رضایت کوکی طبق CCPA و CPRA: قانون حریم خصوصی کالیفرنیا چه معنایی برای وبسایت شما دارد؟
درک چارچوب حریم خصوصی کالیفرنیا
ایالت کالیفرنیا در ایالات متحده پیشتاز قانونگذاری در حوزه حریم خصوصی مصرفکننده بوده و قوانین آن بر وبسایتهای سراسر جهان اثر میگذارد. قانون حریم خصوصی مصرفکننده کالیفرنیا (CCPA) که بهطور قابلتوجهی توسط قانون حقوق حریم خصوصی کالیفرنیا (CPRA) – که از ژانویه ۲۰۲۳ لازمالاجرا شده – اصلاح شده است، برای هر کسبوکاری که از ساکنان کالیفرنیا اطلاعات شخصی جمعآوری میکند، صرفنظر از محل استقرار فیزیکی آن کسبوکار، تعهداتی ایجاد میکند.
برای مالکان ��بسایت، پیامدهای عملی این قوانین عمدتاً حول کوکیها، فناوریهای ردیابی و نحوه اشتراکگذاری دادههای کاربر با اشخاص ثالث میچرخد. اگرچه مدل کالیفرنیا از اساس با GDPR اروپا متفاوت است، همچنان نیازمند توجه دقیق به سازوکارهای رضایت و حقوق کاربران است.
CCPA/CPRA: چه کسانی مشمول میشوند؟
این قانون برای کسبوکارهای انتفاعی که هر یک از آستانههای زیر را برآورده کنند اعمال میشود:
- درآمد ناخالص سالانه بیش از ۲۵ میلیون دلار.
- خرید، فروش یا اشتراکگذاری اطلاعات شخصی ۱۰۰٬۰۰۰ نفر یا بیشتر از ساکنان، خانوارها یا دستگاههای کالیفرنیا در سال.
- کسب ۵۰ درصد یا بیشتر از درآمد سالانه از فروش یا اشتراکگذاری اطلاعات شخصی ساکنان کالیفرنیا.
آستانه دوم بهویژه برای وبسایتهای دارای تبلیغات اهمیت دارد. اگر وبسایت شما برای تبلیغات هدفمند از کوکیهای شخص ثالث استفاده میکند و ترافیک قابلتوجهی از کالیفرنیا دارد، ممکن است تنها از طریق همین کوکیها، دادههای بیش از ۱۰۰٬۰۰۰ کاربر کالیفرنیایی را در سال پردازش کنید.
انصراف (Opt-Out) در برابر رضایت (Opt-In): تفاوت بنیادی با GDPR
این مهمترین تفاوتی است که گردانندگان وبسایت باید درک کنند. تحت GDPR، وضعیت پیشفرض opt-in است: شما نمیتوانید تا زمانی که کاربر بهطور فعال رضایت نداده، کوکیهای غیرضروری را تنظیم کنید. تحت CCPA/CPRA، وضعیت پیشفرض opt-out است: شما میتوانید اطلاعات شخصی (از جمله از طریق کوکیها) را پردازش کنید تا زمانی که کاربر به شما بگوید متوقف شوید.
این موضوع باعث میشود تجربه رضایت برای بازدیدکنندگان کالیفرنیا بهطور بنیادی متفاوت باشد:
- رویکرد GDPR: مسد��د کردن همه کوکیهای غیرضروری. نمایش یک بنر. انتظار برای رضایت صریح. و سپس تنظیم کوکیها.
- رویکرد CCPA/CPRA: کوکیها میتوانند بهطور پیشفرض تنظیم شوند. ارائه یک لینک واضح و برجسته با عنوان «Do Not Sell or Share My Personal Information». زمانی که کاربر از این حق استفاده میکند، اشتراکگذاری داده او با اشخاص ثالث را متوقف کنید.
با این حال، استثناهای مهمی وجود دارد. برای افراد زیر ۱۶ سال، CCPA/CPRA به مدل opt-in تغییر میکند — شما باید پیش از فروش یا اشتراکگذاری اطلاعات شخصی آنها، رضایت صریح دریافت کنید. برای کودکان زیر ۱۳ سال، والد یا قیم باید این رضایت را ارائه کند.
الزام «Do Not Sell or Share»
CPRA حق «Do Not Sell» در CCPA اصلی را گسترش داد و «sharing» را نیز در بر گرفت — که بهطور خاص نوع تبادل دادهای را هدف میگیرد که از طریق کوکیهای تبلیغاتی ش��ص ثالث رخ میدهد. وقتی کاربری از وبسایت شما بازدید میکند و کوکیهای شما دادههای مرور او را به شبکههای تبلیغاتی ارسال میکنند، این عمل تحت CPRA sharing محسوب میشود، حتی اگر هیچ پولی مستقیماً رد و بدل نشود.
تعهدات شما شامل موارد زیر است:
- قرار دادن لینکی واضح با عنوان «Do Not Sell or Share My Personal Information» در صفحه اصلی و در سیاست حریم خصوصی.
- فراهم کردن سازوکاری برای استفاده آسان کاربران از این حق، بدون نیاز به ایجاد حساب کاربری.
- اجرای درخواست ظرف مدت ۱۵ روز کاری.
- عدم تبعیض علیه کاربرانی که از این حق استفاده میکنند (برای مثال، با کاهش کیفیت تجربه آنها).
Global Privacy Control (GPC)
Global Privacy Control یک سیگنال در سطح مرورگر است که کاربران میتوانند آن را فعال کنند تا ترجیح انصراف خود را بهطور خودکار به هر وبسایتی که بازدید میکنند، منتقل کند. مرورگرهای مهمی مانند Firefox و Brave بهصورت بومی از GPC پشتیبانی میکنند و افزونههای مرورگر این پشتیبانی را به Chrome و سایر مرورگرها اضافه میکنند.
طبق مقررات CPRA، کسبوکارها باید سیگنالهای GPC را بهعنوان یک درخواست معتبر انصراف به رسمیت بشناسند. این موضوع پیامدهای عملی مهمی دارد:
- وبسایت شما باید قادر به شناسایی هدر HTTP با مقدار
Sec-GPC: 1یا ویژگی JavaScript با نامnavigator.globalPrivacyControlباشد. - در صورت شناسایی، باید آن را معادل کلیک کاربر روی «Do Not Sell or Share» تلقی کنید.
- کوکیهای شخص ثالث مورد استفاده برای تبلیغات باید برای این کاربران غیرفعال شوند.
میزان استفاده از GPC بهطور پیوسته در حال افزایش است. برآوردها نشان میدهد که اکنون ۵ تا ۱۰ درصد ترافیک وب حاوی سیگنال GPC است و این درصد در میان کار��ران حساس به حریم خصوصی در کالیفرنیا بالاتر است.
چه زمانی واقعاً به بنر کوکی برای کالیفرنیا نیاز دارید؟
در این نقطه بسیاری از کسبوکارها دچار سردرگمی میشوند. از نظر دقیق حقوقی، CCPA/CPRA به دلیل مدل opt-out، الزاماً نیاز به یک بنر رضایت کوکی به سبک اروپا ندارد. با این حال، شما نیاز دارید به:
- یک لینک «Do Not Sell or Share» که بهراحتی قابل دسترسی باشد.
- سازوکاری برای متوقف کردن اشتراکگذاری داده با اشخاص ثالث زمانی که کاربر انصراف میدهد یا سیگنال GPC ارسال میکند.
- یک سیاست حریم خصوصی که دستههای اطلاعات شخصی جمعآوریشده، اهداف استفاده و اشخاص ثالثی که داده با آنها به اشتراک گذاشته میشود را افشا کند.
- برای وبسایتهایی که به بازدیدکنندگان اروپایی نیز خدمت میدهند، یک بنر رضایت مطابق GDPR که بتواند در کنار سازوکار opt-out تحت CCPA عمل کند.
در عمل، بیشتر وبسایتهایی که هم به مخاطبان اروپایی و هم کالیفرنیایی خدمت میدهند، یک رابط رضایت یکپارچه پیادهسازی میکنند که رفتار خود را بر اساس موقعیت جغرافیایی بازدیدکننده تطبیق میدهد. این کار از نگهداری دو سیستم رضایت کاملاً جداگانه جلوگیری میکند.
ملاحظات عملی در پیادهسازی
پیادهسازی انطباق با CCPA/CPRA در کنار انطباق با GDPR یک چالش دوحالته ایجاد میکند. پلتفرم مدیریت رضایت شما باید بتواند:
- موقعیت جغرافیایی بازدیدکننده را با دقت و با استفاده از مکانیابی مبتنی بر IP تشخیص دهد.
- چارچوب حقوقی صحیح را اعمال کند — مدل opt-in برای بازدیدکنندگان EEA/UK، مدل opt-out برای بازدیدکنندگان کالیفرنیا و احتمالاً بدون الزام خاص برای بازدیدکنندگان سایر مناطق.
- لینک «Do Not Sell or Share» ر�� برای بازدیدکنندگان کالیفرنیا مدیریت کند، چه درون بنر و چه بهعنوان یک عنصر مستقل در صفحه.
- سیگنالهای GPC را پیش از تنظیم هر کوکی شخص ثالث شناسایی و رعایت کند.
- رفتار کوکیها را متناسباً کنترل کند — مسدود کردن کوکیهای تبلیغاتی شخص ثالث برای کاربرانی که انصراف دادهاند، در حالی که اجازه ادامه استفاده از تحلیلهای مبتنی بر کوکیهای شخص اول را میدهد.
پیادهسازی فنی همچنین باید تفاوت میان کوکیهای تحلیلی شخص اول (که عموماً تحت CCPA/CPRA بهعنوان «business purpose» مجاز تلقی میشوند) و کوکیهای تبلیغاتی شخص ثالث (که «sharing» محسوب شده و مشمول حق انصراف هستند) را در نظر بگیرد.
Geo-Targeting برای بازدیدکنندگان کالیفرنیا در FlexyConsent
FlexyConsent چالش دوحالته را از طریق geo-targeting خودکار مدیریت میکند. زمانی که یک بازدیدکننده از کالیفرنیا وارد وبسایت شما میشود، FlexyConsent رفتار خود را برای تطبیق با الزامات CCPA/CPRA تنظیم میکند:
- فعالسازی حالت opt-out: بهجای مسدود کردن همه کوکیها در ابتدا، FlexyConsent گزینه «Do Not Sell or Share My Personal Information» را بهطور برجسته نمایش میدهد.
- شناسایی سیگنال GPC: FlexyConsent بهطور خودکار سیگنال Global Privacy Control را بررسی میکند و در صورت وجود، بدون نیاز به هیچ تعامل کاربری، اشتراکگذاری داده با اشخاص ثالث را متوقف میکند.
- مسدودسازی آگاه از دستهبندی: وقتی یک کاربر کالیفرنیایی انصراف میدهد، FlexyConsent بهصورت انتخابی کوکیهای تبلیغاتی و ردیابی بینسایتی را مسدود میکند، در حالی که قابلیت تحلیل شخص اولی را که ذیل معافیت business purpose قرار میگیرد حفظ میکند.
- همزیستی بیدردسر با GDPR: همان نصب FlexyConsent هر دو چارچوب را مدیریت میکند. بازدیدکنندگان اروپایی یک بنر opt-in مطابق GDPR با کنترلهای جزئی بر دسته��ا میبینند. بازدیدکنندگان کالیفرنیا سازوکار opt-out مناسب را مشاهده میکنند. بازدیدکنندگان از مناطق بدون مقررات خاص، بسته به پیکربندی شما، یک اعلان حداقلی یا هیچ بنری دریافت نمیکنند.
بهعنوان یک Google-certified CMP که از IAB TCF 2.3 و Consent Mode V2 پشتیبانی میکند، FlexyConsent اطمینان میدهد که سیگنالهای رضایت، صرفنظر از چارچوب حقوقی حاکم، بهدرستی به سرویسهای Google منتقل میشوند. این بدان معناست که پیکربندیهای Google Analytics و Google Ads شما هم برای کاربران اروپایی که opt-in کردهاند و هم برای کاربران کالیفرنیایی که opt-out نکردهاند، بهدرستی کار میکند.
نکته کلیدی: مدل opt-out کالیفرنیا ممکن است در ظاهر کمتر از رویکرد opt-in در GDPR محدودکننده به نظر برسد، اما الزامات عملی — بهویژه در مورد سیگنالهای GPC و تعریف گسترده «sharing» ��� باعث میشود که بیشتر وبسایتهای مبتنی بر تبلیغات به یک راهحل پیشرفته مدیریت رضایت نیاز داشته باشند. پیادهسازی رضایت geo-targeted که خود را با هر دو چارچوب تطبیق میدهد، بسیار قابلاعتمادتر از تلاش برای اعمال یک رویکرد واحد در سطح جهانی است.