anonym.legal

By · Last updated 2026-06-05

Terug na BlogGDPR & Nakoming

CCPA/CPRA 2025: Kalifornie KI-Privaatheid

CPPA het meer as $100M in boetes in 2024 uitgereik. CPRA dek 40M Kaliforniers en geld wereldwyd vir die meeste besighede. 19 sensitiewe datakategoriee, outomatiese besluitnemingsreels.

June 5, 202610 min lees
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: Gids vir Kaliforniese Privaatheidswet

Opgedateer vir 2026.

Kalifornie se Consumer Privacy Rights Act (CPRA) het in 2023 in werking getree. Dit het die California Privacy Protection Agency (CPPA) gestig. Die CPPA is die eerste staatsprivaatheidreguleerder in die VSA. In 2024 het die CPPA meer as $100 miljoen in boetes uitgereik. Dit is aktiewe handhawing -- nie 'n papierreel nie.

Wie Moet Voldoen

Drie toetse bepaal of die wet van toepassing is. 'n Besigheid moet aan ten minste een voldoen.

  • Jaarlikse inkomste van $25 miljoen of meer.
  • Persoonlike data van 100 000 of meer staatsverbruikers.
  • Meer as 50% van inkomste uit die verkoop van persoonlike inligting.

Die staat het 40 miljoen inwoners. Dit is die vyfde grootste ekonomie ter wereld. Die meeste globale maatskappye haal ten minste een toets.

19 Kategoriee Sensitiewe Data

Die wet skep 'n spesiale laag vir sensitiewe persoonlike besonderhede. Maatskappye moet verbruikers ekstra kennisgewing en 'n reg om gebruik te beperk gee. Die 19 tipes is:

  1. Sosiale sekerheidsnommers, bestuurslisensie, staat-ID, paspoortnommers
  2. Finansielerekeningnommers of kaartnommers met toegangskodes
  3. Presiese geografiese ligging (binne 1 852 meter)
  4. Ras- of etniese oorsprong
  5. Godsdienstige of filosofiese oortuigings
  6. Vakbondlidmaatskap
  7. Private e-pos- of poskorrespondensie
  8. Genetiese inligting
  9. Biometriese rekords vir identifikasie
  10. Gesondheid- of mediese rekords
  11. Seksuele orientasie of seksuele lewe
  12. Immigrasiestatus (bygevoeg in 2024)
  13. Geestesgesondheidsrekords (bygevoeg in 2024)
  14. Burgerskaps-status
  15. Finansielerekeningnommers sonder toegangskodes
  16. Gestremdheidstatus
  17. Werkgeleentheidstatusindicators
  18. Versekeringspolissinligting
  19. Kriminele- of inhegtenisnemingrekords

Vir elke kategorie kan verbruikers beperk hoe 'n besigheid dit gebruik en deel. Hierdie reg is apart van die algemene reg om verkoop te vermy.

Wat die CPPA in 2024 Geteiken Het

Die CPPA se 2024-aksies het in vier areas geval.

Datamakelaarregistrasie. Die staat vereis dat datamakers by die CPPA registreer. Die agentskap het honderde ongeregistreerde makelaars gevind wat verbruikersprofiele verkoop.

Gebroke uitkesinstrumente. Baie toestemmingsplatforms het nie 'n werklike uitkiesmoontlikheid aangebied nie. Die knoppie het nie gewerk nie, of die uitkies het slegs sommige gebruike gedek.

KI-besluite sonder kennisgewing. Die 2025 KI-reels vereis kennisgewing wanneer outomatiese instrumente sleutelbesluite neem. Poste, krediet en behuising tel almal. Verskeie 2024-sake het KI-instrumente geteiken wat sonder hierdie kennisgewing gebruik is.

Kinderrekords. Kalifornie se Ouderdomsgeskikte-Ontwerpkode geld vir enige diens wat minderjariges waarskynlik sal gebruik. Hierdie maatskappye moet 'n Databeskermingsimpakbeoordeling voltooi. Die CPPA het gevind dat baie maatskappye dit nie gedoen het nie.

Staatswet vs. GDPR: Sleutelverskille

GDPR-nakoming dek jou nie in Kalifornie nie. Die wette deel doelwitte maar verskil in sleutelpunte.

Uitkies teenoor inkies. GDPR vereis inkiestoestemming vir die meeste sensitiewe-data-gebruike. Die staatswet gebruik 'n uitkiesmodel. Verwerking is toegelaat totdat die verbruiker beswaar maak.

Verbruikersregte. Beide wette gee toegangs-, verwydering- en korreksierregte. Die staatswet voeg 'n reg by om uit te kies van outomatiese besluite. GDPR Artikel 22 dek dit ook, maar met 'n nouer bereik.

Werknemerrekords. Die staatswet dek werknemerpersoonlike besonderhede volledig. GDPR doen dit ook, maar EU-lidstate het hul eie diensreels. Personeelprivaatheid in die staat benodig dikwels sy eie nakomingsspoor.

Sensitiewe tipes. Die 19 staatstipes oorvleuel gedeeltelik met GDPR Artikel 9. Immigrasiestatus en selfstandige rekeningnommers is staatspesifiek.

Sien die wetlike nakomingsgids vir hoe hierdie pligte stapel.

KI-Verkopervereistes

Die 2025 KI-reels skep duidelike pligte vir maatskappye wat KI-instrumente op verbruikersrekords gebruik.

Verkoperkontrakte. Diensleweransiers moet 'n geskrewe ooreenkoms onderteken. Die ooreenkoms moet vier dinge dek. Eerstens, gebruik rekords slegs vir die gestelde doel. Tweedens, verwyder rekords wanneer die diens eindig. Derdens, dra verbruikersregte-versoeke oor. Vierdens, behou voldoende sekuriteit.

Outomatiese besluitkennisgewing. As 'n KI-instrument help om te besluit oor krediet, bedrog of poste -- moet verbruikers ingelig word. Hulle moet ook 'n uitkiesmoontlikheid kry.

KI-opleidingsgrense. As verbruikersrekords 'n KI-model geoefen het, het hierdie model grense. Dit kan nie gebruik word vir doeleindes wat met die oorspronklike versamelingsrede in stryd is nie.

Die direkte oplossing vir die meeste spanne: verwyder persoonlike ID's voordat rekords enige KI-stelsel binnegaan. Dit haal die KI-besluitreels en verminder sensitiewe-tipe risiko gelyktydig.

Leer hoe anonym.legal identifiseerders voor KI-verwerking verwyder by /security-compliance.

Sleutelpunte

Die staatswet dek die meeste globale maatskappye met kliante in die staat. Dit voeg 19 sensitiewe tipes, 'n aktiewe handhawingsagentskap en KI-kennisgewingsreels by. GDPR-nakoming vervang nie staatsnakoming nie. Die duidelikste stap: verwyder persoonlike ID's voordat rekords KI-instrumente binnegaan.

Lees oor dataminimering by /docs/faq.

Bronne

  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • California Privacy Rights Act (CPRA) volledige teks. leginfo.legislature.ca.gov.
  • CPPA: Regulasies vir Outomatiese Besluitnemingstegnologie 2025. cppa.ca.gov.
  • California Ouderdomsgeskikte Ontwerpkode. leginfo.legislature.ca.gov.

Verwante Artikels

GDPR & Nakoming

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Nakoming

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Nakoming

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gereed om u data te beskerm?

Begin om PII te anonimiseer met 285+ entiteitstipes in 48 tale.

Begin Gratis ProeflopieBesoek Kenmerke

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.