anonym.legal

By · Last updated 2026-06-05

Bumalik sa BlogGDPR & Pagsunod

CCPA/CPRA 2025: Privacy ng AI sa California

Naglabas ang CPPA ng $100M+ na multa noong 2024. Sinasaklaw ng CPRA ang 40M taga-California at naaangkop sa pandaigdigang antas sa karamihan ng mga negosyo. 19 na kategorya ng sensitibong datos, awtomatikong.

June 5, 202610 min basahin
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: Gabay sa Batas sa Privacy ng California

Na-update para sa 2026.

Angkop ang Consumer Privacy Rights Act (CPRA) ng California noong 2023. Nag-set up ito ng California Privacy Protection Agency (CPPA). Ang CPPA ang unang regulator ng privacy ng estado sa US. Noong 2024, naglabas ang CPPA ng mahigit $100 milyon na multa. Ito ay aktibong pagpapatupad — hindi isang papel na panuntunan.

Sino ang Dapat Sumunod

Tatlong pagsubok ang nagtatakda kung naaangkop ang batas. Ang isang negosyo ay dapat matugunan ang alinman sa kanila.

  • Taunang kita na $25 milyon o higit pa.
  • Personal na datos mula sa 100,000 o higit pang mga consumer ng estado.
  • Higit sa 50% ng kita mula sa pagbebenta ng personal na impormasyon.

Ang estado ay may 40 milyong residente. Ito ang ikalimang pinakamalaking ekonomiya sa mundo. Karamihan sa mga pandaigdigang kumpanya ay nakakatugon sa kahit isa sa mga pagsubok.

19 na Kategorya ng Sensitibong Datos

Lumilikha ang batas ng espesyal na antas para sa sensitibong personal na impormasyon. Ang mga kumpanya ay dapat magbigay ng karagdagang abiso sa mga consumer at isang karapatang limitahan ang paggamit. Ang 19 na uri ay:

  1. Mga numero ng Social Security, lisensya ng driver, state ID, pasaporte
  2. Mga numero ng financial account o card na may mga access code
  3. Tiyak na geolocation (sa loob ng 1,852 metro)
  4. Lahi o etnikong pinagmulan
  5. Relihiyosong o pilosopikal na paniniwala
  6. Pagiging miyembro ng unyon
  7. Nilalaman ng pribadong email o postal na sulat
  8. Genetic na impormasyon
  9. Mga rekord ng biometric para sa pagkakakilanlan
  10. Mga rekord ng kalusugan o medikal
  11. Sekswal na oryentasyon o buhay seksuwal
  12. Katayuan ng imigrasyon (idinagdag noong 2024)
  13. Mga rekord ng kalusugang pangisip (idinagdag noong 2024)
  14. Katayuan ng pagkamamamayan
  15. Mga numero ng financial account nang walang mga access code
  16. Katayuan ng kapansanan
  17. Mga tagapagpahiwatig ng katayuan ng trabaho
  18. Impormasyon ng patakaran ng insurance
  19. Mga rekord ng krimen o pag-aresto

Para sa bawat kategorya, ang mga consumer ay maaaring limitahan kung paano ginagamit at ibinabahagi ng isang negosyo ang mga ito. Ang karapatang ito ay hiwalay sa pangkalahatang karapatang mag-opt out sa pagbebenta.

Ano ang Tina-target ng CPPA noong 2024

Ang mga pagkilos ng CPPA noong 2024 ay nahulog sa apat na lugar.

Pagpaparehistro ng broker ng datos. Hinihiling ng estado na mag-register ang mga broker ng datos sa CPPA. Natuklasan ng ahensya ang daan-daang hindi nakarehistrong broker na nagbebenta ng mga profile ng consumer.

Mga sirang tool ng opt-out. Maraming platform ng pahintulot ang hindi nagbigay ng tunay na opt-out. Hindi gumana ang button, o ang opt-out ay sumasaklaw lamang sa ilang paggamit.

Mga desisyon ng AI nang walang abiso. Ang mga panuntunan ng AI para sa 2025 ay nangangailangan ng abiso kapag ang mga awtomatikong tool ay gumagawa ng mga pangunahing desisyon. Ang mga trabaho, credit, at pabahay ay lahat kasama. Ilang kaso noong 2024 ang nagtarget ng mga tool ng AI na ginamit nang walang abisong ito.

Mga rekord ng bata. Ang California's Age-Appropriate Design Code ay naaangkop sa anumang serbisyong malamang na gagamitin ng mga menor de edad. Ang mga kumpanyang iyon ay dapat makumpleto ang isang Data Protection Impact Assessment. Natuklasan ng CPPA na maraming kumpanya ang hindi ito ginawa.

Batas ng Estado kumpara sa GDPR: Mga Pangunahing Pagkakaiba

Ang pagsunod sa GDPR ay hindi ka sinasaklaw sa California. Nagbabahagi ang mga batas ng mga layunin ngunit naiiba sa mga pangunahing punto.

Opt-out kumpara sa opt-in. Ang GDPR ay nangangailangan ng pahintulot na opt-in para sa karamihan ng paggamit ng sensitibong datos. Gumagamit ang batas ng estado ng modelo ng opt-out. Ang pagpoproseso ay pinahihintulutan hanggang ang consumer ay tumutol.

Mga karapatan ng consumer. Ang parehong batas ay nagbibigay ng mga karapatang access, pagtanggal, at pagwawasto. Nagdadagdag ang batas ng estado ng karapatang mag-opt out sa mga awtomatikong desisyon. Sinasaklaw din ito ng GDPR Artikulo 22, ngunit may mas makitid na saklaw.

Mga rekord ng empleyado. Sinasaklaw ng batas ng estado ang mga personal na detalye ng empleyado nang buo. Ginagawa rin ng GDPR, ngunit ang mga miyembro ng estado ng EU ay may sariling mga panuntunan sa trabaho. Ang privacy ng kawani sa estado ay madalas na nangangailangan ng sariling track ng pagsunod.

Mga sensitibong uri. Ang 19 na uri ng estado ay bahagyang nagsasabog sa GDPR Artikulo 9. Ang katayuan ng imigrasyon at mga standalone na numero ng account ay partikular sa estado.

Tingnan ang legal compliance guide para sa kung paano nagsasabog ang mga obligasyong ito.

Mga Kinakailangan ng AI Vendor

Lumilikha ang mga panuntunan ng AI para sa 2025 ng malinaw na mga obligasyon para sa mga kumpanyang gumagamit ng mga tool ng AI sa mga rekord ng consumer.

Mga kontrata ng vendor. Ang mga service provider ay dapat pumirma ng nakasulat na kasunduan. Dapat saklawin ng kasunduan ang apat na bagay. Una, gumamit ng mga rekord para lamang sa nakatakdang layunin. Pangalawa, burahin ang mga rekord kapag natapos ang serbisyo. Pangatlo, ipasa ang mga kahilingan sa karapatang ng consumer. Pang-apat, panatilihin ang sapat na seguridad.

Abiso ng awtomatikong desisyon. Kung ang isang tool ng AI ay tumutulong sa pagpapasya sa credit, pandaraya, o trabaho — ang mga consumer ay dapat ipaalam. Dapat din silang bigyan ng isang opt-out.

Mga limitasyon sa pagsasanay ng AI. Kung ang mga rekord ng consumer ay nag-train ng isang modelo ng AI, ang modelong iyon ay may mga limitasyon. Hindi ito maaaring gamitin para sa mga layuning sumasalungat sa orihinal na dahilan ng koleksyon.

Ang direktang ayos para sa karamihan ng mga koponan: alisin ang mga personal na ID bago pumasok ang mga rekord sa anumang sistema ng AI. Natutugunan nito ang mga panuntunan ng desisyon ng AI at binabawasan ang panganib ng sensitibong uri nang sabay-sabay.

Alamin kung paano inaalis ng anonym.legal ang mga identifier bago ang pagpoproseso ng AI sa /security-compliance.

Mga Pangunahing Punto

Ang batas ng estado ay sumasaklaw sa karamihan ng mga pandaigdigang kumpanya na may mga customer sa estado. Nagdadagdag ito ng 19 na sensitibong uri, isang aktibong ahensya ng pagpapatupad, at mga panuntunan sa abiso ng AI. Ang pagsunod sa GDPR ay hindi pumapalit sa pagsunod sa estado. Ang pinakamlinaw na hakbang: alisin ang mga personal na ID bago pumasok ang mga rekord sa mga tool ng AI.

Basahin ang tungkol sa minimisasyon ng datos sa /docs/faq.

Mga Pinagkukunan

  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • California Privacy Rights Act (CPRA) buong teksto. leginfo.legislature.ca.gov.
  • CPPA: Automated Decision-Making Technology Regulations 2025. cppa.ca.gov.
  • California Age-Appropriate Design Code. leginfo.legislature.ca.gov.

Mga Kaugnay na Artikulo

GDPR & Pagsunod

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Pagsunod

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Pagsunod

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Handa nang protektahan ang iyong data?

Simulan ang anonymization ng PII gamit ang 285+ uri ng entidad sa 48 wika.

Simulan ang Libreng PagsubokTingnan ang Mga Tampok

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.