пакажыце банер. Дачакайцеся сцвярджальнай згоды. Толькі затым усталёўвайце файлы cookie.
• Падыход CCPA/CPRA: файлы cookie могуць усталёўвацца па змаўчанні. Прадастаўце выразную і прыкметную спасылку «Не прадаваць і не перадаваць маю персанальную інфармацыю». Калі карыстальнік рэалізуе гэта права, спыніце перадачу яго даных трэцім бакам.

Аднак ёсць важныя выключэнні. Для непаўналетніх маладзей за 16 гадоў CCPA/CPRA пераключаецца на мадэль opt-in — вы павінны атрымаць сцвярджальную згоду перад продажам або перадачай іх персанальнай інфармацыі. Для дзяцей маладзей за 13 гадоў гэту згоду павінен даць бацька або апякун.

Патрабаванне «Не прадаваць і не перадаваць»

CPRA пашырыў першапачатковае права CCPA «Не прадаваць», уключыўшы ў яго «перадачу» — якая спецыяльна накіравана на той від абмену данымі, які адбываецца праз старонніх рэкламныя файлы cookie. Калі карыстальнік наведвае ваш сайт і вашы файлы cookie адпраўляюць даныя яго прагляду рэкламным сеткам, гэта ўяўляе сабой перадачу згодна з CPRA, нават калі грошы напрамую не пераходзяць з рук у рукі.

Вашы абавязацельствы ўключаюць:

• Выразную спасылку з загалоўкам «Не прадаваць і не перадаваць маю персанальную інфармацыю» на вашай хатняй старонцы і ў палітыцы прыватнасці.
• Механізм, які дазваляе карыстальнікам лёгка рэалізаваць гэта права без неабходнасці ствараць уліковы запіс.
• Выкананне запыту на працягу 15 працоўных дзён.
• Недыскрымінацыю карыстальнікаў, якія рэалізуюць гэта права (напрыклад, пагаршэннем іх вопыту).

Global Privacy Control (GPC)

Global Privacy Control — гэта сігнал на ўзроўні браўзера, які карыстальнікі могуць уключыць, каб аўтаматычна паведамляць аб сваім перавагах opt-out кожнаму наведванаму сайту. Асноўныя браўзеры, уключаючы Firefox і Brave, падтрымліваюць GPC натыўна, а браўзерныя пашырэнні дадаюць падтрымку ў Chrome і іншыя.

Згодна з правіламі CPRA, прадпрыемствы абавязаны выконваць сігналы GPC як сапраўдны запыт opt-out. Гэта мае значныя практычныя наступствы:

• Ваш сайт павінен умець выяўляць HTTP-загаловак Sec-GPC: 1 або JavaScript-уласцівасць navigator.globalPrivacyControl.
• Пры выяўленні вы павінны разглядаць гэта як эквівалент кліку карыстальніка па «Не прадаваць і не перадаваць».
• Старонніх файлы cookie, якія выкарыстоўваюцца для рэкламы, павінны быць падаўлены для гэтых карыстальнікаў.

Прыняцце GPC няўхільна расце. Па ацэнках, ад 5 да 10 працэнтаў вэб-трафіку цяпер нясе сігнал GPC, і гэты працэнт вышэйшы сярод карыстальнікаў, якія клапоцяцца аб прыватнасці, у Каліфорніі.

Калі вам сапраўды патрэбны банер cookie для Каліфорніі?

Менавіта тут многія прадпрыемствы блытаюцца. Строга кажучы, CCPA/CPRA не патрабуе банера згоды на cookie ў еўрапейскім стылі з-за мадэлі opt-out. Аднак вам сапраўды патрэбны:

• Лёгкадаступная спасылка «Не прадаваць і не перадаваць».
• Механізм падаўлення перадачы даных трэцім бакам, калі карыстальнік адмаўляецца або адпраўляе сігнал GPC.
• Палітыка прыватнасці, якая раскрывае катэгорыі збіранай персанальнай інфармацыі, мэты і трэція бакі, з якімі перадаюцца даныя.
• Для сайтаў, якія таксама абслугоўваюць еўрапейскіх наведвальнікаў, — адпаведны GDPR банер згоды, які можа суіснаваць з механізмам opt-out CCPA.

На практыцы большасць сайтаў, якія абслугоўваюць як еўрапейскую, так і каліфарнійскую аўдыторыю, укараняюць адзіны інтэрфейс згоды, які адаптуе сваё паводзіны ў залежнасці ад месцазнаходжання наведвальніка. Гэта дазваляе пазбегнуць падтрымкі дзвюх цалкам асобных сістэм згоды.

Практычныя меркаванні па ўкараненні

Укараненне адпаведнасці CCPA/CPRA разам з адпаведнасцю GDPR стварае задачу двайнога рэжыму. Ваша платформа кіравання згодай павінна:

1. Дакладна вызначаць месцазнаходжанне наведвальніка з дапамогай геалакацыі на аснове IP.
2. Прымяняць правільную прававую сістэму — opt-in для наведвальнікаў з ЕЭЗ/Вялікабрытаніі, opt-out для наведвальнікаў з Каліфорніі і, магчыма, адсутнасць патрабаванняў для наведвальнікаў з іншых рэгіёнаў.
3. Кіраваць спасылкай «Не прадаваць і не перадаваць» для наведвальнікаў з Каліфорніі, альбо ўнутры банера, альбо як асобны элемент старонкі.
4. Выяўляць і выконваць сігналы GPC да ўсталявання любых староннях файлаў cookie.
5. Адпаведна кантраляваць паводзіны файлаў cookie — блакіруючы старонніх рэкламныя файлы cookie для карыстальнікаў, якія адмовіліся, пры гэтым дазваляючы працягваць працу ўласнай аналітыкі.

Тэхнічная рэалізацыя таксама павінна ўлічваць адрозненне паміж уласнымі аналітычнымі файламі cookie (як правіла, дапушчальнымі згодна з CCPA/CPRA у якасці бізнес-мэты) і стороннімі рэкламнымі файламі cookie (якія ўяўляюць сабой перадачу і падлягаюць opt-out).

Геатаргетынг FlexyConsent для наведвальнікаў з Каліфорніі

FlexyConsent вырашае задачу двайнога рэжыму з дапамогай аўтаматычнага геатаргетынгу. Калі наведвальнік з Каліфорніі заходзіць на ваш сайт, FlexyConsent карэктуе сваё паводзіны ў адпаведнасці з патрабаваннямі CCPA/CPRA:

• Актывацыя рэжыму opt-out: замест блакіравання ўсіх файлаў cookie загадзя FlexyConsent прыкметна адлюстроўвае патрабуемую опцыю «Не прадаваць і не перадаваць маю персанальную інфармацыю».
• Выяўленне сігналу GPC: FlexyConsent аўтаматычна правярае наяўнасць сігналу Global Privacy Control і пры яго наяўнасці падаўляе перадачу даных трэцім бакам, не патрабуючы ніякага ўзаемадзеяння з карыстальнікам.
• Блакіраванне з улікам катэгорый: калі карыстальнік з Каліфорніі адмаўляецца, FlexyConsent выбарачна блакіруе рэкламныя і міжсайтавыя файлы cookie адсочвання, захоўваючы пры гэтым функцыянальнасць уласнай аналітыкі, якая падпадае пад выключэнне для бізнес-мэты.
• Бясшвовае суіснаванне з GDPR: адна і тая ж устаноўка FlexyConsent апрацоўвае абедзве сістэмы. Еўрапейскія наведвальнікі бачаць адпаведны GDPR банер opt-in з гранулярнымі элементамі кіравання катэгорыямі. Наведвальнікі з Каліфорніі бачаць адпаведны механізм opt-out. Наведвальнікі з нерэгуляваных рэгіёнаў атрымліваюць мінімальнае апавяшчэнне або наогул не бачаць банера, у залежнасці ад вашай канфігурацыі.

Як сертыфікаваная Google CMP, якая падтрымлівае IAB TCF 2.3 і Consent Mode V2, FlexyConsent гарантуе, што сігналы згоды правільна перадаюцца сэрвісам Google незалежна ад таго, якая прававая сістэма прымяняецца. Гэта азначае, што вашы канфігурацыі Google Analytics і Google Ads працуюць карэктна як для згодных еўрапейскіх карыстальнікаў, так і для неадмовіўшыхся карыстальнікаў з Каліфорніі.

Ключавы вывад: каліфарнійская мадэль opt-out можа здацца менш абмежавальнай, чым падыход opt-in GDPR, але практычныя патрабаванні — асабліва вакол сігналаў GPC і шырокага вызначэння «перадачы» — азначаюць, што большасці сайтаў, якія падтрымліваюцца рэкламай, патрэбна складанае рашэнне для кіравання згодай. Укараненне геатаргетаванай згоды, якая адаптуецца да абедзвюх сістэм, значна надзейней, чым спроба прымяніць адзіны падыход глабальна.