آیا در ایالات متحده قوانین کوکی وجود دارد؟

تحلیل مقررات موجود نشان می‌دهد که ایالات متحده قانون فدرالی برای تنظیم خاص استفاده از کوکی‌ها ندارد. با این حال، قوانین حریم خصوصی در سطح ایالتی، به‌ویژه قانون حریم خصوصی مصرف‌کننده کالیفرنیا (CCPA) و قانون حفاظت از داده‌های مصرف‌کننده ویرجینیا (CDPA)، به استفاده از کوکی‌ها در ارتباط با پردازش اطلاعات شخصی می‌پردازند.

CCPA مقرر می‌دارد که کوکی‌ها، هنگامی که برای جمع‌آوری داده‌های مصرف‌کننده استفاده می‌شوند، اطلاعات شخصی محسوب می‌شوند (Cal. Civ. Code § 1798.140). کسب‌وکارهای مشمول CCPA موظفند استفاده خود از کوکی‌ها و اهدافی که داده‌ها از طریق کوکی‌ها برای آن جمع‌آوری می‌شوند را افشا کنند (Cal. Civ. Code § 1798.100). با این حال، رضایت برای استفاده عمومی از کوکی‌ها توسط CCPA الزامی نشده است. قابل ذکر است، هنگامی که کوکی‌ها برای تبلیغات هدفمند و تبلیغات رفتاری بین‌زمینه‌ای به کار گرفته می‌شوند، این فعالیت‌ها ممکن است تحت CCPA به عنوان «فروش» اطلاعات شخصی طبقه‌بندی شوند (Cal. Civ. Code § 1798.140(t))، که این امر کسب‌وکارها را ملزم به ارائه یک سازوکار انصراف برای مصرف‌کنندگان می‌کند («اطلاعات شخصی من را نفروشید»).

CDPA در ویرجینیا نیز داده‌های پردازش‌شده از طریق کوکی‌ها را هنگامی که برای تبلیغات هدفمند، فروش یا پروفایل‌سازی استفاده می‌شوند، به عنوان داده‌های شخصی در نظر می‌گیرد (Va. Code Ann. § 59.1-571). تحت CDPA، مصرف‌کنندگان حقوق صریحی برای انصراف از پردازش داده‌های شخصی خود برای این اهداف دارند، که به‌طور خاص کوکی‌های شخص ثالث و تبلیغاتی را در بر می‌گیرد. عملیاتی کردن این حقوق مستلزم آن است که کسب‌وکارها سازوکارهایی را برای امکان استفاده مؤثر مصرف‌کنندگان از حقوق انصراف خود پیاده‌سازی کنند.

یافته‌های کلیدی عبارتند از:

• هیچ قانون فدرال جامعی در مورد کوکی‌ها در ایالات متحده وجود ندارد.
• هم CCPA و هم CDPA داده‌های جمع‌آوری‌شده توسط کوکی‌ها را هنگامی که برای اهداف خاصی استفاده می‌شوند، به عنوان اطلاعات شخصی در نظر می‌گیرند.
• CCPA افشای استفاده از کوکی را الزامی می‌کند و در صورتی که کوکی‌ها برای تبلیغات هدفمند یا «فروش» تلقی شوند، نیازمند ارائه گزینه انصراف است.
• CDPA به مصرف‌کنندگان حق انصراف از پردازش داده‌های شخصی برای تبلیغات هدفمند، فروش یا پروفایل‌سازی را می‌دهد — که به صراحت بر رویه‌های مربوط به کوکی‌ها تأثیر می‌گذارد.

به طور کلی، در حالی که هیچ قانون فدرالی در مورد کوکی‌ها وجود ندارد، قوانین سطح ایالتی مانند CCPA و CDPA الزامات هدفمندی را برای کسب‌وکارها در مورد استفاده از کوکی‌ها، به‌ویژه در ارتباط با اطلاعات شخصی و شیوه‌های تبلیغات هدفمند، اعمال می‌کنند. رویکرد نظارتی پراکنده است و عمدتاً واکنشی به کاربردهای خاص کوکی‌ها است، به جای اینکه الزامات کلی را مانند آنچه در سایر حوزه‌های قضایی (مانند GDPR در اتحادیه اروپا) دیده می‌شود، تحمیل کند.