理解加州个隐私框架

加州一直领头美国个消费者隐私立法，这些法律会影响到全世界个网站。《加州消费者隐私法》（CCPA）经《加州隐私权利法》（CPRA）大幅修订，自 2023 年 1 月起生效，对一切从加州居民收集个人信息个企业设立义务——无论企业实体实际开在啥地方。

对网站所有人来说，实际影响主要集中在曲奇（cookies）、跟踪技术，阿拉点样向第三方分享用户数据。虽然加州模式跟欧洲个 GDPR 在根本上有别，但依然要仔细设计同意机制，保障用户权利。

CCPA/CPRA：适用对象是啥人？

该法适用于达到以下任意一条门槛个营利性企业：

• 年营业总收入超过 2500 万美元。
• 一年当中买进、卖出或者分享 10 万条以上 加州居民、家庭或者设备个个人信息。
• 年收入里有 50% 以上 来自卖出或者分享加州居民个个人信息。

��二条门槛对带广告个网站特别重要。假使侬网站用第三方曲奇做定向广告，而且有相当数量个加州访问量，光靠这些曲奇，侬一年就可能在处理 10 万条以上加州用户个数据。

Opt-Out vs Opt-In：跟 GDPR 个根本区别

这是网站运营者最要紧要搞清爽个差别。按照 GDPR，默认是 opt-in（主动同意）：在用户明确同意以前，侬不能设置非必要曲奇。按照 CCPA/CPRA，默认是 opt-out（退出）：侬可以处理个人信息（包括通过曲奇），直到用户叫侬停落。

这就意味，加州访客个同意体验跟欧洲完全两样：

• GDPR 做法：一开始拦截所有非必要曲奇。弹出横幅。等用户明确同意。等同意之后再设置曲奇。
• CCPA/CPRA 做法：曲奇可以默认就设置。要提供一个清晰显眼个 “Do Not Sell or Share My Personal Information” 链接。用户一旦行使这个权利，就要停止向第三方分享伊个数据。

不过，这里有重要例外。对 16 岁以下个未成年人，CCPA/CPRA 会切换到 opt-in 模式——在卖出或者分享伊拉个个人信息之前，必须拿到明确同意。对 13 岁以下个小囡，还要由家长或者监护人来提供这个同意。

“Do Not Sell or Share” 要求

CPRA 把原先 CCPA 里个 “Do Not Sell” 权利扩展到 “sharing”——专门针对第三方广告曲奇当中发生个那种数据交换。用户访问侬网站，侬个曲奇把伊个浏览数据发到广告网络，这在 CPRA 底下就算sharing（分享），哪怕中间并无直接金钱交易。

侬个义务包括：

• 在首页同隐私政策里放一个标题为 “Do Not Sell or Share My Personal Information” 个清晰链接。
• 提供一个让用户轻松行使该权利个机制，弗能要求用户先注册账号。
• 在 15 个工作日之内履行用户个请求。
• 弗能对行使该权利个用户搞歧视（比如故意把使用体验搞差）。

Global Privacy Control (GPC)

Global Privacy Control 是一个浏览器层面个信号，用户打开之后，可以自动向所有访问个网站传达伊个 opt-out 偏好。包括 Firefox 同 Brave 在内个主流浏览器原生支持 GPC，浏览器扩展则可以帮 Chrome 等其他浏览器加上支持。

按照 CPRA 个细则规定，企业必须把 GPC 信号当成有效个 opt-out 请求来尊重。这在实际操作上有几个重要含义：

• 侬网站要能检测 Sec-GPC: 1 这个 HTTP 头，或者 navigator.globalPrivacyControl 这个 JavaScript 属性。
• 一旦检测到，就要把伊当成用户点了 “Do Not Sell or Share” 一样来处理。
• 对这些用户，广告用个第三方曲奇必须被禁止。

GPC 个采用率在稳稳上升。有估计讲，现在大概有 5% 到 10% 个网页流量会带 GPC 信号，在加州隐私意识较强个用户当中，这个比例还要高。

啥辰光侬真个需要给加州用户弹曲奇横幅？

这里是好多企业搞糊涂个地方。从严格法律角度讲，因为是 opt-out 模式，CCPA/CPRA 并弗要求欧洲那种样式个曲奇同意横幅。不过，侬确实需要：

• 一个容易访问个 “Do Not Sell or Share” 链接。
• 一个机制，在用户 opt-out 或者发出 GPC 信号个辰光，能禁止第三方数据分享。
• 一份隐私政策，披露收集个个人信息类别、用途，以及数据分享个第三方对象。
• 对同时服务欧洲访客个网站，要有一个符合 GDPR 个同意横幅，而且能跟 CCPA 个 opt-out 机制并存。

实际操作当中，大多数同时面向欧洲同加州用户个网站，会实现一个统一个同意界面，根据访客所在地区自动调整行为。这样就弗用维护两套完全分离个同意系统。

落地实施个实际考虑

要同时做到 CCPA/CPRA 合规同 GDPR 合规，就会变成一个双模式挑战。侬个同意管理平台需要：

1. 准确识别访客位置，一般用基于 IP 个地理定位。
2. 套用正确个法律框架——对 EEA/英国访客用 opt-in，对加州访客用 opt-out，对其他地区访客可能暂时无特别要求。
3. 管理加州访客个 “Do Not Sell or Share” 链接，可以放在横幅里，也可以做成单独个页面元素。
4. 在任何第三方曲奇设置之前，检测并尊重 GPC 信号。
5. 按情况控制曲奇行为——对已经 opt-out 个用户拦截第三方广告曲奇，同时允许第一方分析曲奇继续用。

技术实现上，还要考虑第一方分析曲奇同第三方广告曲奇个区别：前者一般在 CCPA/CPRA 底下算作“商业目的”，相对允许；后者则属于 sharing，要接受 opt-out 约束。

FlexyConsent 针对加州访客个地理定向

FlexyConsent 通过自动地理定向来处理双模式挑战。当一个加州访客进侬网站个辰光，FlexyConsent 会自动调整行为，匹配 CCPA/CPRA 要求：

• 启用 opt-out 模式：弗是先把所有曲奇一刀切拦掉，而是显眼显示必需个 “Do Not Sell or Share My Personal Information” 选项。
• GPC 信号检测：FlexyConsent 会自动检查 Global Privacy Control 信号，一旦存在，就会在弗需要用户额外操作个情况下，禁止第三方数据分享。
• 按类别智能拦截：当加州用户 opt-out 以后，FlexyConsent 会有选择性地拦截广告同跨站跟踪曲奇，同时保留属于商业目的豁免范围里个第一方分析功能。
• 同 GDPR 无缝共存：同一套 FlexyConsent 安装可以同时处理两套框架。欧洲访客看到个是符合 GDPR 个 opt-in 横幅，带细分类别控制；加州访客看到个是相应个 opt-out 机制；来自无相关监管地区个访客，根据侬个配置，要么只看到一个简单提示，要么干脆啥横幅都弗有。

作为一个Google 认证个 CMP，支持 IAB TCF 2.3 同 Consent Mode V2，FlexyConsent 能确保同意信号被正确传递到 Google 服务，无论适用哪一套法律框架。这样一来，侬个 Google Analytics 同 Google Ads 配置，对已经 opt-in 个欧洲用户同尚未 opt-out 个加州用户都能正常工作。

要点总结：加州个 opt-out 模式看上去比 GDPR 个 opt-in 要宽松点，但在实际要求上——尤其是对 GPC 信号同“sharing”个宽泛定义——意味大多数靠广告吃饭个网站都需要一套比较成熟个同意管理解决方案。实现能按地区自动切换、同时适配两套框架个地理定向同意，比起想用一套办法全世界通吃，要可靠得多。