了解加州嘅私隱框架

加州一直係美國消費者私隱立法嘅先鋒，而呢啲法律會影響到全世界嘅網站。《加州消費者私隱法》（CCPA）喺 2023 年 1 月起由《加州私隱權利法》（CPRA）作出重大修訂，對任何收集加州居民個人資料嘅企業都施加義務——無論嗰間企業實際上喺邊度營運。

對網站擁有人嚟講，實際影響主要集中喺 cookies、追蹤技術，以及你點樣同第三方分享用戶數據。雖然加州模式同歐洲嘅 GDPR 喺原則上好唔同，但都同樣要求你認真處理同意機制同用戶權利。

CCPA/CPRA：邊啲對象受規管？

呢條法例適用於符合以下任何一項門檻嘅營利企業：

• 年度總收入超過 2,500 萬美元。
• 每年買入、出售或分享 10 萬名或以上加州居民、家庭或裝置嘅個人資料。
• 有 50% 或以上年度收入係嚟自出售或分享加州居民嘅個人資料。

第二個門檻對有做廣告嘅網站特別重要。如果你個網站用第三方 cookies 做定向廣告，而且有相當多加州流量，你好可能單單透過呢啲 cookies，就已經每年處理超過 10 萬名加州用戶嘅數據。

Opt-Out vs Opt-In：同 GDPR 之間最根本嘅分別

呢點係網站營運者最需要搞清楚嘅地方。喺 GDPR 底下，預設係 opt-in：你唔可以喺用戶主動同意之前，就設定非必要 cookies。喺 CCPA/CPRA 底下，預設係 opt-out：你可以處理個人資料（包括透過 cookies），直到用戶叫你停為止。

即係話，加州訪客嘅同意體驗，喺形式上會好唔同：

• GDPR 做法：封鎖所有非必要 cookies，顯示橫額，等用戶明確同意，之後先至可以 set cookies。
• CCPA/CPRA 做法：cookies 可以預設啟用。你要提供一個清晰而且顯眼嘅 「Do Not Sell or Share My Personal Information」 連結。當用戶行使呢個權利，你就要停止同第三方分享佢哋嘅數據。

不過，亦都有重要例外。對 16 歲以下未成年人，CCPA/CPRA 會轉做 opt-in 模式——你必須喺出售或分享佢哋嘅個人資料之前，取得明確同意。對 13 歲以下���童，就要由家長或監護人提供呢個同意。

「Do Not Sell or Share」要求

CPRA 將原本 CCPA 嘅「Do Not Sell」權利擴展到包括「sharing」——特別針對透過第三方廣告 cookies 進行嘅嗰種數據交換。當用戶瀏覽你個網站，而你啲 cookies 將佢哋嘅瀏覽數據傳送畀廣告網絡，喺 CPRA 底下就已經構成sharing，即使你哋之間冇直接金錢交易。

你嘅義務包括：

• 喺首頁同私隱政策入面，提供一條標題為 「Do Not Sell or Share My Personal Information」 嘅清晰連結。
• 提供一個機制，等用戶可以好容易咁行使呢個權利，而唔需要開帳戶。
• 喺 15 個工作天內履行用戶嘅要求。
• 唔可以因為用戶行使呢個權利而歧視佢哋（例如刻意令佢哋嘅使用體驗變差）。

Global Privacy Control (GPC)

Global Privacy Control 係一個瀏覽器層面嘅訊號，用戶可以開啟佢，等佢自動向所有造訪嘅網站表達自己嘅 opt-out 偏好。包括 Firefox 同 Brave 喺內嘅主流瀏覽器已經原生支援 GPC，而瀏覽器擴充功能亦都可以為 Chrome 等其他瀏覽器加上支援。

根據 CPRA 規例，企業必須尊重 GPC 訊號，視之為有效��� opt-out 要求。呢點喺實務上有幾個重要影響：

• 你個網站要能夠偵測 Sec-GPC: 1 呢個 HTTP header，或者 navigator.globalPrivacyControl 呢個 JavaScript 屬性。
• 一旦偵測到，你就要當佢等同用戶撳咗「Do Not Sell or Share」。
• 用於廣告嘅第三方 cookies 必須為呢啲用戶停用。

GPC 嘅採用率正穩步上升。有估計指而家大約有 5% 至 10% 嘅網絡流量會帶有 GPC 訊號，而喺加州較重視私隱嘅用戶當中，呢個比例仲會更高。

喺乜情況之下，你真係需要為加州出 Cookie 橫額？

好多企業都喺呢度搞到好混亂。嚴格嚟講，因為係 opt-out 模式，CCPA/CPRA 並冇要求你一定要用歐洲嗰種 cookie 同意橫額。不過，你仍然需要：

• 一條容易搵到嘅 「Do Not Sell or Share」 連結。
• 一個機制，喺用戶 opt-out 或發出 GPC 訊號時，可以停止同第三方分享數據。
• 一份私隱政策，披露你收集嘅個人資料類別、用途，以及你會同邊啲第三方分享數據。
• 如果你個網站同時服務歐洲訪客，就要有一個符合 GDPR 嘅同意橫額，而且要可以同 CCPA 嘅 opt-out 機制並存。

實際上，大部分同時服務歐洲同加州受眾嘅網站，會實作一個統一嘅同意介面，根據訪客所在地自動調整行為。咁樣就唔使維護兩套完全獨立嘅同意系統。

實務實施要點

同時實作 CCPA/CPRA 同 GDPR 合規，會造成一個雙模式嘅挑戰。你嘅同意管理平台需要：

1. 準確偵測訪客位置，通常係用 IP 定位。
2. 套用正確嘅法律框架——對 EEA/英國訪客用 opt-in，對加州訪客用 opt-out，而其他地區可能冇特別要求。
3. 為加州訪客管理「Do Not Sell or Share」連結，可以喺橫額入面，或者作為獨立頁面元素。
4. 喺任何第三方 cookies 設定之前，偵測並尊重 GPC 訊號。
5. 相應控制 cookies 行為——對已經 opt-out 嘅用戶封鎖第三方廣告 cookies，同時容許第一方分析 cookies 繼續運作。

技術實作上，亦都要處理好 第一方分析 cookies（一般喺 CCPA/CPRA 底下可作「商業用途」而被允許）同 第三方廣告 cookies（屬於 sharing，要受 opt-out 約束）之間嘅分別。

FlexyConsent 對加州訪客嘅地理定位功能

FlexyConsent 透過自動地理定位，處理呢個雙模式挑戰。當加州訪客進入你個網站，FlexyConsent 會自動調整行為，以符合 CCPA/CPRA 要求：

• 啟動 opt-out 模式：FlexyConsent 唔會一開始就封鎖所有 cookies，而係會顯眼咁展示必需嘅「Do Not Sell or Share My Personal Information」選項。
• 偵測 GPC 訊號：FlexyConsent 會自動檢查 Global Privacy Control 訊號，一旦偵測到，就會喺唔需要任何額外用戶操作嘅情況下，停止第三方數據分享。
• 按類別選擇性封鎖：當加州用戶 opt-out 之後，FlexyConsent 會有選擇咁封鎖廣告同跨網站追蹤 cookies，同時保留屬於「商業用途」豁免範圍內嘅第一方分析功能。
• 同 GDPR 無縫共存：同一個 FlexyConsent 安裝就可以處理兩套框架。歐洲訪客會見到符合 GDPR 嘅 opt-in 橫額，並有細緻嘅類別控制；加州訪客就會見到相應嘅 opt-out 機制；而來自未受規管地區嘅訪客，則可以按你設定，只見到最簡約提示，或者完全冇橫額。

作為一個Google 認證 CMP，並支援 IAB TCF 2.3 同 Consent Mode V2，FlexyConsent 可以確保喺任何法律框架底下，都可以正確將同意訊號傳遞畀 Google 服務。即係話，無論係已 opt-in 嘅歐洲用戶，定係未 opt-out 嘅加州用戶，你嘅 Google Analytics 同 Google Ads 設定都可以正常運作。

重點總結：加州嘅 opt-out 模式表面上好似比 GDPR 嘅 opt-in 要求寬鬆，但實際要求——尤其係 GPC 訊號同對「sharing」嘅廣泛定義——代表大部分靠廣告維生嘅網站，都需要一套成熟嘅同意管理方案。實作可以因地制宜、同時兼容兩套框架嘅地理定位同意機制，遠比試圖用一套全球通用做法可靠得多。