Понимание калифорнийской системы приватности

Калифорния возглавила Соединённые Штаты в законодательстве о приватности потребителей, и её законы затрагивают сайты по всему миру. Закон о защите прав потребителей Калифорнии (CCPA), существенно изменённый Законом о правах на приватность Калифорнии (CPRA), вступившим в силу в январе 2023 года, создаёт обязательства для любого бизнеса, который собирает персональную информацию жителей Калифорнии — независимо от того, где этот бизнес физически расположен.

Для владельцев сайтов практические последствия сосредоточены на файлах cookie, технологиях отслеживания и том, как данные пользователей передаются третьим сторонам. Хотя калифорнийская модель фундаментально отличается от европейского GDPR, она всё равно требует внимательного отношения к механизмам согласия и правам пользователей.

CCPA/CPRA: на кого распространяется?

Закон применяется к коммерческим предприятиям, которые соответствуют любому одному из следующих порогов:

• Годовой валовой доход, превышающий 25 миллионов долларов.
• Покупка, продажа или передача персональной информации 100 000 или более жителей, домохозяйств или устройств Калифорнии ежегодно.
• Получение 50 процентов или более годового дохода от продажи или передачи персональной информации жителей Калифорнии.

Второй порог особенно важен для сайтов с рекламой. Если ваш сайт использует сторонние файлы cookie для таргетированной рекламы и получает значительный трафик из Калифорнии, вы можете обрабатывать данные значительно более 100 000 пользователей из Калифорнии ежегодно только через эти файлы cookie.

Opt-out против opt-in: фундаментальное отличие от GDPR

Это самое критическое различие, которое должны понимать операторы сайтов. Согласно GDPR, по умолчанию действует opt-in: вы не можете устанавливать неосновные файлы cookie, пока пользователь активно не даст согласие. Согласно CCPA/CPRA, по умолчанию действует opt-out: вы можете обрабатывать персональную информацию (в том числе через файлы cookie), пока пользователь не скажет вам остановиться.

Это означает, что опыт согласия для посетителей из Калифорнии выглядит фундаментально иначе:

• Подход GDPR: блокируйте все неосновные файлы cookie. Покажите баннер. Дождитесь утвердительного согласия. Только затем устанавливайте файлы cookie.
• Подход CCPA/CPRA: файлы cookie могут устанавливаться по умолчанию. Предоставьте чёткую и заметную ссылку «Не продавать и не передавать мою персональную информацию». Когда пользователь реализует это право, прекратите передачу его данных третьим сторонам.

Однако есть важные исключения. Для несовершеннолетних младше 16 лет CCPA/CPRA переключается на модель opt-in — вы должны получить утвердительное согласие перед продажей или передачей их персональной информации. Для детей младше 13 лет это согласие должен дать родитель или опекун.

Требование «Не продавать и не передавать»

CPRA расширил первоначальное право CCPA «Не продавать», включив в него «передачу» — которая специально нацелена на тот вид обмена данными, который происходит через сторонние рекламные файлы cookie. Когда пользователь посещает ваш сайт и ваши файлы cookie отправляют данные его просмотра рекламным сетям, это представляет собой передачу согласно CPRA, даже если деньги напрямую не переходят из рук в руки.

Ваши обязательства включают:

• Чёткую ссылку с заголовком «Не продавать и не передавать мою персональную информацию» на вашей домашней странице и в политике конфиденциальности.
• Механизм, позволяющий пользователям легко реализовать это право без необходимости создавать учётную запись.
• Выполнение запроса в течение 15 рабочих дней.
• Недискриминацию пользователей, реализующих это право (например, ухудшением их опыта).

Global Privacy Control (GPC)

Global Privacy Control — это сигнал на уровне браузера, который пользователи могут включить, чтобы автоматически сообщать о своём предпочтении opt-out каждому посещаемому сайту. Основные браузеры, включая Firefox и Brave, поддерживают GPC нативно, а браузерные расширения добавляют поддержку в Chrome и другие.

Согласно правилам CPRA, предприятия обязаны соблюдать сигналы GPC как действительный запрос opt-out. Это имеет значительные практические последствия:

• Ваш сайт должен уметь обнаруживать HTTP-заголовок Sec-GPC: 1 или JavaScript-свойство navigator.globalPrivacyControl.
• При обнаружении вы должны рассматривать это как эквивалент клика пользователя по «Не продавать и не передавать».
• Сторонние файлы cookie, используемые для рекламы, должны быть подавлены для этих пользователей.

Принятие GPC неуклонно растёт. По оценкам, от 5 до 10 процентов веб-трафика теперь несёт сигнал GPC, и этот процент выше среди заботящихся о приватности пользователей в Калифорнии.

Когда вам действительно нужен баннер cookie для Калифорнии?

Именно здесь многие предприятия путаются. Строго говоря, CCPA/CPRA не требует баннера согласия на cookie в европейском стиле из-за модели opt-out. Однако вам действительно нужны:

• Легкодоступная ссылка «Не продавать и не передавать».
• Механизм подавления передачи данных третьим сторонам, когда пользователь отказывается или отправляет сигнал GPC.
• Политика конфиденциальности, раскрывающая категории собираемой персональной информации, цели и третьи стороны, с которыми передаются данные.
• Для сайтов, которые также обслуживают европейских посетителей, — соответствующий GDPR баннер согласия, который может сосуществовать с механизмом opt-out CCPA.

На практике большинство сайтов, обслуживающих как европейскую, так и калифорнийскую аудиторию, внедряют единый интерфейс согласия, который адаптирует своё поведение в зависимости от местоположения посетителя. Это позволяет избежать поддержки двух полностью раздельных систем согласия.

Практические соображения по внедрению

Внедрение соответствия CCPA/CPRA наряду с соответствием GDPR создаёт задачу двойного режима. Ваша платформа управления согласием должна:

1. Точно определять местоположение посетителя с помощью геолокации на основе IP.
2. Применять правильную правовую систему — opt-in для посетителей из ЕЭЗ/Великобритании, opt-out для посетителей из Калифорнии и, возможно, отсутствие требований для посетителей из других регионов.
3. Управлять ссылкой «Не продавать и не передавать» для посетителей из Калифорнии, либо внутри баннера, либо как отдельный элемент страницы.
4. Обнаруживать и соблюдать сигналы GPC до установки любых сторонних файлов cookie.
5. Соответственно контролировать поведение файлов cookie — блокируя сторонние рекламные файлы cookie для пользователей, которые отказались, при этом позволяя продолжать работу собственной аналитики.

Техническая реализация также должна учитывать различие между собственными аналитическими файлами cookie (как правило, допустимыми согласно CCPA/CPRA в качестве бизнес-цели) и сторонними рекламными файлами cookie (которые представляют собой передачу и подлежат opt-out).

Геотаргетинг FlexyConsent для посетителей из Калифорнии

FlexyConsent решает задачу двойного режима с помощью автоматического геотаргетинга. Когда посетитель из Калифорнии заходит на ваш сайт, FlexyConsent корректирует своё поведение в соответствии с требованиями CCPA/CPRA:

• Активация режима opt-out: вместо блокировки всех файлов cookie заранее FlexyConsent заметно отображает требуемую опцию «Не продавать и не передавать мою персональную информацию».
• Обнаружение сигнала GPC: FlexyConsent автоматически проверяет наличие сигнала Global Privacy Control и при его наличии подавляет передачу данных третьим сторонам, не требуя никакого взаимодействия с пользователем.
• Блокировка с учётом категорий: когда пользователь из Калифорнии отказывается, FlexyConsent выборочно блокирует рекламные и межсайтовые файлы cookie отслеживания, сохраняя при этом функциональность собственной аналитики, подпадающую под исключение для бизнес-цели.
• Бесшовное сосуществование с GDPR: одна и та же установка FlexyConsent обрабатывает обе системы. Европейские посетители видят соответствующий GDPR баннер opt-in с гранулярными элементами управления категориями. Посетители из Калифорнии видят соответствующий механизм opt-out. Посетители из нерегулируемых регионов получают минимальное уведомление или вообще не видят баннера, в зависимости от вашей конфигурации.

Как сертифицированная Google CMP, поддерживающая IAB TCF 2.3 и Consent Mode V2, FlexyConsent гарантирует, что сигналы согласия правильно передаются сервисам Google независимо от того, какая правовая система применяется. Это означает, что ваши конфигурации Google Analytics и Google Ads работают корректно как для согласившихся европейских пользователей, так и для не отказавшихся пользователей из Калифорнии.

Ключевой вывод: калифорнийская модель opt-out может показаться менее ограничительной, чем подход opt-in GDPR, но практические требования — особенно вокруг сигналов GPC и широкого определения «передачи» — означают, что большинству сайтов, поддерживаемых рекламой, нужно сложное решение для управления согласием. Внедрение геотаргетированного согласия, которое адаптируется к обеим системам, гораздо надёжнее, чем попытка применить единый подход глобально.