Memahami Kerangka Privasi California

California memimpin Amerika Serikat dalam legislasi privasi konsumen, dan undang-undangnya memengaruhi situs web di seluruh dunia. California Consumer Privacy Act (CCPA), yang secara signifikan diubah oleh California Privacy Rights Act (CPRA) yang berlaku efektif sejak Januari 2023, menciptakan kewajiban bagi setiap bisnis yang mengumpulkan informasi pribadi dari penduduk California — terlepas dari di mana bisnis tersebut secara fisik berlokasi.

Bagi pemilik situs web, implikasi praktisnya berpusat pada cookie, teknologi pelacakan, dan bagaimana data pengguna dibagikan dengan pihak ketiga. Meskipun model California berbeda secara fundamental dari GDPR Eropa, model ini tetap memerlukan perhatian cermat terhadap mekanisme persetujuan dan hak-hak pengguna.

CCPA/CPRA: Siapa yang Tercakup?

Undang-undang ini berlaku untuk bisnis yang berorientasi laba yang memenuhi salah satu dari ambang berikut:

• Pendapatan kotor tahunan melebihi $25 juta.
• Membeli, menjual, atau membagikan informasi pribadi 100.000 atau lebih penduduk, rumah tangga, atau perangkat di California setiap tahun.
• Memperoleh 50 persen atau lebih pendapatan tahunan dari menjual atau membagikan informasi pribadi penduduk California.

Ambang kedua sangat penting bagi situs web dengan periklanan. Jika situs Anda menggunakan cookie pihak ketiga untuk iklan bertarget dan menerima lalu lintas California yang signifikan, Anda mungkin memproses data jauh lebih dari 100.000 pengguna California setiap tahun hanya melalui cookie tersebut.

Opt-Out vs Opt-In: Perbedaan Fundamental dari GDPR

Ini adalah perbedaan paling krusial yang perlu dipahami oleh pengelola situs web. Di bawah GDPR, default-nya adalah opt-in: Anda tidak boleh memasang cookie non-esensial sampai pengguna secara aktif memberikan persetujuan. Di bawah CCPA/CPRA, default-nya adalah opt-out: Anda boleh memproses informasi pribadi (termasuk melalui cookie) sampai pengguna meminta Anda untuk berhenti.

Ini berarti pengalaman persetujuan bagi pengunjung California tampak sangat berbeda:

• Pendekatan GDPR: Blokir semua cookie non-esensial. Tampilkan banner. Tunggu persetujuan tegas. Baru setelah itu cookie boleh dipasang.
• Pendekatan CCPA/CPRA: Cookie boleh dipasang secara default. Sediakan tautan yang jelas dan mencolok "Do Not Sell or Share My Personal Information". Ketika pengguna menggunakan hak ini, hentikan pembagian data mereka dengan pihak ketiga.

Namun, ada pengecualian penting. Untuk anak di bawah 16 tahun, CCPA/CPRA beralih ke model opt-in — Anda harus memperoleh persetujuan tegas sebelum menjual atau membagikan informasi pribadi mereka. Untuk anak di bawah 13 tahun, orang tua atau wali harus memberikan persetujuan tersebut.

Persyaratan "Do Not Sell or Share"

CPRA memperluas hak "Do Not Sell" dalam CCPA asli menjadi mencakup "sharing" — yang secara khusus menargetkan jenis pertukaran data yang terjadi melalui cookie iklan pihak ketiga. Ketika pengguna mengunjungi situs Anda dan cookie Anda mengirimkan data penelusuran mereka ke jaringan iklan, hal itu merupakan sharing di bawah CPRA, bahkan jika tidak ada uang yang berpindah tangan secara langsung.

Kewajiban Anda mencakup:

• Tautan yang jelas berjudul "Do Not Sell or Share My Personal Information" di beranda dan dalam kebijakan privasi Anda.
• Mekanisme bagi pengguna untuk menggunakan hak ini dengan mudah, tanpa perlu membuat akun.
• Menghormati permintaan tersebut dalam waktu 15 hari kerja.
• Tidak mendiskriminasi pengguna yang menggunakan hak ini (misalnya, dengan menurunkan kualitas pengalaman mereka).

Global Privacy Control (GPC)

Global Privacy Control adalah sinyal pada tingkat browser yang dapat diaktifkan pengguna untuk secara otomatis mengomunikasikan preferensi opt-out mereka ke setiap situs web yang mereka kunjungi. Browser utama termasuk Firefox dan Brave mendukung GPC secara native, dan ekstensi browser menambahkan dukungan ke Chrome dan lainnya.

Di bawah regulasi CPRA, bisnis wajib menghormati sinyal GPC sebagai permintaan opt-out yang sah. Ini memiliki implikasi praktis yang signifikan:

• Situs web Anda harus dapat mendeteksi header HTTP Sec-GPC: 1 atau properti JavaScript navigator.globalPrivacyControl.
• Ketika terdeteksi, Anda harus memperlakukannya setara dengan pengguna yang mengklik "Do Not Sell or Share."
• Cookie pihak ketiga yang digunakan untuk periklanan harus ditekan (disuppress) untuk pengguna ini.

Adopsi GPC terus tumbuh. Perkiraan menunjukkan bahwa 5 hingga 10 persen lalu lintas web kini membawa sinyal GPC, dan persentase ini lebih tinggi di kalangan pengguna yang sadar privasi di California.

Kapan Anda Benar-Benar Memerlukan Banner Cookie untuk California?

Di sinilah banyak bisnis menjadi bingung. Secara ketat, CCPA/CPRA tidak mewajibkan banner persetujuan cookie bergaya Eropa karena model opt-out. Namun, Anda memang memerlukan:

• Tautan "Do Not Sell or Share" yang mudah diakses.
• Mekanisme untuk menekan pembagian data pihak ketiga ketika pengguna melakukan opt-out atau mengirim sinyal GPC.
• Kebijakan privasi yang mengungkapkan kategori informasi pribadi yang dikumpulkan, tujuan penggunaannya, dan pihak ketiga yang menerima data tersebut.
• Untuk situs yang juga melayani pengunjung Eropa, banner persetujuan yang sesuai GDPR yang dapat hidup berdampingan dengan mekanisme opt-out CCPA.

Dalam praktiknya, sebagian besar situs web yang melayani audiens Eropa dan California menerapkan antarmuka persetujuan terpadu yang menyesuaikan perilakunya berdasarkan lokasi pengunjung. Ini menghindari kebutuhan memelihara dua sistem persetujuan yang sepenuhnya terpisah.

Pertimbangan Implementasi Praktis

Menerapkan kepatuhan CCPA/CPRA bersamaan dengan kepatuhan GDPR menciptakan tantangan mode ganda. Platform manajemen persetujuan Anda perlu:

1. Mendeteksi lokasi pengunjung secara akurat menggunakan geolokasi berbasis IP.
2. Menerapkan kerangka hukum yang tepat — opt-in untuk pengunjung EEA/UK, opt-out untuk pengunjung California, dan berpotensi tanpa persyaratan untuk pengunjung dari wilayah lain.
3. Mengelola tautan "Do Not Sell or Share" untuk pengunjung California, baik di dalam banner maupun sebagai elemen halaman terpisah.
4. Mendeteksi dan menghormati sinyal GPC sebelum cookie pihak ketiga apa pun dipasang.
5. Mengendalikan perilaku cookie sesuai — memblokir cookie iklan pihak ketiga untuk pengguna yang telah opt-out sambil tetap mengizinkan analitik pihak pertama berjalan.

Implementasi teknis juga harus memperhitungkan perbedaan antara cookie analitik pihak pertama (umumnya diperbolehkan di bawah CCPA/CPRA sebagai business purpose) dan cookie iklan pihak ketiga (yang merupakan sharing dan tunduk pada opt-out).

Geo-Targeting FlexyConsent untuk Pengunjung California

FlexyConsent menangani tantangan mode ganda melalui geo-targeting otomatis. Ketika pengunjung California tiba di situs Anda, FlexyConsent menyesuaikan perilakunya agar sesuai dengan persyaratan CCPA/CPRA:

• Aktivasi mode opt-out: Alih-alih memblokir semua cookie di awal, FlexyConsent menampilkan opsi "Do Not Sell or Share My Personal Information" secara menonjol.
• Deteksi sinyal GPC: FlexyConsent secara otomatis memeriksa sinyal Global Privacy Control dan, ketika ada, menekan pembagian data pihak ketiga tanpa memerlukan interaksi pengguna.
• Pemblokiran berbasis kategori: Ketika pengguna California melakukan opt-out, FlexyConsent secara selektif memblokir cookie iklan dan pelacakan lintas situs sambil mempertahankan fungsionalitas analitik pihak pertama yang termasuk dalam pengecualian business purpose.
• Koeksistensi mulus dengan GDPR: Instalasi FlexyConsent yang sama menangani kedua kerangka. Pengunjung Eropa melihat banner opt-in yang sesuai GDPR dengan kontrol kategori yang terperinci. Pengunjung California melihat mekanisme opt-out yang sesuai. Pengunjung dari wilayah yang tidak diatur menerima pemberitahuan minimal atau tanpa banner sama sekali, tergantung pada konfigurasi Anda.

Sebagai Google-certified CMP yang mendukung IAB TCF 2.3 dan Consent Mode V2, FlexyConsent memastikan bahwa sinyal persetujuan dikomunikasikan dengan benar ke layanan Google apa pun kerangka hukum yang berlaku. Ini berarti konfigurasi Google Analytics dan Google Ads Anda berfungsi dengan benar baik untuk pengguna Eropa yang telah opt-in maupun pengguna California yang belum opt-out.

Inti penting: Model opt-out California mungkin tampak kurang ketat dibandingkan pendekatan opt-in GDPR, tetapi persyaratan praktis — khususnya terkait sinyal GPC dan definisi luas tentang "sharing" — berarti sebagian besar situs web yang didukung iklan memerlukan solusi manajemen persetujuan yang canggih. Menerapkan persetujuan berbasis geo-targeting yang beradaptasi dengan kedua kerangka jauh lebih andal daripada mencoba menerapkan satu pendekatan secara global.