Назад к блогу
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

CCPA и прокси: как законно собирать данные из США без штрафов в 2024 году

Разбираем как соблюдать требования CCPA при парсинге и сборе данных через прокси: юридические требования, безопасные методы работы и настройка прокси для законного сбора информации.

📅2 марта 2026 г.

Калифорнийский закон о защите персональных данных потребителей (CCPA) накладывает строгие ограничения на сбор и обработку информации о жителях Калифорнии. Если вы занимаетесь парсингом маркетплейсов, мониторингом цен конкурентов или сбором публичных данных через прокси, важно понимать требования закона и методы их соблюдения.

В этом руководстве разберем практические аспекты работы с прокси в контексте CCPA: какие данные можно собирать, как настроить процессы для соответствия закону и избежать штрафов до $7,500 за нарушение.

Что такое CCPA и на кого распространяется закон

California Consumer Privacy Act (CCPA) — калифорнийский закон о защите персональных данных, вступивший в силу 1 января 2020 года. Это один из самых строгих законов о конфиденциальности в США, часто сравниваемый с европейским GDPR. В 2023 году закон был усилен поправками CPRA (California Privacy Rights Act).

CCPA распространяется на коммерческие организации, которые собирают персональные данные жителей Калифорнии и соответствуют хотя бы одному из критериев:

  • Годовой доход превышает $25 миллионов
  • Компания обрабатывает персональные данные 100,000+ потребителей, домохозяйств или устройств в год
  • 50% или более дохода получается от продажи персональных данных потребителей

Важный момент: закон распространяется на компании независимо от их местонахождения. Если вы работаете из России, Казахстана или Украины, но собираете данные жителей Калифорнии — CCPA применяется к вашей деятельности.

Практический пример: Если вы парсите данные с американских маркетплейсов (Amazon, eBay, Walmart) или собираете информацию о ценах конкурентов в США, высока вероятность, что среди этих данных есть информация о жителях Калифорнии.

Какие данные считаются персональными по CCPA

CCPA определяет персональную информацию очень широко — это любые данные, которые идентифицируют, относятся к, описывают или могут быть разумно связаны с конкретным потребителем или домохозяйством. Список включает более 10 категорий данных.

Категория данных Примеры Риск при парсинге
Идентификаторы Имя, email, телефон, IP-адрес, cookie ID Высокий
Коммерческая информация История покупок, предпочтения товаров Средний
Данные об активности в интернете История браузера, поисковые запросы, взаимодействие с сайтом Высокий
Геолокационные данные Физическое местоположение, GPS-координаты Средний
Биометрические данные Отпечатки пальцев, распознавание лица Низкий
Профессиональная информация Должность, работодатель, история занятости Средний

Ключевой момент: даже если вы не собираете имена и email напрямую, IP-адреса и cookie, которые передаются при использовании прокси, уже считаются персональными идентификаторами по CCPA.

Как использование прокси связано с требованиями CCPA

Прокси-серверы сами по себе не нарушают CCPA — это технический инструмент для маршрутизации трафика. Проблемы возникают не от использования прокси, а от того, какие данные вы собираете через них и как эти данные обрабатываете.

Типичные сценарии использования прокси, где возникают вопросы соответствия CCPA:

1. Парсинг маркетплейсов и e-commerce сайтов

Когда вы собираете данные о товарах с Amazon, Walmart, eBay через резидентные прокси, вы можете непреднамеренно собрать персональную информацию: отзывы покупателей с именами, рейтинги пользователей, вопросы клиентов. Если эти пользователи — жители Калифорнии, применяется CCPA.

2. Мониторинг цен конкурентов

При мониторинге цен через прокси вы можете видеть персонализированные цены, основанные на геолокации и истории пользователя. Сбор таких данных может попадать под определение обработки коммерческой информации потребителей.

3. Сбор данных из социальных сетей

Парсинг публичных профилей Instagram, Facebook, LinkedIn через прокси для маркетинговых исследований — это прямой сбор персональных данных. Даже если профили публичные, CCPA требует соблюдения определенных правил.

Использование прокси усложняет ситуацию тем, что вы маскируете свою настоящую идентичность и местоположение. С точки зрения CCPA это не является нарушением само по себе, но если вы собираете персональные данные скрытно и не предоставляете потребителям возможность отказаться от сбора — это уже проблема.

CCPA не запрещает сбор данных полностью — закон регулирует прозрачность, контроль потребителей над своими данными и цели использования информации. Вот методы, которые помогают оставаться в рамках закона при работе с прокси.

Метод 1: Сбор только публичных неперсональных данных

Фокусируйтесь на данных, которые не идентифицируют конкретных людей:

  • Цены на товары без привязки к пользователям
  • Агрегированная статистика (средний рейтинг товара, количество отзывов)
  • Технические характеристики продуктов
  • Наличие товаров на складах
  • Публичные данные о компаниях (не о людях)

При парсинге маркетплейсов через прокси настройте скрипты так, чтобы они игнорировали блоки с пользовательским контентом: отзывы с именами, вопросы покупателей, профили пользователей.

Метод 2: Анонимизация и агрегация данных

Если вам необходимо собрать данные, которые могут содержать персональную информацию, немедленно анонимизируйте их:

  • Удаляйте имена, email, телефоны из собранных данных автоматически
  • Заменяйте точные IP-адреса на диапазоны или регионы
  • Агрегируйте данные: вместо "пользователь John купил товар X" → "товар X купили 150 раз"
  • Используйте хеширование для идентификаторов, если они необходимы для аналитики

Важно: анонимизация должна быть необратимой. Если вы можете восстановить персональные данные из анонимизированного набора — CCPA все еще применяется.

Метод 3: Соблюдение robots.txt и Terms of Service

Хотя это не прямое требование CCPA, соблюдение правил сайтов показывает добросовестность:

  • Проверяйте файл robots.txt перед парсингом — многие сайты явно запрещают сбор определенных данных
  • Читайте Terms of Service целевых сайтов — там могут быть ограничения на автоматический сбор данных
  • Используйте разумные задержки между запросами через прокси (rate limiting)
  • Идентифицируйте своего бота через User-Agent, если это возможно

Метод 4: Прозрачность и документирование целей

CCPA требует, чтобы компании были прозрачны в отношении сбора данных:

  • Документируйте, какие данные вы собираете и для каких целей
  • Если у вас есть сайт — разместите Privacy Policy с описанием практик сбора данных
  • Храните данные только столько, сколько необходимо для заявленных целей
  • Не продавайте собранные данные третьим лицам без явного согласия

Практический совет: Если вы используете прокси дата-центров для парсинга, документируйте процесс: что парсите, как фильтруете персональные данные, как долго храните информацию. Это поможет в случае проверки.

Публичные данные vs персональная информация: где граница

Один из самых частых вопросов: "Если данные публично доступны в интернете, можно ли их свободно собирать?" CCPA не делает исключений для публичных данных — если информация идентифицирует жителя Калифорнии, она подпадает под действие закона.

Тип данных Публичный доступ Применяется CCPA Рекомендация
Цены на товары Да Нет Безопасно парсить
Отзывы с именами пользователей Да Да Удалять имена при сборе
Email из публичных профилей LinkedIn Да Да Высокий риск, избегать
Агрегированная статистика продаж Да Нет Безопасно парсить
IP-адреса посетителей сайта Нет (технические данные) Да Требует Privacy Policy
Публичные посты в Instagram Да Зависит от контента Анонимизировать авторов

Ключевое правило: публичность данных не отменяет их статус как персональной информации. Если вы собираете публичные данные, которые идентифицируют людей, CCPA применяется. Разница лишь в том, что для публичных данных проще обосновать "законный интерес" как основание для обработки.

Исключения из CCPA

Закон предусматривает несколько исключений, когда данные не считаются персональной информацией:

  • Публично доступная информация из правительственных источников (государственные реестры, судебные записи)
  • Деидентифицированные данные, которые невозможно связать с конкретным потребителем
  • Агрегированная информация о потребителях
  • Данные, собранные в рамках научных исследований при соблюдении этических стандартов

Чек-лист соблюдения CCPA при парсинге данных

Используйте этот чек-лист перед запуском любого проекта по сбору данных через прокси, если ваша целевая аудитория или источники данных связаны с Калифорнией:

✅ Этап планирования

  • Определите, какие именно данные вам нужны и являются ли они персональными по CCPA
  • Оцените, подпадает ли ваша компания под действие CCPA (критерии дохода, объема данных)
  • Документируйте законное основание для сбора данных (законный интерес, контракт, согласие)
  • Проверьте Terms of Service целевых сайтов на ограничения парсинга

✅ Этап технической настройки

  • Настройте фильтры для автоматического удаления персональных идентификаторов (имена, email, телефоны)
  • Используйте резидентные прокси с ротацией для минимизации следов
  • Внедрите rate limiting для соблюдения robots.txt
  • Настройте автоматическую анонимизацию IP-адресов и других идентификаторов
  • Храните собранные данные в зашифрованном виде

✅ Этап документирования

  • Создайте Privacy Policy, описывающую практики сбора данных (если у вас есть сайт или сервис)
  • Документируйте процедуры обработки запросов на удаление данных от потребителей
  • Ведите журнал обработки данных: что собрали, когда, для какой цели
  • Установите сроки хранения данных и процедуры автоматического удаления

✅ Этап эксплуатации

  • Регулярно проверяйте собранные данные на наличие персональной информации
  • Не продавайте и не передавайте данные третьим лицам без явного согласия
  • Обновляйте Privacy Policy при изменении практик сбора данных
  • Обучите команду основам CCPA и процедурам обработки данных
  • Настройте механизм обработки запросов потребителей на доступ/удаление данных

Настройка прокси для минимизации юридических рисков

Правильная настройка прокси не гарантирует соблюдение CCPA, но помогает минимизировать риски и демонстрирует добросовестность в случае проверки.

Выбор типа прокси в зависимости от задачи

Тип прокси Лучше для Риски CCPA
Резидентные прокси Парсинг маркетплейсов, сбор публичных данных из соцсетей Средние — выглядят как обычные пользователи
Мобильные прокси Сбор данных из мобильных приложений, проверка геотаргетинга Средние — высокая анонимность
Дата-центр прокси Массовый парсинг неперсональных данных (цены, наличие) Низкие — если не собираете персональные данные

Настройки прокси для соответствия закону

1. Ротация IP-адресов: Используйте автоматическую ротацию IP для распределения нагрузки и избежания привязки собранных данных к одному идентификатору. Это усложняет создание профилей пользователей.

2. Географическая привязка: Если вы НЕ работаете с данными жителей Калифорнии, настройте прокси так, чтобы исключить калифорнийские IP. Большинство провайдеров прокси позволяют выбирать регионы.

3. Логирование запросов: Ведите логи всех запросов через прокси с отметками времени. Это поможет продемонстрировать соблюдение rate limiting и отсутствие злоупотреблений в случае проверки.

4. User-Agent и идентификация: Некоторые юристы рекомендуют использовать честный User-Agent, идентифицирующий ваш парсер (например, "MyCompanyBot/1.0"). Это демонстрирует прозрачность, хотя может увеличить риск блокировок.

Важно: Использование мобильных прокси для обхода блокировок не является нарушением CCPA само по себе, но если вы обходите защиту для сбора персональных данных без согласия — это может квалифицироваться как нарушение.

Штрафы за нарушение CCPA и реальные кейсы

CCPA предусматривает два типа штрафов: административные (со стороны генерального прокурора Калифорнии) и гражданские иски от потребителей.

Размеры штрафов

  • Административные штрафы: до $2,500 за каждое непреднамеренное нарушение, до $7,500 за каждое умышленное нарушение
  • Гражданские иски: $100-$750 за каждого потребителя за каждый инцидент утечки данных (или фактический ущерб, если он больше)
  • Коллективные иски: при утечке данных тысяч пользователей сумма может достигать миллионов долларов

Реальные кейсы нарушений CCPA

Sephora — $1.2 миллиона штрафа (2022)

Компания продавала персональные данные потребителей третьим лицам без предоставления возможности отказаться. Это первый крупный штраф за нарушение CCPA. Урок: если вы собираете данные и передаете их кому-либо — это "продажа" по CCPA, требующая уведомления.

DoorDash — коллективный иск (2020)

Утечка данных 4.9 миллиона пользователей привела к коллективному иску на основании CCPA. Хотя дело урегулировано внесудебно, оно показало, что даже стартапы могут столкнуться с серьезными последствиями.

Clearview AI — продолжающиеся расследования

Компания собирала фото из соцсетей (публичные данные) для создания базы распознавания лиц. Несмотря на публичность данных, против Clearview подано множество исков, включая обвинения в нарушении CCPA. Урок: даже сбор публичных персональных данных может привести к проблемам.

Для малого и среднего бизнеса риск штрафов реален, если вы попадаете под критерии CCPA. Генеральный прокурор Калифорнии активно расследует жалобы потребителей, а с 2023 года создано специальное агентство California Privacy Protection Agency (CPPA) для контроля за соблюдением закона.

Как снизить риск штрафов

  • Проведите аудит данных: что вы собираете, как храните, кому передаете
  • Внедрите процедуры обработки запросов потребителей (доступ, удаление, отказ от продажи данных)
  • Разместите Privacy Policy на сайте с описанием практик сбора данных
  • Обучите команду основам CCPA и процедурам реагирования на запросы
  • Рассмотрите страхование кибер-рисков, покрывающее штрафы за нарушения конфиденциальности
  • При сомнениях — проконсультируйтесь с юристом, специализирующимся на privacy law

Заключение

CCPA накладывает серьезные требования на компании, собирающие персональные данные жителей Калифорнии, независимо от того, используете вы прокси или нет. Ключевые принципы соблюдения закона: прозрачность целей сбора данных, минимизация объема персональной информации, предоставление потребителям контроля над их данными и безопасное хранение.

Использование прокси для сбора данных законно, если вы фокусируетесь на неперсональной информации или немедленно анонимизируете персональные данные. Документируйте процессы, соблюдайте Terms of Service целевых платформ и будьте готовы обосновать законность ваших действий.

Помните: штрафы за нарушение CCPA могут достигать миллионов долларов, но большинство проблем можно избежать при правильной настройке процессов сбора и обработки данных. Инвестиции в соответствие закону окупаются защитой от юридических рисков и доверием пользователей.

Если вы планируете собирать данные из американских источников, рекомендуем использовать резидентные прокси с возможностью выбора географии — это позволит исключить калифорнийские IP из ротации или, наоборот, собирать данные специфично по регионам в соответствии с вашими бизнес-задачами и юридическими требованиями.