Có luật về cookie ở Mỹ không?

Phân tích các quy định hiện hành cho thấy Hoa Kỳ không có luật liên bang nào quy định cụ thể về việc sử dụng cookie. Tuy nhiên, các luật về quyền riêng tư cấp tiểu bang, đáng chú ý là California Consumer Privacy Act (CCPA) và Virginia Consumer Data Protection Act (CDPA), đề cập đến việc sử dụng cookie liên quan đến việc xử lý thông tin cá nhân.

CCPA quy định rằng cookie, khi được sử dụng để thu thập dữ liệu người tiêu dùng, được coi là thông tin cá nhân (Cal. Civ. Code § 1798.140). Các doanh nghiệp tuân thủ CCPA phải công bố việc sử dụng cookie và các mục đích thu thập dữ liệu qua cookie (Cal. Civ. Code § 1798.100). Tuy nhiên, CCPA không yêu cầu sự đồng ý chọn tham gia (opt-in) đối với việc sử dụng cookie cho các mục đích chung. Đáng chú ý, khi cookie được triển khai cho quảng cáo nhắm mục tiêu và quảng cáo hành vi theo ngữ cảnh chéo, các hoạt động này có thể được phân loại là “bán” thông tin cá nhân theo CCPA (Cal. Civ. Code § 1798.140(t)), dẫn đến nghĩa vụ cho các doanh nghiệp phải cung cấp một cơ chế từ chối (opt-out) cho người tiêu dùng ("Do Not Sell My Personal Information").

CDPA ở Virginia cũng coi dữ liệu được xử lý qua cookie là dữ liệu cá nhân khi được sử dụng cho quảng cáo nhắm mục tiêu, bán hoặc lập hồ sơ (Va. Code Ann. § 59.1-571). Theo CDPA, người tiêu dùng có quyền rõ ràng để từ chối việc xử lý dữ liệu cá nhân của họ cho các mục đích này, đặc biệt liên quan đến cookie của bên thứ ba và cookie quảng cáo. Việc thực thi các quyền này đòi hỏi các doanh nghiệp phải triển khai các cơ chế cho phép người tiêu dùng thực hiện quyền từ chối của mình một cách hiệu quả.

Các kết quả chính bao gồm:

• Không có luật liên bang tổng thể nào về cookie ở Hoa Kỳ.
• Cả CCPA và CDPA đều coi dữ liệu do cookie thu thập là thông tin cá nhân khi được sử dụng cho các mục đích cụ thể.
• CCPA yêu cầu công bố việc sử dụng cookie và yêu cầu quyền từ chối nếu cookie được sử dụng cho quảng cáo nhắm mục tiêu hoặc được coi là một hành vi “bán”.
• CDPA cấp cho người tiêu dùng quyền từ chối việc xử lý dữ liệu cá nhân cho quảng cáo nhắm mục tiêu, bán hoặc lập hồ sơ—ảnh hưởng trực tiếp đến các hoạt động liên quan đến cookie.

Nhìn chung, mặc dù không có luật liên bang về cookie, các đạo luật cấp tiểu bang như CCPA và CDPA áp đặt các yêu cầu có mục tiêu đối với các doanh nghiệp về việc sử dụng cookie, đặc biệt liên quan đến thông tin cá nhân và các hoạt động quảng cáo nhắm mục tiêu. Cách tiếp cận quy định này bị phân mảnh và chủ yếu mang tính phản ứng đối với các mục đích sử dụng cookie cụ thể thay vì áp đặt các yêu cầu chung như đã thấy ở các khu vực pháp lý khác (ví dụ: GDPR ở EU).