Skip to main content

Opt-in срещу opt-out: разбиране на двата модела за съгласие

Светът има два фундаментално различни подхода към съгласието за бисквитки. Европейският съюз изисква opt-in: няма бисквитки, докато потребителят не каже „да“. Съединените щати (в повечето щати) допускат opt-out: бисквитките се поставят по подразбиране, а потребителят може да откаже. Разбирането на тези два модела — тяхната правна основа, техните последици и къде се прилага всеки от тях — е от съществено значение за всеки уебсайт с глобална аудитория.

Моделът opt-in

При модела opt-in несъществените бисквитки не могат да се поставят, докато потребителят не даде изрично, положително съгласие. Липсата на действие от страна на потребителя означава липса на бисквитки. Това е моделът, изискван от Директивата за електронна поверителност на ЕС (член 5, параграф 3), тълкувана през дефиницията за съгласие в GDPR (член 4, точка 11).

Как opt-in работи на практика

  1. Потребителят посещава уебсайта за първи път.
  2. Активни са само строго необходимите бисквитки. Аналитичните, маркетинговите и бисквитките за предпочитания са блокирани.
  3. Появява се механизъм за съгласие, който представя категориите бисквитки и приканва потребителя да направи избор.
  4. Потребителят активно избира кои категории да приеме (или щраква върху „Приемам всички“ или „Отхвърлям всички“).
  5. Зареждат се само скриптовете, съответстващи на приетите категории.
  6. Ако потребителят не предприеме действие, не се задават несъществени бисквитки. Механизмът за съгласие остава видим (или достъпен), докато потребителят не направи избор.

Правна основа

Изискването за opt-in произтича от два източника:

  • Член 5, параграф 3 от Директивата за електронна поверителност: Изисква „съгласие“ преди съхраняване на информация на устройството на потребителя.
  • Член 4, точка 11 от GDPR: Дефинира съгласието като изискващо „ясно утвърдително действие“ — което изключва бездействието, предварително отметнатите полета и подразбиращото се съгласие.
  • Решение на Съда на ЕС по делото Planet49 (C-673/17): Потвърди, че се изисква активно съгласие и че предварително отметнатите полета не представляват валидно съгласие.

Къде се прилага opt-in

Във всички държави членки на ЕС/ЕИП (27 държави от ЕС плюс Норвегия, Исландия и Лихтенщайн), както и в Обединеното кралство (което запази правилата за електронна поверителност след Brexit чрез Privacy and Electronic Communications Regulations, или PECR).

Последици за операторите на уебсайтове

  • Очаквайте значителни нива на отхвърляне на съгласието. Данните от индустрията сочат, че 30–50% от европейските посетители отхвърлят несъществените бисквитки, когато им се предложи истински избор.
  • Аналитичните данни ще бъдат непълни. Ще разполагате само с данни от потребители, които са дали съгласие. Това не е грешка — това е предвиденият резултат от регулацията.
  • Зареждането на скриптове трябва да е условно. Нуждаете се от технически механизъм, който блокира скриптовете, докато съгласието не бъде записано. Това не може да се постигне само с банер — изисква реално управление на скриптовете.

Моделът opt-out

При модела opt-out бисквитките могат да се поставят по подразбиране. Потребителят има право да откаже или да се откаже (opt out), но освен ако не предприеме действие, проследяването е разрешено. Това е моделът, използван в Съединените щати и в няколко други юрисдикции.

Как opt-out работи на практика

  1. Потребителят посещава уебсайта.
  2. Всички бисквитки — включително аналитичните и маркетинговите — се поставят незабавно.
  3. Известие информира потребителя, че се използват бисквитки, и предоставя начин за отказ.
  4. Ако потребителят не предприеме действие, бисквитките остават активни.
  5. Ако потребителят се откаже, неговите предпочитания се спазват занапред (а в някои юрисдикции може да се наложи изтриване на вече събраните данни).

Правна основа

Моделът opt-out се среща в:

  • CCPA/CPRA (Калифорния): Калифорнийските потребители имат право да се откажат от „продажбата“ или „споделянето“ на лична информация. Бисквитките, използвани за поведенческа реклама между контексти, представляват „споделяне“ по CPRA. Задължението е да се предостави механизъм за отказ (често чрез връзка „Не продавайте и не споделяйте личната ми информация“), а не да се получи предварително съгласие.
  • CAN-SPAM Act и насоки на FTC: Федералният подход на САЩ към онлайн проследяването исторически е бил „уведомяване и избор“, а не утвърдително съгласие.
  • Различни щатски закони на САЩ: Вирджиния (VCDPA), Колорадо (CPA), Кънектикът (CTDPA) и други следват вариации на модела opt-out за таргетирана реклама и продажби на данни.

Къде се прилага opt-out

Съединените щати (с вариации по щати), Канада (PIPEDA — макар че това може да се промени с предложените реформи), Австралия (по Privacy Act — също в процес на преразглеждане) и няколко други юрисдикции извън ЕС/ЕИП.

Последици за операторите на уебсайтове

  • Повече събиране на данни по подразбиране. Тъй като бисквитките се поставят, освен ако потребителят не възрази, аналитичните и рекламните данни са по-пълни.
  • Трябва да се предостави ясен механизъм за отказ. Съгласно CCPA/CPRA това означава връзка „Не продавайте и не споделяйте личната ми информация“, която е лесна за намиране и използване.
  • Трябва да се зачита Global Privacy Control (GPC). Калифорнийският закон изисква от предприятията да третират браузърния сигнал GPC като валидно искане за отказ.

Подробно сравнение

Аспект Opt-in (ЕС/GDPR) Opt-out (САЩ/CCPA)
Състояние по подразбиране Бисквитките са блокирани до получаване на съгласие Бисквитките са активни по подразбиране
Изисквано действие от потребителя Трябва да действа, за да разреши бисквитките Трябва да действа, за да спре бисквитките
Мълчание / бездействие Означава липса на съгласие (няма бисквитки) Означава предполагаемо съгласие (бисквитките са активни)
Механизъм за съгласие Детайлен избор по категории Връзка или превключвател за отказ
Предварително отметнати полета Не се допускат (решение Planet49) Допускат се (модел opt-out)
Влияние върху аналитиката 30–50% загуба на данни поради липса на съгласие Минимална загуба на данни (малцина се отказват)
Оттегляне Толкова лесно, колкото даването на съгласие (GDPR член 7, параграф 3) Трябва да се предостави, без изискване за еднаква лекота
Деца Родителско съгласие за под 13–16 години (варира) COPPA се прилага за деца под 13 години
Ключова регулация Директива за електронна поверителност + GDPR CCPA/CPRA + щатски закони
Максимални глоби 20 млн. евро или 4% от глобалния оборот 7500 щ.д. на умишлено нарушение (CCPA)

Може ли да използвате различни модели за различни региони?

Да, и много глобални уебсайтове го правят. Този подход се нарича гео-таргетирано управление на съгласието. Уебсайтът разпознава местоположението на посетителя (обикновено чрез IP геолокация) и представя подходящия модел за съгласие:

  • Посетители от ЕС/ЕИП/Обединеното кралство: Модел opt-in с детайлно съгласие.
  • Посетители от Калифорния: Модел opt-out с връзка „Не продавайте и не споделяйте“.
  • Други посетители от САЩ: Само уведомяване (в зависимост от приложимостта на щатския закон).
  • Други юрисдикции: Въз основа на приложимото местно законодателство.

Предизвикателства на гео-таргетирането

  • IP геолокацията не е перфектна. VPN потребителите може да бъдат разпознати с грешно местоположение. Мобилните потребители може да се придвижват между юрисдикции.
  • Тежест на поддръжката. Трябва да следите регулаторните развития във всяка юрисдикция, която обслужвате, и съответно да актуализирате потоците си за съгласие.
  • Сложност на тестването. Трябва да проверите дали всеки регионален вариант работи правилно — различни банери, различни състояния по подразбиране, различно поведение при блокиране на скриптове.
  • GDPR се прилага екстериториално. Ако таргетирате потребители от ЕС (член 3, параграф 2), GDPR се прилага независимо къде се намира вашият бизнес. „Таргетирането“ включва предлагането на стоки или услуги на жители на ЕС или наблюдението на тяхното поведение.

Добра практика: по подразбиране opt-in

Ако управлението на множество модели за съгласие изглежда непосилно, има по-прост път: използвайте модела opt-in по подразбиране в целия свят.

Ето защо това работи:

  1. Съответствие навсякъде. Моделът opt-in удовлетворява най-строгите изисквания. Ако спазвате изискванията за съгласие на GDPR, автоматично надхвърляте изискванията на CCPA, LGPD и повечето други рамки.
  2. Простота. Един механизъм за съгласие, една имплементация, един набор от тестове. Без гео-разпознаване, без регионални варианти, без гранични случаи.
  3. Готовност за бъдещето. Глобалната тенденция е към по-строги изисквания за съгласие. Предложените реформи в САЩ, Канада, Австралия и Индия всички се движат в посока на по-изрично съгласие. Изграждането с opt-in сега означава, че няма да се налага преработване по-късно.
  4. Доверие на потребителите. Потребителите по света реагират положително на прозрачните и уважителни практики за съгласие. Предлагането на истински избор — дори там, където законът не го изисква стриктно — изгражда доверие и достоверност на марката.
  5. Качество на данните. Данните, събрани със съгласие, са по-чисти, по-защитими и по-ценни от данните, събрани в правна неяснота.

Компромисът е реален: ще събирате по-малко данни в глобален мащаб. Но данните, които събирате, ще бъдат правно издържани, етично чисти и все по-ценни, тъй като данните от трети страни стават все по-трудно достъпни.

Нови развития

Средата на съгласието не е статична. Няколко развития заслужават внимание:

  • Регламент за електронна поверителност. ЕС работи по заместник на Директивата за електронна поверителност от 2017 г. Когато бъде приет, той ще стане пряко приложим регламент (като GDPR), а не директива, изискваща национално транспониране. Очаква се правилата за съгласие за бисквитки да останат подобни на или по-строги от настоящата рамка.
  • Global Privacy Control (GPC). Този сигнал на ниво браузър съобщава автоматично предпочитанията за поверителност на потребителя. Калифорнийският закон вече изисква зачитане на GPC. Колорадо и Кънектикът също. Това може да се превърне в стандартен механизъм за съобщаване на предпочитания за отказ.
  • Модели „съгласие или плащане“. Становището на ЕКЗД от 2024 г. относно „съгласие или плащане“ (по-специално в контекста на подхода на Meta) оформя начина, по който регулаторите разглеждат връзката между съгласието и достъпа до услуги.
  • Съгласие на ниво браузър. Някои предложения биха преместили управлението на съгласието от отделните уебсайтове към самия браузър, като потребителите задават предпочитанията си веднъж, а не на всеки сайт. Това би променило фундаментално начина, по който съгласието работи на практика.

Passiro ви помага да внедрите правилния модел за съгласие за вашата аудитория, с автоматично разпознаване и категоризиране на всички бисквитки на вашия сайт — независимо дали избирате opt-in, opt-out или гео-таргетиран подход.

За нашия последен раздел нека разгледаме добрите практики за съгласие — практическите, приложими насоки за внедряване на съгласие, което е едновременно съответстващо и удобно за потребителите.

Вашият уебсайт съответства ли на правилата за бисквитки?

Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.

Сканирайте бисквитките си безплатно