CCPA/CPRA: Водич за законот за приватност во Калифорнија
Ажурирано за 2026 година.
Калифорнискиот Закон за права на приватност на потрошувачите (CPRA) стапи во сила во 2023 година. Ја основа Калифорниската агенција за заштита на приватноста (CPPA). CPPA е првиот државен регулатор за приватност во САД. Во 2024 година, CPPA издаде глоби од над 100 милиони долари. Ова е активно спроведување — не хартиено правило.
Кој мора да се усогласи
Три теста одредуваат дали законот се применува. Фирмата мора да исполни барем еден од нив.
- Годишен приход од 25 милиони долари или повеќе.
- Лични податоци од 100.000 или повеќе државни потрошувачи.
- Повеќе од 50% од приходот од продажба на лични информации.
Сојузната држава има 40 милиони жители. Таа е петтата по големина економија во светот. Повеќето глобални компании исполнуваат барем еден тест.
19 категории на чувствителни податоци
Законот создава посебно ниво за чувствителни лични детали. Компаниите мора да им дадат на потрошувачите дополнително известување и право да го ограничат користењето. 19-те типови се:
- Броеви на социјално осигурување, возачка дозвола, државна лична карта, пасош
- Броеви на финансиски сметки или картички со кодови за пристап
- Прецизна геолокација (во рамките на 1.852 метри)
- Расно или етничко потекло
- Религиозни или филозофски убедувања
- Членство во синдикат
- Содржина на приватна е-пошта или поштенска пошта
- Генетски информации
- Биометриски записи за идентификација
- Здравствени или медицински записи
- Сексуална ориентација или сексуален живот
- Имигрантски статус (додаден во 2024 година)
- Записи за ментално здравје (додадени во 2024 година)
- Статус на државјанство
- Броеви на финансиски сметки без кодови за пристап
- Статус на попреченост
- Показатели на статус на вработување
- Информации за осигурителна полиса
- Кривични или записи за апсење
За секоја категорија, потрошувачите можат да го ограничат начинот на кој фирмата ги користи и дели. Ова право е одделно од општото право на одбивање на продажба.
Што таргетирала CPPA во 2024 година
Дејствијата на CPPA во 2024 година спаѓале во четири области.
Регистрација на посредници со податоци. Сојузната држава бара посредниците со податоци да се регистрираат кај CPPA. Агенцијата откри стотици нерегистрирани посредници кои продаваат профили на потрошувачи.
Непоправливи алатки за одбивање. Многу платформи за согласност не нудат вистинско одбивање. Копчето не работело, или одбивањето покривало само некои употреби.
Одлуки на ВИ без известување. Правилата за ВИ од 2025 година бараат известување кога автоматизираните алатки донесуваат клучни одлуки. Работни места, кредит и домување — сите важат. Неколку случаи од 2024 година ги таргетирале алатките за ВИ употребувани без ова известување.
Записи на деца. Калифорнискиот Кодекс за дизајн соодветен за возраста се применува на секоја услуга за која е веројатно дека малолетниците ќе ја користат. Тие компании мора да завршат Проценка на влијанието врз заштитата на податоците. CPPA откри дека многу компании тоа не го сториле.
Државниот закон наспроти GDPR: Клучни разлики
Усогласеноста со GDPR не ве покрива во Калифорнија. Законите споделуваат цели, но се разликуваат по клучни точки.
Одбивање наспроти согласност. GDPR бара согласност за прифаќање за повеќето употреби на чувствителни податоци. Државниот закон користи модел на одбивање. Обработката е дозволена сè додека потрошувачот не се спротивстави.
Права на потрошувачите. И двата закона даваат права на пристап, бришење и исправка. Државниот закон додава право на одбивање на автоматизирани одлуки. Членот 22 на GDPR го покрива и тоа, но со потесен опсег.
Записи за вработени. Државниот закон целосно ги покрива личните детали на вработените. И GDPR, но државите-членки на ЕУ имаат свои правила за вработување. Приватноста на персоналот во сојузната држава честопати бара сопствена патека за усогласеност.
Чувствителни типови. 19-те државни типови делумно се преклопуваат со Членот 9 на GDPR. Имигрантскиот статус и самостојните броеви на сметки се специфични за сојузната држава.
Видете го водичот за правна усогласеност за тоа како се наслојуваат тие должности.
Барања за продавачи на ВИ
Правилата за ВИ од 2025 година создаваат јасни должности за компаниите кои користат алатки за ВИ на записите на потрошувачите.
Договори со продавачи. Давателите на услуги мора да потпишат писмен договор. Договорот мора да покрива четири работи. Прво, да се користат записите само за наведената цел. Второ, да се избришат записите кога услугата ќе заврши. Трето, да се проследуваат барањата за права на потрошувачите. Четврто, да се одржи соодветна безбедност.
Известување за автоматизирани одлуки. Ако алатка за ВИ помага да се одлучи за кредит, измама или работни места — потрошувачите мора да бидат известени. Мора да добијат и право на одбивање.
Ограничувања за тренирање со ВИ. Ако записите на потрошувачите тренирале ВИ модел, тој модел има ограничувања. Не може да се користи за цели кои се во конфликт со оригиналната причина за собирање.
Директното решение за повеќето тимови: отстранете ги личните идентификатори пред записите да влезат во кој било ВИ систем. Ова ги исполнува правилата за одлуки на ВИ и го намалува ризикот од чувствителни типови истовремено.
Дознајте како anonym.legal ги отстранува идентификаторите пред обработка со ВИ на /security-compliance.
Клучни точки
Државниот закон ги покрива повеќето глобални компании со клиенти во сојузната држава. Додава 19 чувствителни типови, активна агенција за спроведување и правила за известување за ВИ. Усогласеноста со GDPR не ја заменува усогласеноста со државниот закон. Најјасниот чекор: отстранете ги личните идентификатори пред записите да влезат во алатките за ВИ.
Прочитајте за минимизација на податоците на /docs/faq.
Извори
- CPPA: Калифорниска агенција за заштита на приватноста. cppa.ca.gov.
- Целосен текст на Калифорнискиот Закон за права на приватност (CPRA). leginfo.legislature.ca.gov.
- CPPA: Регулативи за технологија за автоматизирано одлучување 2025. cppa.ca.gov.
- Калифорниски Кодекс за дизајн соодветен за возраста. leginfo.legislature.ca.gov.