CCPA/CPRA 2025: AI-friðhelgislög Kaliforníu

CCPA/CPRA: Handbók um friðhelgislög Kaliforníu

Uppfært fyrir 2026.

California's Consumer Privacy Rights Act (CPRA) tók gildi árið 2023. Hún stofnsetti California Privacy Protection Agency (CPPA). CPPA er fyrsti ríkiseftirlitsaðili um friðhelgi í Bandaríkjunum. Árið 2024 gaf CPPA út yfir 100 milljóna dollara í sektir. Þetta er virkt eftirlit — ekki aðeins pappírsregla.

Hverjir verður að fara eftir löggjöfinni

Þrír prófar ákvarða hvort löggjöfin gildir. Fyrirtæki þarf að uppfylla einhvern þeirra.

• Árleg tekjur upp á $25 milljónir eða meira.
• Persónuupplýsingar frá 100.000 eða fleiri ríkisbúum.
• Meira en 50% tekna af sölu persónuupplýsinga.

Ríkið hefur 40 milljóna íbúa. Það er fimmta stærsta hagkerfi heims. Flest alþjóðleg fyrirtæki uppfylla að minnsta kosti einn prófana.

19 flokkar viðkvæmra gagna

Löggjöfin skapar sérstaka þrep fyrir viðkvæmar persónulegar upplýsingar. Fyrirtæki verða að gefa neytendum auknar tilkynningar og rétt til að takmarka notkun. 19 tegundir eru:

1. Almannatryggingarnúmer, ökuréttarskírteini, ríkisauðkenni, vegabréfanúmer
2. Fjárhagsreiknings- eða kortnúmer með aðgangskóðum
3. Nákvæm staðsetning (innan 1.852 metra)
4. Kynþáttaleg eða þjóðernisleg uppruni
5. Trúarleg eða heimspekileg skoðun
6. Stéttarfélagsaðild
7. Einkamál í tölvupósti eða bréfapósti
8. Erfðafræðilegar upplýsingar
9. Líffræðilegar skráningar til auðkenningar
10. Heilbrigðis- eða sjúkraskrár
11. Kynhneigð eða kynlíf
12. Innflytjendastatús (bætt við 2024)
13. Geðheilsuskrár (bætt við 2024)
14. Ríkisfangsstaða
15. Fjárhagsreikningsnúmer án aðgangskóða
16. Fötlunarstaða
17. Starfsstaðavísar
18. Vátryggingarskilmálar
19. Sakavottorð eða handtökuskrár

Fyrir hverja flokk geta neytendur takmarkað hvernig fyrirtæki notar og deilir þeim. Þessi réttur er aðskilinn frá almenna réttinum til að neita sölu.

Hvað CPPA miðaðist við árið 2024

Aðgerðir CPPA árið 2024 féllu í fjóra flokka.

Skráning gagnamistar. Ríkið krefst þess að gagnamiðlarar skrái sig hjá CPPA. Stofnunin fann hundruð óskráðra miðlara sem seldu neytendaprófíl.

Brotnar samþykktarverkfæri. Margar samþykktarvettvangur buðu ekki upp á raunverulega synjun. Hnappurinn vann ekki, eða synjunin þakti aðeins hluta notkunar.

AI-ákvarðanir án tilkynningar. AI-reglur 2025 krefjast tilkynningar þegar sjálfvirk tæki taka lykilákvarðanir. Störf, lánstraust og húsnæði teljast öll. Nokkur 2024-mál beinduðust að AI-tækjum sem notuð voru án þessarar tilkynningar.

Gögn barna. California Age-Appropriate Design Code gildir um hverja þjónustu sem minni eru líkleg til að nota. Þessar fyrirtæki verða að ljúka við mat á áhrifum gagnaverndar (Data Protection Impact Assessment). CPPA fann að mörg fyrirtæki höfðu ekki gert þetta.

Ríkislög gegn GDPR: Lykilmunir

GDPR-samræmi verndar þig ekki í Kaliforníu. Lögin deila markmiðum en eru frábrugðin í lykilatriðum.

Afþökkun gegn samþykki. GDPR krefst samþykkis við skráningu fyrir flesta viðkvæma gagnanotun. Ríkislög nota afþakkanarlíkan. Vinnsla er leyfð þar til neytandinn mótmælir.

Neytendaréttindi. Bæði lögin veita rétt til aðgangs, eyðingar og leiðréttingar. Ríkislögin bæta við rétti til að neita sjálfvirkum ákvörðunum. GDPR 22. grein fjallar um þetta líka, en með þrengri gildissviði.

Starfsmannaupplýsingar. Ríkislögin þekja persónuupplýsingar starfsmanna að fullu. GDPR gerir það líka, en ESB-aðildarríki hafa eigin reglur um ráðningarmál. Starfsmannavernd í ríkinu þarfnast oft sérstakrar samræmisleið.

Viðkvæmar tegundir. 19 ríkistegundir skarast að hluta með GDPR 9. grein. Innflytjendastatús og einstakar reikningsnúmer eru sértæk fyrir ríkið.

Sjá lögfræðileg samræmishandbók til að fá upplýsingar um hvernig þessar skyldur safnast saman.

Kröfur vegna AI-birgja

AI-reglur 2025 skapa skýrar skyldur fyrir fyrirtæki sem nota AI-tæki á neytendagögnum.

Birgðasamningar. Þjónustuveitendur verða að undirrita skriflegan samning. Samningurinn verður að þekja fjóra hluti. Í fyrsta lagi, nota gögn aðeins í uppgefnum tilgangi. Í öðru lagi, eyða gögnum þegar þjónusta lýkur. Í þriðja lagi, ganga frá neytendaréttindabeiðnum. Í fjórða lagi, viðhalda viðeigandi öryggi.

Tilkynning um sjálfvirkt ákvarðanatöku. Ef AI-tæki hjálpar við ákvarðanir um lánstraust, svik eða störf — verður neytanda að tilkynna um það. Hann fær einnig rétt til afþökkun.

Takmarkanir á AI-þjálfun. Ef neytendagögn þjálfuðu AI-líkan, hefur það líkan takmarkanir. Ekki er hægt að nota það í tilgangi sem stangast á við upprunalegar söfnunarástæður.

Beina lausnin fyrir flest teymi: fjarlægja persónuleg auðkenni áður en gögn fara inn í AI-kerfi. Þetta uppfyllir AI-ákvörðunarreglur og dregur úr áhættu viðkvæmra tegunda á sama tíma.

Lærðu hvernig anonym.legal fjarlægir auðkenni áður en AI vinnur gögn á /security-compliance.

Lykilatriði

Ríkislög þekja flest alþjóðleg fyrirtæki með viðskiptavini í ríkinu. Þau bæta við 19 viðkvæmum tegundum, virkum eftirlitstofnun og AI-tilkynningarreglum. GDPR-samræmi kemur ekki í stað ríkjasamræmis. Skýrasta skrefið: fjarlægja persónuleg auðkenni áður en gögn fara inn í AI-tæki.

Les um gagnaglæfun á /docs/faq.

Heimildir

• CPPA: California Privacy Protection Agency. cppa.ca.gov.
• California Privacy Rights Act (CPRA) fullur texti. leginfo.legislature.ca.gov.
• CPPA: Reglur um sjálfvirka ákvarðanatöku 2025. cppa.ca.gov.
• California Age-Appropriate Design Code. leginfo.legislature.ca.gov.