Skip to main content

CCPA, CPRA un ASV privātuma likumi: sīkfailu atbilstība ārpus Eiropas

Amerikas Savienotās Valstis attiecībā uz sīkfailu privātumu izmanto principiāli atšķirīgu pieeju nekā Eiropa. Nepastāv federāls sīkfailu likums, universāla piekrišanas prasība vai vienota datu aizsardzības iestāde. Tā vietā aizvien pieaugošs štatu līmeņa privātuma likumu tīkls rada vietņu operatoriem arvien sarežģītāku vidi. Izprast ASV pieeju — un to, kā tā atšķiras no GDPR — ir būtiski jebkuram uzņēmumam, kura apmeklētāji ir no abām Atlantijas okeāna pusēm.

ASV privātuma ainava: pārskats

Vissvarīgākā atšķirība starp ASV un ES sīkfailu tiesību aktiem ir regulējuma modelis:

  • ES modelis: piekrišana (opt-in). Pirms nebūtisku sīkfailu iestatīšanas ir jāsaņem piekrišana. Pēc noklusējuma izsekošana netiek veikta.
  • ASV modelis: atteikšanās (opt-out). Personas informāciju var vākt un koplietot pēc noklusējuma, taču patērētājiem ir jādod iespēja no tā atteikties. Pēc noklusējuma izsekošana notiek, ar iespēju to izslēgt.

Šī filozofijas atšķirība atspoguļojas ikvienā sīkfailu regulējuma aspektā. ES sīkfailu logs lūdz atļauju. ASV sīkfailu logs (ja tāds vispār pastāv) parasti informē lietotājus par viņu tiesībām atteikties.

2026. gada sākumā vismaz 15 štatos ir pieņemti visaptveroši privātuma likumi, un vairāki citi tiek aktīvi izskatīti. Tomēr tikai dažiem ir konkrēta ietekme uz sīkfailu atbilstību.

Kalifornija: CCPA un CPRA

Kalifornija ir nozīmīgākais ASV štats privātuma regulējuma jomā. Kalifornijas Patērētāju privātuma akts (CCPA), kas stājās spēkā 2020. gada 1. janvārī, bija pirmais visaptverošais štata privātuma likums. Tas tika būtiski grozīts ar Kalifornijas Privātuma tiesību aktu (CPRA), kurš pilnībā stājās spēkā 2023. gada 1. janvārī, un tā izpildi ar 2023. gada 1. jūliju veic Kalifornijas Privātuma aizsardzības aģentūra (CPPA).

Kā sīkfaili ir saistīti ar CCPA/CPRA

CCPA/CPRA neregulē sīkfailus tieši. Tā vietā tas regulē personas informācijas vākšanu, pārdošanu un koplietošanu, kas ietver arī caur sīkfailiem savāktos datus. Galvenie jēdzieni ir:

  • "Personas informācija" saskaņā ar CCPA/CPRA ietver tiešsaistes identifikatorus, IP adreses, pārlūkošanas vēsturi un informāciju par patērētāja mijiedarbību ar vietni — tas viss parasti tiek vākts, izmantojot sīkfailus.
  • "Pārdošana" ir plaši definēta kā personas informācijas nodošana trešajai pusei par naudas vai citu vērtīgu atlīdzību. Ja trešo pušu reklāmas sīkfaili jūsu vietnē koplieto apmeklētāju datus ar reklāmas tīkliem, tas saskaņā ar CCPA var tikt uzskatīts par "pārdošanu".
  • "Koplietošana" (pievienota ar CPRA) attiecas uz personas informācijas nodošanu trešajām pusēm starpkonteksta uzvedības reklāmai neatkarīgi no tā, vai nauda maina īpašnieku. Tas nepārprotami iekļauj tvērumā reklāmas sīkfailus.

Galvenās prasības

  1. Saite "Nepārdodiet un nekoplietojiet manu personas informāciju": Ja jūsu vietne pārdod vai koplieto personas informāciju (kas ietver lielāko daļu reklāmas sīkfailu scenāriju), jums sākumlapā jānodrošina skaidri marķēta saite, kas ļauj patērētājiem atteikties. Tas ir ASV ekvivalents sīkfailu piekrišanas mehānismam, taču tas darbojas uz atteikšanās, nevis piekrišanas pamata.
  2. Global Privacy Control (GPC): Saskaņā ar CPRA noteikumiem, ko galīgi apstiprinājusi CPPA, uzņēmumiem GPC signāli, ko sūta lietotāja pārlūkprogramma, jāuztver kā spēkā esošs atteikšanās pieprasījums. GPC ir pārlūkprogrammas līmeņa signāls (koncepcijas ziņā līdzīgs vecajam Do Not Track, taču juridiski saistošs saskaņā ar CCPA/CPRA). Ja lietotāja pārlūkprogramma sūta GPC signālu, jums jāpārtrauc viņa personas informācijas pārdošana vai koplietošana — tas nozīmē reklāmas un izsekošanas sīkfailu atspējošanu šim lietotājam.
  3. Atklāšana privātuma politikā: Jūsu privātuma politikā jāatklāj vākto personas informācijas kategorijas, vākšanas mērķi, trešo pušu kategorijas, ar kurām informācija tiek koplietota, un vai informācija tiek pārdota vai koplietota.
  4. Sensitīva personas informācija: CPRA ievieš tiesības "Ierobežot manas sensitīvās personas informācijas izmantošanu". Ja sīkfaili vāc sensitīvu informāciju (piemēram, precīzu ģeogrāfisko atrašanās vietu), patērētājiem jāspēj ierobežot tās izmantošanu.
  5. Nepilngadīgie: Attiecībā uz patērētājiem, kas ir jaunāki par 16 gadiem, CCPA/CPRA pāriet uz piekrišanas modeli. Jūs nedrīkstat pārdot vai koplietot patērētāja personas informāciju, par kuru zināt, ka viņš ir jaunāks par 16 gadiem, bez apstiprinošas piekrišanas (no paša patērētāja, ja viņam ir 13-15 gadi, vai no vecāka/aizbildņa, ja viņš ir jaunāks par 13 gadiem).

Kam jāievēro atbilstība

CCPA/CPRA attiecas uz peļņu gūstošiem uzņēmumiem, kas veic uzņēmējdarbību Kalifornijā un atbilst kādam no šiem sliekšņiem: gada bruto ieņēmumi pārsniedz 25 miljonus ASV dolāru; 100 000 vai vairāk patērētāju vai mājsaimniecību personas informācijas pirkšana, pārdošana vai koplietošana; vai 50 % vai vairāk no gada ieņēmumiem tiek gūti no patērētāju personas informācijas pārdošanas vai koplietošanas.

Citi ASV štatu privātuma likumi

Vairāki citi štati ir pieņēmuši visaptverošus privātuma likumus ar ietekmi uz sīkfailu atbilstību. Lai gan neviens no tiem nav tik detalizēts kā CCPA/CPRA, tie iedibina konsekventas tēmas ap atteikšanās tiesībām un datu caurskatāmību.

Kolorādo Privātuma akts (CPA)

Spēkā no: 2023. gada 1. jūlija. Izpildi veic: Kolorādo ģenerālprokurors.

Prasa atteikšanās tiesības attiecībā uz mērķtiecīgu reklāmu un personas datu pārdošanu. Uzņēmumiem jāievēro universālie atteikšanās mehānismi (piemēram, GPC). Kolorādo noteikumi īpaši prasa "skaidru un pamanāmu" atteikšanās metodi un atzīst universālos atteikšanās signālus, tādēļ GPC atbilstība attiecīgajiem uzņēmumiem faktiski ir obligāta.

Konektikutas Datu privātuma akts (CTDPA)

Spēkā no: 2023. gada 1. jūlija. Izpildi veic: Konektikutas ģenerālprokurors.

Līdzīgs Kolorādo likumam. Prasa atteikšanos attiecībā uz mērķtiecīgu reklāmu, personas datu pārdošanu un profilēšanu. No 2025. gada 1. janvāra prasa universālo atteikšanās mehānismu atzīšanu. Nodrošina īpašu aizsardzību sensitīviem datiem, prasot piekrišanu.

Virdžīnijas Patērētāju datu aizsardzības akts (VCDPA)

Spēkā no: 2023. gada 1. janvāra. Izpildi veic: Virdžīnijas ģenerālprokurors.

Nodrošina atteikšanās tiesības attiecībā uz mērķtiecīgu reklāmu un personas datu pārdošanu. Neprasa universālo atteikšanās signālu atzīšanu (atšķirībā no Kalifornijas, Kolorādo un Konektikutas). Prasa piekrišanu sensitīvu datu apstrādei.

Teksasas Datu privātuma un drošības akts (TDPSA)

Spēkā no: 2024. gada 1. jūlija. Izpildi veic: Teksasas ģenerālprokurors.

Ievērojami plašs tvērumā, bez ieņēmumu sliekšņa — tas attiecas uz jebkuru struktūru, kas veic uzņēmējdarbību Teksasā, apstrādā personas datus un nav mazais uzņēmums, kā to definē SBA. Prasa atteikšanos attiecībā uz mērķtiecīgu reklāmu un datu pārdošanu. Prasa universālo atteikšanās mehānismu atzīšanu.

Oregonas Patērētāju privātuma akts (OCPA)

Spēkā no: 2024. gada 1. jūlija. Izpildi veic: Oregonas ģenerālprokurors.

Attiecas uz uzņēmumiem, kas kontrolē vai apstrādā 100 000+ Oregonas patērētāju datus vai 25 000+ patērētāju datus, ja 25 %+ no ieņēmumiem tiek gūti no datu pārdošanas. Nodrošina standarta atteikšanās tiesības un prasa 30 dienu novēršanas periodu pārkāpumiem.

Salīdzinājums: ASV štati pret GDPR

Prasība GDPR/ePrivacy CCPA/CPRA Citi ASV štati
Piekrišanas modelis Piekrišana (iepriekšēja) Atteikšanās Atteikšanās
Sīkfailu piekrišana nepieciešama pirms iestatīšanas
Nepieciešams sīkfailu logs Faktiski jā Nē (nepieciešama atteikšanās saite)
Detalizēta piekrišana pa kategorijām
Tiesības atteikties no izsekošanas Jā (nedodot piekrišanu) Jā ("Nepārdodiet/nekoplietojiet") Jā (mērķtiecīga reklāma/datu pārdošana)
Nepieciešams GPC/universālais atteikšanās signāls Nav noteikts Atkarīgs (CA, CO, CT, TX: jā)
Nepieciešama privātuma politika
Sensitīvi dati: nepieciešama piekrišana Jā (nepārprotama piekrišana) Tiesības ierobežot izmantošanu Atkarīgs (lielākoties: piekrišana)
Izpilde DPA + privāta prasība (ierobežota) CPPA + AG + privātas prasības tiesības (datu pārkāpumi) Tikai ģenerālprokurors
Maksimālie sodi 4 % no globālā apgrozījuma / €20 milj. 2500 USD/pārkāpums; 7500 USD/tīšs Atkarīgs; parasti 7500-10 000 USD

Praktiskā pieeja: GDPR atbilstība sedz lielāko daļu ASV prasību

Ja jūsu vietne jau atbilst GDPR, jūs esat labā pozīcijā attiecībā uz ASV atbilstību. GDPR piekrišanas modelis ir stingrāks nekā jebkura ASV štata atteikšanās modelis. Tomēr pastāv konkrētas ASV prasības, ko GDPR neaptver:

  1. Saite "Nepārdodiet un nekoplietojiet": GDPR prasa piekrišanas pārvaldību, bet ne konkrētu saiti "Nepārdodiet un nekoplietojiet". Ja jums ir apmeklētāji no Kalifornijas un jūs atbilstat CCPA sliekšņiem, šī saite jums ir nepieciešama.
  2. GPC signāla atzīšana: Lai gan GDPR neprasa pārlūkprogrammas signālu atzīšanu, vairāki ASV štati to nosaka par pienākumu. GPC atzīšanas ieviešana ir vienkārša un apliecina cieņu pret lietotāju izvēlēm.
  3. Konkrēta atklāšana privātuma politikā: CCPA/CPRA prasa atklāt informāciju noteiktā formātā (iepriekšējo 12 mēnešu laikā vāktās informācijas kategorijas, avotu kategorijas u. c.), kas atšķiras no GDPR privātuma paziņojuma prasībām.
  4. "Do Not Track" pret GPC: Vecais Do Not Track (DNT) pārlūkprogrammas signāls nekad nav bijis juridiski saistošs. GPC ir tā pēctecis un ir juridiski saistošs saskaņā ar CCPA/CPRA un vairākiem citiem štatu likumiem. Pārliecinieties, ka jūsu piekrišanas pārvaldības platforma atpazīst un rīkojas atbilstoši GPC signāliem.

Federāla ASV privātuma likuma perspektīva

Amerikas Datu privātuma un aizsardzības akts (ADPPA) pieņemšanai tuvojās vairāk nekā jebkurš iepriekšējais federālais privātuma likumprojekts, kad 2022. gada jūlijā tas izgāja cauri Pārstāvju palātas Enerģētikas un tirdzniecības komitejai, taču galu galā apstājās. Turpmākajās Kongresa sesijās parādījās atjaunoti priekšlikumi, taču 2026. gada sākumā nav pieņemts neviens federāls privātuma likums.

Galvenie šķēršļi joprojām ir:

  • Federālā pārākuma princips: Vai federālam likumam vajadzētu būt pārākam par štatu likumiem (Kalifornija iebilst pret federālo pārākumu, kas vājinātu CCPA/CPRA).
  • Privātas prasības tiesības: Vai indivīdiem vajadzētu būt iespējai tieši iesūdzēt uzņēmumus par privātuma pārkāpumiem.
  • Piekrišana pret atteikšanos: Vai federālajam standartam vajadzētu pieņemt piekrišanas modeli sensitīviem datiem vai saglabāt atteikšanās pieeju.

Kamēr nav pieņemts federāls likums, uzņēmumiem jāorientējas štatu tīklā. Praktiskais ieteikums paliek nemainīgs: izveidojiet piekrišanas pārvaldības sistēmu, kas spēj apstrādāt visierobežojošākās prasības (GDPR piekrišanas modeli), un pēc vajadzības pievienojiet ASV specifiskas funkcijas (atteikšanās saites, GPC atbalstu).

Ieteikumi globālai atbilstībai

Vietnēm, kas apkalpo gan ES, gan ASV apmeklētājus, visefektīvākā pieeja ir:

  1. Ieviesiet GDPR atbilstošu piekrišanas pārvaldību kā savu pamatu. Tas jums dod visstingrāko modeli, kas pēc būtības apmierina mazāk stingras prasības.
  2. Pievienojiet mehānismu "Nepārdodiet un nekoplietojiet", ja atbilstat CCPA sliekšņiem vai jums ir ievērojama satiksme no Kalifornijas.
  3. Ieviesiet GPC signāla atzīšanu visiem apmeklētājiem. Tā ir vienkārša tehniska ieviešana ar būtiskiem juridiskiem ieguvumiem.
  4. Izmantojiet ģeolokāciju, lai piedāvātu atbilstošu piekrišanas pieredzi. ES apmeklētāji redz piekrišanas logu; ASV apmeklētāji redz mazāk uzmācīgu paziņojumu ar atteikšanās iespējām. Tas līdzsvaro atbilstību ar lietotāju pieredzi.
  5. Uzturiet visaptverošu atklāto informāciju privātuma politikā, kas apmierina gan GDPR, gan CCPA/CPRA prasības.

Globālā tendence nepārprotami virzās uz lielāku privātuma aizsardzību un lietotāju kontroli pār izsekošanas tehnoloģijām. Stabilas piekrišanas pārvaldības izveide tagad ir ieguldījums, kas atmaksāsies, jaunām regulām turpinot parādīties.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas