理解加州的隐私框架

加州在消费者隐私立法方面走在美国前列，其法律会影响到全球的网站。加州消费者隐私法案（CCPA）在 2023 年 1 月由加州隐私权法案（CPRA）进行了重大修订，对任何从加州居民处收集个人信息的企业施加义务——无论该企业的实际物理所在地在哪里。

对于网站所有者而言，实际影响主要集中在 Cookie、跟踪技术以及用户数据如何与第三方共享。尽管加州模式在根本上不同于欧洲的 GDPR，但它同样要求对同意机制和用户权利给予充分重视。

CCPA/CPRA：适用对象是谁？

该法律适用于满足以下任意一项门槛的营利性企业：

• 年度总收入超过 2500 万美元。
• 每年购买、出售或共享 10 万名或以上 加州居民、家庭或设备的个人信息。
• 从出售或共享加州居民个人信息中获得的年度收入占比50% 或以上。

第二项门槛对带有广告的网站尤其重要。如果你的网站使用第三方 Cookie 进行定向广告，并且拥有大量来自加州的访问量，那么仅通过这些 Cookie，你每年就可能在处理远超 10 万名加州用户的数据。

选择退出 vs 选择加入：与 GDPR 的根本差异

这是网站运营者必须理解的关键差异。在 GDPR 下，默认是选择加入（opt-in）：在用户主动同意之前，你不能设置非必要 Cookie。而在 CCPA/CPRA 下，默认是选择退出（opt-out）：在用户要求你停止之前，你可以处理个人信息（包括通过 Cookie）。

这意味着，加州访问者的同意体验在根本上不同：

• GDPR 模式：阻止所有非必要 Cookie。显示横幅。等待用户明确同意。只有在获得同意后才设置 Cookie。
• CCPA/CPRA 模式：Cookie 可以默认被设置。需要提供一个清晰醒目的“Do Not Sell or Share My Personal Information”（请勿出售或共享我的个人信息）链接。当用户行使这一权利时，必须停止将其数据与第三方共享。

不过，也存在重要例外。对于 16 岁以下的未成年人，CCPA/CPRA 会切换为选择加入模式——在出售或共享其个人信息之前，你必须获得其明确同意。对于 13 岁以下的儿童，则必须由父母或监护人提供该同意。

“Do Not Sell or Share” 要求

CPRA 将原 CCPA 的 “Do Not Sell” 权利扩展为包括 “sharing”，专门针对通过第三方广告 Cookie 发生的数据交换。当用户访问你的网站，而你的 Cookie 将其浏览数据发送给广告网络时，即便没有直接发生金钱交易，这在 CPRA 下也构成共享（sharing）。

你的义务包括：

• 在主页和隐私政策中提供一个标题为 “Do Not Sell or Share My Personal Information” 的清晰链接。
• 提供一种机制，使用户可以轻松行使这一权利，而无需创建账户。
• 在15 个工作日内履行该请求。
• 不得歧视行使该权利的用户（例如，通过降低其使用体验）。

Global Privacy Control (GPC)

Global Privacy Control 是一种浏览器层级的信号，用户可以启用它，以自动向其访问的每个网站传达自己的选择退出偏好。包括 Firefox 和 Brave 在内的主流浏览器原生支持 GPC，浏览器扩展则为 Chrome 等浏览器提供支持。

根据 CPRA 相关法规，企业必须将 GPC 信号视为有效的选择退出请求。这在实践中具有重要影响：

• 你的网站必须能够检测到 Sec-GPC: 1 HTTP 头或 navigator.globalPrivacyControl JavaScript 属性。
• 检测到后，你必须将其视为等同于用户点击了 “Do Not Sell or Share”。
• 对于这些用户，用于广告的第三方 Cookie 必须被禁止使用。

GPC 的采用率在稳步增长。估计目前有 5%–10% 的网络流量携带 GPC 信号，在注重隐私的加州用户中，这一比例更高。

在什么情况下你真的需要为加州显示 Cookie 横幅？

这正是许多企业感到困惑的地方。从严格意义上讲，由于采用选择退出模式，CCPA/CPRA 并不要求像欧洲那样的 Cookie 同意横幅。不过，你确实需要：

• 一个易于访问的 “Do Not Sell or Share” 链接。
• 当用户选择退出或发送 GPC 信号时，用于禁止第三方数据共享的机制。
• 一份隐私政策，披露所收集的个人信息类别、处理目的以及数据共享的第三方。
• 对于同时面向欧洲访客的网站，一套可与 CCPA 选择退出机制共存的、符合 GDPR 的同意横幅。

在实践中，大多数同时服务欧洲和加州受众的网站会实施统一的同意界面，并根据访客所在位置调整其行为。这样可以避免维护两套完全独立的同意系统。

实践中的实施考量

在实�� CCPA/CPRA 合规的同时兼顾 GDPR 合规，会形成一种双模式挑战。你的同意管理平台需要：

1. 准确检测访客位置，使用基于 IP 的地理定位。
2. 应用正确的法律框架——对 EEA/英国访客采用选择加入，对加州访客采用选择退出，对其他地区访客则可能没有相关要求。
3. 为加州访客管理 “Do Not Sell or Share” 链接，可以在横幅中呈现，也可以作为独立页面元素。
4. 在任何第三方 Cookie 被设置之前，检测并遵守 GPC 信号。
5. 相应地控制 Cookie 行为——对已选择退出的用户阻止第三方广告 Cookie，同时允许第一方分析继续运行。

技术实现还必须考虑到 第一方分析 Cookie（通常在 CCPA/CPRA 下被视为业务目的而允许）与 第三方广告 Cookie（构成共享，受选择退出约束）之间的区别。

面向加州访客的 FlexyConsent 地理定向

FlexyConsent 通过自动地理定向来处理这一双模式挑战。当加州访客访问你的网站时，FlexyConsent 会调整其行为以符合 CCPA/CPRA 要求：

• 激活选择退出模式：FlexyConsent 不会一开始就阻止���有 Cookie，而是会显著展示必需的 “Do Not Sell or Share My Personal Information” 选项。
• GPC 信号检测：FlexyConsent 会自动检查 Global Privacy Control 信号，一旦检测到，无需任何用户交互就会禁止第三方数据共享。
• 按类别感知的阻止：当加州用户选择退出时，FlexyConsent 会有选择地阻止广告和跨站点跟踪 Cookie，同时保留属于业务目的豁免范围内的第一方分析功能。
• 与 GDPR 的无缝共存：同一套 FlexyConsent 安装即可处理两种框架。欧洲访客会看到符合 GDPR 的选择加入横幅，并带有细粒度类别控制；加州访客则看到相应的选择退出机制；来自未受监管地区的访客则根据你的配置收到最小化通知或完全不显示横幅。

作为支持 IAB TCF 2.3 和 Consent Mode V2 的Google 认证 CMP，FlexyConsent 可确保无论适用哪种法律框架，用户同意信号都能正确传递给 Google 服务。这意味着，对于已选择加入的欧洲用户和未选择退出的加州用户，你的 Google Analytics 和 Google Ads 配置都能正常工作。

要点总结：加州的选择退出模式看起来似乎比 GDPR 的选择加入要求更宽松，但在实践中——尤其是围绕 GPC 信号以及对“共享”的宽泛定义——意味着大多数依赖广告的网站都需要一套复杂的同意管理解决方案。实施能够根据地域自动适配两种框架的地理定向同意机制，比试图在全球范围内套用单一模式要可靠得多。