- Negara Bagian California menetapkan undang-undang baru yang memungkinkan menolak sepenuhnya pemberian data kepada pihak ketiga melalui browser web
- California Consumer Privacy Act yang diperkenalkan pada 2018 memang memberikan hak opt-out, tetapi penggunaannya dalam praktik masih sulit
- Undang-undang ini memungkinkan opt-out menyeluruh dengan mudah lewat satu tombol, sehingga muncul tuntutan implementasi yang jelas pada browser-browser utama
- RUU lain yang ditandatangani pada hari yang sama memperkuat kewajiban penghapusan total data saat akun media sosial dihapus serta pengungkapan informasi broker data
- Ini menjadi titik penting bagi perlindungan privasi dan perluasan besar hak konsumen untuk mengelola data mereka
Ringkasan undang-undang penolakan pembagian data di California
- Gubernur California Gavin Newsom resmi menandatangani undang-undang yang menyederhanakan fitur opt-out penjualan data di browser web
- Melalui California Consumer Privacy Act yang disahkan pada 2018, warga California memperoleh hak untuk mengirim sinyal penolakan penjualan data, tetapi browser web belum menyediakan akses penolakan yang benar-benar sederhana
- Undang-undang baru yang lolos kali ini mewajibkan browser web mengadopsi mekanisme opt-out yang mudah diakses
- Intinya adalah menciptakan lingkungan yang memungkinkan sinyal permintaan opt-out untuk semua situs dikirim dengan satu klik, alih-alih harus menolak secara manual di tiap situs satu per satu
Makna sosial dari penerapan undang-undang ini
- Undang-undang ini adalah aturan penolakan data universal pertama yang diperkenalkan di Amerika Serikat
- Sebelumnya, opt-out universal hanya bisa dilakukan dengan memakai ekstensi browser pihak ketiga atau browser yang berfokus pada privasi
- Kini, jutaan pengguna dapat menolak penjualan data dengan jauh lebih mudah
RUU perlindungan data lain yang juga disahkan
- RUU lain yang ditandatangani gubernur pada hari yang sama mewajibkan perusahaan media sosial menyediakan fitur penghapusan akun yang mudah serta penghapusan data secara menyeluruh
- RUU lainnya memperkuat Data Broker Registration Law, memperluas pengungkapan informasi mengenai jenis data pribadi yang dikumpulkan broker data dan siapa yang dapat memperolehnya
Prospek
- Rangkaian legislasi ini menjadi momentum untuk secara signifikan meningkatkan perlindungan privasi dan hak konsumen dalam mengendalikan data
- Tren penguatan regulasi dan peningkatan transparansi terhadap browser, media sosial, dan broker data diperkirakan akan terus berlanjut
1 komentar
Opini Hacker News
Disebutkan bahwa agar efektif, perusahaan yang mengabaikan permintaan seperti ini harus bisa digugat melalui class action; ia menulis skrip yang secara berkala menguji fitur opt-out langsung di situs web, dan menemukan bahwa hampir 50% diimplementasikan dengan salah, termasuk sejumlah perusahaan IT besar yang baru saja melantai di bursa; menurut hukum CCPA/CPRA California, sebagian besar kewenangan penegakan ada pada lembaga (CPPA, Attorney General), dan individu tidak bisa menggugat langsung, sehingga beban bagi perusahaan relatif kecil karena tidak menghadapi ancaman class action
Class action menjadi lebih sulit karena pengaruh perjanjian arbitrase pra-sengketa yang luas, pelepasan hak class action, dan klausul larangan arbitrase massal; Mahkamah Agung federal telah mengakuinya, sehingga California juga tidak bisa dengan mudah membatalkannya; sebagai gantinya, diusulkan agar secara hukum CPPA atau Attorney General wajib menegakkan aturan ketika isu muncul, NDA apa pun tidak berlaku untuk warga California yang melaporkan hal itu, dan bila penegakan tidak dilakukan, harus dimungkinkan untuk menuntut penegakan melalui gugatan paksa (writ of mandamus); agar gugatan seperti ini layak secara finansial, biaya pengacara juga harus dibayarkan; pada dasarnya ini harus diwajibkan, tetapi pengecualian bisa dibahas secara transparan; terasa bahwa legislatif negara bagian California maupun gubernurnya lebih tertarik pada respons simbolis daripada solusi nyata untuk masalah seperti ini
Ingin tahu apakah skrip yang digunakan bisa dibagikan
Disebutkan bahwa aneh ada hukum yang tidak bisa ditegakkan langsung oleh individu; menurutnya perlu amendemen konstitusi agar penegakan hukum lebih mudah, sementara rincian caranya adalah hal yang harus dipikirkan para ahli hukum
Membagikan pengalaman ketika dulu ada fitur header browser bernama 'Do Not Track'; sebagai pengguna dan engineer ia menyukainya, tetapi fitur itu hilang karena penolakan industri; andaikan semua pihak merespons dengan itikad baik, hasilnya akan luar biasa; menurutnya alat seperti ini memang seharusnya diimplementasikan oleh browser; jika hal yang sama diterapkan pada cookie, kekacauan popup cookie saat ini mungkin tidak akan ada; dari artikel ini ia menilai vendor browser juga harus mengimplementasikan aturan 'do not sell', dan bertanya-tanya apakah ini mirip dengan Do Not Track
Justru penjualan data seharusnya memakai model opt-in yang mensyaratkan persetujuan eksplisit pengguna; bila setuju, kita harus bisa menentukan harga dan menerima kompensasi setiap kali data dijual, digunakan, atau dijual kembali; ditegaskan bahwa tidak normal bila perusahaan mengambil data tanpa persetujuan pengguna dan tanpa imbalan apa pun
Sekarang malah lebih parah; di industri privasi justru disarankan untuk tidak mengaktifkan header 'Do Not Track', karena selain hampir tidak pernah dipatuhi, header ini juga bisa dimanfaatkan sebagai data point untuk fingerprinting browser sehingga pengguna bisa lebih banyak dilacak
Menyampaikan terima kasih kepada para legislator California, berharap undang-undang ini bekerja sesuai tujuannya, dan bila ditemukan celah bisa segera diperbaiki
Kabar seperti ini disambut baik, tetapi harus disertai denda yang nyata dan penegakan yang pasti; jika hanya berupa ketentuan hukum tanpa daya guna, itu tidak berarti, dan menurutnya diperlukan sanksi yang cukup kuat sampai bisa benar-benar menyingkirkan perusahaan bermasalah
Saya menduga ini hanya akan melahirkan popup baru lagi yang harus ditutup di semua situs web
Ada kekhawatiran bahwa rezim hukum privasi AS yang kacau akan melemahkan keuntungan dari kesatuan pasar AS; perusahaan besar sebenarnya tidak menjual data, melainkan memanfaatkannya sendiri; undang-undang ini yang benar-benar terdampak justru UKM
RUU 'universal opt-out' sendiri daya paksa penegakannya sangat lemah, dan hanya punya potensi bila digabung dengan CCPA yang sudah ada; CCPA hanya membatasi pembagian informasi untuk tujuan iklan perilaku lintas konteks; undang-undang kali ini hanya mewajibkan browser dan mobile OS menyediakan pengaturan agar niat opt-out mudah dinyatakan, tanpa tuntutan eksplisit soal format sinyal atau kewajiban kepatuhan; seluruh undang-undangnya pun bisa diringkas setara satu tweet; namun soal masalah 'banner cookie' diatur oleh undang-undang lain (CCPA) yang menetapkan masa cooldown 12 bulan; ia juga membagikan pasal-pasal hukum utama dan definisi sinyal https://legiscan.com/CA/text/AB566/id/3117187 https://oag.ca.gov/privacy/ccpa
Memperkenalkan alat alternatif ketika universal opt-out tidak berfungsi https://simpleoptout.com/
Menurutnya default harus opt-out, dan pengguna hanya boleh kembali opt-in secara eksplisit; inilah inti masalah yang sebenarnya
Mengusulkan perlunya struktur agar pengguna juga mendapat bagian keuntungan setiap kali data mereka dijual
Membagikan tautan pengumuman resmi https://www.gov.ca.gov/2025/10/08/governor-newsom-signs-data-privacy-bills-to-protect-tech-users/
Berkat fitur seperti ini, saya ingin mengurangi beberapa extension keamanan yang saat ini terpasang, tetapi saya tidak yakin sinyal opt-out benar-benar akan dipatuhi, jadi sepertinya saya tetap harus mempertahankan extension defensif; meski begitu, niat undang-undang ini saya nilai sangat positif