Hiểu khung quyền riêng tư của California

California dẫn đầu Hoa Kỳ về luật bảo vệ quyền riêng tư người tiêu dùng, và các đạo luật này ảnh hưởng đến website trên toàn thế giới. Đạo luật Quyền riêng tư Người tiêu dùng California (CCPA), được sửa đổi đáng kể bởi Đạo luật Quyền riêng tư California (CPRA) có hiệu lực từ tháng 1 năm 2023, tạo ra nghĩa vụ cho mọi doanh nghiệp thu thập thông tin cá nhân từ cư dân California — bất kể doanh nghiệp đó đặt trụ sở ở đâu.

Đối với chủ sở hữu website, các tác động thực tế tập trung vào cookie, công nghệ theo dõi và cách dữ liệu người dùng được chia sẻ với bên thứ ba. Mặc dù mô hình của California khác căn bản với GDPR của châu Âu, nó vẫn đòi hỏi phải chú ý cẩn trọng đến cơ chế chấp thuận và quyền của người dùng.

CCPA/CPRA: Những ai thuộc phạm vi điều chỉnh?

Luật áp dụng cho các doanh nghiệp vì lợi nhuận đáp ứng một trong các ngưỡng sau:

• Doanh thu gộp hàng năm vượt quá 25 triệu USD.
• Mua, bán hoặc chia sẻ thông tin cá nhân của từ 100.000 cư dân, hộ gia đình hoặc thiết bị tại California trở lên mỗi năm.
• Thu được từ 50 phần trăm doanh thu hàng năm trở lên từ việc bán hoặc chia sẻ thông tin cá nhân của cư dân California.

Ngưỡng thứ hai đặc biệt quan trọng đối với các website có quảng cáo. Nếu site của bạn dùng cookie bên thứ ba cho quảng cáo được nhắm mục tiêu và nhận lượng truy cập đáng kể từ California, bạn có thể đang xử lý dữ liệu của hơn 100.000 người dùng California mỗi năm chỉ thông qua các cookie đó.

Opt-out so với Opt-in: Khác biệt căn bản với GDPR

Đây là khác biệt quan trọng nhất mà người vận hành website cần hiểu. Theo GDPR, mặc định là opt-in: bạn không được cài đặt cookie không thiết yếu cho đến khi người dùng chủ động đồng ý. Theo CCPA/CPRA, m���c định là opt-out: bạn có thể xử lý thông tin cá nhân (bao gồm thông qua cookie) cho đến khi người dùng yêu cầu bạn dừng lại.

Điều này có nghĩa là trải nghiệm chấp thuận cho khách truy cập từ California trông khác căn bản:

• Cách tiếp cận theo GDPR: Chặn tất cả cookie không thiết yếu. Hiển thị banner. Chờ sự đồng ý rõ ràng. Chỉ sau đó mới cài cookie.
• Cách tiếp cận theo CCPA/CPRA: Cookie có thể được cài mặc định. Cung cấp đường dẫn rõ ràng, dễ thấy "Do Not Sell or Share My Personal Information". Khi người dùng thực hiện quyền này, dừng chia sẻ dữ liệu của họ với bên thứ ba.

Tuy nhiên, có những ngoại lệ quan trọng. Đối với trẻ vị thành niên dưới 16 tuổi, CCPA/CPRA chuyển sang mô hình opt-in — bạn phải có được sự đồng ý rõ ràng trước khi bán hoặc chia sẻ thông tin cá nhân của họ. Đối với trẻ em dưới 13 tuổi, cha mẹ hoặc người giám hộ phải là người cung cấp sự đồng ý đó.

Yêu cầu "Do Not Sell or Share"

CPRA mở rộng quyền "Do Not Sell" ban đầu của CCPA để bao gồm cả "sharing" — nhắm trực tiếp vào dạng trao đổi dữ liệu diễn ra thông qua cookie quảng cáo bên thứ ba. Khi người dùng truy cập site của bạn và cookie của bạn gửi dữ liệu duyệt web của họ đến các mạng quảng cáo, điều đó cấu thành hành vi chia sẻ (sharing) theo CPRA, ngay cả khi không có dòng tiền trực tiếp.

Nghĩa vụ của bạn bao gồm:

• Một đường dẫn rõ ràng có tiêu đề "Do Not Sell or Share My Personal Information" trên trang chủ và trong chính sách quyền riêng tư.
• Một cơ chế để người dùng thực hiện quyền này một cách dễ dàng, không yêu cầu tạo tài khoản.
• Tuân thủ yêu cầu trong vòng 15 ngày làm việc.
• Không được phân biệt đối xử với người dùng thực hiện quyền này (ví dụ: làm giảm chất lượng trải nghiệm của họ).

Global Privacy Control (GPC)

Global Privacy Control là một tín hiệu ở cấp trình duyệt mà người dùng có thể bật để tự động truyền đạt lựa chọn opt-out của họ đến mọi website họ truy cập. Các trình duyệt lớn như Firefox và Brave hỗ trợ GPC nguyên bản, và các tiện ích mở rộng trình duyệt bổ sung hỗ trợ cho Chrome và những trình duyệt khác.

Theo quy định CPRA, doanh nghiệp phải tôn trọng tín hiệu GPC như một yêu cầu opt-out hợp lệ. Điều này có những tác động thực tế đáng kể:

• Website của bạn phải có khả năng phát hiện header HTTP Sec-GPC: 1 hoặc thuộc tính JavaScript navigator.globalPrivacyControl.
• Khi phát hiện, bạn phải xử lý nó tương đương với việc người dùng nhấp vào "Do Not Sell or Share".
• Cookie bên thứ ba dùng cho quảng cáo phải bị vô hiệu đối với những người dùng này.

Mức độ áp dụng GPC đang tăng đều. Ước tính cho thấy 5 đến 10 phần trăm lưu lượng web hiện mang tín hiệu GPC, và tỷ lệ này cao hơn trong nhóm người dùng quan tâm đến quyền riêng tư tại California.

Khi nào bạn thực sự cần banner cookie cho California?

Đây là điểm khiến nhiều doanh nghiệp bối rối. Về mặt chặt chẽ, CCPA/CPRA không yêu cầu banner chấp thuận cookie kiểu châu Âu do mô hình opt-out. Tuy nhiên, bạn vẫn cần:

• Một đường dẫn "Do Not Sell or Share" dễ tiếp cận.
• Một cơ chế để ngừng chia sẻ dữ liệu với bên thứ ba khi người dùng opt-out hoặc gửi tín hiệu GPC.
• Một chính sách quyền riêng tư công bố các loại thông tin cá nhân được thu thập, mục đích và các bên thứ ba mà dữ liệu được chia sẻ.
• Đối với các site cũng phục vụ khách truy cập châu Âu, một banner chấp thuận tuân thủ GDPR có thể cùng tồn tại với cơ chế opt-out của CCPA.

Trên thực tế, hầu hết website phục vụ cả đối tượng châu Âu và California đều triển khai một giao diện chấp thuận thống nhất, điều chỉnh hành vi dựa trên vị trí của khách truy cập. Điều này tránh phải duy trì hai hệ thống chấp thuận hoàn toàn tách biệt.

Các lưu ý thực tiễn khi triển khai

Triển khai tuân thủ CCPA/CPRA song song với GDPR tạo ra thách thức chế độ kép. Nền tảng quản lý chấp thuận của bạn cần:

1. Phát hiện vị trí khách truy cập một cách chính xác bằng định vị địa lý dựa trên IP.
2. Áp dụng khung pháp lý phù hợp — opt-in cho khách truy cập từ EEA/UK, opt-out cho khách truy cập từ California, và có thể không có yêu cầu cho khách từ khu vực khác.
3. Quản lý đường dẫn "Do Not Sell or Share" cho khách truy cập California, hoặc trong banner hoặc như một phần tử độc lập trên trang.
4. Phát hiện và tôn trọng tín hiệu GPC trước khi bất kỳ cookie bên thứ ba nào được cài đặt.
5. Kiểm soát hành vi cookie tương ứng — chặn cookie quảng cáo bên thứ ba cho người dùng đã opt-out trong khi vẫn cho phép cookie phân tích first-party tiếp tục hoạt động.

Triển khai kỹ thuật cũng phải tính đến sự khác biệt giữa cookie phân tích first-party (thường được phép theo CCPA/CPRA như một mục đích kinh doanh) và cookie quảng cáo bên thứ ba (cấu thành hành vi chia sẻ và thuộc diện phải cho phép opt-out).

Geo-Targeting cho khách truy cập California với FlexyConsent

FlexyConsent xử lý thách thức chế độ kép thông qua geo-targeting tự động. Khi một khách truy cập từ California vào site của bạn, FlexyConsent điều chỉnh hành vi để phù hợp với yêu cầu CCPA/CPRA:

• Kích hoạt chế độ opt-out: Thay vì chặn tất cả cookie ngay từ đầu, FlexyConsent hiển thị nổi bật tùy chọn "Do Not Sell or Share My Personal Information" theo yêu cầu.
• Phát hiện tín hiệu GPC: FlexyConsent tự động kiểm tra tín hiệu Global Privacy Control và, khi có, sẽ ngừng chia sẻ dữ liệu với bên thứ ba mà không cần bất kỳ tương tác nào từ người dùng.
• Chặn theo danh mục: Khi người dùng California opt-out, FlexyConsent chọn lọc chặn cookie quảng cáo và theo dõi chéo site trong khi vẫn giữ lại chức năng phân tích first-party nằm trong diện miễn trừ mục đích kinh doanh.
• Đồng tồn tại mượt mà với GDPR: Cùng một cài đặt FlexyConsent xử lý cả hai khung pháp lý. Khách truy cập châu Âu thấy banner opt-in tuân thủ GDPR với điều khiển chi tiết theo danh mục. Khách truy cập California thấy cơ chế opt-out phù hợp. Khách từ khu vực chưa bị điều chỉnh nhận thông báo tối thiểu hoặc không có banner, tùy cấu hình của bạn.

Là một Google-certified CMP hỗ trợ IAB TCF 2.3 và Consent Mode V2, FlexyConsent đảm bảo tín hiệu chấp thuận được truyền đúng đến các dịch vụ Google bất kể khung pháp lý nào áp dụng. Điều này có nghĩa cấu hình Google Analytics và Google Ads của bạn hoạt động chính xác cho cả người dùng châu Âu đã opt-in và người dùng California chưa opt-out.

Điểm mấu chốt: Mô hình opt-out của California có thể có vẻ ít hạn chế hơn cách tiếp cận opt-in của GDPR, nhưng các yêu cầu thực tế — đặc biệt xung quanh tín hiệu GPC và định nghĩa rộng về "sharing" — khiến hầu hết website dựa vào quảng cáo cần một giải pháp quản lý chấp thuận tinh vi. Triển khai chấp thuận theo geo-targeting, thích ứng với cả hai khung pháp lý, đáng tin cậy hơn nhiều so với việc cố gắng áp dụng một cách tiếp cận duy nhất trên toàn cầu.