Більшість компаній у США звикли оцінювати cookie-банери виключно через призму законів про конфіденційність (насамперед каліфорнійського CCPA/CPRA). На практиці це зводиться до стандартного набору: розмістити банер, оновити політику конфіденційності та дати користувачеві можливість відмовитися від трекерів (opt-out).
Однак останні судові спори показують, що цього підходу вже недостатньо. Паралельно із захистом персональних даних позивачі та регулятори почали масово застосовувати кримінальні норми про прослуховування та перехоплення комунікацій — зокрема California Invasion of Privacy Act (CIPA). Саме вони сьогодні створюють головні юридичні ризики для власників сайтів.
Новий фокус претензій: не що збирають, а КОЛИ
Сучасні позови щодо CIPA стосуються не самого факту використання аналітики, а точного моменту, коли починається відстеження.
Під прицілом опинилися популярні інструменти:
Маркетингові пікселі (Meta Pixel тощо);
Системи запису екрана та сесій (session replay tools);
Технології трекінгу заповнення форм та онлайн-чати.
Ключова проблема: ці технології часто активуються автоматично при завантаженні сторінки, тобто до того, як користувач встигає натиснути кнопку «Прийняти» на банері. Цей розрив між офіційною політикою сайту та реальною поведінкою його коду і стає основою для судових позовів.
Дві правові системи, що працюють одночасно
Власники сайтів часто забувають, що онлайн-ресурс у США підпадає під два різні правові режими:
Закони про privacy (CCPA/CPRA): вимагають проінформувати користувача та дозволяють збирати дані, поки він не відмовиться (модель opt-out).
Закони про прослуховування (CIPA): розцінюють трекінг без попереднього дозволу як «перехоплення» приватної розмови. Тут потрібна чітка та попередня згода сторін (модель opt-in).
Тому навіть якщо ваш банер ідеально налаштований під CCPA, компанія все одно може отримати багатомільйонний позов за порушення CIPA.
Правило «двосторонньої згоди» та штраф у $1,35 млн
У США закони про перехоплення діляться на два типи. У більшості штатів достатньо згоди однієї сторони (самого сайту). Але в 11 штатах (включаючи Каліфорнію, Флориду, Іллінойс, Пенсильванію) діє правило двосторонньої згоди (all-party consent) — запис або аналіз комунікації дозволено лише тоді, коли згодні абсолютно всі учасники.
Яскраві приклади регуляторного тиску, такі як розслідування Генерального прокурора Каліфорнії проти компанії Tractor Supply Company, що завершилося штрафом у 1,35 млн доларів, наочно це підтверджують. Регулятор покарав бізнес саме за технічну невідповідність: використання пікселів до отримання згоди та некоректну роботу механізмів opt-out.
Що робити бізнесу?
Головний ризик сьогодні — це розрив між юридичними документами та технічною архітектурою сайту. Щоб мінімізувати ризики, компаніям необхідно:
Технічно заблокувати активацію Meta Pixel, аналітики та чатів до моменту кліку користувача по банеру;
Провести повний аудит сторонніх скриптів та session replay інструментів;
Забезпечити 100% відповідність між тим, що написано в Privacy Policy, і тим, як фактично працює код сайту.
Висновок
Відстеження користувачів більше не є виключно питанням privacy. Перетин законів про конфіденційність та прослуховування вимагає від бізнесу комплексного підходу: поєднання глибокого юридичного аналізу та технічного аудиту.
Команда Finance Business Service супроводжує міжнародні компанії у питаннях digital compliance та захисту даних. Ми допомагаємо налаштувати cookie та consent-механізми відповідно до вимог CCPA/CPRA, GDPR та CIPA. Наше завдання — не просто підготувати документи, а вибудувати технічно та юридично захищену модель взаємодії вашого сайту з користувачами та рекламними платформами, забезпечивши реальну стійкість бізнесу до регуляторних ризиків.