Что будет, если проигнорировать CCPA?

Санкции: $2 500 за непреднамеренное и $7 500 за умышленное нарушение за каждый случай. При 1 000 пользователей с нарушенными правами — потенциально $7.5M штрафа. С 2025 года CPPA демонстрирует тренд на активный enforcement.

Персональные данные

CCPA, CPRA и state privacy laws: гайд для бизнеса с US-аудиторией

Q: Чем sharing отличается от sale по CCPA/CPRA?

Sale — передача данных за деньги или иное вознаграждение. Sharing (добавлено CPRA) — передача данных для cross-context behavioral advertising, даже бесплатно. Передача данных в Google Ads или Meta Pixel — это sharing.

Q: Обязательно ли нанимать DPO для работы с US-аудиторией?

Ни один закон штата США не обязывает назначать Data Protection Officer. Однако наличие ответственного лица — Privacy Officer или внешнего советника — является best practice.

В США нет единого федерального закона о защите данных. Вместо него — лоскутное одеяло из 20+ законов штатов. Разбираем, что нужно соблюдать, если ваш бизнес работает с американскими пользователями.

📅 Обновлено: май 2026 ⏱ Читать ~12 мин 🌐 Применимо к: IT, SaaS, e-commerce, образование, AI

Содержание

Нет федерального закона — есть 20+ штатных
CCPA и CPRA: кого касается и как работает
Opt-out, Do Not Sell и GPC
Sensitive personal information и opt-in
DSAR: права пользователей и сроки ответа
COPPA: дети до 13 лет
Карта законов штатов: CA, TX, CO, VA и другие
CA Delete Act: реестр брокеров данных с 2026
Компании из СНГ с US-аудиторией
Чеклист: 10 пунктов US privacy compliance

1. Нет единого федерального закона — есть 20+ штатных

Европа решила задачу просто: один регламент GDPR на весь ЕС. США пошли по другому пути. Попытки принять федеральный Privacy Act предпринимались многократно — последний серьёзный кандидат, American Privacy Rights Act (APRA), прошёл профильный комитет Конгресса в мае 2024 года, но до голосования в полном составе Палаты так и не дошёл. По состоянию на 2026 год федерального закона общего применения в США нет.

Почему APRA провалился? Камнем преткновения стал вопрос о «private right of action» — праве рядовых граждан подавать иски напрямую, минуя регуляторов. Бизнес-лобби и часть штатов, успевших принять собственные законы (прежде всего Калифорния), заблокировали принятие.

В итоге американское privacy-право — это лоскутное одеяло из законов, действующих на уровне штатов. По состоянию на 2026 год комплексные privacy-законы приняты уже в 20 штатах, а ещё в десятке находятся на рассмотрении законодательных собраний.

California (CCPA/CPRA)В силе с 2020 / 2023

Virginia (CDPA)В силе с 2023

Colorado (CPA)В силе с 2023

Connecticut (CTDPA)В силе с 2023

Texas (TDPSA)В силе с 2024

Oregon (OCPA)В силе с 2024

Montana (MCDPA)В силе с 2024

Maryland (MODPA)В силе с 2025

Rhode Island (RIDPA)В силе с 2026

Delaware, Iowa, Nebraska…2025–2026

Для международных компаний это означает: нельзя принять одно решение и забыть. Нужно понять, пользователи каких штатов вам попадаются, и обеспечить соответствие их конкретным законам. При этом де-факто самый жёсткий закон — калифорнийский CCPA/CPRA — часто используется как базовая точка отсчёта: если вы соблюдаете его, вы, как правило, покрываете большинство требований других штатов.

💡 Практический совет: Начните с CCPA/CPRA и COPPA. Затем добавьте специфику тех штатов, где у вас сосредоточена основная аудитория. Инструменты вроде OneTrust или Usercentrics имеют карты соответствия по штатам.

2. CCPA и CPRA: кого касается и как работает

California Consumer Privacy Act (CCPA) вступил в силу 1 января 2020 года. California Privacy Rights Act (CPRA) — его существенное расширение — заработал в полную силу 1 января 2023 года. CPRA создал независимый регулятор California Privacy Protection Agency (CPPA) и добавил категорию sensitive personal information.

Закон применяется к бизнесам, которые соответствуют хотя бы одному из трёх порогов:

$26.6M Годовая выручка

Порог индексируется ежегодно. В 2023 г. был $25M, в 2025 г. — $26.6M.

100 000 Потребителей / домохозяйств

Покупка, продажа или совместное использование персональных данных за год.

50% Выручки от продажи данных

Если бизнес зарабатывает более 50% дохода на продаже личных данных.

Обратите внимание: речь идёт о данных жителей Калифорнии, а не только о Калифорнийских компаниях. Если ваш SaaS из Армении или России имеет 100 000+ пользователей из Калифорнии и выручку выше порога — CCPA/CPRA на вас распространяется.

2020: CCPA в силе. Базовые права: доступ, удаление, отказ от продажи данных.

01.01.2023: CPRA в полной силе. Добавлены: sensitive PI, право на исправление, ограничение использования, CPPA.

2023–2024: CPPA выпустила финальные регуляции по DSAR, DPIA, ADMT (automated decision-making technology).

2025: Первые крупные enforcement-дела CPPA. DoorDash — $375K за sharing данных без уведомления.

2026: Регуляции по ADMT вступили в силу. DPIA обязательны для высокорискованных обработок.

Штрафы CCPA/CPRA: $2 500 за непреднамеренное нарушение и $7 500 за умышленное — за каждый случай. При data breach, затронувшем данные детей до 16 лет, — $7 500 автоматически. AG и CPPA могут инициировать иски, частные лица — только в случае breach (по ограниченному перечню типов данных).

3. Opt-out, Do Not Sell/Share и Global Privacy Control

Одно из главных отличий американского подхода от европейского — opt-out вместо opt-in. В GDPR по умолчанию требуется согласие; в CCPA/CPRA пользователь должен отказаться от продажи и шеринга его данных. Именно поэтому на американских сайтах вы видите ссылку «Do Not Sell or Share My Personal Information», а не cookie-баннер с кнопкой «Принять».

Что такое «продажа» и «шеринг» по CCPA/CPRA

Sale — передача данных третьим лицам за денежное или иное вознаграждение. Включает бартер.
Sharing (добавлено CPRA) — передача данных для cross-context behavioral advertising, даже бесплатно. Именно это покрывает передачу данных в Google Ads, Meta Pixel и аналоги.
Вы обязаны предоставить ссылку «Do Not Sell or Share My Personal Information» на главной странице и в Privacy Policy.
После получения opt-out нельзя продавать/шерить данные конкретного пользователя. Повторный запрос согласия — не раньше чем через 12 месяцев.

С 2023 года в нескольких штатах обязателен учёт сигнала Global Privacy Control (GPC) — браузерного заголовка, который пользователь устанавливает один раз, и все сайты обязаны его соблюдать как opt-out.

Обязателен GPC

California, Colorado, Connecticut, Montana — уже сейчас. Техасский AG также ссылается на GPC в расследованиях.

Как технически

Заголовок Sec-GPC: 1 или JS navigator.globalPrivacyControl === true. CMP-платформы (OneTrust, Cookiebot) умеют это из коробки.

Что делать

Детектировать GPC на сервере/клиенте и автоматически применять opt-out без требования нажать ссылку на сайте.

⚠️ Частая ошибка: компании вешают ссылку «Do Not Sell» на сайт, но забывают настроить бэкенд — данные продолжают утекать в рекламные платформы. CPPA в 2025 году оштрафовала DoorDash именно за это: формально ссылка была, фактически opt-out не работал.

4. Sensitive personal information: opt-in и ограничение использования

CPRA ввёл отдельную категорию Sensitive Personal Information (SPI) — по аналогии с «особыми категориями» в GDPR, но с рядом отличий. Для SPI действует режим opt-in (при использовании сверх допустимого) или специальная ссылка ограничения.

SSN / паспорт / водительские праваГосударственные идентификаторы

Финансовые данныеНомера счетов, карт, пин-коды

Точная геолокацияС точностью, достаточной для определения улицы/дома

Расовое и этническое происхождениеРелигиозные убеждения, философские взгляды

Членство в профсоюзах—

Генетические данныеБиометрия для идентификации личности

ЗдоровьеФизическое и психическое здоровье

Сексуальная жизнь / ориентация—

Содержание перепискиЭлектронная почта, SMS, сообщения (если вы не получатель)

Биометрия для идентификации—

Когда нужен opt-in / «Limit Use» ссылка?

Если вы используете SPI сверх разрешённых целей (доставка услуги, безопасность, исправление ошибок) — нужен opt-in.
Если вы раскрываете SPI третьим лицам или используете для рекламного профилирования — нужна ссылка «Limit the Use of My Sensitive Personal Information» на сайте.
Ссылка может быть объединена с «Do Not Sell or Share» в одну — CPPA разрешает комбинированный линк.
После получения запроса на ограничение — исполнить в течение 15 рабочих дней.

Для большинства SaaS- и IT-компаний сценарии с SPI возникают при работе с HR-tech (biometrics, health), fintech (financial account numbers), edtech (если дети), и платформами с точной геолокацией. Если вы собираете хотя бы один из перечисленных типов — обязательно проверьте, есть ли у вас ссылка ограничения в footer.

Пример footer-ссылок:
• Do Not Sell or Share My Personal Information
• Limit the Use of My Sensitive Personal Information

✅ Или одна комбинированная:
• Your Privacy Choices [optout-icon]

5. DSAR: права пользователей и сроки ответа

CCPA/CPRA предоставляет жителям Калифорнии Data Subject Access Rights (DSAR), аналогичные GDPR, но с американской спецификой. Права включают:

Право знать

Право на удаление

Право на исправление

Право на переносимость

Право отказаться от продажи/шеринга

Право ограничить использование SPI

Право не подвергаться дискриминации

Временны́е требования

День 0

Получен DSAR-запрос любым из предусмотренных каналов (веб-форма, email, телефон).

День 10

Подтверждение получения запроса (не обязательно, но best practice и требование многих других штатов).

День 45

Крайний срок ответа. Можно продлить ещё на 45 дней (итого 90) при уведомлении пользователя.

12 мес.

Lookback period: на запрос «право знать» вы обязаны раскрыть данные, собранные за 12 предшествующих месяцев. CPRA убрал ранее существовавший двухлетний лимит.

Верификация запросов: 2 метода

Matching method: Сопоставить 2–3 идентификатора из запроса с данными в системе (email + телефон, email + дата регистрации и т.п.).
Signed declaration: Попросить пользователя подписать декларацию под страхом ответственности за ложные заявления (подходит для чувствительных данных или высокорискованных запросов).
Не требовать создания аккаунта, если его не было — это прямо запрещено CCPA.
Агентам пользователя (authorized agents с письменным разрешением) нужно отвечать так же, как напрямую. Можно запросить нотариально заверенную доверенность.

Для автоматизации DSAR-процессов существуют специализированные решения: OneTrust DSAR, Osano, DataGrail, Transcend. Они интегрируются с CRM/CDP и позволяют выполнять запросы на удаление/экспорт без ручной работы. При масштабе 100K+ пользователей ручной процесс нежизнеспособен — регуляторы это понимают и ждят автоматизации.

6. COPPA: дети до 13 лет и verifiable parental consent

Children's Online Privacy Protection Act (COPPA) — федеральный закон 1998 года, дополненный в 2013-м. Несмотря на возраст, он остаётся одним из самых строго применяемых законов о данных в США. FTC активно использует COPPA для преследования платформ, работающих с детьми.

COPPA применяется, если:

Ваш сайт/приложение направлено на детей до 13 лет (по дизайну, контенту, тематике).
Ваш сайт имеет смешанную аудиторию и вы знаете, что часть пользователей — дети (например, через проверку возраста или на основании данных).
Применяется к операторам, чьи сервисы доступны в США, независимо от страны регистрации компании.
Даже если вы не таргетируете детей — если вы фактически знали о ребёнке-пользователе, COPPA активируется.

Требование	Детали
Verifiable Parental Consent (VPC)	Перед сбором данных ребёнка — получить проверяемое согласие родителя: email с ответом, кредитная карта, видео-верификация, нотариус.
Children's Privacy Notice	Отдельная политика конфиденциальности, написанная понятным языком для родителей.
Данные только для функции	Нельзя собирать данные сверх необходимого для предоставления сервиса детям.
Запрет поведенческой рекламы	Никакого таргетинга на основе профиля для детей до 13 лет.
Права родителей	Право просмотреть, исправить, удалить данные ребёнка в любое время.
Retention	Удалять данные, как только они перестали быть нужны для указанной цели.

Штрафы COPPA: FTC вправе взыскивать до $50 120 за каждое нарушение в день. В 2023 году Microsoft/Xbox заплатила $20M, Epic Games (Fortnite) — $275M. В 2025 году FTC инициировала несколько дел против edtech-платформ, нарушавших COPPA при работе с К-12 сегментом.

Если ваш продукт — образовательная платформа, игра, инструмент для родителей или любой сервис, который дети потенциально могут использовать — проконсультируйтесь со специалистом по COPPA до запуска. Цена ошибки исчисляется десятками миллионов долларов.

7. Карта законов штатов: CA, TX, CO, VA и другие

Помимо CCPA/CPRA, существуют законы десятков штатов. Большинство из них строятся по схожей архитектуре (opt-out, DSAR, DPA с вендорами, DPIA), но отличаются в деталях: пороги применения, права пользователей, штрафы, наличие cure period. Вот ключевые законы, на которые стоит обратить внимание:

CaliforniaCCPA/CPRA + CPPA

CPPA — независимый регулятор с правом инициировать дела
DPIA обязательны для «высокорискованных» обработок
ADMT-регуляции (алгоритмы, скоринг) в силе с 2026
Нет cure period для нарушений SPI и детских данных

TexasTDPSA 2024

Применяется ко всем компаниям, ведущим бизнес в Техасе (без порога по выручке или числу пользователей)
Attorney General закрыл мировое соглашение с Meta на $1.4B в 2024 г. (biometric data)
30-дневный cure period (до 01.01.2025)
DPIA, DPA с процессорами

ColoradoCPA + AI Act

Colorado AI Act (2024) — первый в США закон о рисках AI-систем «высокого риска»
Mandatory GPC compliance
DPIA обязательны для targeted advertising, продажи данных, SPI, детей
Нет cure period с 2025

MarylandMODPA 2025

Самый жёсткий закон после CA: data minimization по умолчанию
Запрет на продажу sensitive data детей до 18 (не 13!)
Запрет на targeted advertising детям до 18
Нет cure period с самого начала

Rhode IslandRIDPA 2026

В силе с 01.01.2026
Нет cure period — сразу можно взыскать штраф
Уведомление AG не позднее 72 часов при breach
Применяется к контроллерам с 35K+ потребителей из RI

Virginia / CT / OR / MT2023–2024

Virginia CDPA — opt-out, DSAR 45 дней, DPIA
Connecticut CTDPA — GPC mandatory, нет cure с 2025
Oregon OCPA — широкая трактовка sensitive data
Montana MCDPA — GPC mandatory, минимальные пороги

💡 Общий знаменатель: Большинство законов требуют DPA с процессорами, DPIA для рискованных обработок, opt-out от продажи/шеринга, 45-дневный ответ на DSAR. Если вы выполняете CCPA/CPRA полностью — примерно 80% требований других штатов уже покрыты. Оставшиеся 20% — специфика конкретного штата.

8. California Delete Act: реестр брокеров данных с 2026

California Delete Act (SB 362) был принят в 2023 году и вступил в полную силу 1 августа 2026 года. Он создаёт единую платформу, через которую калифорнийцы смогут одним запросом потребовать удаления своих данных у всех зарегистрированных брокеров данных — без необходимости обращаться к каждому по отдельности.

Ключевые требования Delete Act

Регистрация брокеров: Все data brokers, работающие с данными жителей Калифорнии, обязаны зарегистрироваться в реестре CPPA. Штраф за нерегистрацию — $200 в день.
Одна точка opt-out: С 01.08.2026 реестр CPPA даёт потребителям единый интерфейс для запроса удаления данных у всех брокеров одновременно.
Автоматизированный отклик: Брокеры обязаны технически интегрироваться с платформой CPPA для приёма и исполнения таких запросов.
Аудит каждые 3 года: Брокеры должны подтверждать соответствие через независимый аудит.

Окт 2023

Delete Act подписан губернатором Калифорнии.

01.01.2024

Data brokers обязаны регистрироваться в реестре CPPA ($200/день за просрочку).

01.08.2026

Платформа единого удаления запущена. Брокеры обязаны принимать и исполнять запросы через неё.

Касается ли это вашего SaaS или IT-компании?

Если вы брокер данных по CCPA (продаёте данные, которые напрямую не собирали от пользователей) — да, регистрация обязательна.
Если вы первичный контроллер (собираете данные своих пользователей для предоставления сервиса) — Delete Act не применяется напрямую, но ваши данные могут попасть к брокерам через рекламные платформы.
Внимательно проверьте: не является ли ваша модель монетизации передачей данных третьим лицам за вознаграждение — именно это делает компанию брокером.
Если вы работаете с рекламными технологиями, lead generation или data enrichment — скорее всего, вы data broker по смыслу закона.

9. Компании из СНГ с US-аудиторией: экстерриториальность без US-юрлица

Принципиальный вопрос: распространяются ли CCPA/CPRA на компанию, зарегистрированную в Армении, Казахстане или Сербии, у которой есть пользователи из Калифорнии?

Короткий ответ: да, если вы подпадаете под пороги CCPA. Закон применяется к любому «бизнесу», который собирает персональные данные жителей Калифорнии, превышает пороговые значения и — ключевое условие — ведёт коммерческую деятельность в Калифорнии. Наличие калифорнийских пользователей, оплачивающих ваш сервис, как правило, считается таковой деятельностью. Отсутствие US-юрлица само по себе не освобождает от ответственности.

Практические сценарии, с которыми сталкиваются IT-компании и стартапы из СНГ:

🇦🇲

SaaS из Армении, B2B клиенты в СШАЕсли ваши B2B клиенты — компании, а не физлица, CCPA применяется ограниченно (данные сотрудников компаний-клиентов). Однако если вы обрабатываете данные конечных потребителей ваших клиентов — вы processor, и ваш клиент-controller должен включить вас в свою DPA.

🇰🇿

Мобильное приложение из Казахстана, 200K+ скачиваний в СШАЕсли выручка превышает пороги или число пользователей — CCPA применяется. Нужна Privacy Policy с разделом о CCPA, ссылки Do Not Sell/Share, механизм DSAR. На iOS/Android App Store — отдельная политика конфиденциальности обязательна.

🇷🇸

EdTech-платформа из Сербии, школы-клиенты в СШАFERPA (образовательные данные) + COPPA (если учащиеся до 13 лет) + CCPA/CPRA (если данные учителей/родителей). Тройное регулирование, стоит привлечь американского counsel.

🇬🇪

AI-инструмент из Грузии, free-tier пользователи в СШАБесплатный продукт тоже подпадает под CCPA, если вы монетизируете данные (продаёте, шерите для рекламы). 100K threshold по числу пользователей — не по платным.

Для компаний, которые работают на международных рынках — США, ЕС, Великобритания, собственная юрисдикция — рекомендуется строить единый privacy-фреймворк: Privacy Policy, DSAR-процесс, DPA-шаблоны, consent management — один раз, с учётом всех применимых законов. Это дешевле, чем поддерживать отдельные документы для каждой юрисдикции.

Юрисдикция США EU GDPR UK GDPR EdTech compliance AI платформы E-commerce

10. Чеклист: 10 пунктов US privacy compliance

Если вы только начинаете путь к соблюдению американских законов о данных, используйте этот чеклист как отправную точку:

Определите, под какие законы вы попадаетеПодпадаете ли под CCPA/CPRA (пороги выручки/пользователей)? Есть ли дети в аудитории (COPPA)? Какие штаты представлены в аудитории?

Обновите Privacy PolicyДобавьте разделы CCPA: категории данных, цели, третьи лица, права пользователей, контакт для DSAR, дата обновления.

Разместите ссылки в footer«Do Not Sell or Share My Personal Information» и/или «Your Privacy Choices» — иконка с синим кружком со стрелкой (официальный символ CPPA).

Настройте GPC-детекциюДля CA, CO, CT, MT — обработка сигнала Sec-GPC: 1 обязательна. Используйте CMP или собственную интеграцию.

Выстройте DSAR-процессВеб-форма, email или телефон для приёма запросов. Верификация личности. Срок ответа — 45 дней. Логирование всех запросов.

Подпишите DPA с процессорамиСо всеми вендорами, которые обрабатывают личные данные от вашего имени: cloud-провайдеры, аналитика, CRM, email-рассылки.

Проведите DPIA для рискованных обработокTargeted advertising, профилирование, biometric data, обработка детских данных, ADMT — для всего этого нужна оценка рисков.

Проверьте SPI-обработкуЕсли обрабатываете sensitive PI — либо получите opt-in, либо добавьте ссылку «Limit Use of My Sensitive PI», либо ограничьте обработку разрешёнными целями.

Если дети — Children's Privacy Notice и VPCОтдельная политика для детей, verifiable parental consent перед сбором данных, запрет поведенческой рекламы.

Обновляйте ежегодноЗаконодательство штатов активно меняется. Поставьте в календарь ревью privacy-документов раз в год и отслеживайте новые законы через IAPP State Privacy Legislation Tracker.

Итог: US privacy compliance сложнее европейского тем, что это не один закон, а живая экосистема. Но базовые принципы везде одинаковы: прозрачность, минимизация данных, права пользователей, безопасность. Если вы выстроили эти процессы системно — добавить штатную специфику становится значительно проще.

Часто задаваемые вопросы

Нужен ли нам CCPA, если мы стартап и зарабатываем меньше $26.6M?

Не обязательно, если вы не превышаете ни один из трёх порогов (выручка / 100K пользователей / 50% выручки от продажи данных). Однако CPPA начала смотреть на совокупный размер данных, а не только на деньги. Если у вас 90K калифорнийских пользователей сейчас — через год вы можете перейти порог. Лучше выстроить базовые процессы заблаговременно.

Чем «sharing» отличается от «sale» по CCPA/CPRA?

«Sale» — передача данных за деньги или иное вознаграждение. «Sharing» (добавлено CPRA) — передача данных для cross-context behavioral advertising, даже бесплатно. Это означает, что передача данных в Google Ads или Meta Pixel для ретаргетинга — это «sharing», даже если вы ничего не получаете от Google/Meta напрямую за эти данные. Оба действия требуют наличия ссылки opt-out.

Обязательно ли нанимать DPO для работы с US-аудиторией?

В отличие от GDPR, ни один закон штата США не обязывает назначать Data Protection Officer. Тем не менее наличие ответственного лица (Privacy Officer или внешнего советника) — best practice и реальное требование по факту: кто-то должен отвечать на DSAR, взаимодействовать с регуляторами и поддерживать документацию актуальной.

Нужна ли нам отдельная Privacy Policy для каждого штата?

Нет. Стандартная практика — единая Privacy Policy с разделом «Your US State Privacy Rights», в котором перечислены права по CCPA/CPRA и при необходимости упомянуты другие штаты. Такой подход признан достаточным большинством регуляторов штатов.

Что будет, если мы просто проигнорируем CCPA?

CPPA и AG Калифорнии активно расследуют нарушения. Санкции: $2 500 за непреднамеренное и $7 500 за умышленное нарушение за каждый случай. При 1 000 пользователей с нарушенными правами это $7.5M потенциального штрафа. Дополнительно — иски от пользователей при data breach. С 2025 года CPPA демонстрирует тренд на активный enforcement.

Нужна помощь с US privacy compliance?

Мы поможем разобраться, под какие законы вы попадаете, и подготовим документы, соответствующие требованиям CCPA/CPRA, COPPA и законодательству других штатов.

Заказать US privacy compliance

Консультация бесплатна. Ответим в течение рабочего дня.