CCPA và proxy: cách thu thập dữ liệu từ Mỹ hợp pháp mà không bị phạt vào năm 2024

Đạo luật Bảo vệ Quyền riêng tư của Người tiêu dùng California (CCPA) đặt ra những hạn chế nghiêm ngặt về việc thu thập và xử lý thông tin của cư dân California. Nếu bạn đang tham gia vào việc thu thập dữ liệu từ các thị trường, giám sát giá cả của đối thủ hoặc thu thập dữ liệu công khai qua proxy, điều quan trọng là phải hiểu các yêu cầu của luật và các phương pháp tuân thủ.

Trong hướng dẫn này, chúng ta sẽ phân tích các khía cạnh thực tiễn của việc làm việc với proxy trong bối cảnh CCPA: những dữ liệu nào có thể thu thập, cách thiết lập quy trình để tuân thủ luật và tránh các khoản phạt lên đến 7,500 đô la cho mỗi vi phạm.

CCPA là gì và áp dụng cho ai

Đạo luật Bảo vệ Quyền riêng tư của Người tiêu dùng California (CCPA) — là một đạo luật bảo vệ dữ liệu cá nhân của California, có hiệu lực từ ngày 1 tháng 1 năm 2020. Đây là một trong những đạo luật bảo vệ quyền riêng tư nghiêm ngặt nhất ở Mỹ, thường được so sánh với GDPR của châu Âu. Vào năm 2023, luật đã được tăng cường bởi các sửa đổi của CPRA (Đạo luật Quyền riêng tư California).

CCPA áp dụng cho các tổ chức thương mại thu thập dữ liệu cá nhân của cư dân California và đáp ứng ít nhất một trong các tiêu chí sau:

• Doanh thu hàng năm vượt quá 25 triệu đô la
• Công ty xử lý dữ liệu cá nhân của hơn 100,000 người tiêu dùng, hộ gia đình hoặc thiết bị mỗi năm
• 50% hoặc nhiều hơn doanh thu đến từ việc bán dữ liệu cá nhân của người tiêu dùng

Một điểm quan trọng: luật áp dụng cho các công ty bất kể vị trí của họ. Nếu bạn làm việc từ Nga, Kazakhstan hoặc Ukraine nhưng thu thập dữ liệu của cư dân California — CCPA áp dụng cho hoạt động của bạn.

Dữ liệu nào được coi là dữ liệu cá nhân theo CCPA

CCPA định nghĩa thông tin cá nhân rất rộng — đó là bất kỳ dữ liệu nào xác định, liên quan đến, mô tả hoặc có thể được liên kết hợp lý với một người tiêu dùng hoặc hộ gia đình cụ thể. Danh sách bao gồm hơn 10 loại dữ liệu.

Điểm chính: ngay cả khi bạn không thu thập tên và email trực tiếp, địa chỉ IP và cookie được truyền khi sử dụng proxy đã được coi là các chỉ số nhận dạng cá nhân theo CCPA.

Cách sử dụng proxy liên quan đến yêu cầu của CCPA

Các máy chủ proxy tự nó không vi phạm CCPA — đây là công cụ kỹ thuật để định tuyến lưu lượng. Vấn đề phát sinh không phải từ việc sử dụng proxy, mà từ những dữ liệu bạn thu thập qua chúng và cách bạn xử lý những dữ liệu đó.

Các kịch bản sử dụng proxy điển hình, nơi có các câu hỏi về sự tuân thủ CCPA:

Việc sử dụng proxy làm phức tạp tình hình vì bạn che giấu danh tính và vị trí thực sự của mình. Từ quan điểm của CCPA, điều này không phải là vi phạm tự nó, nhưng nếu bạn thu thập dữ liệu cá nhân một cách bí mật và không cung cấp cho người tiêu dùng khả năng từ chối việc thu thập — đó đã là một vấn đề.

Phương pháp thu thập dữ liệu hợp pháp qua proxy

CCPA không cấm hoàn toàn việc thu thập dữ liệu — luật điều chỉnh tính minh bạch, kiểm soát của người tiêu dùng đối với dữ liệu của họ và mục đích sử dụng thông tin. Dưới đây là các phương pháp giúp bạn tuân thủ luật khi làm việc với proxy.

Phương pháp 1: Chỉ thu thập dữ liệu công khai không cá nhân

Tập trung vào dữ liệu không xác định các cá nhân cụ thể:

• Giá sản phẩm không liên kết với người dùng
• Thống kê tổng hợp (điểm trung bình của sản phẩm, số lượng đánh giá)
• Thông số kỹ thuật của sản phẩm
• Tình trạng hàng hóa trong kho
• Dữ liệu công khai về các công ty (không phải về người)

Khi thu thập dữ liệu từ các thị trường qua proxy, hãy thiết lập các kịch bản để chúng bỏ qua các khối nội dung người dùng: đánh giá với tên, câu hỏi của khách hàng, hồ sơ người dùng.

Phương pháp 2: Ẩn danh và tổng hợp dữ liệu

Nếu bạn cần thu thập dữ liệu có thể chứa thông tin cá nhân, hãy ngay lập tức ẩn danh chúng:

• Tự động xóa tên, email, điện thoại khỏi dữ liệu đã thu thập
• Thay thế địa chỉ IP chính xác bằng các phạm vi hoặc khu vực
• Tổng hợp dữ liệu: thay vì "người dùng John đã mua sản phẩm X" → "sản phẩm X đã được mua 150 lần"
• Sử dụng mã hóa cho các chỉ số nhận dạng nếu chúng cần thiết cho phân tích

Quan trọng: việc ẩn danh phải là không thể đảo ngược. Nếu bạn có thể khôi phục dữ liệu cá nhân từ bộ dữ liệu đã ẩn danh — CCPA vẫn được áp dụng.

Phương pháp 3: Tuân thủ robots.txt và Điều khoản Dịch vụ

Mặc dù đây không phải là yêu cầu trực tiếp của CCPA, nhưng việc tuân thủ quy tắc của các trang web cho thấy sự thiện chí:

• Kiểm tra tệp robots.txt trước khi thu thập — nhiều trang web rõ ràng cấm thu thập một số dữ liệu nhất định
• Đọc Điều khoản Dịch vụ của các trang web mục tiêu — có thể có các hạn chế về việc thu thập dữ liệu tự động
• Sử dụng độ trễ hợp lý giữa các yêu cầu qua proxy (giới hạn tỷ lệ)
• Xác định bot của bạn qua User-Agent, nếu có thể

Phương pháp 4: Tính minh bạch và tài liệu hóa mục tiêu

CCPA yêu cầu các công ty phải minh bạch về việc thu thập dữ liệu:

• Tài liệu hóa các dữ liệu bạn thu thập và mục đích của chúng
• Nếu bạn có trang web — hãy đặt Chính sách Quyền riêng tư với mô tả về các thực tiễn thu thập dữ liệu
• Lưu trữ dữ liệu chỉ trong thời gian cần thiết cho các mục đích đã nêu
• Không bán dữ liệu đã thu thập cho bên thứ ba mà không có sự đồng ý rõ ràng

Dữ liệu công khai vs thông tin cá nhân: ranh giới ở đâu

Một trong những câu hỏi thường gặp nhất: "Nếu dữ liệu có sẵn công khai trên internet, có thể thu thập tự do không?" CCPA không có ngoại lệ cho dữ liệu công khai — nếu thông tin xác định cư dân California, nó sẽ thuộc phạm vi của luật.

Quy tắc chính: tính công khai của dữ liệu không hủy bỏ trạng thái của chúng như là thông tin cá nhân. Nếu bạn thu thập dữ liệu công khai xác định người, CCPA sẽ được áp dụng. Sự khác biệt chỉ là việc biện minh cho "lợi ích hợp pháp" như là cơ sở để xử lý cho dữ liệu công khai dễ dàng hơn.

Các ngoại lệ từ CCPA

Luật quy định một số ngoại lệ khi dữ liệu không được coi là thông tin cá nhân:

• Thông tin công khai từ các nguồn chính phủ (sổ đăng ký nhà nước, hồ sơ tòa án)
• Dữ liệu đã được khử danh tính, không thể liên kết với một người tiêu dùng cụ thể
• Thông tin tổng hợp về người tiêu dùng
• Dữ liệu thu thập trong khuôn khổ nghiên cứu khoa học với việc tuân thủ các tiêu chuẩn đạo đức

Danh sách kiểm tra tuân thủ CCPA khi thu thập dữ liệu

Sử dụng danh sách kiểm tra này trước khi khởi động bất kỳ dự án nào thu thập dữ liệu qua proxy, nếu đối tượng mục tiêu hoặc nguồn dữ liệu của bạn liên quan đến California:

Thiết lập proxy để giảm thiểu rủi ro pháp lý

Việc thiết lập proxy đúng cách không đảm bảo tuân thủ CCPA, nhưng giúp giảm thiểu rủi ro và thể hiện thiện chí trong trường hợp kiểm tra.

Lựa chọn loại proxy tùy theo nhiệm vụ

Cài đặt proxy để tuân thủ luật

1. Xoay địa chỉ IP: Sử dụng xoay địa chỉ IP tự động để phân phối tải và tránh việc liên kết dữ liệu đã thu thập với một chỉ số duy nhất. Điều này làm cho việc tạo hồ sơ người dùng trở nên khó khăn hơn.

2. Định vị địa lý: Nếu bạn KHÔNG làm việc với dữ liệu của cư dân California, hãy thiết lập proxy để loại trừ các địa chỉ IP của California. Hầu hết các nhà cung cấp proxy cho phép chọn khu vực.

3. Ghi lại các yêu cầu: Giữ lại nhật ký của tất cả các yêu cầu qua proxy với dấu thời gian. Điều này sẽ giúp chứng minh việc tuân thủ giới hạn tỷ lệ và không có lạm dụng trong trường hợp kiểm tra.

4. User-Agent và xác định danh tính: Một số luật sư khuyên nên sử dụng User-Agent trung thực, xác định trình thu thập của bạn (ví dụ: "MyCompanyBot/1.0"). Điều này thể hiện tính minh bạch, mặc dù có thể làm tăng rủi ro bị chặn.

Các khoản phạt cho việc vi phạm CCPA và các trường hợp thực tế

CCPA quy định hai loại phạt: phạt hành chính (từ Tổng chưởng lý California) và kiện tụng dân sự từ người tiêu dùng.

Mức phạt

• Phạt hành chính: lên đến 2,500 đô la cho mỗi vi phạm không cố ý, lên đến 7,500 đô la cho mỗi vi phạm cố ý
• Kiện tụng dân sự: từ 100 đến 750 đô la cho mỗi người tiêu dùng cho mỗi sự cố rò rỉ dữ liệu (hoặc thiệt hại thực tế nếu lớn hơn)
• Kiện tập thể: trong trường hợp rò rỉ dữ liệu của hàng ngàn người dùng, số tiền có thể lên đến hàng triệu đô la

Các trường hợp thực tế vi phạm CCPA

Đối với các doanh nghiệp nhỏ và vừa, rủi ro về phạt là có thật nếu bạn thuộc các tiêu chí của CCPA. Tổng chưởng lý California đang tích cực điều tra các khiếu nại của người tiêu dùng, và từ năm 2023, một cơ quan đặc biệt đã được thành lập, Cơ quan Bảo vệ Quyền riêng tư California (CPPA) để giám sát việc tuân thủ luật.

Cách giảm thiểu rủi ro phạt

• Tiến hành kiểm tra dữ liệu: bạn thu thập gì, cách lưu trữ, ai là người nhận
• Triển khai quy trình xử lý yêu cầu của người tiêu dùng (quyền truy cập, xóa, từ chối bán dữ liệu)
• Đăng tải Chính sách Quyền riêng tư trên trang web với mô tả về các thực tiễn thu thập dữ liệu
• Đào tạo đội ngũ về các nguyên tắc cơ bản của CCPA và quy trình phản hồi yêu cầu
• Xem xét bảo hiểm rủi ro mạng, bao gồm cả các khoản phạt cho vi phạm quyền riêng tư
• Khi có nghi ngờ — hãy tham khảo ý kiến luật sư chuyên về luật quyền riêng tư

Kết luận

CCPA đặt ra những yêu cầu nghiêm ngặt đối với các công ty thu thập dữ liệu cá nhân của cư dân California, bất kể bạn có sử dụng proxy hay không. Các nguyên tắc chính để tuân thủ luật: tính minh bạch về mục đích thu thập dữ liệu, giảm thiểu khối lượng thông tin cá nhân, cung cấp cho người tiêu dùng quyền kiểm soát dữ liệu của họ và lưu trữ an toàn.

Việc sử dụng proxy để thu thập dữ liệu là hợp pháp, nếu bạn tập trung vào thông tin không cá nhân hoặc ngay lập tức ẩn danh dữ liệu cá nhân. Tài liệu hóa các quy trình, tuân thủ Điều khoản Dịch vụ của các nền tảng mục tiêu và sẵn sàng biện minh cho tính hợp pháp của hành động của bạn.

Hãy nhớ: các khoản phạt cho việc vi phạm CCPA có thể lên đến hàng triệu đô la, nhưng hầu hết các vấn đề có thể tránh được nếu bạn thiết lập quy trình thu thập và xử lý dữ liệu đúng cách. Đầu tư vào việc tuân thủ luật sẽ được đền bù bằng việc bảo vệ khỏi rủi ro pháp lý và sự tin tưởng của người dùng.

Nếu bạn dự định thu thập dữ liệu từ các nguồn của Mỹ, chúng tôi khuyên bạn nên sử dụng proxy dân cư với khả năng chọn lựa địa lý — điều này sẽ cho phép bạn loại trừ các địa chỉ IP của California khỏi việc xoay vòng hoặc, ngược lại, thu thập dữ liệu theo khu vực cụ thể phù hợp với các nhiệm vụ kinh doanh và yêu cầu pháp lý của bạn.