ā† Kembali ke blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

CCPA dan Proksi: Cara Mengumpulkan Data dari AS Secara Legal Tanpa Denda di Tahun 2024

Membahas cara mematuhi persyaratan CCPA saat melakukan parsing dan pengumpulan data melalui proxy: persyaratan hukum, metode kerja yang aman, dan pengaturan proxy untuk pengumpulan informasi yang sah.

šŸ“…2 Maret 2026
```html

Undang-Undang Perlindungan Privasi Konsumen California (CCPA) memberlakukan batasan ketat pada pengumpulan dan pemrosesan informasi tentang penduduk California. Jika Anda terlibat dalam pengambilan data dari marketplace, pemantauan harga pesaing, atau pengumpulan data publik melalui proxy, penting untuk memahami persyaratan hukum dan metode untuk mematuhinya.

Dalam panduan ini, kita akan membahas aspek praktis penggunaan proxy dalam konteks CCPA: data apa yang dapat dikumpulkan, bagaimana mengatur proses untuk mematuhi hukum, dan menghindari denda hingga $7,500 untuk pelanggaran.

Apa itu CCPA dan siapa yang terpengaruh oleh hukum ini

California Consumer Privacy Act (CCPA) adalah undang-undang perlindungan data pribadi California yang mulai berlaku pada 1 Januari 2020. Ini adalah salah satu undang-undang privasi yang paling ketat di AS, sering dibandingkan dengan GDPR Eropa. Pada tahun 2023, undang-undang ini diperkuat dengan amandemen CPRA (California Privacy Rights Act).

CCPA berlaku untuk organisasi komersial yang mengumpulkan data pribadi penduduk California dan memenuhi setidaknya satu dari kriteria berikut:

  • Pendapatan tahunan melebihi $25 juta
  • Perusahaan memproses data pribadi lebih dari 100,000 konsumen, rumah tangga, atau perangkat per tahun
  • 50% atau lebih pendapatan diperoleh dari penjualan data pribadi konsumen

Poin penting: hukum ini berlaku untuk perusahaan tanpa memandang lokasi mereka. Jika Anda bekerja dari Rusia, Kazakhstan, atau Ukraina, tetapi mengumpulkan data penduduk California ā€” CCPA berlaku untuk aktivitas Anda.

Contoh praktis: Jika Anda mengumpulkan data dari marketplace Amerika (Amazon, eBay, Walmart) atau mengumpulkan informasi tentang harga pesaing di AS, ada kemungkinan besar bahwa di antara data tersebut terdapat informasi tentang penduduk California.

Data apa yang dianggap sebagai data pribadi menurut CCPA

CCPA mendefinisikan informasi pribadi dengan sangat luas ā€” ini adalah data apa pun yang mengidentifikasi, berkaitan dengan, menggambarkan, atau dapat secara wajar terkait dengan konsumen atau rumah tangga tertentu. Daftar ini mencakup lebih dari 10 kategori data.

Kategori data Contoh Risiko saat pengambilan data
Identifikasi Nama, email, telepon, alamat IP, ID cookie Tinggi
Informasi komersial Riwayat pembelian, preferensi produk Sedang
Data aktivitas online Riwayat browser, kueri pencarian, interaksi dengan situs web Tinggi
Data geolokasi Lokasi fisik, koordinat GPS Sedang
Data biometrik Sidik jari, pengenalan wajah Rendah
Informasi profesional Jabatan, majikan, riwayat pekerjaan Sedang

Poin kunci: bahkan jika Anda tidak mengumpulkan nama dan email secara langsung, alamat IP dan cookie yang dikirim saat menggunakan proxy sudah dianggap sebagai pengidentifikasi pribadi menurut CCPA.

Bagaimana penggunaan proxy terkait dengan persyaratan CCPA

Server proxy sendiri tidak melanggar CCPA ā€” ini adalah alat teknis untuk merutekan lalu lintas. Masalah muncul bukan dari penggunaan proxy, tetapi dari data apa yang Anda kumpulkan melalui mereka dan bagaimana Anda memproses data tersebut.

Skenario umum penggunaan proxy yang menimbulkan pertanyaan kepatuhan CCPA:

1. Pengambilan data dari marketplace dan situs e-commerce

Ketika Anda mengumpulkan data tentang produk dari Amazon, Walmart, eBay melalui proxy residensial, Anda mungkin secara tidak sengaja mengumpulkan informasi pribadi: ulasan pelanggan dengan nama, peringkat pengguna, pertanyaan dari pelanggan. Jika pengguna ini adalah penduduk California, CCPA berlaku.

2. Pemantauan harga pesaing

Saat memantau harga melalui proxy, Anda mungkin melihat harga yang dipersonalisasi, berdasarkan geolokasi dan riwayat pengguna. Pengumpulan data semacam ini dapat masuk ke dalam definisi pemrosesan informasi komersial konsumen.

3. Pengumpulan data dari media sosial

Pengambilan profil publik Instagram, Facebook, LinkedIn melalui proxy untuk penelitian pemasaran adalah pengumpulan data pribadi secara langsung. Bahkan jika profil tersebut publik, CCPA mengharuskan kepatuhan terhadap aturan tertentu.

Penggunaan proxy memperumit situasi karena Anda menyembunyikan identitas dan lokasi asli Anda. Dari sudut pandang CCPA, ini bukan pelanggaran itu sendiri, tetapi jika Anda mengumpulkan data pribadi secara diam-diam dan tidak memberikan konsumen opsi untuk menolak pengumpulan ā€” itu sudah menjadi masalah.

CCPA tidak melarang pengumpulan data secara keseluruhan ā€” hukum ini mengatur transparansi, kontrol konsumen atas data mereka, dan tujuan penggunaan informasi. Berikut adalah metode yang membantu tetap dalam batasan hukum saat bekerja dengan proxy.

Metode 1: Mengumpulkan hanya data publik yang tidak bersifat pribadi

Fokus pada data yang tidak mengidentifikasi orang tertentu:

  • Harga produk tanpa keterikatan pada pengguna
  • Statistik agregat (rating rata-rata produk, jumlah ulasan)
  • Spesifikasi teknis produk
  • Ketersediaan produk di gudang
  • Data publik tentang perusahaan (bukan tentang orang)

Saat melakukan pengambilan data dari marketplace melalui proxy, atur skrip Anda agar mengabaikan blok dengan konten pengguna: ulasan dengan nama, pertanyaan dari pembeli, profil pengguna.

Metode 2: Anonimisasi dan agregasi data

Jika Anda perlu mengumpulkan data yang mungkin mengandung informasi pribadi, segera anonimisasi data tersebut:

  • Hapus nama, email, telepon dari data yang dikumpulkan secara otomatis
  • Ganti alamat IP yang tepat dengan rentang atau wilayah
  • Agregasikan data: alih-alih "pengguna John membeli produk X" ā†’ "produk X dibeli 150 kali"
  • Gunakan hashing untuk pengidentifikasi jika diperlukan untuk analitik

Penting: anonimisasi harus tidak dapat dibalik. Jika Anda dapat memulihkan data pribadi dari set yang telah dianonimkan ā€” CCPA masih berlaku.

Metode 3: Mematuhi robots.txt dan Terms of Service

Meskipun ini bukan persyaratan langsung dari CCPA, mematuhi aturan situs menunjukkan itikad baik:

  • Periksa file robots.txt sebelum pengambilan data ā€” banyak situs secara eksplisit melarang pengumpulan data tertentu
  • Baca Terms of Service dari situs target ā€” mungkin ada batasan pada pengumpulan data otomatis
  • Gunakan jeda yang wajar antara permintaan melalui proxy (rate limiting)
  • Identifikasi bot Anda melalui User-Agent, jika memungkinkan

Metode 4: Transparansi dan dokumentasi tujuan

CCPA mengharuskan perusahaan untuk transparan mengenai pengumpulan data:

  • Dokumentasikan data apa yang Anda kumpulkan dan untuk tujuan apa
  • Jika Anda memiliki situs ā€” tempatkan Kebijakan Privasi dengan deskripsi praktik pengumpulan data
  • Simpan data hanya selama yang diperlukan untuk tujuan yang dinyatakan
  • Jangan menjual data yang dikumpulkan kepada pihak ketiga tanpa persetujuan eksplisit

Tips praktis: Jika Anda menggunakan proxy data center untuk pengambilan data, dokumentasikan prosesnya: apa yang Anda ambil, bagaimana Anda menyaring data pribadi, berapa lama Anda menyimpan informasi. Ini akan membantu jika ada pemeriksaan.

Data publik vs informasi pribadi: di mana batasnya

Salah satu pertanyaan yang paling sering diajukan: "Jika data tersedia secara publik di internet, apakah bisa dikumpulkan secara bebas?" CCPA tidak membuat pengecualian untuk data publik ā€” jika informasi tersebut mengidentifikasi penduduk California, itu termasuk dalam hukum.

Tipe data Akses publik CCPA berlaku Rekomendasi
Harga produk Ya Tidak Aman untuk diambil
Ulasan dengan nama pengguna Ya Ya Hapus nama saat pengumpulan
Email dari profil publik LinkedIn Ya Ya Risiko tinggi, hindari
Statistik agregat penjualan Ya Tidak Aman untuk diambil
Alamat IP pengunjung situs Tidak (data teknis) Ya Memerlukan Kebijakan Privasi
Postingan publik di Instagram Ya Tergantung pada konten Anonimkan penulis

Aturan kunci: publikasi data tidak menghapus statusnya sebagai informasi pribadi. Jika Anda mengumpulkan data publik yang mengidentifikasi orang, CCPA berlaku. Perbedaannya hanya bahwa untuk data publik lebih mudah untuk membenarkan "kepentingan hukum" sebagai dasar untuk pemrosesan.

Pengecualian dari CCPA

Hukum ini menyediakan beberapa pengecualian ketika data tidak dianggap sebagai informasi pribadi:

  • Informasi yang tersedia untuk umum dari sumber pemerintah (daftar negara bagian, catatan pengadilan)
  • Data yang telah diidentifikasi yang tidak dapat dihubungkan dengan konsumen tertentu
  • Informasi agregat tentang konsumen
  • Data yang dikumpulkan dalam konteks penelitian ilmiah dengan mematuhi standar etika

Checklist kepatuhan CCPA saat pengambilan data

Gunakan checklist ini sebelum memulai proyek pengumpulan data melalui proxy, jika audiens target atau sumber data Anda terkait dengan California:

āœ… Tahap perencanaan

  • Tentukan data apa yang Anda butuhkan dan apakah itu dianggap sebagai data pribadi menurut CCPA
  • Evaluasi apakah perusahaan Anda termasuk dalam cakupan CCPA (kriteria pendapatan, volume data)
  • Dokumentasikan dasar hukum untuk pengumpulan data (kepentingan hukum, kontrak, persetujuan)
  • Periksa Terms of Service dari situs target untuk batasan pengambilan data

āœ… Tahap pengaturan teknis

  • Atur filter untuk secara otomatis menghapus pengidentifikasi pribadi (nama, email, telepon)
  • Gunakan proxy residensial dengan rotasi untuk meminimalkan jejak
  • Terapkan rate limiting untuk mematuhi robots.txt
  • Atur anonimisasi otomatis untuk alamat IP dan pengidentifikasi lainnya
  • Simpan data yang dikumpulkan dalam bentuk terenkripsi

āœ… Tahap dokumentasi

  • Buat Kebijakan Privasi yang menjelaskan praktik pengumpulan data (jika Anda memiliki situs atau layanan)
  • Dokumentasikan prosedur untuk menangani permintaan penghapusan data dari konsumen
  • Catat pemrosesan data: apa yang dikumpulkan, kapan, untuk tujuan apa
  • Tetapkan batas waktu penyimpanan data dan prosedur penghapusan otomatis

āœ… Tahap operasional

  • Secara teratur periksa data yang dikumpulkan untuk keberadaan informasi pribadi
  • Jangan menjual atau mentransfer data kepada pihak ketiga tanpa persetujuan eksplisit
  • Perbarui Kebijakan Privasi saat praktik pengumpulan data berubah
  • Latih tim tentang dasar-dasar CCPA dan prosedur pemrosesan data
  • Atur mekanisme untuk menangani permintaan konsumen untuk akses/penghapusan data

Pengaturan proxy untuk meminimalkan risiko hukum

Pengaturan proxy yang tepat tidak menjamin kepatuhan terhadap CCPA, tetapi membantu meminimalkan risiko dan menunjukkan itikad baik dalam hal pemeriksaan.

Pemilihan jenis proxy berdasarkan tugas

Jenis proxy Lebih baik untuk Risiko CCPA
Proxy residensial Pengambilan data dari marketplace, pengumpulan data publik dari media sosial Sedang ā€” terlihat seperti pengguna biasa
Proxy seluler Pengumpulan data dari aplikasi seluler, pemeriksaan geotargeting Sedang ā€” anonimitas tinggi
Proxy data center Pengambilan massal data non-pribadi (harga, ketersediaan) Rendah ā€” jika tidak mengumpulkan data pribadi

Pengaturan proxy untuk mematuhi hukum

1. Rotasi alamat IP: Gunakan rotasi IP otomatis untuk mendistribusikan beban dan menghindari keterikatan data yang dikumpulkan pada satu pengidentifikasi. Ini menyulitkan pembuatan profil pengguna.

2. Keterikatan geografis: Jika Anda TIDAK bekerja dengan data penduduk California, atur proxy untuk mengecualikan IP California. Sebagian besar penyedia proxy memungkinkan Anda memilih wilayah.

3. Pencatatan permintaan: Simpan log semua permintaan melalui proxy dengan cap waktu. Ini akan membantu menunjukkan kepatuhan terhadap rate limiting dan tidak ada penyalahgunaan dalam hal pemeriksaan.

4. User-Agent dan identifikasi: Beberapa pengacara merekomendasikan menggunakan User-Agent yang jujur, yang mengidentifikasi parser Anda (misalnya, "MyCompanyBot/1.0"). Ini menunjukkan transparansi, meskipun dapat meningkatkan risiko pemblokiran.

Penting: Penggunaan proxy seluler untuk menghindari pemblokiran bukan merupakan pelanggaran CCPA itu sendiri, tetapi jika Anda menghindari perlindungan untuk mengumpulkan data pribadi tanpa persetujuan ā€” ini dapat dikualifikasikan sebagai pelanggaran.

Denda untuk pelanggaran CCPA dan kasus nyata

CCPA menetapkan dua jenis denda: administratif (dari Jaksa Agung California) dan gugatan sipil dari konsumen.

Jumlah denda

  • Denda administratif: hingga $2,500 untuk setiap pelanggaran yang tidak disengaja, hingga $7,500 untuk setiap pelanggaran yang disengaja
  • Gugatan sipil: $100-$750 untuk setiap konsumen untuk setiap insiden kebocoran data (atau kerugian aktual jika lebih besar)
  • Gugatan kolektif: dalam kasus kebocoran data ribuan pengguna, jumlahnya bisa mencapai jutaan dolar

Kasus nyata pelanggaran CCPA

Sephora ā€” denda $1.2 juta (2022)

Perusahaan menjual data pribadi konsumen kepada pihak ketiga tanpa memberikan opsi untuk menolak. Ini adalah denda besar pertama untuk pelanggaran CCPA. Pelajaran: jika Anda mengumpulkan data dan memberikannya kepada siapa pun ā€” itu adalah "penjualan" menurut CCPA, yang memerlukan pemberitahuan.

DoorDash ā€” gugatan kolektif (2020)

Kebocoran data 4.9 juta pengguna mengarah pada gugatan kolektif berdasarkan CCPA. Meskipun kasus ini diselesaikan di luar pengadilan, itu menunjukkan bahwa bahkan startup dapat menghadapi konsekuensi serius.

Clearview AI ā€” penyelidikan yang sedang berlangsung

Perusahaan mengumpulkan foto dari media sosial (data publik) untuk membuat basis data pengenalan wajah. Meskipun data tersebut publik, Clearview menghadapi banyak gugatan, termasuk tuduhan pelanggaran CCPA. Pelajaran: bahkan pengumpulan data pribadi publik dapat menyebabkan masalah.

Untuk usaha kecil dan menengah, risiko denda adalah nyata jika Anda memenuhi kriteria CCPA. Jaksa Agung California secara aktif menyelidiki keluhan konsumen, dan sejak 2023, lembaga khusus California Privacy Protection Agency (CPPA) telah dibentuk untuk mengawasi kepatuhan terhadap hukum.

Cara mengurangi risiko denda

  • Lakukan audit data: apa yang Anda kumpulkan, bagaimana Anda menyimpannya, kepada siapa Anda memberikannya
  • Terapkan prosedur untuk menangani permintaan konsumen (akses, penghapusan, penolakan penjualan data)
  • Tempatkan Kebijakan Privasi di situs dengan deskripsi praktik pengumpulan data
  • Latih tim tentang dasar-dasar CCPA dan prosedur respons terhadap permintaan
  • Pertimbangkan asuransi risiko siber yang mencakup denda untuk pelanggaran privasi
  • Jika ragu ā€” konsultasikan dengan pengacara yang berspesialisasi dalam hukum privasi

Kesimpulan

CCPA memberlakukan persyaratan serius pada perusahaan yang mengumpulkan data pribadi penduduk California, terlepas dari apakah Anda menggunakan proxy atau tidak. Prinsip kunci untuk mematuhi hukum: transparansi tujuan pengumpulan data, meminimalkan volume informasi pribadi, memberikan konsumen kontrol atas data mereka, dan penyimpanan yang aman.

Penggunaan proxy untuk mengumpulkan data adalah legal jika Anda fokus pada informasi non-pribadi atau segera anonimisasi data pribadi. Dokumentasikan proses, patuhi Terms of Service dari platform target, dan bersiaplah untuk membenarkan legalitas tindakan Anda.

Ingat: denda untuk pelanggaran CCPA dapat mencapai jutaan dolar, tetapi sebagian besar masalah dapat dihindari dengan pengaturan proses pengumpulan dan pemrosesan data yang benar. Investasi dalam kepatuhan hukum terbayar dengan perlindungan dari risiko hukum dan kepercayaan pengguna.

Jika Anda berencana untuk mengumpulkan data dari sumber Amerika, kami sarankan untuk menggunakan proxy residensial dengan kemampuan untuk memilih geografi ā€” ini akan memungkinkan Anda untuk mengecualikan IP California dari rotasi atau, sebaliknya, mengumpulkan data secara spesifik berdasarkan wilayah sesuai dengan tugas bisnis dan persyaratan hukum Anda.

```