anonym.legal

By · Last updated 2026-06-06

Kembali ke BlogGDPR & Kepatuhan

CCPA/CPRA 2025: Privasi AI California

CPPA menerbitkan denda lebih dari $100 juta pada 2024. CPRA mencakup 40 juta penduduk California dan berlaku secara global untuk sebagian besar bisnis. 19 kategori data sensitif, keputusan otomatis.

June 6, 202610 menit baca
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: Panduan Hukum Privasi California

Diperbarui untuk 2026.

California Consumer Privacy Rights Act (CPRA) mulai berlaku pada 2023. Undang-undang ini mendirikan California Privacy Protection Agency (CPPA). CPPA adalah regulator privasi negara bagian pertama di AS. Pada 2024, CPPA menerbitkan denda lebih dari $100 juta. Ini adalah penegakan hukum yang aktif — bukan aturan di atas kertas.

Siapa yang Harus Mematuhi

Tiga pengujian menentukan apakah undang-undang berlaku. Bisnis harus memenuhi salah satu dari ketiganya.

  • Pendapatan tahunan $25 juta atau lebih.
  • Data pribadi dari 100.000 atau lebih konsumen negara bagian.
  • Lebih dari 50% pendapatan dari penjualan informasi pribadi.

Negara bagian memiliki 40 juta penduduk. Ini adalah ekonomi terbesar kelima di dunia. Sebagian besar perusahaan global memenuhi setidaknya satu pengujian.

19 Kategori Data Sensitif

Undang-undang ini menciptakan tingkatan khusus untuk detail pribadi yang sensitif. Perusahaan harus memberikan pemberitahuan tambahan kepada konsumen dan hak untuk membatasi penggunaan. Kedua puluh sembilan jenis tersebut adalah:

  1. Nomor Jaminan Sosial, SIM, ID negara bagian, paspor
  2. Nomor rekening keuangan atau kartu dengan kode akses
  3. Geolokasi tepat (dalam radius 1.852 meter)
  4. Asal ras atau etnis
  5. Keyakinan agama atau filosofis
  6. Keanggotaan serikat pekerja
  7. Konten email atau surat pos pribadi
  8. Informasi genetik
  9. Catatan biometrik untuk identifikasi
  10. Catatan kesehatan atau medis
  11. Orientasi seksual atau kehidupan seks
  12. Status imigrasi (ditambahkan pada 2024)
  13. Catatan kesehatan mental (ditambahkan pada 2024)
  14. Status kewarganegaraan
  15. Nomor rekening keuangan tanpa kode akses
  16. Status disabilitas
  17. Indikator status ketenagakerjaan
  18. Informasi polis asuransi
  19. Catatan kriminal atau penangkapan

Untuk setiap kategori, konsumen dapat membatasi cara bisnis menggunakannya dan membagikannya. Hak ini terpisah dari hak opt-out umum dari penjualan.

Apa yang Ditargetkan CPPA pada 2024

Tindakan CPPA tahun 2024 terbagi dalam empat area.

Pendaftaran broker data. Negara bagian mewajibkan broker data mendaftar ke CPPA. Lembaga menemukan ratusan broker tidak terdaftar yang menjual profil konsumen.

Alat opt-out yang rusak. Banyak platform persetujuan tidak memberikan opt-out yang nyata. Tombolnya tidak berfungsi, atau opt-out hanya mencakup beberapa penggunaan.

Keputusan AI tanpa pemberitahuan. Aturan AI 2025 mengharuskan pemberitahuan ketika alat otomatis membuat keputusan penting. Pekerjaan, kredit, dan perumahan semuanya termasuk. Beberapa kasus 2024 menargetkan alat AI yang digunakan tanpa pemberitahuan ini.

Catatan anak-anak. Kode Desain Sesuai Usia California berlaku untuk layanan apa pun yang kemungkinan digunakan oleh anak di bawah umur. Perusahaan-perusahaan tersebut harus menyelesaikan Penilaian Dampak Perlindungan Data. CPPA menemukan banyak perusahaan belum melakukannya.

Undang-Undang Negara Bagian vs. GDPR: Perbedaan Utama

Kepatuhan GDPR tidak melindungi Anda di California. Kedua undang-undang memiliki tujuan yang sama tetapi berbeda dalam poin-poin utama.

Opt-out versus opt-in. GDPR mengharuskan persetujuan opt-in untuk sebagian besar penggunaan data sensitif. Undang-undang negara bagian menggunakan model opt-out. Pemrosesan diperbolehkan sampai konsumen keberatan.

Hak konsumen. Kedua undang-undang memberikan hak akses, penghapusan, dan koreksi. Undang-undang negara bagian menambahkan hak untuk opt-out dari keputusan otomatis. Pasal 22 GDPR juga mencakup ini, tetapi dengan ruang lingkup yang lebih sempit.

Catatan karyawan. Undang-undang negara bagian mencakup detail pribadi karyawan sepenuhnya. GDPR juga demikian, tetapi negara anggota UE memiliki aturan ketenagakerjaan mereka sendiri. Privasi staf di negara bagian sering memerlukan jalur kepatuhan tersendiri.

Jenis sensitif. 19 jenis negara bagian sebagian tumpang tindih dengan Pasal 9 GDPR. Status imigrasi dan nomor rekening mandiri adalah spesifik negara bagian.

Lihat panduan kepatuhan hukum tentang bagaimana kewajiban-kewajiban ini bertumpuk.

Persyaratan Vendor AI

Aturan AI 2025 menciptakan kewajiban yang jelas bagi perusahaan yang menggunakan alat AI pada catatan konsumen.

Kontrak vendor. Penyedia layanan harus menandatangani perjanjian tertulis. Perjanjian harus mencakup empat hal. Pertama, gunakan catatan hanya untuk tujuan yang dinyatakan. Kedua, hapus catatan ketika layanan berakhir. Ketiga, teruskan permintaan hak konsumen. Keempat, pertahankan keamanan yang memadai.

Pemberitahuan keputusan otomatis. Jika alat AI membantu memutuskan kredit, penipuan, atau pekerjaan — konsumen harus diberitahu. Mereka juga harus mendapatkan opsi opt-out.

Batas pelatihan AI. Jika catatan konsumen melatih model AI, model tersebut memiliki batasan. Model tersebut tidak dapat digunakan untuk tujuan yang bertentangan dengan alasan pengumpulan asli.

Solusi langsung bagi sebagian besar tim: hapus ID pribadi sebelum catatan masuk ke sistem AI apa pun. Ini memenuhi aturan keputusan AI dan mengurangi risiko jenis sensitif secara bersamaan.

Pelajari cara anonym.legal menghapus pengidentifikasi sebelum pemrosesan AI di /security-compliance.

Poin-Poin Utama

Undang-undang negara bagian mencakup sebagian besar perusahaan global yang memiliki pelanggan di negara bagian. Ini menambahkan 19 jenis sensitif, lembaga penegakan hukum aktif, dan aturan pemberitahuan AI. Kepatuhan GDPR tidak menggantikan kepatuhan negara bagian. Langkah yang paling jelas: hapus ID pribadi sebelum catatan masuk ke alat AI.

Baca tentang minimisasi data di /docs/faq.

Sumber

  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • California Privacy Rights Act (CPRA) teks lengkap. leginfo.legislature.ca.gov.
  • CPPA: Automated Decision-Making Technology Regulations 2025. cppa.ca.gov.
  • California Age-Appropriate Design Code. leginfo.legislature.ca.gov.

Artikel Terkait

GDPR & Kepatuhan

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Kepatuhan

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Kepatuhan

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Siap untuk melindungi data Anda?

Mulai anonimisasi PII dengan 285+ jenis entitas dalam 48 bahasa.

Mulai Uji Coba GratisLihat Fitur

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.