Разбиране на калифорнийската рамка за поверителност

Калифорния е водещ щат в Съединените щати по отношение на законодателството за защита на потребителските данни и нейните закони засягат уебсайтове по целия свят. California Consumer Privacy Act (CCPA), значително изменен от California Privacy Rights Act (CPRA), в сила от януари 2023 г., създава задължения за всеки бизнес, който събира лични данни от жители на Калифорния — независимо къде физически се намира този бизнес.

За собствениците на уебсайтове практическите последици се концентрират върху бисквитките, технологиите за проследяване и начина, по който потребителските данни се споделят с трети страни. Макар калифорнийският модел да се различава фундаментално от европейския GDPR, той все пак изисква внимателен подход към механизмите за съгласие и правата на потребителите.

CCPA/CPRA: За кого се прилага?

Законът се прилага за търговски предприятия с цел печалба, които отговарят на поне един от следните прагове:

• Годишни брутни приходи над 25 милиона щатски долара.
• Купуване, продаване или споделяне на лична информация на 100 000 или повече жители на Калифорния, домакинства или устройства годишно.
• Получаване на 50 процента ��ли повече от годишните приходи от продажба или споделяне на лична информация на жители на Калифорния.

Вторият праг е особено важен за уебсайтове с реклама. Ако вашият сайт използва бисквитки на трети страни за таргетирана реклама и получава значителен трафик от Калифорния, е възможно да обработвате данните на много над 100 000 потребители от Калифорния годишно само чрез тези бисквитки.

Opt-out срещу opt-in: Основната разлика с GDPR

Това е най-критичната разлика, която операторите на уебсайтове трябва да разберат. При GDPR по подразбиране се прилага opt-in: не можете да задавате неесенциални бисквитки, докато потребителят изрично не даде съгласие. При CCPA/CPRA по подразбиране се прилага opt-out: можете да обработвате лична информация (включително чрез бисквитки), докато потребителят не ви каже да спрете.

Това означава, че изживяването, свързано със съгласието, за посетителите от Калифорния изглежда фундаментално различно:

• Подход по GDPR: Блокиране на всички неесенциални бисквитки. Показване на банер. Изчакване на изрично съгласие. Едва след това се задават бисквитки.
• Подход по CCPA/CPRA: Бисквитките могат да се задават по подразбиране. Осигурява се ясен и видим линк "Do Not Sell or Share My Personal Information". Когато потребителят упражни това право, спирате да споделяте данните му с трети страни.

Има обаче важни изключения. За непълнолетни под 16 години CCPA/CPRA преминава към opt-in модел — трябва да получите изрично съгласие, пре��и да продавате или споделяте тяхната лична информация. За деца под 13 години това съгласие трябва да бъде дадено от родител или настойник.

Изискването „Do Not Sell or Share“

CPRA разшири първоначалното право по CCPA „Do Not Sell“ („Не продавай“) така, че да включва и „sharing“ („споделяне“) — което конкретно обхваща вида обмен на данни, който се случва чрез рекламни бисквитки на трети страни. Когато потребител посети вашия сайт и вашите бисквитки изпратят данните за неговото сърфиране към рекламни мрежи, това представлява sharing по смисъла на CPRA, дори ако директно не се разменят пари.

Вашите задължения включват:

• Ясен линк със заглавие "Do Not Sell or Share My Personal Information" на началната страница и в политиката за поверителност.
• Ме��анизъм, чрез който потребителите лесно да упражнят това право, без да се изисква създаване на акаунт.
• Уважаване на заявката в рамките на 15 работни дни.
• Без дискриминация спрямо потребители, които упражняват това право (например чрез влошаване на потребителското изживяване).

Global Privacy Control (GPC)

Global Privacy Control е сигнал на ниво браузър, който потребителите могат да активират, за да комуникират автоматично своето предпочитание за отказ към всеки уебсайт, който посещават. Основни браузъри като Firefox и Brave поддържат GPC нативно, а разширения за браузър добавят поддръжка към Chrome и други.

Съгласно регулациите по CPRA бизнесите трябва да уважават GPC сигналите като валидна заявка за отказ. Това има значителни практически последици:

• Вашият уебсайт трябва да може да засича HTTP хедъра Sec-GPC: 1 или JavaScript свойството navigator.globalPrivacyControl.
• При засичане трябва да го третирате като еквивалент на това потребителят да е кликнал „Do Not Sell or Share“.
• Бисквитките на трети страни, използвани за реклама, трябва да бъдат потиснати за тези потребители.

Приемането на GPC нараства стабилно. Оценките сочат, че 5 до 10 процента от уеб трафика вече носи GPC сигнал, а този процент е по-висок сред потребителите, загрижени за поверителността, в Калифорния.

Кога всъщност ви е необходим банер за бисквитки за Калифорния?

Тук много бизнеси се объркват. Строго погледнато, CCPA/CPRA не изисква банер за съгласие за бисквитки в европейски стил поради opt-out модела. Въпре��и това, вие имате нужда от:

• Линк "Do Not Sell or Share", който е лесно достъпен.
• Механизъм за потискане на споделянето на данни с трети страни, когато потребител се откаже или изпрати GPC сигнал.
• Политика за поверителност, която разкрива категориите събирана лична информация, целите и третите страни, с които се споделят данните.
• За сайтове, които обслужват и европейски посетители — банер за съгласие, съвместим с GDPR, който може да съществува заедно с opt-out механизма по CCPA.

На практика повечето уебсайтове, които обслужват както европейска, така и калифорнийска аудитория, прилагат унифициран интерфейс за съгласие, който адаптира поведението си според местоположението на посетителя. Това избягва нео��ходимостта от поддържане на две напълно отделни системи за съгласие.

Практически съображения при внедряване

Внедряването на съответствие с CCPA/CPRA заедно със съответствие с GDPR създава предизвикателство с двоен режим. Вашата платформа за управление на съгласието трябва да може да:

1. Засича местоположението на посетителя точно, използвайки IP-базирана геолокация.
2. Прилага правилната правна рамка — opt-in за посетители от ЕИП/Обединеното кралство, opt-out за посетители от Калифорния и потенциално липса на изисквания за посетители от други региони.
3. Управлява линка „Do Not Sell or Share“ за посетители от Калифорния, било в рамките на банера, било като самостоятелен елемент на страницата.
4. Засича и уважава GPC сигналите преди да бъдат зададени каквито и да е бисквитки на трети страни.
5. Контролира поведението на бисквитките съответно — блокира рекламните бисквитки на трети страни за потребители, които са се отказали, като същевременно позволява продължаване на първостранната аналитика.

Техническото внедряване трябва също да отчита разликата между първостранни аналитични бисквитки (по принцип допустими по CCPA/CPRA като бизнес цел) и рекламни бисквитки на трети страни (които представляват sharing и подлежат на opt-out).

FlexyConsent гео-таргетиране за посетители от Калифорния

FlexyConsent решава предизвикателството с двоен режим чрез автоматично гео-таргетиране. Когато посетител от Калифорния пристигне на вашия сайт, FlexyConsent адаптира поведението си към изискванията на CCPA/CPRA:

• Активиране на opt-out режим: Вместо да блокира всички бисквитки предварително, FlexyConsent показва видимо изискваната опция "Do Not Sell or Share My Personal Information".
• Засичане на GPC сигнал: FlexyConsent автоматично проверява за Global Privacy Control сигнал и, когато е налице, потиска споделянето на данни с трети страни, без да изисква каквото и да е действие от потребителя.
• Блокиране по категории: Когато потребител от Калифорния се откаже, FlexyConsent селективно блокира рекламните и cross-site tracking бисквитките, като запазва функционалността на първостранната аналитика, която попада в изключението за бизнес цел.
• Безпроблемно съвместно съществуване с GDPR: Една и съща инсталация на FlexyConsent обслужва и двете рамки. Европейските посетители виждат GDPR-съвместим opt-in банер с детайлни контролни категории. Посетителите от Калифорния виждат подходящия opt-out механизъм. Посетителите от нерегулирани региони получават минимално известие или изобщо нямат банер, в зависимост от вашата конфигурация.

Като Google-certified CMP с поддръжка на IAB TCF 2.3 и Consent Mode V2, FlexyConsent гарантира, че сигналите за съгласие се комуникират правилно към услугите на Google, независимо коя правна рамка се прилага. Това означава, че вашите конфигурации на Google Analytics и Google Ads работят коректно както за европейски потребители, които са дали съгласие, така и за потребители от Калифорния, които не са се отказали.

Осн��вен извод: Opt-out моделът на Калифорния може да изглежда по-малко рестриктивен от opt-in подхода на GDPR, но практическите изисквания — особено около GPC сигналите и широкото определение на „sharing“ — означават, че повечето уебсайтове, финансирани от реклама, се нуждаят от усъвършенствано решение за управление на съгласието. Внедряването на гео-таргетирано съгласие, което се адаптира към двете рамки, е много по-надеждно от опита да се приложи един-единствен подход в глобален мащаб.