Калифорнияның құпиялылық жүйесін түсіну

Калифорния АҚШ-та тұтынушылардың құпиялылығына қатысты заңнаманы дамытуда алдыңғы қатарда, және оның заңдары бүкіл әлемдегі веб-сайттарға әсер етеді. 2023 жылғы қаңтардан бастап елеулі түрде түзетілген Калифорния тұтынушылардың құпиялылығы туралы заңы (CCPA) және оны толықтырған California Privacy Rights Act (CPRA) Калифорния тұрғындарының жеке деректерін жинайтын кез келген бизнеске — оның физикалық орналасқан жеріне қарамастан — міндеттер жүктейді.

Веб-сайт иелері үшін практикалық салдар cookie-файлдарға, қадағалау технологияларына және пайдаланушы деректерінің үшінші тұлғалармен қалай бөлісілетініне байланысты. Калифорния моделі Еуропаның GDPR-ынан түбегейлі ерекшеленгенімен, ол әлі де келісім тетіктеріне және пайдаланушы құқықтарына мұқият қарауды талап етеді.

CCPA/CPRA: Кімдер қамтылады?

Заң келесі шектердің кем дегенде біреуіне сәйкес келетін коммерциялық (пайда табуға бағытталған) бизнеске қолданылады:

• Жылдық жалпы табысы 25 миллион доллардан асатындар.
• Калифорния тұрғындарының, үй шаруашылықтарының немесе құрылғыларының 100 000 немесе одан да көп санының жеке ақпаратын жыл сайын сатып алатын, сататын немесе бөлісетіндер.
• Жылдық табысының 50 пайызын немесе одан да көп бөлігін Калифорния тұрғындарының жеке ақпаратын сату немесе бөлісу арқылы алатындар.

Екінші шек жарнамасы бар веб-сайттар үшін ерекше маңызды. Егер сіздің сайтыңыз мақсатты жарнама үшін үшінші тарап cookie-файлдарын қолданса және Калифорниядан айтарлықтай трафик алса, сіз тек осы cookie-файлдардың өзімен-ақ жылына 100 000-нан әлдеқайда көп Калифорния пайдаланушысының деректерін өңдеуіңіз мүмкін.

Opt-out пен opt-in: GDPR-дан түбегейлі айырмашылық

Бұл — веб-сайт иелері түсінуі тиіс ең маңызды айырмашылық. GDPR бойынша әдепкі модель — opt-in: пайдаланушы белсенді түрде келісім бермейінше, сіз маңызды емес cookie-файлдарды қоя алмайсыз. CCPA/CPRA бойынша әдепкі модель — opt-out: пайдаланушы сізге тоқтатуды айтқанға дейін сіз жеке ақпаратты (соның ішінде cookie арқылы) өңдей аласыз.

Бұл Калифорниядан келетін келушілер үшін келісім тәжірибесі түбегейлі өзгеше болатынын білдіреді:

• GDPR тәсілі: Барлық маңызды емес cookie-файлдарды бұғаттау. Баннер көрсету. Белсенді келісімді күту. Тек содан кейін cookie орнату.
• CCPA/CPRA тәсілі: Cookie-файлдар әдепкі бойынша орнатылуы мүмкін. Көрнекі және түсінікті "Do Not Sell or Share My Personal Information" сілтемесін ұсыну. Пайдаланушы осы құқығын пайдаланғанда, оның деректерін үшінші тұлғалармен бөлісуді тоқтату.

Дегенмен, маңызды ерекшеліктер бар. 16 жасқа дейінгі кәмелетке толмағандар үшін CCPA/CPRA opt-in моделіне ауысады — олардың жеке ақпаратын сату немес�� бөлісу алдында сіз міндетті түрде белсенді келісім алуыңыз керек. 13 жасқа дейінгі балалар үшін бұл келісімді ата-анасы немесе қамқоршысы беруі тиіс.

"Do Not Sell or Share" талабы

CPRA бастапқы CCPA-дағы "Do Not Sell" құқығын "sharing" ұғымын қосу арқылы кеңейтті — бұл әсіресе үшінші тарап жарнамалық cookie-файлдары арқылы болатын деректер алмасуды нысанаға алады. Пайдаланушы сіздің сайтыңызға кіріп, cookie-файлдарыңыз оның шолу деректерін жарнама желілеріне жіберген кезде, бұл CPRA бойынша, тіпті ақша тікелей алмаспағанның өзінде, sharing (бөлісу) болып саналады.

Сіздің міндеттемелеріңізге мыналар кіреді:

• Басты бетте және құпиялылық саясатында "Do Not Sell or Share My Personal Information" деп аталатын айқын сілтеме.
• Пайдаланушыларға о��ы құқықты оңай жүзеге асыруға мүмкіндік беретін, аккаунт ашуды талап етпейтін механизм.
• Сұранымды 15 жұмыс күні ішінде орындау.
• Осы құқықты пайдаланған қолданушыларға қатысты кемсітпеу (мысалы, олардың тәжірибесін әдейі нашарлатпау).

Global Privacy Control (GPC)

Global Privacy Control — бұл браузер деңгейіндегі сигнал, оны пайдаланушылар әр кірген сайтында opt-out талабы автоматты түрде жіберілуі үшін қоса алады. Firefox және Brave сияқты негізгі браузерлер GPC-ді бастапқыдан қолдайды, ал кеңейтімдер Chrome және басқа браузерлерге қолдау қосады.

CPRA ережелеріне сәйкес, бизнес GPC сигналдарын міндетті түрде жарамды opt-out сұранымы ретінде қабылдауы тиіс. Бұл практикалық тұрғыдан маңызды салдарға ие:

• Сіздің веб-сайтыңыз Sec-GPC: 1 HTTP тақырыбын немесе navigator.globalPrivacyControl JavaScript қасиетін анықтай алуы керек.
• Анықталған кезде, сіз оны пайдаланушының "Do Not Sell or Share" батырмасын басуымен тең дәрежеде қарастыруыңыз қажет.
• Жарнамаға арналған үшінші тарап cookie-файлдары мұндай пайдаланушылар үшін өшірілуі тиіс.

GPC қолданылуы біртіндеп өсіп келеді. Бағалауларға сәйкес, веб-трафиктің 5–10 пайызы қазір GPC сигналын алып жүреді, ал бұл үлес Калифорниядағы құпиялылыққа мән беретін пайдаланушылар арасында одан да жоғары.

Калифорния үшін cookie баннері қашан нақты қажет?

Көптеген бизнес дәл осы жерде шатасады. Қатаң түрде алғанда, CCPA/CPRA opt-out моделіне байланысты еуропалық үлгідегі cookie келісім баннерін талап етпейді. Алайда сізге мыналар қажет:

• Қол жетімділігі жоғары "Do Not Sell or Share" сілтемесі.
• Пайдаланушы opt-out жасағанда немесе GPC сигналын жібергенде үшінші тараппен дерек бөлісуді тоқтататын механизм.
• Жиналатын жеке ақпарат санаттарын, мақсаттарын және деректермен бөлісетін үшінші тұлғаларды ашып көрсететін құпиялылық саясаты.
• Еуропалық келушілерге де қызмет көрсететін сайттар үшін CCPA opt-out механизмімен қатар өмір сүре алатын GDPR-ға сәйкес келісім баннері.

Іс жүзінде Еуропа мен Калифорния аудиториясына бірдей қызмет көрсететін веб-сайттардың көпшілігі келушінің орналасқан жеріне қарай мінез-құлқын бейімдейтін бірыңғай келісім интерфейсін іске асырады. Бұл екі бөлек келісім жүйесін қолдаудан құтқарады.

Практикалық іске асыру мә��елелері

CCPA/CPRA мен GDPR талаптарын қатар орындау қос режимді қиындық туғызады. Сіздің келісімді бас��ару платформаңыз мыналарды істей алуы керек:

1. Келушінің орналасқан жерін IP-ге негізделген геолокация арқылы дәл анықтау.
2. Дұрыс құқықтық режимді қолдану — ЕЭА/Ұлыбритания келушілері үшін opt-in, Калифорния келушілері үшін opt-out және басқа өңірлерден келгендер үшін, мүмкін, ешқандай талап болмауы.
3. Калифорния келушілері үшін "Do Not Sell or Share" сілтемесін басқару — баннер ішінде немесе жеке бет элементі ретінде.
4. Кез келген үшінші тарап cookie-файлдары орнатылмай тұрып GPC сигналдарын анықтау және орындау.
5. Cookie мінез-құлқын тиісті түрде басқару — opt-out жасаған пайдаланушылар үшін үшінші тарап жарнамалық cookie-файлдарын бұғаттай отырып, бірінші тарап аналитикасын жалғастыруға мүмкін��ік беру.

Техникалық іске асыру сондай-ақ бірінші тарап аналитикалық cookie-файлдары (CCPA/CPRA бойынша әдетте "business purpose" ретінде рұқсат етіледі) мен үшінші тарап жарнамалық cookie-файлдары (sharing болып саналады және opt-out талабының нысаны) арасындағы айырмашылықты ескеруі тиіс.

FlexyConsent: Калифорния келушілеріне арналған гео-нысаналау

FlexyConsent қос режимді қиындықты автоматты гео-нысаналау арқылы шешеді. Калифорниядан келуші сіздің сайтыңызға кірген кезде, FlexyConsent өз мінез-құлқын CCPA/CPRA талаптарына сәйкестендіреді:

• Opt-out режимін қосу: Барлық cookie-файлдарды бірден бұғаттаудың орнына, FlexyConsent "Do Not Sell or Share My Personal Information" опциясын көзге түсетіндей етіп көрсетеді.
• GPC сигналын анықтау: FlexyConsent Global Privacy Control сигналын автоматты түрде тексереді және ол бар болған жағдайда, пайдаланушыдан ешқандай әрекет талап етпестен үшінші тараппен дерек бөлісуді тоқтатады.
• Санатқа сезімтал бұғаттау: Калифорния пайдаланушысы opt-out жасағанда, FlexyConsent жарнамалық және кросс-сайт қадағалау cookie-файлдарын таңдап бұғаттайды, ал business purpose жеңілдігіне жататын бірінші тарап аналитикасының жұмысын сақтап қалады.
• GDPR-пен үздіксіз қатар өмір сүру: Сол бір FlexyConsent орнатылымы екі құқықтық жүйені де басқарады. Еуропалық келушілер егжей-тегжейлі санаттық басқаруы бар GDPR-ға сәйкес opt-in баннерін көреді. Калифорния келушілері тиісті opt-out механизмін көреді. Реттелмеген өңірлерден келген келушілер сіздің баптауларыңызға байланысты минималды х��барлама немесе мүлдем баннер көрмеуі мүмкін.

Google-certified CMP ретінде, IAB TCF 2.3 және Consent Mode V2 қолдауымен FlexyConsent қай құқықтық жүйе қолданылатынына қарамастан, келісім сигналдарының Google қызметтеріне дұрыс жеткізілуін қамтамасыз етеді. Бұл сіздің Google Analytics және Google Ads баптауларыңыз келісім берген еуропалық пайдаланушылар және opt-out жасамаған калифорниялық пайдаланушылар үшін дұрыс жұмыс істейтінін білдіреді.

Негізгі қорытынды: Калифорнияның opt-out моделі GDPR-дың opt-in тәсіліне қарағанда азырақ шектеулі болып көрінуі мүмкін, бірақ практикалық талаптар — әсіресе GPC сигналдары мен "sharing" ұғымының кең анықтамасына байланысты — жарнамаға сүйенетін веб-сайттардың көпшілігіне күрделі келісімді басқару шешімін қажет етеді. Екі құқықтық жүйеге де бейімделетін гео-нысаналанған келісімді іске асыру бүкіл әлемге бір ғана тәсілді қолдануға тырысқаннан әлдеқайда сенімді.