Skip to main content

CCPA, CPRA и законите за поверителност в САЩ: съответствие на бисквитките отвъд Европа

Съединените щати възприемат фундаментално различен подход към поверителността на бисквитките в сравнение с Европа. Няма федерален закон за бисквитките, няма универсално изискване за съгласие и няма единен орган за защита на данните. Вместо това нарастващ мозаичен набор от закони за поверителност на щатско ниво създава все по-сложна среда за операторите на уебсайтове. Разбирането на американския подход — и как той се различава от GDPR — е от съществено значение за всеки бизнес с посетители от двете страни на Атлантика.

Пейзажът на поверителността в САЩ: преглед

Най-важната разлика между американското и европейското законодателство за бисквитките е регулаторният модел:

  • Модел на ЕС: Opt-in. Трябва да получите съгласие, преди да зададете несъществени бисквитки. По подразбиране няма проследяване.
  • Модел на САЩ: Opt-out. Можете да събирате и споделяте лична информация по подразбиране, но трябва да предоставите на потребителите възможността да се откажат. По подразбиране има проследяване с превключвател за изключване.

Тази разлика във философията се отразява във всеки аспект от регулирането на бисквитките. В ЕС банерът за бисквитки иска разрешение. В САЩ банерът за бисквитки (ако изобщо присъства) обикновено информира потребителите за правото им да се откажат.

Към началото на 2026 г. цялостни щатски закони за поверителност са приети в поне 15 щата, като още се разглеждат активно. Само няколко обаче имат конкретни последици за съответствието на бисквитките.

Калифорния: CCPA и CPRA

Калифорния е най-важният американски щат по отношение на регулирането на поверителността. Калифорнийският закон за поверителност на потребителите (CCPA), в сила от 1 януари 2020 г., беше първият цялостен щатски закон за поверителност. Той беше съществено изменен от Калифорнийския закон за правата на поверителност (CPRA), който влезе в пълна сила на 1 януари 2023 г., с прилагане от страна на Калифорнийската агенция за защита на поверителността (CPPA), започнало на 1 юли 2023 г.

Как бисквитките се свързват с CCPA/CPRA

CCPA/CPRA не регулира бисквитките пряко. Вместо това той регулира събирането, продажбата и споделянето на лична информация, което включва данни, събирани чрез бисквитки. Ключовите понятия са:

  • „Лична информация“ съгласно CCPA/CPRA включва онлайн идентификатори, IP адреси, история на браузването и информация за взаимодействието на потребителя с уебсайт — всичко това обичайно се събира чрез бисквитки.
  • „Продажба“ е широко дефинирана като предоставяне на лична информация на трета страна срещу парична или друга ценна компенсация. Ако рекламните бисквитки на трети страни на вашия сайт споделят данни за посетителите с рекламни мрежи, това може да представлява „продажба“ съгласно CCPA.
  • „Споделяне“ (добавено от CPRA) обхваща предоставянето на лична информация на трети страни за поведенческа реклама в различни контексти, независимо дали има размяна на пари. Това изрично включва рекламните бисквитки в обхвата.

Ключови изисквания

  1. Връзка „Не продавайте и не споделяйте моята лична информация“: Ако вашият уебсайт продава или споделя лична информация (което включва повечето сценарии с рекламни бисквитки), трябва да предоставите ясно обозначена връзка на началната си страница, позволяваща на потребителите да се откажат. Това е американският еквивалент на механизъм за съгласие за бисквитки, макар и да работи на принципа на opt-out, а не opt-in.
  2. Global Privacy Control (GPC): Съгласно правилата на CPRA, финализирани от CPPA, бизнесите трябва да третират GPC сигналите, изпратени от браузъра на потребителя, като валидно искане за отказ. GPC е сигнал на ниво браузър (сходен по концепция със стария Do Not Track, но правно обвързващ съгласно CCPA/CPRA). Ако браузърът на потребителя изпраща GPC сигнал, трябва да спрете да продавате или споделяте личната му информация — което означава да деактивирате рекламните и проследяващите бисквитки за този потребител.
  3. Разкриване в политиката за поверителност: Вашата политика за поверителност трябва да разкрива категориите събирана лична информация, целите на събирането, категориите трети страни, с които се споделя информация, и дали информацията се продава или споделя.
  4. Чувствителна лична информация: CPRA въвежда правото „Ограничете използването на моята чувствителна лична информация“. Ако бисквитките събират чувствителна информация (като точно геолокиране), потребителите трябва да могат да ограничат нейното използване.
  5. Непълнолетни: За потребители под 16 години CCPA/CPRA преминава към модел opt-in. Не можете да продавате или споделяте личната информация на потребител, за когото знаете, че е под 16 години, без изрично съгласие (от потребителя, ако е на 13-15 години, от родител/настойник, ако е под 13 години).

Кой трябва да спазва

CCPA/CPRA се прилага за търговски предприятия, които извършват дейност в Калифорния и отговарят на някой от следните прагове: годишен брутен приход над 25 милиона долара; купуване, продаване или споделяне на лична информация на 100 000 или повече потребители или домакинства; или получаване на 50% или повече от годишния приход от продажба или споделяне на лична информация на потребители.

Други закони за поверителност в щатите на САЩ

Няколко други щата са приели цялостни закони за поверителност с последици за съответствието на бисквитките. Макар нито един да не е толкова подробен като CCPA/CPRA, те установяват последователни теми около правата на отказ и прозрачността на данните.

Colorado Privacy Act (CPA)

В сила от: 1 юли 2023 г. Прилаган от: Главния прокурор на Колорадо.

Изисква права на отказ за таргетирана реклама и продажба на лични данни. Бизнесите трябва да зачитат универсалните механизми за отказ (като GPC). Правилата на Колорадо изрично изискват „ясен и забележим“ метод за отказ и признават универсалните сигнали за отказ, което на практика прави съответствието с GPC задължително за обхванатите бизнеси.

Connecticut Data Privacy Act (CTDPA)

В сила от: 1 юли 2023 г. Прилаган от: Главния прокурор на Кънектикът.

Сходен със закона на Колорадо. Изисква отказ за таргетирана реклама, продажба на лични данни и профилиране. Изисква признаване на универсалните механизми за отказ, започвайки от 1 януари 2025 г. Осигурява конкретни защити за чувствителни данни, изискващи съгласие на принципа opt-in.

Virginia Consumer Data Protection Act (VCDPA)

В сила от: 1 януари 2023 г. Прилаган от: Главния прокурор на Вирджиния.

Осигурява права на отказ за таргетирана реклама и продажба на лични данни. Не изисква признаване на универсални сигнали за отказ (за разлика от Калифорния, Колорадо и Кънектикът). Изисква съгласие за обработка на чувствителни данни.

Texas Data Privacy and Security Act (TDPSA)

В сила от: 1 юли 2024 г. Прилаган от: Главния прокурор на Тексас.

Забележително широк по обхват, без праг на приходите — прилага се за всяко предприятие, извършващо дейност в Тексас, което обработва лични данни и не е малък бизнес, както е дефиниран от SBA. Изисква отказ за таргетирана реклама и продажба на данни. Изисква признаване на универсалните механизми за отказ.

Oregon Consumer Privacy Act (OCPA)

В сила от: 1 юли 2024 г. Прилаган от: Главния прокурор на Орегон.

Прилага се за бизнеси, контролиращи или обработващи данните на 100 000+ потребители от Орегон, или 25 000+ потребители, ако получават 25%+ от приходите си от продажби на данни. Осигурява стандартни права на отказ и изисква 30-дневен период за отстраняване на нарушения.

Сравнение: щати на САЩ спрямо GDPR

Изискване GDPR/ePrivacy CCPA/CPRA Други щати на САЩ
Модел на съгласие Opt-in (предварително съгласие) Opt-out Opt-out
Изисква се съгласие за бисквитки преди задаване Да Не Не
Изисква се банер за бисквитки На практика да Не (изисква се връзка за отказ) Не
Гранулирано съгласие по категории Да Не Не
Право на отказ от проследяване Да (чрез несъгласие) Да („Не продавайте/споделяйте“) Да (таргетирана реклама/продажба на данни)
Изисква се GPC/универсален отказ Не е указано Да Варира (CA, CO, CT, TX: да)
Изисква се политика за поверителност Да Да Да
Чувствителни данни: изисква се opt-in Да (изрично съгласие) Право на ограничаване на използването Варира (повечето: opt-in)
Прилагане Органи за защита на данните + частни искове (ограничени) CPPA + главен прокурор + частно право на иск (нарушения на данни) Само главния прокурор
Максимални глоби 4% от световния оборот / 20 млн. € 2500 долара/нарушение; 7500 долара/умишлено Варира; обикновено 7500-10 000 долара

Практически подход: съответствието с GDPR покрива повечето изисквания на САЩ

Ако вашият уебсайт вече отговаря на GDPR, вие сте в добра позиция за съответствие със САЩ. Моделът opt-in на GDPR е по-строг от модела opt-out на който и да е американски щат. Има обаче конкретни изисквания в САЩ, които GDPR не разглежда:

  1. Връзка „Не продавайте и не споделяйте“: GDPR изисква управление на съгласието, но не и конкретна връзка „Не продавайте и не споделяйте“. Ако имате посетители от Калифорния и отговаряте на праговете на CCPA, тази връзка ви е необходима.
  2. Признаване на GPC сигнал: Макар GDPR да не изисква признаване на сигнали от браузъра, няколко американски щата го налагат. Внедряването на признаване на GPC е лесно и демонстрира зачитане на предпочитанията на потребителите.
  3. Конкретни разкрития в политиката за поверителност: CCPA/CPRA изисква разкрития, форматирани по конкретни начини (категории събрана информация през предходните 12 месеца, категории източници и др.), които се различават от изискванията за уведомление за поверителност по GDPR.
  4. „Do Not Track“ спрямо GPC: Старият сигнал на браузъра Do Not Track (DNT) никога не е бил правно обвързващ. GPC е негов наследник и е правно обвързващ съгласно CCPA/CPRA и няколко други щатски закона. Уверете се, че вашата платформа за управление на съгласието разпознава и действа по GPC сигналите.

Перспективата за федерален закон за поверителност в САЩ

Американският закон за поверителност и защита на данните (ADPPA) се приближи до приемане повече от всеки предишен федерален законопроект за поверителност, когато премина през Комисията по енергетика и търговия на Камарата на представителите през юли 2022 г., но в крайна сметка блокира. Следващите сесии на Конгреса видяха подновени предложения, но към началото на 2026 г. не е приет федерален закон за поверителност.

Основните пречки остават:

  • Предимство (Preemption): Дали федералният закон трябва да има предимство пред щатските закони (Калифорния се противопоставя на предимство, което би отслабило CCPA/CPRA).
  • Частно право на иск: Дали физическите лица трябва да могат да съдят компаниите директно за нарушения на поверителността.
  • Opt-in спрямо opt-out: Дали федералният стандарт трябва да възприеме модел opt-in за чувствителни данни или да запази подхода opt-out.

Докато не бъде приет федерален закон, бизнесите трябва да се ориентират в мозайката от щатски закони. Практическият съвет остава: изградете система за управление на съгласието, която може да се справи с най-рестриктивните изисквания (opt-in по GDPR), и добавете специфични за САЩ функции (връзки за отказ, поддръжка на GPC) при необходимост.

Препоръки за глобално съответствие

За уебсайтове, обслужващи посетители както от ЕС, така и от САЩ, най-ефективният подход е:

  1. Внедрете управление на съгласието, съвместимо с GDPR като своя основа. Това ви дава най-строгия модел, който по своята същност удовлетворява по-малко строгите изисквания.
  2. Добавете механизъм „Не продавайте и не споделяйте“, ако отговаряте на праговете на CCPA или имате значителен трафик от Калифорния.
  3. Внедрете признаване на GPC сигнал за всички посетители. Това е просто техническо внедряване със значителни правни ползи.
  4. Използвайте геолокация, за да предоставяте подходящи изживявания за съгласие. Посетителите от ЕС виждат банер за opt-in; посетителите от САЩ виждат по-ненатрапчиво уведомление с опции за отказ. Това балансира съответствието с потребителското изживяване.
  5. Поддържайте цялостни разкрития за поверителност, които удовлетворяват изискванията както на GDPR, така и на CCPA/CPRA.

Глобалната тенденция е недвусмислено насочена към по-голяма защита на поверителността и потребителски контрол върху технологиите за проследяване. Изграждането на надеждно управление на съгласието сега е инвестиция, която ще носи дивиденти с продължаващата поява на нови регулации.

Вашият уебсайт съответства ли на правилата за бисквитки?

Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.

Сканирайте бисквитките си безплатно