Конфиденциальность

CCPA игнорируется в массовом масштабе: что вы можете сделать

21 апреля 2026 г.5 мин чтения

By Sarah Chen — CEH certified, penetration testing and network security background

CCPA игнорируется в массовом масштабе: что вы можете сделать

Калифорнийский закон о конфиденциальности столкнулся с проблемой соблюдения требований

Калифорнийский закон о защите персональных данных потребителей (CCPA) должен был дать жителям штата реальный контроль над их личными данными. Но масштабный аудит более 7000 популярных веб-сайтов рассказывает совсем другую историю. Исследователи обнаружили то, что они назвали «несоблюдением требований в промышленных масштабах» в рамках CCPA: многие крупные технологические компании систематически игнорируют юридически признанный сигнал конфиденциальности, встроенный непосредственно в браузеры.

Речь идёт о сигнале под названием Global Privacy Control (GPC). При его активации каждому посещаемому вами сайту автоматически отправляется инструкция с требованием не отслеживать и не продавать вашу личную информацию. Согласно CCPA, соблюдение этого сигнала не является добровольным для компаний, ведущих бизнес в Калифорнии. Это — законодательное требование. И тем не менее аудит показал, что в ряде случаев отслеживание продолжалось в 86% посещений даже при активном сигнале GPC.

Эта цифра заслуживает отдельного осмысления. Пользователь может сделать всё правильно, активировав юридически защищённую настройку конфиденциальности, и всё равно иметь своё поведение отслеженным, а данные — потенциально проданными в подавляющем большинстве браузерных сессий.

Почему одних правовых гарантий недостаточно

Законы о конфиденциальности, подобные CCPA, представляют собой реальный прогресс. Они закрепляют права, создают механизмы правоприменения и возлагают бремя обоснования практик обработки данных на компании. Однако этот аудит наглядно демонстрирует пробел, о котором защитники конфиденциальности давно предупреждали: закон эффективен лишь настолько, насколько эффективно его исполнение.

Когда несоблюдение требований носит столь повсеместный и систематический характер, это свидетельствует о том, что компании просчитали: риск регуляторных санкций ниже, чем ценность собираемых ими данных. Это структурная проблема, а не индивидуальная. Никакое тщательное чтение баннеров с куки или нажатие кнопки «отклонить всё» не исправит систему, в которой инфраструктура отслеживания продолжает работать в фоновом режиме вне зависимости от ваших действий.

Это важно и за пределами Калифорнии. Хотя CCPA распространяется только на жителей Калифорнии, сайты, нарушающие его требования, обслуживают пользователей по всему миру. Те же технологии отслеживания, рекламные сети и брокеры данных работают глобально. Если крупные компании готовы игнорировать закон штата с реальными механизмами принуждения, ситуация в юрисдикциях со слабой защитой, вероятно, ещё хуже.

Что это означает для вас

Практический вывод из этого аудита неудобен, но важен: нельзя полагаться исключительно на правовые механизмы для защиты своей конфиденциальности при веб-сёрфинге. Корпоративное соблюдение требований непоследовательно в лучшем случае и, согласно данному исследованию, ничтожно в худшем — когда речь идёт об исполнении ваших заявленных предпочтений.

Это не означает, что законы о конфиденциальности бесполезны. Регуляторное давление, штрафы и публичная подотчётность со временем действительно сдвигают ситуацию с места. Но пока что ваше реальное поведение при просмотре сайтов, по всей видимости, отслеживается значительно интенсивнее, чем это можно предположить по любому баннеру согласия или настройке отказа.

Инструменты, обеспечивающие более надёжную защиту, действуют на техническом уровне, а не на уровне политик. Расширение браузера, блокирующее сторонние трекеры, не просит компанию соблюдать ваши предпочтения. Оно просто не даёт коду отслеживания загрузиться в принципе. Аналогично VPN шифрует ваше интернет-соединение и скрывает ваш IP-адрес — один из основных идентификаторов, используемых для составления профилей вашего поведения на разных сайтах. Ни тот, ни другой подход не зависит от корпоративной доброй воли или регуляторного правоприменения.

Средства защиты конфиденциальности на уровне браузера также стали более совершенными. Firefox и браузеры, построенные на принципах приоритета конфиденциальности, по умолчанию блокируют многие скрипты отслеживания. Сам сигнал GPC — это настройка браузера, которую стоит включить: не потому что компании надёжно его соблюдают (данный аудит ясно показывает, что это не так), а потому что он создаёт задокументированную запись ваших заявленных предпочтений, что может иметь значение при принятии правоприменительных мер.

Практические шаги для защиты вашей конфиденциальности прямо сейчас

С учётом того, что выявил этот аудит, ниже приведены конкретные действия, обеспечивающие реальную защиту, а не обещания, зависящие от политик:

Включите Global Privacy Control в настройках браузера. Это не всегда будет соблюдаться, но добавляет правовую основу и всё шире поддерживается браузерами, ориентированными на конфиденциальность.
Используйте расширение браузера для блокировки трекеров, например uBlock Origin, или браузер, ориентированный на конфиденциальность, который по умолчанию блокирует сторонние скрипты. Они работают вне зависимости от того, соблюдает ли сайт ваши предпочтения по отказу от отслеживания.
Рассмотрите использование VPN для обычного браузинга, особенно в сетях, которые вы не контролируете. VPN не блокирует трекеры напрямую, но не позволяет вашему интернет-провайдеру и наблюдателям на уровне сети составить картину вашей активности, а также скрывает IP-адрес, связывающий ваши сессии между собой на разных сайтах.
Периодически проверяйте настройки конфиденциальности браузера. Сторонние куки, защита от снятия цифровых отпечатков и блокировка трекеров нередко отключены по умолчанию в популярных браузерах.
Скептически относитесь к баннерам согласия на куки. Исследования неизменно показывают, что многие сайты продолжают отслеживание вне зависимости от выбранного варианта.

CCPA стал важным шагом к привлечению компаний к ответственности за обращение с персональными данными. Но этот аудит подтверждает то, о чём многие исследователи конфиденциальности говорили годами: правовые права и техническая реальность — это две совершенно разные вещи. Понимание этого разрыва и принятие мер по его устранению с помощью доступных инструментов — наиболее надёжный путь к реальной защите конфиденциальности прямо сейчас.

// FAQ

Что такое Global Privacy Control (GPC)?

Global Privacy Control — это сигнал, встроенный в браузеры, который автоматически сообщает каждому посещаемому вами сайту о том, что тот не должен отслеживать или продавать вашу личную информацию. Согласно CCPA, соблюдение этого сигнала является законодательным требованием для компаний, ведущих бизнес в Калифорнии.

Сколько веб-сайтов было включено в аудит, упомянутый в статье?

Аудит охватил более 7000 популярных веб-сайтов и выявил то, что исследователи охарактеризовали как «несоблюдение требований в промышленных масштабах» в рамках CCPA.

Как часто отслеживание продолжалось даже при активном сигнале GPC?

В некоторых случаях отслеживание продолжалось в 86% посещений даже при активированном пользователем сигнале GPC, то есть пользователи могли сделать всё правильно и всё равно иметь свои данные отслеженными.

Распространяется ли CCPA на пользователей за пределами Калифорнии?

CCPA юридически распространяется только на жителей Калифорнии, однако нарушающие его сайты обслуживают пользователей по всему миру, и те же технологии отслеживания и брокеры данных работают глобально.

Почему компании игнорируют требования CCPA в отношении GPC?

Согласно статье, компании, по всей видимости, просчитали, что риск регуляторных санкций ниже, чем ценность собираемых ими данных, что делает это структурной проблемой, а не индивидуальной.

Калифорнийский закон о конфиденциальности столкнулся с проблемой соблюдения требований

Почему одних правовых гарантий недостаточно

Что это означает для вас

Практические шаги для защиты вашей конфиденциальности прямо сейчас

// FAQ

// Похожие