Калифорнийский Закон о правах на конфиденциальность потребителей (CPRA, вступил в силу в 2023 году) учредил Агентство по защите конфиденциальности Калифорнии (CPPA) как первый специализированный регулятор конфиденциальности штата США. CPPA выдало более $100 миллионов в виде правоприменительных действий в 2024 году — демонстрируя, что калифорнийский закон о конфиденциальности является не просто нормативным фреймворком, но активной средой правоприменения.
Экстерриториальный охват CPRA является наиболее значимым аспектом для глобальных предприятий: закон применяется к любой компании с годовым доходом $25 млн+, или обрабатывающей персональные данные 100 000+ потребителей или домохозяйств Калифорнии. При 40 миллионах жителей Калифорнии и её статусе 5-й по величине экономики мира, большинство глобальных предприятий подпадает под юрисдикцию CPRA.
Категории конфиденциальной персональной информации CPRA
CPRA создаёт отдельный уровень «конфиденциальной персональной информации», требующей повышенной защиты и конкретных требований к раскрытию. 19 категорий тесно соответствуют специальным категориям Статьи 9 GDPR, но с дополнениями, специфичными для США:
- SSN, водительские удостоверения, удостоверения штата, номера паспортов
- Номера финансовых счетов, дебетовых/кредитных карт с кодами доступа
- Точная геолокация (в пределах 1 852 метров)
- Расовое/этническое происхождение
- Религиозные или философские убеждения
- Членство в профсоюзе
- Содержимое электронной почты и обычной почты (если широко недоступно)
- Генетические данные
- Биометрические данные для идентификации
- Данные о здоровье/медицинские данные
- Сексуальная ориентация или половая жизнь
- Иммиграционный статус (добавлен в правилах 2024 года)
- Данные о психическом здоровье (добавлены в правилах 2024 года)
- Статус гражданства
- Номера финансовых счетов (самостоятельные, без кодов доступа)
- Статус инвалидности
- Индикаторы статуса занятости
- Информация о страховом полисе
- Данные о судимости или аресте
Практическое следствие: любой конвейер обработки данных, обрабатывающий эти категории, должен предоставлять потребителям право ограничивать использование и раскрытие конфиденциальной персональной информации, отдельно от общего права на отказ от продажи.
Правоприменение CPPA 2024: что стало объектом
CPPA выдало правоприменительные действия и урегулирования в 2024 году, нацеленные на:
Нарушения регистрации брокеров данных: Калифорния требует, чтобы брокеры данных регистрировались в CPPA. CPPA выявила сотни незарегистрированных брокеров данных — организаций, продающих данные личных профилей без требуемого раскрытия.
Несоответствие управления согласием: CPPA установила, что «платформы управления согласием» многих компаний фактически не обеспечивали функциональные механизмы отказа — либо кнопка отказа не работала, либо отказ применялся только к конкретным видам использования данных, тогда как другие продолжались.
Автоматизированное принятие решений с ИИ: Правила ИИ CPPA 2025 года требуют, чтобы предприятия уведомляли потребителей, когда автоматизированное принятие решений используется для значимых решений (занятость, кредит, жильё), и обеспечивали значимые механизмы отказа. Несколько правоприменительных действий в 2024 году были направлены против ИИ-инструментов, используемых без адекватного уведомления.
Данные детей: Согласно Калифорнийскому кодексу возрастно-соответствующего дизайна (AADC), предприятия, к которым вероятно получают доступ несовершеннолетние, должны проводить Оценки воздействия на защиту данных. CPPA выявила несколько технологических компаний, не выполнивших требуемые DPIA.
CPRA против GDPR: ключевые различия для глобальных организаций
Организации, действующие под GDPR и CPRA одновременно, сталкиваются с требованиями соответствия, которые схожи по принципу, но различаются в деталях:
Отказ против согласия: GDPR требует согласия для большинства операций с конфиденциальными данными. CPRA использует модель отказа — обработка законна до тех пор, пока потребитель не откажется. Это означает, что механизмы согласия, соответствующие GDPR, часто более ограничительны, чем требует CPRA, но практики, соответствующие CPRA, могут не удовлетворять GDPR.
Права субъектов данных: Оба требуют прав на доступ, удаление и исправление. CPRA добавляет право на отказ от автоматизированного принятия решений — более широкое, чем более узкое положение GDPR Статьи 22 об автоматизированном принятии решений.
Данные сотрудников: CPRA полностью применяется к персональным данным сотрудников. GDPR имеет аналогичный охват, но государства-члены имеют различные положения, специфичные для занятости. Конфиденциальность сотрудников Калифорнии часто является отдельным треком соответствия от GDPR сотрудников ЕС.
Последствие соответствия для поставщиков ИИ
Правила ИИ CPRA 2025 года создают конкретные требования для организаций, использующих ИИ-инструменты, обрабатывающие данные потребителей Калифорнии:
Контрактные требования к поставщикам: Поставщики услуг (поставщики, обрабатывающие данные от имени предприятия) должны договорно обязаться: использовать данные только для раскрытой цели, удалять данные при прекращении услуги, обеспечивать возможность выполнения запросов прав потребителей и реализовывать адекватные меры безопасности.
Раскрытие автоматизированного принятия решений: Если ваш ИИ-инструмент принимает или существенно вносит вклад в решения о потребителях Калифорнии — кредитный скоринг, маркировка мошенничества, модерация контента, проверка при найме — потребители должны быть уведомлены и должен быть предоставлен значимый механизм отказа.
Происхождение обучающих данных: Если данные потребителей Калифорнии использовались для обучения ИИ-модели, требования ограничения цели CPRA означают, что результаты ИИ-модели не могут использоваться для целей, несовместимых с исходной целью сбора.
Для организаций, управляющих данными потребителей Калифорнии в ИИ-системах: минимизация данных перед обработкой ИИ — удаление PII до поступления данных в конвейеры обучения ИИ или инструменты анализа ИИ — является наиболее простым способом удовлетворить требования CPPA к автоматизированному принятию решений при снижении воздействия конфиденциальной персональной информации.
Источники: