Kaliforniyaning maxfiylik tizimini tushunish

Kaliforniya Qo‘shma Shtatlarda iste’molchi maxfiyligi bo‘yicha qonunchilikda yetakchilik qilib kelmoqda va uning qonunlari butun dunyodagi veb-saytlarga ta’sir qiladi. Kaliforniya iste’molchi maxfiyligi to‘g‘risidagi qonuni (CCPA) 2023-yil yanvardan kuchga kirgan Kaliforniya maxfiylik huquqlari to‘g‘risidagi qonuni (CPRA) bilan sezilarli darajada o‘zgartirildi va u Kaliforniya aholisi haqidagi shaxsiy ma’lumotlarni to‘playdigan har qanday biznesga — bu biznes qayerda joylashganidan qat’i nazar — majburiyatlar yuklaydi.

Veb-sayt egalari uchun amaliy oqibatlar cookie-fayllar, kuzatuv texnologiyalari va foydalanuvchi ma’lumotlari uchinchi shaxslar bilan qanday ulashilayotganiga borib taqaladi. Kaliforniya modeli Yevropadagi GDPR’dan tubdan farq qilsa-da, u baribir rozilik mexanizmlari va foydalanuvchi huquqlariga diqqat bilan yondashishni talab qiladi.

CCPA/CPRA: Kimlarga tatbiq etiladi?

Qonun quyidagi mezonlardan kamida bittasiga javob beradigan tijorat maqsadidagi bizneslarga tatbiq etiladi:

• Yillik yalpi daromadi 25 million dollardan oshadiganlar.
• Kaliforniya aholisi, uylari yoki qurilmalarining yiliga 100 000 yoki undan ortiq shaxsiy ma’lumotlarini sotib oladigan, sotadigan yoki ulashadiganlar.
• Yillik daromadining 50 foizi yoki undan ko‘prog‘ini Kaliforniya aholisi shaxsiy ma’lumotlarini sotish yoki ulashishdan oladiganlar.

Ikkinchi mezon reklama bilan ishlaydigan veb-saytlar uchun ayniqsa muhim. Agar saytingiz maqsadli reklama uchun uchinchi tomon cookie-fayllaridan foydalansa va Kaliforniyadan sezilarli trafik olsa, siz faqat shu cookie-fayllar orqali yiliga 100 000 dan ancha ko‘p Kaliforniya foydalanuvchilari ma’lumotlarini qayta ishlayotgan bo‘lishingiz mumkin.

Opt-out va opt-in: GDPR’dan asosiy farq

Bu veb-sayt operatorlari tushunishi kerak bo‘lgan eng muhim farqdir. GDPR bo‘yicha standart holat opt-in: foydalanuvchi faol ravishda rozilik bermaguncha, siz muhim bo‘lmagan cookie-fayllarni o‘rnatolmaysiz. CCPA/CPRA bo‘yicha esa standart holat opt-out: foydalanuvchi sizga to‘xtashni aytmaguncha, siz shaxsiy ma’lumotlarni (jumladan cookie-fayllar orqali) qayta ishlashingiz mumkin.

Bu Kaliforniya tashrif buyuruvchilari uchun rozilik tajribasi tubdan boshqacha ko‘rinishini anglatadi:

• GDPR yondashuvi: Barcha muhim bo‘lmagan cookie-fayllarni bloklash. Banner ko‘rsatish. Ijobiy rozilikni kutish. Faqat shundan keyin cookie-fayllarni o‘rnatish.
• CCPA/CPRA yondashuvi: Cookie-fayllar standart bo‘yicha o‘rnatilishi mumkin. Aniq va ko‘zga tashlanadigan "Do Not Sell or Share My Personal Information" havolasini taqdim etish. Foydalanuvchi ushbu huquqdan foydalanganda, uning ma’lumotlarini uchinchi shaxslar bilan ulashishni to‘xtatish.

Biroq muhim istisnolar mavjud. 16 yoshgacha bo‘lgan voyaga yetmaganlar uchun CCPA/CPRA opt-in modeliga o‘tadi — ularning shaxsiy ma’lumotlarini sotish yoki ulashishdan oldin siz aniq rozilik olishingiz kerak. 13 yoshgacha bo‘lgan bolalar uchun esa bu rozilikni ota-ona yoki vasiy berishi lozim.

"Do Not Sell or Share" talabi

CPRA dastlabki CCPA’dagi "Do Not Sell" huquqini "sharing" tushunchasini ham o‘z ichiga olgan holda kengaytirdi — bu aynan uchinchi tomon reklama cookie-fayllari orqali sodir bo‘ladigan ma’lumot almashinuvini nishonga oladi. Foydalanuvchi saytingizga tashrif buyurganda va cookie-fayllaringiz uning brauzer ma’lumotlarini reklama tarmoqlariga yuborganda, bu CPRA bo‘yicha, hatto to‘g‘ridan-to‘g‘ri pul almashinuvi bo‘lmasa ham, sharing (ulashish) hisoblanadi.

Sizning majburiyatlaringiz quyidagilarni o‘z ichiga oladi:

• Bosh sahifangizda va maxfiylik siyosatingizda "Do Not Sell or Share My Personal Information" nomli aniq havola bo‘lishi.
• Foydalanuvchilarga ushbu huquqdan oson foydalanish imkonini beradigan, akkaunt yaratishni talab qilmaydigan mexanizm.
• So‘rovni 15 ish kuni ichida bajarish.
• Ushbu huquqdan foydalangan foydalanuvchilarga nisbatan kamsitmaslik (masalan, ularning tajribasini yomonlashtirish orqali).

Global Privacy Control (GPC)

Global Privacy Control — bu brauzer darajasidagi signal bo‘lib, foydalanuvchilar uni yoqish orqali o‘zlarining opt-out afzalligini tashrif buyuradigan har bir veb-saytga avtomatik tarzda yetkazishlari mumkin. Firefox va Brave kabi yirik brauzerlar GPC’ni tabiiy ravishda qo‘llab-quvvatlaydi, brauzer kengaytmalari esa Chrome va boshqa brauzerlarga qo‘llab-quvvatlashni qo‘shadi.

CPRA qoidalariga ko‘ra, bizneslar GPC signallarini hurmat qilishi shart va ularni haqiqiy opt-out so‘rovi sifatida qabul qilishi kerak. Bu amalda sezilarli oqibatlarga ega:

• Veb-saytingiz Sec-GPC: 1 HTTP sarlavhasini yoki navigator.globalPrivacyControl JavaScript xususiyatini aniqlay olishi kerak.
• Aniqlanganda, siz buni foydalanuvchi "Do Not Sell or Share" tugmasini bosganiga teng deb hisoblashingiz lozim.
• Reklama uchun ishlatiladigan uchinchi tomon cookie-fayllari bunday foydalanuvchilar uchun o‘chirilishi kerak.

GPC’dan foydalanish barqaror o‘sib bormoqda. Baholashlarga ko‘ra, veb-trafikning 5–10 foizi hozirda GPC signalini o‘z ichiga oladi va bu ko‘rsatkich Kaliforniyadagi maxfiylikka e’tiborli foydalanuvchilar orasida yanada yuqori.

Kaliforniya uchun qachon haqiqatan ham cookie banner kerak bo‘ladi?

Ko‘plab bizneslar aynan shu yerda chalg‘ib qoladi. Qattiq ma’noda olganda, CCPA/CPRA opt-out modeli tufayli Yevropa uslubidagi cookie rozilik bannerini talab qilmaydi. Biroq sizga baribir quyidagilar kerak bo‘ladi:

• Oson topiladigan "Do Not Sell or Share" havolasi.
• Foydalanuvchi opt-out qilganda yoki GPC signali yuborganda uchinchi tomon ma’lumot ulashuvini to‘xtatish mexanizmi.
• Yig‘iladigan shaxsiy ma’lumotlar toifalari, maqsadlari va ma’lumotlar ulashiladigan uchinchi shaxslarni oshkor qiladigan maxfiylik siyosati.
• Yevropa foydalanuvchilariga ham xizmat ko‘rsatadigan saytlar uchun CCPA opt-out mexanizmi bilan yonma-yon ishlay oladigan GDPR-talablariga mos rozilik banneri.

Amalda, Yevropa va Kaliforniya auditoriyasiga birgalikda xizmat ko‘rsatadigan veb-saytlarning aksariyati tashrif buyuruvchining joylashuviga qarab o‘z xatti-harakatini moslashtiradigan yagona rozilik interfeysini joriy etadi. Bu ikki butunlay alohida rozilik tizimini yuritish zaruratini bartaraf etadi.

Amaliy joriy etish bo‘yicha mulohazalar

CCPA/CPRA va GDPR talablarini birgalikda joriy etish ikki rejimli murakkablikni yuzaga keltiradi. Sizning rozilikni boshqarish platformangiz quyidagilarni bajara olishi kerak:

1. Tashrif buyuruvchining joylashuvini IP-manzilga asoslangan geolokatsiya orqali aniq aniqlash.
2. To‘g‘ri huquqiy rejimni qo‘llash — EEA/Buyuk Britaniya tashrif buyuruvchilari uchun opt-in, Kaliforniya tashrif buyuruvchilari uchun opt-out va boshqa mintaqalardan kelganlar uchun ehtimol hech qanday talab bo‘lmasligi.
3. Kaliforniya tashrif buyuruvchilari uchun "Do Not Sell or Share" havolasini boshqarish — banner ichida yoki alohida sahifa elementi sifatida.
4. Uchinchi tomon cookie-fayllari o‘rnatilishidan oldin GPC signallarini aniqlash va ularga rioya qilish.
5. Cookie xatti-harakatini mos ravishda boshqarish — opt-out qilgan foydalanuvchilar uchun uchinchi tomon reklama cookie-fayllarini bloklash, shu bilan birga birinchi tomon analitika cookie-fayllarini davom ettirishga ruxsat berish.

Texnik joriy etish, shuningdek, birinchi tomon analitika cookie-fayllari (CCPA/CPRA bo‘yicha odatda biznes maqsadi sifatida ruxsat etiladi) va uchinchi tomon reklama cookie-fayllari (sharing hisoblanadi va opt-out talablariga bo‘ysunadi) o‘rtasidagi farqni ham hisobga olishi kerak.

Kaliforniya tashrif buyuruvchilari uchun FlexyConsent geo-nishonlash

FlexyConsent ikki rejimli murakkablikni avtomatik geo-nishonlash orqali hal qiladi. Kaliforniyadan tashrif buyuruvchi saytingizga kelganda, FlexyConsent o‘z xatti-harakatini CCPA/CPRA talablariga moslashtiradi:

• Opt-out rejimini faollashtirish: Barcha cookie-fayllarni darhol bloklash o‘rniga, FlexyConsent talab etiladigan "Do Not Sell or Share My Personal Information" opsiyasini ko‘zga tashlanadigan tarzda ko‘rsatadi.
• GPC signalini aniqlash: FlexyConsent Global Privacy Control signalini avtomatik ravishda tekshiradi va u mavjud bo‘lsa, hech qanday foydalanuvchi harakatini talab qilmasdan uchinchi tomon ma’lumot ulashuvini to‘xtatadi.
• Toifalarga asoslangan bloklash: Kaliforniya foydalanuvchisi opt-out qilganda, FlexyConsent reklama va saytlararo kuzatuv cookie-fayllarini tanlab bloklaydi, biznes maqsadi istisnosiga kiruvchi birinchi tomon analitika funksionalligini esa saqlab qoladi.
• GDPR bilan uzluksiz hamkorlik: Xuddi shu FlexyConsent o‘rnatilishi ikkala huquqiy tizimni ham boshqaradi. Yevropa tashrif buyuruvchilari toifalar bo‘yicha batafsil boshqaruvga ega, GDPR-talablariga mos opt-in bannerini ko‘radi. Kaliforniya tashrif buyuruvchilari esa mos opt-out mexanizmini ko‘radi. Qonun bilan tartibga solinmagan mintaqalardan kelgan tashrif buyuruvchilar esa sozlamalaringizga qarab minimal bildirishnoma yoki umuman banner ko‘rmasligi mumkin.

Google-certified CMP bo‘lib, IAB TCF 2.3 va Consent Mode V2 ni qo‘llab-quvvatlaydigan FlexyConsent qaysi huquqiy tizim qo‘llanilishidan qat’i nazar, rozilik signallari Google xizmatlariga to‘g‘ri uzatilishini ta’minlaydi. Bu sizning Google Analytics va Google Ads konfiguratsiyalaringiz opt-in qilgan Yevropa foydalanuvchilari hamda opt-out qilmagan Kaliforniya foydalanuvchilari uchun to‘g‘ri ishlashini anglatadi.

Asosiy xulosa: Kaliforniyaning opt-out modeli GDPR’dagi opt-in yondashuviga qaraganda kamroq cheklovchi bo‘lib ko‘rinishi mumkin, ammo amaliy talablar — ayniqsa GPC signallari va "sharing" atamasining keng talqini nuqtai nazaridan — reklama bilan moliyalashtiriladigan veb-saytlarning aksariyati murakkab rozilikni boshqarish yechimiga muhtojligini anglatadi. Ikkala huquqiy tizimga moslasha oladigan geo-nishonlangan rozilikni joriy etish butun dunyo bo‘ylab yagona yondashuvni qo‘llashga urinishdan ancha ishonchliroqdir.