anonym.legal

By · Last updated 2026-06-05

กลับไปที่บล็อกGDPR & การปฏิบัติตาม

CCPA/CPRA 2025: ความเป็นส่วนตัว AI ในแคลิฟอร์เนีย

CPPA ออกค่าปรับมากกว่า 100 ล้านดอลลาร์ในปี 2024 CPRA ครอบคลุมชาวแคลิฟอร์เนีย 40 ล้านคนและใช้กับธุรกิจส่วนใหญ่ทั่วโลก ข้อมูลละเอียดอ่อน 19 หมวดหมู่ และกฎการตัดสินใจอัตโนมัติ

June 5, 202610 อ่านประมาณ
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: คู่มือกฎหมายความเป็นส่วนตัวแคลิฟอร์เนีย

อัปเดตสำหรับปี 2026

พระราชบัญญัติสิทธิความเป็นส่วนตัวของผู้บริโภคแคลิฟอร์เนีย (CPRA) มีผลบังคับใช้ในปี 2023 จัดตั้ง California Privacy Protection Agency (CPPA) ซึ่งเป็นหน่วยงานกำกับดูแลความเป็นส่วนตัวของรัฐแห่งแรกในสหรัฐฯ ในปี 2024 CPPA ออกค่าปรับมากกว่า 100 ล้านดอลลาร์ นี่คือการบังคับใช้จริง ไม่ใช่กฎบนกระดาษ

ใครต้องปฏิบัติตาม

การทดสอบสามข้อกำหนดว่ากฎหมายใช้บังคับหรือไม่ ธุรกิจต้องผ่านการทดสอบอย่างน้อยหนึ่งข้อ:

  • รายได้ต่อปีตั้งแต่ 25 ล้านดอลลาร์ขึ้นไป
  • ข้อมูลส่วนบุคคลจากผู้บริโภคในรัฐตั้งแต่ 100,000 รายขึ้นไป
  • รายได้จากการขายข้อมูลส่วนบุคคลมากกว่า 50%

รัฐมีผู้อยู่อาศัย 40 ล้านคน เป็นเศรษฐกิจที่ใหญ่เป็นอันดับห้าของโลก บริษัทระดับโลกส่วนใหญ่ผ่านการทดสอบอย่างน้อยหนึ่งข้อ

ข้อมูลละเอียดอ่อน 19 หมวดหมู่

กฎหมายสร้างระดับพิเศษสำหรับรายละเอียดส่วนบุคคลที่ละเอียดอ่อน บริษัทต้องให้การแจ้งเพิ่มเติมและสิทธิ์จำกัดการใช้งาน 19 ประเภทได้แก่:

  1. หมายเลขประกันสังคม ใบขับขี่ ID รัฐ หนังสือเดินทาง
  2. หมายเลขบัญชีการเงินหรือบัตรพร้อมรหัสเข้าถึง
  3. ตำแหน่งทางภูมิศาสตร์ที่แม่นยำ (ภายใน 1,852 เมตร)
  4. เชื้อชาติหรือชาติพันธุ์
  5. ความเชื่อทางศาสนาหรือปรัชญา
  6. การเป็นสมาชิกสหภาพแรงงาน
  7. เนื้อหาอีเมลหรือไปรษณีย์ส่วนตัว
  8. ข้อมูลทางพันธุกรรม
  9. บันทึกชีวมาตรเพื่อระบุตัวตน
  10. บันทึกสุขภาพหรือทางการแพทย์
  11. รสนิยมทางเพศหรือชีวิตทางเพศ
  12. สถานะการย้ายถิ่น (เพิ่มในปี 2024)
  13. บันทึกสุขภาพจิต (เพิ่มในปี 2024)
  14. สถานะพลเมือง
  15. หมายเลขบัญชีการเงินโดยไม่มีรหัสเข้าถึง
  16. สถานะความพิการ
  17. ตัวชี้วัดสถานะการจ้างงาน
  18. ข้อมูลกรมธรรม์ประกันภัย
  19. บันทึกอาชญากรรมหรือการจับกุม

สำหรับแต่ละหมวดหมู่ ผู้บริโภคสามารถจำกัดวิธีที่ธุรกิจใช้และแชร์ข้อมูล สิทธิ์นี้แยกจากสิทธิ์ทั่วไปในการถอนตัวจากการขาย

สิ่งที่ CPPA มุ่งเป้าในปี 2024

คำสั่งของ CPPA ในปี 2024 แบ่งเป็นสี่พื้นที่

การลงทะเบียนนายหน้าข้อมูล: รัฐกำหนดให้นายหน้าข้อมูลลงทะเบียนกับ CPPA หน่วยงานพบนายหน้าที่ไม่ได้ลงทะเบียนหลายร้อยรายที่ขายโปรไฟล์ผู้บริโภค

เครื่องมือถอนตัวที่ใช้งานไม่ได้: แพลตฟอร์มความยินยอมหลายรายไม่มีการถอนตัวที่แท้จริง ปุ่มไม่ทำงาน หรือการถอนตัวครอบคลุมเฉพาะบางการใช้งาน

การตัดสินใจด้วย AI โดยไม่แจ้ง: กฎ AI ปี 2025 กำหนดให้แจ้งเมื่อเครื่องมืออัตโนมัติตัดสินใจสำคัญ งาน เครดิต และที่อยู่อาศัยล้วนนับรวม คดีหลายรายการในปี 2024 มุ่งเป้าที่เครื่องมือ AI ที่ใช้งานโดยไม่มีการแจ้งนี้

บันทึกของเด็ก: California Age-Appropriate Design Code ใช้กับบริการใดก็ตามที่ผู้เยาว์มีแนวโน้มจะใช้ บริษัทเหล่านั้นต้องทำการประเมินผลกระทบการคุ้มครองข้อมูล CPPA พบว่าหลายบริษัทยังไม่ได้ดำเนินการนี้

กฎหมายของรัฐเทียบกับ GDPR: ความแตกต่างหลัก

การปฏิบัติตาม GDPR ไม่ครอบคลุมคุณในแคลิฟอร์เนีย กฎหมายมีเป้าหมายร่วมกันแต่แตกต่างกันในประเด็นสำคัญ

ถอนตัวเทียบกับให้ความยินยอม: GDPR กำหนดให้ให้ความยินยอมสำหรับการใช้ข้อมูลละเอียดอ่อนส่วนใหญ่ กฎหมายของรัฐใช้โมเดลถอนตัว การประมวลผลอนุญาตจนกว่าผู้บริโภคจะคัดค้าน

สิทธิ์ผู้บริโภค: ทั้งสองกฎหมายให้สิทธิ์การเข้าถึง การลบ และการแก้ไข กฎหมายของรัฐเพิ่มสิทธิ์ถอนตัวจากการตัดสินใจอัตโนมัติ GDPR มาตรา 22 ครอบคลุมเรื่องนี้ด้วยแต่มีขอบเขตแคบกว่า

บันทึกพนักงาน: กฎหมายของรัฐครอบคลุมรายละเอียดส่วนบุคคลของพนักงานอย่างครบถ้วน GDPR ก็เช่นกัน แต่รัฐสมาชิก EU มีกฎการจ้างงานของตัวเอง ความเป็นส่วนตัวของพนักงานในรัฐมักต้องการการติดตามการปฏิบัติตามกฎหมายแยกต่างหาก

ประเภทข้อมูลละเอียดอ่อน: ประเภท 19 ของรัฐทับซ้อนกับ GDPR มาตรา 9 บางส่วน สถานะการย้ายถิ่นและหมายเลขบัญชีแบบเดี่ยวเป็นเฉพาะของรัฐ

ดู คู่มือการปฏิบัติตามกฎหมาย เพื่อดูว่าหน้าที่เหล่านี้ซ้อนทับกันอย่างไร

ข้อกำหนดผู้จำหน่าย AI

กฎ AI ปี 2025 สร้างหน้าที่ชัดเจนสำหรับบริษัทที่ใช้เครื่องมือ AI กับบันทึกผู้บริโภค

สัญญาผู้จำหน่าย: ผู้ให้บริการต้องลงนามในข้อตกลงที่เป็นลายลักษณ์อักษร ข้อตกลงต้องครอบคลุมสี่ประการ ได้แก่ ใช้บันทึกเฉพาะตามวัตถุประสงค์ที่ระบุ ลบบันทึกเมื่อบริการสิ้นสุด ส่งต่อคำขอสิทธิ์ผู้บริโภค และรักษาความปลอดภัยที่เพียงพอ

การแจ้งการตัดสินใจอัตโนมัติ: หากเครื่องมือ AI ช่วยตัดสินใจเรื่องเครดิต การฉ้อโกง หรืองาน ผู้บริโภคต้องได้รับการแจ้ง และต้องมีทางเลือกถอนตัว

ข้อจำกัดการฝึก AI: หากบันทึกผู้บริโภคใช้ฝึกโมเดล AI โมเดลนั้นมีข้อจำกัด ไม่สามารถใช้เพื่อวัตถุประสงค์ที่ขัดแย้งกับเหตุผลการรวบรวมดั้งเดิม

วิธีแก้ตรงสำหรับทีมส่วนใหญ่: ลบ ID ส่วนบุคคลก่อนที่บันทึกจะเข้าสู่ระบบ AI ใดก็ตาม ซึ่งตอบสนองกฎการตัดสินใจด้วย AI และลดความเสี่ยงประเภทข้อมูลละเอียดอ่อนพร้อมกัน

เรียนรู้วิธีที่ anonym.legal ลบตัวระบุก่อนการประมวลผล AI ที่ /security-compliance

ประเด็นสำคัญ

กฎหมายของรัฐครอบคลุมบริษัทระดับโลกส่วนใหญ่ที่มีลูกค้าในรัฐ เพิ่มประเภทข้อมูลละเอียดอ่อน 19 ประเภท หน่วยงานบังคับใช้ที่แข็งขัน และกฎการแจ้ง AI การปฏิบัติตาม GDPR ไม่แทนที่การปฏิบัติตามกฎหมายของรัฐ ขั้นตอนที่ชัดเจนที่สุด: ลบ ID ส่วนบุคคลก่อนที่บันทึกจะเข้าสู่เครื่องมือ AI

อ่านเกี่ยวกับการลดข้อมูลที่ /docs/faq

แหล่งที่มา

  • CPPA: California Privacy Protection Agency. cppa.ca.gov
  • California Privacy Rights Act (CPRA) ฉบับเต็ม. leginfo.legislature.ca.gov
  • CPPA: Automated Decision-Making Technology Regulations 2025. cppa.ca.gov
  • California Age-Appropriate Design Code. leginfo.legislature.ca.gov

บทความที่เกี่ยวข้อง

GDPR & การปฏิบัติตาม

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & การปฏิบัติตาม

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & การปฏิบัติตาม

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

พร้อมที่จะปกป้องข้อมูลของคุณหรือยัง?

เริ่มทำให้ PII เป็นนิรนามด้วยประเภทเอนทิตีมากกว่า 285 ประเภทใน 48 ภาษา.

เริ่มทดลองใช้ฟรีดูฟีเจอร์

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.