A CCPA-tól a CPRA-ig
A California Consumer Privacy Act (CCPA) 2020-ban lépett hatályba. A California Privacy Rights Act (CPRA) 2023-ban kiegészítette, bevezetve:
- Érzékeny személyes adatok kategóriája — SSN, egészségügyi adatok, pénzügyi adatok, pontos geolokáció, fajjal/etnikummal/vallással kapcsolatos adatok
- Automatizált döntéshozatali jog — az opt-out jog kiterjedt az algoritmikus döntéshozatalra
- Adatminimalizálás elvárása — a személyes adatok gyűjtése minimalizálandó
- California Privacy Protection Agency (CPPA) — önálló végrehajtási hatóság az AG helyett
Technikai Követelmények AI Eszközökhöz
A CPRA érzékeny adatok kategóriája különösen fontos az AI eszközöknél:
Az AI-ba küldött adatok "érzékeny" lehetnek:
- Egészségügyi adatok az ügyféltámogatási kérelmekben
- Pontos helyadatok a szállítási kérelmekben
- Faji/etnikai adatok az ügyfélinformációkban
Ha ezek az adatok érzékeny kategóriának minősülnek és AI-ba kerülnek, az opt-in beleegyezés szükséges (nem csak opt-out).
A CPRA és a Szállítói Szerződések
A CPRA megköveteli, hogy az "üzleti célból" az adatait megosztó vállalkozások szállítói szerződésekkel rendelkezzenek, amelyek korlátozzák az adatfelhasználást.
Az anonym.legal nullaismeret-architektúrájával: a szállítói szerződésben dokumentálható, hogy az AI névtelenítő eszköz soha nem fogad el nem névtelenített ügyféladatot — ez minimalizálja a CPRA szállítói szerződési kötelezettségeket.