Að skilja persónuverndarkerfi Kaliforníu

Kalifornía hefur verið leiðandi í Bandaríkjunum í löggjöf um persónuvernd neytenda og lögin hafa áhrif á vefsíður um allan heim. California Consumer Privacy Act (CCPA), sem var verulega breytt með California Privacy Rights Act (CPRA) sem tók gildi í janúar 2023, setur skyldur á hvaða fyrirtæki sem safnar persónuupplýsingum íbúa Kaliforníu — óháð því hvar fyrirtækið er staðsett líkamlega.

Fyrir eigendur vefsíðna snúast hagnýtar afleiðingar fyrst og fremst um vafrakökur, rakningartækni og hvernig notendagögnum er deilt með þriðju aðilum. Þótt fyrirmynd Kaliforníu sé í grundvallaratriðum ólík evrópsku GDPR, krefst hún engu að síður vandlegrar athygli á samþykkismekanismum og réttindum notenda.

CCPA/CPRA: Hverjir falla undir lögin?

Lögin gilda um hagnaðardrifin fyrirtæki sem uppfylla a.m.k. eitt af eftirfarandi viðmiðum:

• Árstekjur yfir 25 milljónir Bandaríkjadala.
• Kaup, sala eða miðlun persónuupplýsinga 100.000 eða fleiri íbúa Kaliforníu, heimila eða tækja á ári.
• Að 50 prósent eða meira af árstekjum komi frá sölu eða miðlun persónuupplýsinga íbúa Kaliforníu.

Annað viðmiðið er sérstaklega mikilvægt fyrir vefsíður með auglýsingar. Ef vefurinn þinn notar vafrakökur þriðju aðila fyrir markvissar auglýsingar og fær umtalsverða umferð frá Kaliforníu, gætirðu verið að vinna með gögn langt yfir 100.000 notenda frá Kaliforníu á ári í gegnum þessar vafrakökur einar og sér.

Opt-out vs opt-in: Grundvallarmunurinn á GDPR

Þetta er mikilvægasti munurinn sem rekstraraðilar vefsíðna þurfa að skilja. Samkvæmt GDPR er sjálfgefna reglan opt-in: þú mátt ekki setja óþarfar vafrakökur fyrr en notandinn hefur virkan veitt samþykki sitt. Samkvæmt CCPA/CPRA er sjálfgefna reglan opt-out: þú mátt vinna með persónuupplýsingar (þar með talið í gegnum vafrakökur) þar til notandinn segir þér að hætta.

Þetta þýðir að samþykkisupplifun gesta frá Kaliforníu lítur í grundvallaratriðum öðruvísi út:

• GDPR nálgun: Loka á allar óþarfar vafrakökur. Birta borða. Bíða eftir jákvæðu samþykki. Setja aðeins vafrakökur eftir það.
• CCPA/CPRA nálgun: Vafrakökur má setja sjálfgefið. Veita skýran og áberandi tengil "Do Not Sell or Share My Personal Information". Þegar notandi nýtir sér þennan rétt, skal hætta að deila gögnum hans með þriðju aðilum.

Hins vegar eru mikilvægar undantekningar. Fyrir ungmenni undir 16 ára aldri breytist CCPA/CPRA í opt-in líkan — þú verður að afla virks samþykkis áður en þú selur eða deilir persónuupplýsingum þeirra. Fyrir börn undir 13 ára aldri verður foreldri eða forráðamaður að veita það samþykki.

„Do Not Sell or Share“ krafan

CPRA víkkaði út upprunalegan „Do Not Sell“ rétt CCPA til að ná einnig til „sharing“ — sem beinlínis miðar að þeirri tegund gagnaflutnings sem á sér stað í gegnum auglýsingavafrakökur þriðju aðila. Þegar notandi heimsækir síðuna þína og vafrakökur þínar senda vafragögn hans til auglýsinganetkerfa, telst það vera sharing samkvæmt CPRA, jafnvel þótt engir peningar skipti um hendur beint.

Skyldur þínar fela í sér:

• Skýran tengil með heitinu "Do Not Sell or Share My Personal Information" á heimasíðunni og í persónuverndarstefnunni.
• Kerfi sem gerir notendum kleift að nýta þennan rétt auðveldlega, án þess að þurfa að stofna aðgang.
• Að verða við beiðninni innan 15 virkra daga.
• Að mismuna ekki notendum sem nýta sér þennan rétt (til dæmis með því að rýra upplifun þeirra).

Global Privacy Control (GPC)

Global Privacy Control er vafra-stilling/merki sem notendur geta virkjað til að miðla sjálfkrafa opt-out ósk sinni til hverrar vefsíðu sem þeir heimsækja. Helstu vafrar, þar á meðal Firefox og Brave, styðja GPC innbyggt og vafraforrit bæta stuðningi við Chrome og aðra vafra.

Samkvæmt reglum CPRA verða fyrirtæki að virða GPC merki sem gildar opt-out beiðnir. Þetta hefur verulegar hagnýtar afleiðingar:

• Vefsíðan þín verður að geta greint Sec-GPC: 1 HTTP hausinn eða navigator.globalPrivacyControl JavaScript eiginleikann.
• Þegar slíkt merki greinist verður þú að meðhöndla það eins og notandinn hafi smellt á „Do Not Sell or Share“.
• Vafrakökur þriðju aðila sem notaðar eru fyrir auglýsingar verða að vera óvirkar fyrir þessa notendur.

Notkun GPC fer stöðugt vaxandi. Áætlanir benda til þess að 5 til 10 prósent vefumferðar beri nú GPC merki, og hlutfallið er hærra meðal notenda í Kaliforníu sem leggja áherslu á persónuvernd.

Hvenær þarftu í raun vafrakökuborða fyrir Kaliforníu?

Hér ruglast mörg fyrirtæki. Strangt til tekið krefst CCPA/CPRA ekki evrópsks vafrakökusamþykkisborða vegna opt-out líkansins. Þú þarft þó að hafa:

• "Do Not Sell or Share" tengil sem er auðvelt að finna.
• Kerfi til að stöðva miðlun gagna til þriðju aðila þegar notandi velur opt-out eða sendir GPC merki.
• Persónuverndarstefnu sem upplýsir um flokka persónuupplýsinga sem safnað er, tilganginn og þá þriðju aðila sem gögnum er deilt með.
• Fyrir síður sem einnig þjóna evrópskum gestum, GDPR-samræmdan samþykkisborða sem getur starfað samhliða CCPA opt-out kerfinu.

Í framkvæmd innleiða flestar vefsíður sem þjóna bæði evrópskum og kalifornískum notendum sameinað samþykkisviðmót sem aðlagar hegðun sína að staðsetningu gesta. Þetta kemur í veg fyrir að þurfa að viðhalda tveimur algjörlega aðskildum samþykkiskerfum.

Hagnýtar atrennur við innleiðingu

Að innleiða CCPA/CPRA samræmi samhliða GDPR samræmi skapar tvíþætt áskorun. Samþykkisstjórnunarkerfið þitt þarf að:

1. Greina staðsetningu gesta nákvæmlega með IP-grundaðri staðsetningargreiningu.
2. Beita réttu lagaramma — opt-in fyrir gesti frá EES/Bretlandi, opt-out fyrir gesti frá Kaliforníu og mögulega engum kröfum fyrir gesti frá öðrum svæðum.
3. Stjórna „Do Not Sell or Share“ tenglinum fyrir gesti frá Kaliforníu, annaðhvort innan borðans eða sem sjálfstætt síðuhlut.
4. Greina og virða GPC merki áður en nokkrar vafrakökur þriðju aðila eru settar.
5. Stjórna hegðun vafrakaka í samræmi við það — loka á auglýsinga-vafrakökur þriðju aðila fyrir notendur sem hafa valið opt-out en leyfa áfram vafrakökur fyrir fyrstu aðila til greiningar.

Tæknileg innleiðing verður einnig að taka mið af muninum á vafrakökum fyrstu aðila fyrir greiningu (sem almennt eru heimilar samkvæmt CCPA/CPRA sem „business purpose“) og vafrakökum þriðju aðila fyrir auglýsingar (sem teljast „sharing“ og eru háðar opt-out).

FlexyConsent landfræðileg miðun fyrir gesti frá Kaliforníu

FlexyConsent leysir tvíþættu áskorunina með sjálfvirkri landfræðilegri miðun. Þegar gestur frá Kaliforníu kemur á síðuna þína stillir FlexyConsent hegðun sína í samræmi við kröfur CCPA/CPRA:

• Virkjun opt-out ham: Í stað þess að loka á allar vafrakökur strax sýnir FlexyConsent áberandi valkostinn „Do Not Sell or Share My Personal Information“.
• Greining GPC merkis: FlexyConsent athugar sjálfkrafa hvort Global Privacy Control merki sé til staðar og, þegar það finnst, stöðvar miðlun gagna til þriðju aðila án þess að krefjast nokkurrar aðgerðar frá notanda.
• Flokkamiðuð lokun: Þegar notandi frá Kaliforníu velur opt-out lokar FlexyConsent sérstaklega á auglýsinga- og vefsvæðisrakningarvafrakökur en viðheldur virkni vafrakaka fyrstu aðila fyrir greiningu sem fellur undir undanþágu „business purpose“.
• Samfelld samvist við GDPR: Sama FlexyConsent uppsetning sér um báða rammana. Evrópskir gestir sjá GDPR-samræmdan opt-in borða með nákvæmri flokkasstýringu. Gestir frá Kaliforníu sjá viðeigandi opt-out kerfi. Gestir frá svæðum án sérstakrar reglugerðar fá lágmarks tilkynningu eða engan borða, allt eftir stillingum þínum.

Sem Google-vottað CMP með stuðning við IAB TCF 2.3 og Consent Mode V2 tryggir FlexyConsent að samþykkismerki séu rétt miðluð til Google þjónusta óhá�� því hvaða lagarammi á við. Þetta þýðir að Google Analytics og Google Ads uppsetningar þínar virka rétt bæði fyrir evrópska notendur sem hafa veitt samþykki og notendur frá Kaliforníu sem ekki hafa valið opt-out.

Helsta niðurstaða: Opt-out líkan Kaliforníu kann að virðast minna íþyngjandi en opt-in nálgun GDPR, en hagnýtar kröfur — sérstaklega varðandi GPC merki og víðtæka skilgreiningu á „sharing“ — þýða að flestar vefsíður sem reiða sig á auglýsingar þurfa þróað samþykkisstjórnunarkerfi. Að innleiða landfræðilega miðað samþykki sem aðlagast báðum rammum er mun áreiðanlegra en að reyna að beita einni lausn á heimsvísu.