anonym.legal

By · Last updated 2026-06-05

بازگشت به وبلاگGDPR و انطباق

CCPA/CPRA 2025: قانون حریم خصوصی هوش مصنوعی کالیفرنیا

CPPA در سال ۲۰۲۴ بیش از ۱۰۰ میلیون دلار جریمه صادر کرد. CPRA ۴۰ میلیون نفر کالیفرنیایی را پوشش می‌دهد و در سطح جهانی بر اکثر کسب‌وکارها اعمال می‌شود. ۱۹ دسته داده حساس و قوانین تصمیم‌گیری خودکار.

June 5, 202610 دقیقه مطالعه
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: راهنمای قانون حریم خصوصی کالیفرنیا

به‌روزرسانی برای ۲۰۲۶.

قانون حقوق حریم خصوصی مصرف‌کننده کالیفرنیا (CPRA) در سال ۲۰۲۳ لازم‌الاجرا شد. آژانس حفاظت حریم خصوصی کالیفرنیا (CPPA) را تأسیس کرد. CPPA اولین ناظر حریم خصوصی ایالتی در آمریکا است. در سال ۲۰۲۴، CPPA بیش از ۱۰۰ میلیون دلار جریمه صادر کرد. این اجرای فعال است — نه یک قانون روی کاغذ.

چه کسی باید از قانون تبعیت کند

سه آزمون تعیین می‌کنند که آیا قانون اعمال می‌شود یا خیر. یک کسب‌وکار باید حداقل یکی از آن‌ها را برآورده کند.

  • درآمد سالانه ۲۵ میلیون دلار یا بیشتر.
  • داده‌های شخصی از ۱۰۰,۰۰۰ مصرف‌کننده ایالتی یا بیشتر.
  • بیش از ۵۰٪ از درآمد از فروش اطلاعات شخصی.

ایالت ۴۰ میلیون ساکن دارد. پنجمین اقتصاد بزرگ جهان است. اکثر شرکت‌های جهانی حداقل یک آزمون را برآورده می‌کنند.

۱۹ دسته داده حساس

قانون یک سطح ویژه برای اطلاعات شخصی حساس ایجاد می‌کند. شرکت‌ها باید به مصرف‌کنندگان اطلاعیه اضافی و حق محدود کردن استفاده بدهند. ۱۹ نوع عبارتند از:

  1. شماره‌های تأمین اجتماعی، گواهینامه رانندگی، شناسه ایالتی، گذرنامه
  2. شماره‌های حساب مالی یا کارت با کدهای دسترسی
  3. موقعیت مکانی دقیق (در شعاع ۱,۸۵۲ متر)
  4. نژاد یا قومیت
  5. باورهای مذهبی یا فلسفی
  6. عضویت در اتحادیه
  7. محتوای ایمیل یا پست خصوصی
  8. اطلاعات ژنتیکی
  9. سوابق بیومتریک برای شناسایی
  10. سوابق بهداشتی یا پزشکی
  11. جهت‌گیری جنسی یا زندگی جنسی
  12. وضعیت مهاجرت (اضافه شده در ۲۰۲۴)
  13. سوابق بهداشت روانی (اضافه شده در ۲۰۲۴)
  14. وضعیت تابعیت
  15. شماره‌های حساب مالی بدون کدهای دسترسی
  16. وضعیت معلولیت
  17. شاخص‌های وضعیت اشتغال
  18. اطلاعات بیمه‌نامه
  19. سوابق جنایی یا دستگیری

برای هر دسته، مصرف‌کنندگان می‌توانند نحوه استفاده و اشتراک‌گذاری یک کسب‌وکار را محدود کنند. این حق جدا از حق عمومی انصراف از فروش است.

آنچه CPPA در سال ۲۰۲۴ هدف قرار داد

اقدامات CPPA در ۲۰۲۴ در چهار حوزه بود.

ثبت دلالان داده. ایالت از دلالان داده می‌خواهد که با CPPA ثبت‌نام کنند. آژانس صدها دلال ثبت‌نشده‌ای را یافت که پروفایل‌های مصرف‌کننده می‌فروختند.

ابزارهای انصراف معیوب. بسیاری از پلتفرم‌های رضایت انصراف واقعی ارائه نمی‌دادند. دکمه کار نمی‌کرد، یا انصراف فقط برخی استفاده‌ها را پوشش می‌داد.

تصمیمات هوش مصنوعی بدون اطلاعیه. قوانین هوش مصنوعی ۲۰۲۵ هنگامی که ابزارهای خودکار تصمیمات کلیدی می‌گیرند اطلاعیه الزامی می‌کنند. مشاغل، اعتبار و مسکن همه مشمول می‌شوند. چندین پرونده ۲۰۲۴ ابزارهای هوش مصنوعی استفاده‌شده بدون این اطلاعیه را هدف قرار داد.

سوابق کودکان. کد طراحی متناسب با سن کالیفرنیا بر هر سرویسی که احتمالاً توسط نوجوانان استفاده می‌شود اعمال می‌شود. آن شرکت‌ها باید یک ارزیابی تأثیر حفاظت داده تکمیل کنند. CPPA دریافت که بسیاری از شرکت‌ها این کار را انجام نداده‌اند.

قانون ایالتی در مقایسه با GDPR: تفاوت‌های کلیدی

انطباق GDPR شما را در کالیفرنیا پوشش نمی‌دهد. قوانین اهداف مشترک دارند اما در نکات کلیدی متفاوتند.

انصراف در مقابل رضایت. GDPR برای اکثر استفاده‌های داده حساس به رضایت اشتراک نیاز دارد. قانون ایالتی از مدل انصراف استفاده می‌کند. پردازش مجاز است تا زمانی که مصرف‌کننده اعتراض کند.

حقوق مصرف‌کننده. هر دو قانون حقوق دسترسی، حذف و اصلاح می‌دهند. قانون ایالتی حق انصراف از تصمیمات خودکار را اضافه می‌کند. ماده ۲۲ GDPR نیز این را پوشش می‌دهد اما با دامنه محدودتر.

سوابق کارمندان. قانون ایالتی اطلاعات شخصی کارمندان را به‌طور کامل پوشش می‌دهد. GDPR نیز همین‌طور است، اما کشورهای عضو اتحادیه اروپا قوانین اشتغال خود را دارند. حریم خصوصی کارکنان در ایالت اغلب به مسیر انطباق مجزای خود نیاز دارد.

انواع حساس. ۱۹ نوع ایالتی تا حدی با ماده ۹ GDPR همپوشانی دارند. وضعیت مهاجرت و شماره‌های حساب مستقل ویژه ایالت هستند.

برای نحوه انباشته شدن این وظایف، راهنمای انطباق قانونی را ببینید.

الزامات فروشنده هوش مصنوعی

قوانین هوش مصنوعی ۲۰۲۵ وظایف روشنی برای شرکت‌هایی که از ابزارهای هوش مصنوعی بر روی سوابق مصرف‌کنندگان استفاده می‌کنند ایجاد می‌کند.

قراردادهای فروشنده. ارائه‌دهندگان خدمات باید یک توافقنامه مکتوب امضا کنند. توافقنامه باید چهار چیز را پوشش دهد. اول، فقط از رکوردها برای هدف اعلام‌شده استفاده کند. دوم، رکوردها را هنگام پایان سرویس حذف کند. سوم، درخواست‌های حقوق مصرف‌کننده را منتقل کند. چهارم، امنیت کافی را حفظ کند.

اطلاعیه تصمیم خودکار. اگر یک ابزار هوش مصنوعی در تصمیم‌گیری درباره اعتبار، تقلب یا مشاغل کمک کند — باید به مصرف‌کنندگان اطلاع داده شود. آن‌ها باید گزینه انصراف نیز دریافت کنند.

محدودیت‌های آموزش هوش مصنوعی. اگر سوابق مصرف‌کننده یک مدل هوش مصنوعی را آموزش دادند، آن مدل محدودیت دارد. نمی‌تواند برای اهدافی که با دلیل اصلی جمع‌آوری تعارض دارند استفاده شود.

راه‌حل مستقیم برای اکثر تیم‌ها: قبل از ورود سوابق به هر سیستم هوش مصنوعی شناسه‌های شخصی را حذف کنید. این قوانین تصمیم هوش مصنوعی را برآورده می‌کند و ریسک نوع حساس را همزمان کاهش می‌دهد.

نحوه حذف شناسه‌ها توسط anonym.legal قبل از پردازش هوش مصنوعی را در /security-compliance بیاموزید.

نکات کلیدی

قانون ایالتی اکثر شرکت‌های جهانی با مشتریان در ایالت را پوشش می‌دهد. ۱۹ نوع حساس، یک آژانس اجرایی فعال و قوانین اطلاعیه هوش مصنوعی اضافه می‌کند. انطباق GDPR جایگزین انطباق ایالتی نمی‌شود. واضح‌ترین قدم: قبل از ورود سوابق به ابزارهای هوش مصنوعی شناسه‌های شخصی را حذف کنید.

درباره به حداقل رساندن داده در /docs/faq بخوانید.

منابع

  • CPPA: آژانس حفاظت حریم خصوصی کالیفرنیا. cppa.ca.gov.
  • متن کامل قانون حقوق حریم خصوصی کالیفرنیا (CPRA). leginfo.legislature.ca.gov.
  • CPPA: مقررات فناوری تصمیم‌گیری خودکار ۲۰۲۵. cppa.ca.gov.
  • کد طراحی متناسب با سن کالیفرنیا. leginfo.legislature.ca.gov.

مقالات مرتبط

GDPR و انطباق

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR و انطباق

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR و انطباق

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

آماده‌اید داده‌های خود را محافظت کنید؟

شروع به ناشناس‌سازی PII با بیش از ۲۸۵ نوع نهاد در ۴۸ زبان.

آغاز دوره آزمایشی رایگانمشاهده ویژگی‌ها

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.