Kaliforniassa on nyt laki, joka vaatii selaimiin sisäänrakennetun kytkimen käyttäjän tietojen myynnistä/jakamista kieltäytymiseen. Teknisesti tämä nojaa opt-out preference signal -standardiin (tunnetaan käytännössä Global Privacy Control, GPC). Laki AB 566 / “California Opt Me Out Act” allekirjoitettiin 8.10.2025 ja se tulee voimaan 1.1.2027. Konepellin alla malli on yksinkertainen: kun käyttäjä laittaa kytkimen päälle, selain lähettää kaikille sivustoille yhden vakiosignaalin, joka kertoo “älä myy/jaa tietojani” — ja yritysten on jo ennestään kunnioitettava tätä signaalia CCPA/CPRA-sääntelyn alla. (cppa.ca.gov)

Mitä laki nimenomaan vaatii?

  • Selaimissa on oltava selkeä, helposti löydettävä asetus, joka lähettää opt-out-signaalin automaattisesti käyttäjän valinnan mukaan. Laki myös edellyttää, että selain kuvaa julkisesti, miten signaali toimii ja mikä on sen vaikutus. Lisäksi se antaa selaimille immuniteetin toisten yritysten rikkomuksista (eli jos sivusto ei noudata signaalia, vastuu ei kaadu selaimelle). Valvovan viranomaisen, CPPA:n, tehtäväksi jää tarkentaa yksityiskohdat ohjeistuksilla. (LegiScan)
  • Yritysten puolella homma ei ole uutta: Kalifornian sääntely on jo aiemmin linjannut, että GPC/opt-out-signaali on laillisesti pätevä pyyntö kieltäytyä datan myynnistä tai jakamisesta. Sääntelyä on myös jo toimeenpantu: viranomaiset ovat pitäneet tehostettuja tarkastuskierroksia firmoille, jotka jättävät signaalin huomiotta. AB 566 paikkaa erityisesti sen käyttöliittymäaukon, että tavallinen käyttäjä löytää kytkimen suoraan selaimesta. (oag.ca.gov)

Miksi tämä on teknisesti “helppo”?

Opt-out-signaali on yksi HTTP-tason valinta, jonka selain lähettää joka pyynnön mukana — ei estolistoja, ei raskasta suodattamista. Siksi suurillekin selaimille (Chrome, Safari, Edge) toteutus on käytännössä UI-kytkin + signaalinlähetys. Useat selaimet ja lisäosat (Brave, DuckDuckGo, Firefox, Privacy Badger) tukevat GPC:tä jo nyt; AB 566 nostaa tuen pakolliseksi Kaliforniassa toimiville selaimille. (The Washington Post)

Aikataulu ja vaikutuspiiri

  • Voimaantulo: 1.1.2027 (siirtymäaikaa selaimille reilusti). CPPA saa säätää tarvittaessa lisäregulaatiota täytäntöönpanosta. (iapp.org)
  • Käytännön leviäminen: isoille selaimille on tyypillistä julkaista tällaiset kytkimet globaalisti yhdenmukaisina eikä vain georajata Kaliforniaan. Lisäksi Kalifornia ajaa rinnalla keskitettyä tietojen poistomekanismia data­brokereille (2026), mikä vahvistaa kokonaisvaikutusta. (The Washington Post)

Entä vastustus?

Teknologiayhtiöiden kulissien takainen lobbays ei pysäyttänyt lakia: se meni läpi lisäyksillä, jotka mm. viivästyttävät toimeenpanoa 2027:ään ja selventävät vastuita. Tämä viittaa siihen, että teollisuus varautuu toteutukseen eikä tähtää enää kaatamaan laista. (AP News)

Miten tämä näkyy sivustoille ja julkaisijoille?

  • Jos noudatat CCPA/CPRA:aa jo nyt, AB 566 ei muuta periaatteita — mutta lisää todennäköisyyttä, että käyttäjä lähettää sinulle opt-out-signaalin (koska kytkin on selaimessa vakiona).
  • Jos et noudata GPC:tä, otat riskin: CPPA on jo sakottanut ja käynnistänyt valvontakierroksia signaalin sivuuttamisesta. AB 566 kasvattaa signaalin näkyvyyttä ja vahvistaa valvonnan legitimiteettiä. (privacyworld.blog)

Mitä tämä tarkoittaa lukijalle / tavalliselle käyttäjälle?

  • Yksi kytkin, vähemmän seurantaa: 2027 alkaen Kaliforniassa (ja todennäköisesti laajemminkin) riittää, että laitat selaimesta päälle “Do not sell/share” -käskiä vastaavan opt-outin.
  • Parempi löydettävyys: kytkimen pitää olla helposti löydettävissä ilman lisäosia tai nörttitasoa. (LegiScan)

Faktalaatikko

  • Laki: AB 566 — California Opt Me Out Act (lisää siviililakiin pykälän 1798.136). (LegiScan)
  • Allekirjoitus: 8.10.2025 (kuvernööri Newsom). (cppa.ca.gov)
  • Voimaantulo: 1.1.2027 (CPPA voi antaa täytäntöönpanosääntöjä). (iapp.org)
  • Tekniikka: selainlähtöinen opt-out-signaali (GPC/OOPS), jota CCPA/CPRA edellyttää kunnioittamaan. (oag.ca.gov)

Toimittajan arvio

AB 566 tekee yksityisyydestä oletusarvoisesti käytettävää. Kun kieltäytyminen muuttuu yhdeksi, selaimeen upotetuksi napiksi, signaalin käyttöaste nousee — ja samalla nousee myös valvonnan puristus firmoihin, jotka sinnikkäästi ohittavat GPC:n. Siirtymäaika on pitkä, mutta suunta on selvä: opt-out-oletus muuttuu käytännöksi, ei pelkäksi lakikirjan marginaaliksi. (The Washington Post)

Lähteet: CPPA:n tiedote lain allekirjoituksesta ja tarkoituksesta; AB 566 -lakiteksti (enrolled); IAPP-yhteenveto voimaantulosta (1.1.2027); Kalifornian oikeusministeriö: Global Privacy Control on pätevä opt-out-mekanismi; CPPA:n valvontailmoitukset ja sakot; Washington Post -taustoitus (myös databroker-poistomekanismi 2026). (cppa.ca.gov)