CCPA, CPRA и законите за поверителност в САЩ: съответствие на бисквитките отвъд Европа
Съединените щати възприемат фундаментално различен подход към поверителността на бисквитките в сравнение с Европа. Няма федерален закон за бисквитките, няма универсално изискване за съгласие и няма единен орган за защита на данните. Вместо това нарастващ мозаичен набор от закони за поверителност на щатско ниво създава все по-сложна среда за операторите на уебсайтове. Разбирането на американския подход — и как той се различава от GDPR — е от съществено значение за всеки бизнес с посетители от двете страни на Атлантика.
Пейзажът на поверителността в САЩ: преглед
Най-важната разлика между американското и европейското законодателство за бисквитките е регулаторният модел:
- Модел на ЕС: Opt-in. Трябва да получите съгласие, преди да зададете несъществени бисквитки. По подразбиране няма проследяване.
- Модел на САЩ: Opt-out. Можете да събирате и споделяте лична информация по подразбиране, но трябва да предоставите на потребителите възможността да се откажат. По подразбиране има проследяване с превключвател за изключване.
Тази разлика във философията се отразява във всеки аспект от регулирането на бисквитките. В ЕС банерът за бисквитки иска разрешение. В САЩ банерът за бисквитки (ако изобщо присъства) обикновено информира потребителите за правото им да се откажат.
Към началото на 2026 г. цялостни щатски закони за поверителност са приети в поне 15 щата, като още се разглеждат активно. Само няколко обаче имат конкретни последици за съответствието на бисквитките.
Калифорния: CCPA и CPRA
Калифорния е най-важният американски щат по отношение на регулирането на поверителността. Калифорнийският закон за поверителност на потребителите (CCPA), в сила от 1 януари 2020 г., беше първият цялостен щатски закон за поверителност. Той беше съществено изменен от Калифорнийския закон за правата на поверителност (CPRA), който влезе в пълна сила на 1 януари 2023 г., с прилагане от страна на Калифорнийската агенция за защита на поверителността (CPPA), започнало на 1 юли 2023 г.
Как бисквитките се свързват с CCPA/CPRA
CCPA/CPRA не регулира бисквитките пряко. Вместо това той регулира събирането, продажбата и споделянето на лична информация, което включва данни, събирани чрез бисквитки. Ключовите понятия са:
- „Лична информация“ съгласно CCPA/CPRA включва онлайн идентификатори, IP адреси, история на браузването и информация за взаимодействието на потребителя с уебсайт — всичко това обичайно се събира чрез бисквитки.
- „Продажба“ е широко дефинирана като предоставяне на лична информация на трета страна срещу парична или друга ценна компенсация. Ако рекламните бисквитки на трети страни на вашия сайт споделят данни за посетителите с рекламни мрежи, това може да представлява „продажба“ съгласно CCPA.
- „Споделяне“ (добавено от CPRA) обхваща предоставянето на лична информация на трети страни за поведенческа реклама в различни контексти, независимо дали има размяна на пари. Това изрично включва рекламните бисквитки в обхвата.
Ключови изисквания
- Връзка „Не продавайте и не споделяйте моята лична информация“: Ако вашият уебсайт продава или споделя лична информация (което включва повечето сценарии с рекламни бисквитки), трябва да предоставите ясно обозначена връзка на началната си страница, позволяваща на потребителите да се откажат. Това е американският еквивалент на механизъм за съгласие за бисквитки, макар и да работи на принципа на opt-out, а не opt-in.
- Global Privacy Control (GPC): Съгласно правилата на CPRA, финализирани от CPPA, бизнесите трябва да третират GPC сигналите, изпратени от браузъра на потребителя, като валидно искане за отказ. GPC е сигнал на ниво браузър (сходен по концепция със стария Do Not Track, но правно обвързващ съгласно CCPA/CPRA). Ако браузърът на потребителя изпраща GPC сигнал, трябва да спрете да продавате или споделяте личната му информация — което означава да деактивирате рекламните и проследяващите бисквитки за този потребител.
- Разкриване в политиката за поверителност: Вашата политика за поверителност трябва да разкрива категориите събирана лична информация, целите на събирането, категориите трети страни, с които се споделя информация, и дали информацията се продава или споделя.
- Чувствителна лична информация: CPRA въвежда правото „Ограничете използването на моята чувствителна лична информация“. Ако бисквитките събират чувствителна информация (като точно геолокиране), потребителите трябва да могат да ограничат нейното използване.
- Непълнолетни: За потребители под 16 години CCPA/CPRA преминава към модел opt-in. Не можете да продавате или споделяте личната информация на потребител, за когото знаете, че е под 16 години, без изрично съгласие (от потребителя, ако е на 13-15 години, от родител/настойник, ако е под 13 години).
Кой трябва да спазва
CCPA/CPRA се прилага за търговски предприятия, които извършват дейност в Калифорния и отговарят на някой от следните прагове: годишен брутен приход над 25 милиона долара; купуване, продаване или споделяне на лична информация на 100 000 или повече потребители или домакинства; или получаване на 50% или повече от годишния приход от продажба или споделяне на лична информация на потребители.
Други закони за поверителност в щатите на САЩ
Няколко други щата са приели цялостни закони за поверителност с последици за съответствието на бисквитките. Макар нито един да не е толкова подробен като CCPA/CPRA, те установяват последователни теми около правата на отказ и прозрачността на данните.
Colorado Privacy Act (CPA)
В сила от: 1 юли 2023 г. Прилаган от: Главния прокурор на Колорадо.
Изисква права на отказ за таргетирана реклама и продажба на лични данни. Бизнесите трябва да зачитат универсалните механизми за отказ (като GPC). Правилата на Колорадо изрично изискват „ясен и забележим“ метод за отказ и признават универсалните сигнали за отказ, което на практика прави съответствието с GPC задължително за обхванатите бизнеси.
Connecticut Data Privacy Act (CTDPA)
В сила от: 1 юли 2023 г. Прилаган от: Главния прокурор на Кънектикът.
Сходен със закона на Колорадо. Изисква отказ за таргетирана реклама, продажба на лични данни и профилиране. Изисква признаване на универсалните механизми за отказ, започвайки от 1 януари 2025 г. Осигурява конкретни защити за чувствителни данни, изискващи съгласие на принципа opt-in.
Virginia Consumer Data Protection Act (VCDPA)
В сила от: 1 януари 2023 г. Прилаган от: Главния прокурор на Вирджиния.
Осигурява права на отказ за таргетирана реклама и продажба на лични данни. Не изисква признаване на универсални сигнали за отказ (за разлика от Калифорния, Колорадо и Кънектикът). Изисква съгласие за обработка на чувствителни данни.
Texas Data Privacy and Security Act (TDPSA)
В сила от: 1 юли 2024 г. Прилаган от: Главния прокурор на Тексас.
Забележително широк по обхват, без праг на приходите — прилага се за всяко предприятие, извършващо дейност в Тексас, което обработва лични данни и не е малък бизнес, както е дефиниран от SBA. Изисква отказ за таргетирана реклама и продажба на данни. Изисква признаване на универсалните механизми за отказ.
Oregon Consumer Privacy Act (OCPA)
В сила от: 1 юли 2024 г. Прилаган от: Главния прокурор на Орегон.
Прилага се за бизнеси, контролиращи или обработващи данните на 100 000+ потребители от Орегон, или 25 000+ потребители, ако получават 25%+ от приходите си от продажби на данни. Осигурява стандартни права на отказ и изисква 30-дневен период за отстраняване на нарушения.
Сравнение: щати на САЩ спрямо GDPR
| Изискване | GDPR/ePrivacy | CCPA/CPRA | Други щати на САЩ |
|---|---|---|---|
| Модел на съгласие | Opt-in (предварително съгласие) | Opt-out | Opt-out |
| Изисква се съгласие за бисквитки преди задаване | Да | Не | Не |
| Изисква се банер за бисквитки | На практика да | Не (изисква се връзка за отказ) | Не |
| Гранулирано съгласие по категории | Да | Не | Не |
| Право на отказ от проследяване | Да (чрез несъгласие) | Да („Не продавайте/споделяйте“) | Да (таргетирана реклама/продажба на данни) |
| Изисква се GPC/универсален отказ | Не е указано | Да | Варира (CA, CO, CT, TX: да) |
| Изисква се политика за поверителност | Да | Да | Да |
| Чувствителни данни: изисква се opt-in | Да (изрично съгласие) | Право на ограничаване на използването | Варира (повечето: opt-in) |
| Прилагане | Органи за защита на данните + частни искове (ограничени) | CPPA + главен прокурор + частно право на иск (нарушения на данни) | Само главния прокурор |
| Максимални глоби | 4% от световния оборот / 20 млн. € | 2500 долара/нарушение; 7500 долара/умишлено | Варира; обикновено 7500-10 000 долара |
Практически подход: съответствието с GDPR покрива повечето изисквания на САЩ
Ако вашият уебсайт вече отговаря на GDPR, вие сте в добра позиция за съответствие със САЩ. Моделът opt-in на GDPR е по-строг от модела opt-out на който и да е американски щат. Има обаче конкретни изисквания в САЩ, които GDPR не разглежда:
- Връзка „Не продавайте и не споделяйте“: GDPR изисква управление на съгласието, но не и конкретна връзка „Не продавайте и не споделяйте“. Ако имате посетители от Калифорния и отговаряте на праговете на CCPA, тази връзка ви е необходима.
- Признаване на GPC сигнал: Макар GDPR да не изисква признаване на сигнали от браузъра, няколко американски щата го налагат. Внедряването на признаване на GPC е лесно и демонстрира зачитане на предпочитанията на потребителите.
- Конкретни разкрития в политиката за поверителност: CCPA/CPRA изисква разкрития, форматирани по конкретни начини (категории събрана информация през предходните 12 месеца, категории източници и др.), които се различават от изискванията за уведомление за поверителност по GDPR.
- „Do Not Track“ спрямо GPC: Старият сигнал на браузъра Do Not Track (DNT) никога не е бил правно обвързващ. GPC е негов наследник и е правно обвързващ съгласно CCPA/CPRA и няколко други щатски закона. Уверете се, че вашата платформа за управление на съгласието разпознава и действа по GPC сигналите.
Перспективата за федерален закон за поверителност в САЩ
Американският закон за поверителност и защита на данните (ADPPA) се приближи до приемане повече от всеки предишен федерален законопроект за поверителност, когато премина през Комисията по енергетика и търговия на Камарата на представителите през юли 2022 г., но в крайна сметка блокира. Следващите сесии на Конгреса видяха подновени предложения, но към началото на 2026 г. не е приет федерален закон за поверителност.
Основните пречки остават:
- Предимство (Preemption): Дали федералният закон трябва да има предимство пред щатските закони (Калифорния се противопоставя на предимство, което би отслабило CCPA/CPRA).
- Частно право на иск: Дали физическите лица трябва да могат да съдят компаниите директно за нарушения на поверителността.
- Opt-in спрямо opt-out: Дали федералният стандарт трябва да възприеме модел opt-in за чувствителни данни или да запази подхода opt-out.
Докато не бъде приет федерален закон, бизнесите трябва да се ориентират в мозайката от щатски закони. Практическият съвет остава: изградете система за управление на съгласието, която може да се справи с най-рестриктивните изисквания (opt-in по GDPR), и добавете специфични за САЩ функции (връзки за отказ, поддръжка на GPC) при необходимост.
Препоръки за глобално съответствие
За уебсайтове, обслужващи посетители както от ЕС, така и от САЩ, най-ефективният подход е:
- Внедрете управление на съгласието, съвместимо с GDPR като своя основа. Това ви дава най-строгия модел, който по своята същност удовлетворява по-малко строгите изисквания.
- Добавете механизъм „Не продавайте и не споделяйте“, ако отговаряте на праговете на CCPA или имате значителен трафик от Калифорния.
- Внедрете признаване на GPC сигнал за всички посетители. Това е просто техническо внедряване със значителни правни ползи.
- Използвайте геолокация, за да предоставяте подходящи изживявания за съгласие. Посетителите от ЕС виждат банер за opt-in; посетителите от САЩ виждат по-ненатрапчиво уведомление с опции за отказ. Това балансира съответствието с потребителското изживяване.
- Поддържайте цялостни разкрития за поверителност, които удовлетворяват изискванията както на GDPR, така и на CCPA/CPRA.
Глобалната тенденция е недвусмислено насочена към по-голяма защита на поверителността и потребителски контрол върху технологиите за проследяване. Изграждането на надеждно управление на съгласието сега е инвестиция, която ще носи дивиденти с продължаващата поява на нови регулации.
Вашият уебсайт съответства ли на правилата за бисквитки?
Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.
Сканирайте бисквитките си безплатно