CCPA, CPRA ir JAV privatumo įstatymai: slapukų atitiktis už Europos ribų
Jungtinės Valstijos į slapukų privatumą žiūri iš esmės kitaip nei Europa. Nėra nei federalinio slapukų įstatymo, nei universalaus sutikimo reikalavimo, nei vienos duomenų apsaugos institucijos. Vietoj to, vis platesnė valstijų lygmens privatumo įstatymų mozaika kuria vis sudėtingesnę aplinką svetainių operatoriams. Suprasti JAV požiūrį — ir kuo jis skiriasi nuo GDPR — būtina kiekvienam verslui, kuris sulaukia lankytojų iš abiejų Atlanto pusių.
JAV privatumo aplinka: apžvalga
Svarbiausias skirtumas tarp JAV ir ES slapukų teisės yra reguliavimo modelis:
- ES modelis: sutikimas iš anksto (opt-in). Prieš įrašydami nebūtinus slapukus turite gauti sutikimą. Numatytoji būsena — jokio sekimo.
- JAV modelis: atsisakymas (opt-out). Asmens informaciją galite rinkti ir dalytis ja pagal nutylėjimą, tačiau vartotojams turite suteikti galimybę atsisakyti. Numatytoji būsena — sekimas su išjungimo jungikliu.
Šis filosofijos skirtumas atsispindi kiekviename slapukų reguliavimo aspekte. ES slapukų juosta prašo leidimo. JAV slapukų juosta (jei ji apskritai yra) paprastai informuoja vartotojus apie jų teisę atsisakyti.
2026 m. pradžioje išsamūs valstijų privatumo įstatymai buvo priimti bent 15 valstijų, o dar keliose jie aktyviai svarstomi. Tačiau tik saujelė jų turi konkrečių pasekmių slapukų atitikčiai.
Kalifornija: CCPA ir CPRA
Kalifornija yra svarbiausia JAV valstija privatumo reguliavimo srityje. Kalifornijos vartotojų privatumo aktas (CCPA), įsigaliojęs 2020 m. sausio 1 d., buvo pirmasis išsamus valstijos privatumo įstatymas. Jį iš esmės pakeitė Kalifornijos privatumo teisių aktas (CPRA), visiškai įsigaliojęs 2023 m. sausio 1 d.; jo vykdymą Kalifornijos privatumo apsaugos agentūra (CPPA) pradėjo 2023 m. liepos 1 d.
Kaip slapukai susiję su CCPA/CPRA
CCPA/CPRA slapukų tiesiogiai nereguliuoja. Vietoj to jis reguliuoja asmens informacijos rinkimą, pardavimą ir dalijimąsi ja, o tai apima ir slapukais surinktus duomenis. Pagrindinės sąvokos:
- „Asmens informacija“ pagal CCPA/CPRA apima internetinius identifikatorius, IP adresus, naršymo istoriją ir informaciją apie vartotojo sąveiką su svetaine — visa tai dažniausiai renkama per slapukus.
- „Pardavimas“ apibrėžiamas plačiai — kaip asmens informacijos suteikimas trečiajai šaliai už piniginį ar kitą vertingą atlygį. Jei jūsų svetainės trečiųjų šalių reklaminiai slapukai dalijasi lankytojų duomenimis su reklamos tinklais, pagal CCPA tai gali būti laikoma „pardavimu“.
- „Dalijimasis“ (įtrauktas CPRA) apima asmens informacijos suteikimą trečiosioms šalims tarpkontekstinės elgesio reklamos tikslais, nepriklausomai nuo to, ar keičiamasi pinigais. Tai aiškiai įtraukia reklaminius slapukus į taikymo sritį.
Pagrindiniai reikalavimai
- Nuoroda „Neparduoti ir nedalytis mano asmens informacija“: Jei jūsų svetainė parduoda arba dalijasi asmens informacija (o tai apima daugumą reklaminių slapukų scenarijų), pagrindiniame puslapyje turite pateikti aiškiai pažymėtą nuorodą, leidžiančią vartotojams atsisakyti. Tai JAV atitikmuo slapukų sutikimo mechanizmui, tik jis veikia atsisakymo, o ne sutikimo pagrindu.
- Global Privacy Control (GPC): Pagal CPPA galutinai patvirtintas CPRA taisykles įmonės privalo vartotojo naršyklės siunčiamus GPC signalus laikyti galiojančiu atsisakymo prašymu. GPC yra naršyklės lygmens signalas (koncepciškai panašus į seną Do Not Track, tačiau teisiškai privalomas pagal CCPA/CPRA). Jei vartotojo naršyklė siunčia GPC signalą, turite nustoti parduoti ar dalytis jo asmens informacija — o tai reiškia reklaminių ir sekimo slapukų išjungimą tam vartotojui.
- Privatumo politikos atskleidimas: Jūsų privatumo politikoje turi būti atskleistos renkamos asmens informacijos kategorijos, rinkimo tikslai, trečiųjų šalių, su kuriomis dalijamasi informacija, kategorijos ir tai, ar informacija parduodama ar ja dalijamasi.
- Jautri asmens informacija: CPRA įveda teisę „Apriboti mano jautrios asmens informacijos naudojimą“. Jei slapukai renka jautrią informaciją (pavyzdžiui, tikslią geografinę vietą), vartotojai turi turėti galimybę apriboti jos naudojimą.
- Nepilnamečiai: Jaunesnių nei 16 metų vartotojų atveju CCPA/CPRA pereina prie sutikimo modelio. Jaunesnio nei 16 metų vartotojo, kurio amžių žinote, asmens informacijos negalite parduoti ar ja dalytis be aiškaus sutikimo (paties vartotojo, jei jam 13–15 metų, arba tėvų / globėjų, jei jaunesnis nei 13 metų).
Kam privaloma laikytis
CCPA/CPRA taikomas pelno siekiantiems verslams, kurie veikia Kalifornijoje ir atitinka bent vieną iš šių kriterijų: metinės bendrosios pajamos viršija 25 mln. USD; perka, parduoda arba dalijasi 100 000 ar daugiau vartotojų ar namų ūkių asmens informacija; arba 50 % ar daugiau metinių pajamų gauna iš vartotojų asmens informacijos pardavimo ar dalijimosi ja.
Kiti JAV valstijų privatumo įstatymai
Kelios kitos valstijos priėmė išsamius privatumo įstatymus, turinčius pasekmių slapukų atitikčiai. Nors nė vienas nėra toks detalus kaip CCPA/CPRA, jie nustato nuoseklias temas apie atsisakymo teises ir duomenų skaidrumą.
Kolorado privatumo aktas (CPA)
Įsigaliojo: 2023 m. liepos 1 d. Vykdo: Kolorado generalinis prokuroras.
Reikalauja atsisakymo teisių tikslinės reklamos ir asmens duomenų pardavimo atžvilgiu. Įmonės privalo gerbti universalius atsisakymo mechanizmus (pvz., GPC). Kolorado taisyklės konkrečiai reikalauja „aiškaus ir pastebimo“ atsisakymo būdo ir pripažįsta universalius atsisakymo signalus, todėl GPC atitiktis įpareigotoms įmonėms tampa iš esmės privaloma.
Konektikuto duomenų privatumo aktas (CTDPA)
Įsigaliojo: 2023 m. liepos 1 d. Vykdo: Konektikuto generalinis prokuroras.
Panašus į Kolorado įstatymą. Reikalauja atsisakymo teisių tikslinei reklamai, asmens duomenų pardavimui ir profiliavimui. Nuo 2025 m. sausio 1 d. reikalauja pripažinti universalius atsisakymo mechanizmus. Numato specifinę jautrių duomenų apsaugą, kuriai reikalingas sutikimas.
Virdžinijos vartotojų duomenų apsaugos aktas (VCDPA)
Įsigaliojo: 2023 m. sausio 1 d. Vykdo: Virdžinijos generalinis prokuroras.
Numato atsisakymo teises tikslinei reklamai ir asmens duomenų pardavimui. Nereikalauja pripažinti universalių atsisakymo signalų (skirtingai nei Kalifornija, Koloradas ir Konektikutas). Reikalauja sutikimo jautriems duomenims tvarkyti.
Teksaso duomenų privatumo ir saugumo aktas (TDPSA)
Įsigaliojo: 2024 m. liepos 1 d. Vykdo: Teksaso generalinis prokuroras.
Ypatingai plačios taikymo srities, be pajamų ribos — jis taikomas bet kuriam Teksase veikiančiam subjektui, kuris tvarko asmens duomenis ir nėra smulkusis verslas pagal SBA apibrėžimą. Reikalauja atsisakymo teisių tikslinei reklamai ir duomenų pardavimui. Reikalauja pripažinti universalius atsisakymo mechanizmus.
Oregono vartotojų privatumo aktas (OCPA)
Įsigaliojo: 2024 m. liepos 1 d. Vykdo: Oregono generalinis prokuroras.
Taikomas verslams, kontroliuojantiems arba tvarkantiems 100 000+ Oregono vartotojų duomenis, arba 25 000+ vartotojų, jei 25 %+ pajamų gaunama iš duomenų pardavimo. Numato standartines atsisakymo teises ir reikalauja 30 dienų ištaisymo laikotarpio pažeidimams.
Palyginimas: JAV valstijos ir GDPR
| Reikalavimas | GDPR/ePrivacy | CCPA/CPRA | Kitos JAV valstijos |
|---|---|---|---|
| Sutikimo modelis | Sutikimas iš anksto (išankstinis sutikimas) | Atsisakymas | Atsisakymas |
| Slapukų sutikimas būtinas prieš įrašant | Taip | Ne | Ne |
| Būtina slapukų juosta | Iš esmės taip | Ne (būtina atsisakymo nuoroda) | Ne |
| Detalus sutikimas pagal kategorijas | Taip | Ne | Ne |
| Teisė atsisakyti sekimo | Taip (nesutinkant) | Taip („Neparduoti / nedalytis“) | Taip (tikslinė reklama / duomenų pardavimas) |
| Būtinas GPC / universalus atsisakymas | Nenurodyta | Taip | Priklauso (CA, CO, CT, TX: taip) |
| Būtina privatumo politika | Taip | Taip | Taip |
| Jautrūs duomenys: būtinas sutikimas | Taip (aiškus sutikimas) | Teisė apriboti naudojimą | Priklauso (dažniausiai: sutikimas) |
| Vykdymas | DAI + privatus ieškinys (ribotas) | CPPA + generalinis prokuroras + privati ieškinio teisė (duomenų saugumo pažeidimai) | Tik generalinis prokuroras |
| Didžiausios baudos | 4 % pasaulinės apyvartos / 20 mln. € | 2 500 USD / pažeidimą; 7 500 USD / tyčinį | Priklauso; paprastai 7 500–10 000 USD |
Praktinis požiūris: GDPR atitiktis apima daugumą JAV reikalavimų
Jei jūsų svetainė jau atitinka GDPR, esate puikioje padėtyje ir JAV atitikčiai. GDPR sutikimo modelis yra griežtesnis nei bet kurios JAV valstijos atsisakymo modelis. Vis dėlto yra konkrečių JAV reikalavimų, kurių GDPR neaptaria:
- Nuoroda „Neparduoti ir nedalytis“: GDPR reikalauja sutikimų valdymo, bet ne konkrečios nuorodos „Neparduoti ir nedalytis“. Jei sulaukiate lankytojų iš Kalifornijos ir atitinkate CCPA kriterijus, tokia nuoroda jums reikalinga.
- GPC signalo pripažinimas: Nors GDPR nereikalauja pripažinti naršyklės signalų, kelios JAV valstijos to reikalauja. GPC pripažinimo įdiegimas yra nesudėtingas ir parodo pagarbą vartotojų pasirinkimams.
- Specifinis privatumo politikos atskleidimas: CCPA/CPRA reikalauja tam tikru būdu suformatuotų atskleidimų (per pastaruosius 12 mėnesių surinktos informacijos kategorijų, šaltinių kategorijų ir kt.), kurie skiriasi nuo GDPR privatumo pranešimo reikalavimų.
- „Do Not Track“ ir GPC: Senasis Do Not Track (DNT) naršyklės signalas niekada nebuvo teisiškai privalomas. GPC yra jo įpėdinis ir yra teisiškai privalomas pagal CCPA/CPRA bei kelis kitus valstijų įstatymus. Įsitikinkite, kad jūsų sutikimų valdymo platforma atpažįsta GPC signalus ir į juos reaguoja.
Federalinio JAV privatumo įstatymo perspektyva
Amerikos duomenų privatumo ir apsaugos aktas (ADPPA) priartėjo prie priėmimo labiau nei bet kuris ankstesnis federalinis privatumo įstatymo projektas, 2022 m. liepą praėjęs per Atstovų rūmų Energetikos ir prekybos komitetą, tačiau galiausiai užstrigo. Vėlesnėse Kongreso sesijose buvo pateikta naujų pasiūlymų, bet 2026 m. pradžioje joks federalinis privatumo įstatymas nebuvo priimtas.
Pagrindinės kliūtys išlieka:
- Viršenybė: Ar federalinis įstatymas turėtų būti aukštesnis už valstijų įstatymus (Kalifornija priešinasi viršenybei, kuri susilpnintų CCPA/CPRA).
- Privati ieškinio teisė: Ar asmenys turėtų galėti tiesiogiai teisiškai persekioti įmones dėl privatumo pažeidimų.
- Sutikimas ar atsisakymas: Ar federalinis standartas turėtų priimti sutikimo modelį jautriems duomenims, ar išlaikyti atsisakymo požiūrį.
Kol nebus priimtas federalinis įstatymas, verslas privalo naršyti po valstijų mozaiką. Praktinis patarimas išlieka: sukurkite sutikimų valdymo sistemą, gebančią atitikti griežčiausius reikalavimus (GDPR sutikimą), ir prireikus pridėkite JAV specifines funkcijas (atsisakymo nuorodas, GPC palaikymą).
Rekomendacijos pasaulinei atitikčiai
Svetainėms, aptarnaujančioms tiek ES, tiek JAV lankytojus, veiksmingiausias požiūris yra:
- Įdiekite GDPR atitinkantį sutikimų valdymą kaip pagrindą. Taip gausite griežčiausią modelį, kuris savaime tenkina mažiau griežtus reikalavimus.
- Pridėkite mechanizmą „Neparduoti ir nedalytis“, jei atitinkate CCPA kriterijus arba sulaukiate reikšmingo srauto iš Kalifornijos.
- Įdiekite GPC signalo pripažinimą visiems lankytojams. Tai paprastas techninis įdiegimas su reikšminga teisine nauda.
- Naudokite geografinės vietos nustatymą, kad pateiktumėte tinkamą sutikimo patirtį. ES lankytojai mato sutikimo juostą; JAV lankytojai mato mažiau įkyrų pranešimą su atsisakymo galimybėmis. Tai suderina atitiktį su vartotojo patirtimi.
- Palaikykite išsamius privatumo atskleidimus, tenkinančius tiek GDPR, tiek CCPA/CPRA reikalavimus.
Pasaulinė tendencija neabejotinai krypsta į didesnę privatumo apsaugą ir vartotojų kontrolę sekimo technologijų atžvilgiu. Patikimo sutikimų valdymo kūrimas dabar yra investicija, kuri atsipirks atsirandant naujiems reglamentams.
Ar jūsų svetainė atitinka slapukų taisykles?
Nemokamai nuskenuokite savo svetainę ir raskite visus slapukus per kelias minutes.
Nuskenuokite savo slapukus nemokamai