anonym.legal

By · Last updated 2026-06-05

Takaisin BlogiinGDPR & Vaatimustenmukaisuus

CCPA/CPRA 2025: Kalifornian Tekoälytietosuoja

CPPA antoi yli 100 miljoonan dollarin sakot vuonna 2024. CPRA kattaa 40 miljoonaa kalifornialaista ja soveltuu maailmanlaajuisesti useimpiin yrityksiin. 19 arkaluonteista datakategoriaa ja automatisoitu.

June 5, 202610 min lukuaika
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: Kalifornian Tietosuojalakiopas

Päivitetty vuodelle 2026.

Kalifornian Consumer Privacy Rights Act (CPRA) tuli voimaan vuonna 2023. Se perusti California Privacy Protection Agencyn (CPPA). CPPA on Yhdysvaltojen ensimmäinen osavaltion tietosuojavalvoja. Vuonna 2024 CPPA antoi yli 100 miljoonan dollarin sakot. Tämä on aktiivista täytäntöönpanoa — ei paperisääntö.

Keneen Lakia Sovelletaan

Kolme testiä määrittää, soveltuuko laki. Yrityksen on täytettävä vähintään yksi niistä.

  • Vuosiliikevaihdoltaan vähintään 25 miljoonaa dollaria.
  • Henkilötiedot vähintään 100 000 osavaltion kuluttajalta.
  • Yli 50 % liikevaihdosta henkilötietojen myynnistä.

Osavaltiossa on 40 miljoonaa asukasta. Se on maailman viidenneksi suurin talous. Useimmat maailmanlaajuiset yritykset täyttävät vähintään yhden testin.

19 Arkaluonteisen Datan Kategoriaa

Laki luo erityistason arkaluonteisille henkilökohtaisille tiedoille. Yritysten on annettava kuluttajille lisäilmoitus ja oikeus rajoittaa käyttöä. 19 tyyppiä ovat:

  1. Sosiaaliturvatunnus, ajokortti, osavaltion tunnus, passinumerot
  2. Rahoitustilin tai kortin numerot käyttökoodeilla
  3. Tarkka maantieteellinen sijainti (1 852 metrin sisällä)
  4. Rotu tai etninen alkuperä
  5. Uskonnolliset tai filosofiset vakaumukset
  6. Ammattiliiton jäsenyys
  7. Yksityisen sähköpostin tai kirjeenvaihdon sisältö
  8. Geneettinen tieto
  9. Biometriset tunnistetiedot
  10. Terveys- tai lääketieteelliset tietueet
  11. Seksuaalinen suuntautuminen tai sukupuolielämä
  12. Maahanmuuttostatus (lisätty vuonna 2024)
  13. Mielenterveyden tietueet (lisätty vuonna 2024)
  14. Kansalaisuusstatus
  15. Rahoitustilinumerot ilman käyttökoodeja
  16. Vammaisuusstatus
  17. Työsuhteen statusindikaattorit
  18. Vakuutuspoliisin tiedot
  19. Rikos- tai pidätystietueet

Jokaista kategoriaa varten kuluttajat voivat rajoittaa, miten yritys käyttää ja jakaa niitä. Tämä oikeus on erillinen yleisestä oikeudesta kieltäytyä myynnistä.

Mitä CPPA Tavoitteli Vuonna 2024

CPPA:n vuoden 2024 toimet jakautuivat neljään alueeseen.

Datavälittäjän rekisteröinti. Osavaltio edellyttää datavälittäjien rekisteröitymistä CPPA:han. Virasto löysi satoja rekisteröimättömiä välittäjiä, jotka myivät kuluttajaprofiileja.

Rikkinäiset kieltäytymistyökalut. Monet suostumuspalvelut eivät tarjonneet todellista kieltäytymismahdollisuutta. Painike ei toiminut, tai kieltäytyminen kattoi vain joitakin käyttötarkoituksia.

Tekoälypäätökset ilman ilmoitusta. Vuoden 2025 tekoälysäännöt edellyttävät ilmoitusta, kun automatisoidut työkalut tekevät keskeisiä päätöksiä. Työpaikat, luotto ja asuminen kaikki kuuluvat tähän. Useat vuoden 2024 tapaukset kohdistuivat tekoälytyökaluihin, joita käytettiin ilman tätä ilmoitusta.

Lasten tietueet. Kalifornian ikään sopivan suunnittelun koodi soveltuu kaikkiin palveluihin, joita alaikäiset todennäköisesti käyttävät. Näiden yritysten on suoritettava tietosuojavaikutuksen arviointi. CPPA havaitsi, että monet yritykset eivät olleet tehneet tätä.

Osavaltion Laki vs. GDPR: Keskeiset Erot

GDPR-vaatimustenmukaisuus ei kata sinua Kaliforniassa. Lailla on yhteisiä tavoitteita, mutta ne eroavat keskeisistä kohdista.

Kieltäytyminen vs. suostumus. GDPR edellyttää suostumusta useimpien arkaluonteisten tietojen käyttöön. Osavaltion laki käyttää kieltäytymismallia. Käsittely on sallittua, kunnes kuluttaja vastustaa.

Kuluttajan oikeudet. Molemmat lait antavat pääsy-, poisto- ja oikaisuoikeudet. Osavaltion laki lisää oikeuden kieltäytyä automaattisista päätöksistä. GDPR:n 22 artikla kattaa myös tämän, mutta suppeammalla soveltamisalalla.

Työsuhdetietueet. Osavaltion laki kattaa täysin työntekijöiden henkilökohtaiset tiedot. GDPR kattaa myös ne, mutta EU:n jäsenvaltioilla on omat työsuhdesääntönsä. Osavaltion henkilöstön tietosuoja tarvitsee usein oman vaatimustenmukaisuuslinjan.

Arkaluonteiset tyypit. 19 osavaltion tyyppiä osittain päällekkäistyvät GDPR:n 9 artiklan kanssa. Maahanmuuttostatus ja erilliset tilinumerot ovat osavaltiokohtaisia.

Katso oikeudellinen vaatimustenmukaisuusopas, miten nämä velvollisuudet kasaantuvat.

Tekoälytoimittajan Vaatimukset

Vuoden 2025 tekoälysäännöt luovat selkeät velvollisuudet yrityksille, jotka käyttävät tekoälytyökaluja kuluttajatietueisiin.

Toimittajasopimukset. Palveluntarjoajien on allekirjoitettava kirjallinen sopimus. Sopimuksen on katettava neljä asiaa. Ensimmäinen: käytä tietueita vain ilmoitettuun tarkoitukseen. Toinen: poista tietueet, kun palvelu päättyy. Kolmas: välitä kuluttajan oikeuspyynnöt eteenpäin. Neljäs: ylläpidä riittävää tietoturvaa.

Automaattisen päätöksenteon ilmoitus. Jos tekoälytyökalu auttaa päättämään luotosta, petoksesta tai työpaikoista — kuluttajille on kerrottava. Heille on myös annettava kieltäytymismahdollisuus.

Tekoälykoulutuksen rajoitukset. Jos kuluttajatietueet kouluttivat tekoälymallia, sillä mallilla on rajoituksia. Sitä ei voi käyttää tarkoituksiin, jotka ovat ristiriidassa alkuperäisen keräämissyyn kanssa.

Suora ratkaisu useimmille tiimeille: poista henkilötunnisteet ennen kuin tietueet syötetään tekoälyjärjestelmiin. Tämä täyttää tekoälypäätöksen säännöt ja vähentää arkaluonteisen tyypin riskiä samaan aikaan.

Lue, miten anonym.legal poistaa tunnisteet ennen tekoälykäsittelyä osoitteessa /security-compliance.

Keskeiset Kohdat

Osavaltion laki kattaa useimmat maailmanlaajuiset yritykset, joilla on asiakkaita osavaltiossa. Se lisää 19 arkaluonteista tyyppiä, aktiivisen täytäntöönpanoviraston ja tekoälyin ilmoitussäännöt. GDPR-vaatimustenmukaisuus ei korvaa osavaltion vaatimustenmukaisuutta. Selkein toimenpide: poista henkilötunnisteet ennen kuin tietueet syötetään tekoälytyökaluihin.

Lue tietojen minimoinnista osoitteessa /docs/faq.

Lähteet

  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • California Privacy Rights Act (CPRA) täydellinen teksti. leginfo.legislature.ca.gov.
  • CPPA: Automaattisen päätöstekniikan sääntelyt 2025. cppa.ca.gov.
  • Kalifornian ikään sopivan suunnittelun koodi. leginfo.legislature.ca.gov.

Liittyvät Artikkelit

GDPR & Vaatimustenmukaisuus

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Vaatimustenmukaisuus

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Vaatimustenmukaisuus

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.