anonym.legal

By · Last updated 2026-06-05

Tagasi BlogisseGDPR ja Vastavus

CCPA/CPRA 2025: California tehisintellekti privaatsus

CPPA tegi 2024. aastal trahve üle 100 miljoni dollari. CPRA katab 40 miljonit californialast ja kehtib globaalselt enamikule ettevõtetest. 19 tundliku andmete kategooriat, automatiseeritud otsused.

June 5, 202610 min lugemist
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: California privaatsusseaduse juhend

Uuendatud 2026. aastaks.

California tarbijate privaatsusõiguste seadus (CPRA) jõustus 2023. aastal. See asutas California privaatsuskaitseasutuse (CPPA). CPPA on USA esimene osariigi privaatsusregulaator. 2024. aastal tegi CPPA trahve üle 100 miljoni dollari. See on aktiivne jõustamine - mitte paberile kirjutatud reegel.

Kellele kehtib nõue

Kolm testi määravad, kas seadus kehtib. Ettevõte peab täitma vähemalt ühe neist.

  • Aastane käive 25 miljonit dollarit või rohkem.
  • Isikuandmed 100 000 või enama osariigi tarbija kohta.
  • Rohkem kui 50% tulust isikuandmete müügist.

Osariigil on 40 miljonit elanikku. See on maailma viies suurim majandus. Enamik globaalseid ettevõtteid vastab vähemalt ühele testile.

19 tundlike andmete kategooriat

Seadus loob tundlike isikuandmete jaoks eraldi taseme. Ettevõtted peavad andma tarbijatele täiendava teavituse ja piiramise õiguse. 19 tüüpi on:

  1. Sotsiaalkindlustusnumber, juhiluba, osariigi ID, passi numbrid
  2. Finantskontonumber või kaardinumbrid koos juurdepääsukoodidega
  3. Taiese asukoht (1852 meetri piires)
  4. Rassiline või etniline paritolu
  5. Usulised või filosoofilised veendumused
  6. Ametiuhinguliikmesus
  7. Privaatse e-posti või posti sisu
  8. Geneetiline teave
  9. Biomeetrilised kirjed tuvastamiseks
  10. Tervise- ja meditsiinilised kirjed
  11. Seksuaalne orientatsioon või seksuaalelu
  12. Immigratsioonistaatus (lisatud 2024. aastal)
  13. Vaimse tervise kirjed (lisatud 2024. aastal)
  14. Kodakondsusstaatus
  15. Finantskontonumbrid ilma juurdepääsukoodideta
  16. Puudeastatuse staatus
  17. Toetatuse staatuse indikaatorid
  18. Kindlustuspoliisi teave
  19. Kriminaalsed kirjed ja vahistamised

Iga kategooria puhul saavad tarbijad piirata, kuidas ettevõte seda kasutab ja jagab. See õigus on eraldiseisev üldisest õigusest loobuda müügist.

Mida CPPA 2024. aastal sihtis

CPPA 2024. aasta meetmed jaotusid nelja valdkonda.

Andmemaaklerite registreerimine. Osariik nõuab andmemaakleritelt CPPA-s registreerumist. Amet leidis sadu registreerimata maaklereid, kes müüsid tarbijate profiile.

Katkised loobumistööriistad. Paljud nõusolekuplatvormid ei andnud tegelikku loobumisõigust. Nupp ei töötanud, või loobumisõigus kattis vaid mõned kasutused.

Tehisintellekti otsused ilma teavituseta. 2025. aasta tehisintellekti reeglid nõuavad teavitust, kui automatiseeritud tööriistad teevad olulisi otsuseid. Töö, krediit ja eluase kõik loendatakse. Mitmed 2024. aasta juhtumid sihtisid tehisintellekti tööriistu, mida kasutati ilma selle teavituseta.

Laste kirjed. California vanusele vastava disaini seadus kehtib mis tahes teenusele, mida alaealised tõenäoliselt kasutavad. Need ettevõtted peavad tegema andmekaitseuuringut. CPPA leidis, et paljud ettevõtted ei olnud seda teinud.

Osariigi seadus vs. GDPR: peamised erinevused

GDPRi vastavus ei kata teid Californias. Seadustel on sarnased eesmärgid, kuid erinevad olulistes punktides.

Loobuvs. nõusolek. GDPR nõuab enamiku tundlike andmete kasutamiseks eelnevat nõusolekut. Osariigi seadus kasutab loobumismeetodit. Töötlemine on lubatud kuni tarbija vastuväiteni.

Tarbija õigused. Mõlemad seadused annavad juurdepääsu, kustutamise ja parandamise õigused. Osariigi seadus lisab õiguse loobuda automatiseeritud otsustest. GDPR artikkel 22 katab seda samuti, kuid kitsama ulatusega.

Töötajate kirjed. Osariigi seadus katab töötajate isikuandmeid täielikult. GDPR samuti, kuid EL liikmesriikidel on oma tööhõive reeglid. Osariigi töötajate privaatsus vajab sageli eraldi vastavustegevust.

Tundlikud tüübid. 19 osariigi tüüpi kattuvad osaliselt GDPR artikliga 9. Immigratsioonikstaatus ja eraldiseisvad kontonumbrid on osariigispetsiifilised.

Vaata juriidilise vastavuse juhendit, kuidas need kohustused kumuleeruvad.

Tehisintellekti müüja nõuded

  1. aasta tehisintellekti reeglid loovad selged kohustused ettevõtetele, kes kasutavad tehisintellekti tööriistu tarbijate kirjetel.

Müüjalepingud. Teenusepakkujad peavad allkirjastama kirjaliku lepingu. Lepe peab katma neli asja. Esiteks, kasutada kirjeid ainult deklareeritud eesmärgil. Teiseks, kustutada kirjed teenuse lõpetamisel. Kolmandaks, edastada tarbijate õiguste taotlused. Neljandaks, hoida piisav turvalisus.

Automatiseeritud otsuste teavitus. Kui tehisintellekti tööriist aitab otsustada krediidi, pettuse või töö kohta - tarbijaid peab teavitama. Neil peab olema ka loobumise võimalus.

Tehisintellekti koolituse piirangud. Kui tarbijate kirjed koolitasid tehisintellekti mudelit, on sellel mudelil piirangud. Seda ei saa kasutada eesmärkidel, mis on vastuolus esialgse kogumise põhjusega.

Otseselgeim lahendus enamikule meeskondadele: eemaldage isiklikud ID-d enne kirjete sisestamist tehisintellekti süsteemi. See vastab tehisintellekti otsuste reeglitele ja vähendab samal ajal tundliku tüübi riski.

Uuri, kuidas anonym.legal eemaldab identifikaatoreid enne tehisintellekti töötlemist aadressil /security-compliance.

Peamised punktid

Osariigi seadus katab enamiku globaalseid ettevõtteid, kellel on osariigis kliente. See lisab 19 tundlikku tüüpi, aktiivse jõustamisasutuse ja tehisintellekti teavituse reeglid. GDPRi vastavus ei asenda osariigi vastavust. Kõige selgem samm: eemaldage isiklikud ID-d enne kirjete sisestamist tehisintellekti tööriistadesse.

Loe andmete minimeerimise kohta aadressil /docs/faq.

Allikad

  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • California privaatsusõiguste seaduse (CPRA) terviktekst. leginfo.legislature.ca.gov.
  • CPPA: automatiseeritud otsuste tegemise tehnoloogia reeglid 2025. cppa.ca.gov.
  • California vanusele vastava disaini seadus. leginfo.legislature.ca.gov.

Seotud Artiklid

GDPR ja Vastavus

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR ja Vastavus

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR ja Vastavus

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Kas olete valmis oma andmeid kaitsma?

Alustage PII anonüümitamist 285+ üksustüübi abil 48 keeles.

Alusta Tasuta KatsetVaata Funktsioone

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.