anonym.legal

By · Last updated 2026-06-05

بلاگ پر واپس جائیںGDPR اور تعمیل

CCPA/CPRA 2025: California AI پرائیویسی قانون

CPPA نے 2024 میں $100 ملین سے زیادہ جرمانے جاری کیے۔ CPRA 40 ملین کیلیفورنیائیوں کو کور کرتا ہے اور عالمی سطح پر زیادہ تر کاروباروں پر لاگو ہوتا ہے۔ حساس ڈیٹا کی 19 کیٹگریاں اور خودکار فیصلہ سازی کے قواعد۔

June 5, 202610 منٹ پڑھیں
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: California پرائیویسی قانون گائیڈ

2026 کے لیے اپ ڈیٹ شدہ۔

California کا Consumer Privacy Rights Act (CPRA) 2023 میں نافذ ہوا۔ اس نے California Privacy Protection Agency (CPPA) قائم کی۔ CPPA امریکہ کی پہلی ریاستی پرائیویسی ریگولیٹر ہے۔ 2024 میں CPPA نے 100 ملین ڈالر سے زیادہ جرمانے جاری کیے۔ یہ فعال نفاذ ہے — محض کاغذی اصول نہیں۔

کسے تعمیل کرنی چاہیے

تین ٹیسٹ طے کرتے ہیں کہ آیا قانون لاگو ہوتا ہے۔ کسی کاروبار کو ان میں سے کوئی ایک پورا کرنا ضروری ہے۔

  • سالانہ آمدنی $25 ملین یا اس سے زیادہ۔
  • 100,000 یا اس سے زیادہ ریاستی صارفین کا ذاتی ڈیٹا۔
  • ذاتی معلومات فروخت کرنے سے 50% سے زیادہ آمدنی۔

ریاست میں 40 ملین رہائشی ہیں۔ یہ دنیا کی پانچویں بڑی معیشت ہے۔ زیادہ تر عالمی کمپنیاں کم از کم ایک ٹیسٹ پورا کرتی ہیں۔

حساس ڈیٹا کی 19 کیٹگریاں

قانون حساس ذاتی تفصیلات کے لیے ایک خاص درجہ بناتا ہے۔ کمپنیوں کو صارفین کو اضافی نوٹس اور استعمال محدود کرنے کا حق دینا ہوگا۔ 19 اقسام یہ ہیں:

  1. سوشل سیکیورٹی، ڈرائیور لائسنس، ریاستی ID، پاسپورٹ نمبر
  2. رسائی کوڈز کے ساتھ مالی اکاؤنٹ یا کارڈ نمبر
  3. درست جیولوکیشن (1,852 میٹر کے اندر)
  4. نسلی یا قومی نژاد
  5. مذہبی یا فلسفیانہ عقائد
  6. یونین رکنیت
  7. نجی ای میل یا ڈاکی خط کا مواد
  8. جینیاتی معلومات
  9. شناخت کے لیے بائیومیٹرک ریکارڈ
  10. صحت یا طبی ریکارڈ
  11. جنسی رجحان یا جنسی زندگی
  12. امیگریشن اسٹیٹس (2024 میں شامل)
  13. ذہنی صحت کے ریکارڈ (2024 میں شامل)
  14. شہریت کا اسٹیٹس
  15. رسائی کوڈز کے بغیر مالی اکاؤنٹ نمبر
  16. معذوری کا اسٹیٹس
  17. روزگار اسٹیٹس اشارے
  18. بیمہ پالیسی کی معلومات
  19. مجرمانہ یا گرفتاری کے ریکارڈ

ہر کیٹگری کے لیے، صارفین کاروبار کے استعمال اور شیئرنگ کو محدود کر سکتے ہیں۔ یہ حق فروخت سے آپٹ آؤٹ کے عام حق سے الگ ہے۔

CPPA نے 2024 میں کیا نشانہ بنایا

CPPA کی 2024 کارروائیاں چار شعبوں میں تھیں۔

ڈیٹا بروکر رجسٹریشن۔ ریاست کا تقاضا ہے کہ ڈیٹا بروکرز CPPA کے ساتھ رجسٹر ہوں۔ ایجنسی نے سینکڑوں غیر رجسٹرڈ بروکرز کو صارف پروفائل فروخت کرتے ہوئے پایا۔

ٹوٹے ہوئے آپٹ آؤٹ ٹولز۔ بہت سے رضامندی پلیٹ فارم نے اصل آپٹ آؤٹ نہیں دیا۔ بٹن کام نہیں کیا، یا آپٹ آؤٹ صرف کچھ استعمالوں کو کور کرتا تھا۔

نوٹس کے بغیر AI فیصلے۔ 2025 کے AI قواعد کا تقاضا ہے کہ خودکار ٹولز اہم فیصلے کریں تو نوٹس دیا جائے۔ ملازمتیں، قرض اور رہائش سبھی شامل ہیں۔ 2024 کے کئی کیسز اس نوٹس کے بغیر استعمال کیے گئے AI ٹولز کو نشانہ بناتے تھے۔

بچوں کے ریکارڈ۔ California کا Age-Appropriate Design Code کسی بھی ایسی سروس پر لاگو ہوتا ہے جو نابالغ استعمال کر سکتے ہیں۔ ان کمپنیوں کو ڈیٹا پروٹیکشن امپیکٹ اسیسمنٹ مکمل کرنی ہوگی۔ CPPA نے پایا کہ بہت سی کمپنیوں نے یہ نہیں کی تھی۔

ریاستی قانون بمقابلہ GDPR: اہم فرق

GDPR تعمیل آپ کو California میں کور نہیں کرتی۔ قوانین کے اہداف مشترک ہیں لیکن اہم نکات پر مختلف ہیں۔

آپٹ آؤٹ بمقابلہ آپٹ ان۔ GDPR کا تقاضا ہے کہ زیادہ تر حساس ڈیٹا کے استعمال کے لیے آپٹ ان رضامندی ملے۔ ریاستی قانون آپٹ آؤٹ ماڈل استعمال کرتا ہے۔ پروسیسنگ کی اجازت ہے جب تک صارف اعتراض نہ کرے۔

صارف حقوق۔ دونوں قوانین رسائی، حذف اور تصحیح کے حقوق دیتے ہیں۔ ریاستی قانون خودکار فیصلوں سے آپٹ آؤٹ کا حق شامل کرتا ہے۔ GDPR آرٹیکل 22 بھی یہ کور کرتا ہے، لیکن محدود دائرہ کار کے ساتھ۔

ملازم ریکارڈ۔ ریاستی قانون ملازم کی ذاتی تفصیلات کو مکمل طور پر کور کرتا ہے۔ GDPR بھی یہ کرتا ہے، لیکن EU رکن ریاستوں کے اپنے روزگار کے قواعد ہیں۔ ریاست میں عملے کی پرائیویسی کو اکثر اپنی تعمیل ٹریک کی ضرورت ہوتی ہے۔

حساس اقسام۔ 19 ریاستی اقسام GDPR آرٹیکل 9 سے جزوی طور پر اوور لیپ ہوتی ہیں۔ امیگریشن اسٹیٹس اور اکیلے اکاؤنٹ نمبر ریاست-مخصوص ہیں۔

یہ ذمہ داریاں کیسے اکٹھی ہوتی ہیں اس کے لیے قانونی تعمیل گائیڈ دیکھیں۔

AI وینڈر ضروریات

2025 کے AI قواعد ان کمپنیوں کے لیے واضح ذمہ داریاں بناتے ہیں جو صارف ریکارڈز پر AI ٹولز استعمال کرتی ہیں۔

وینڈر معاہدے۔ سروس فراہم کنندگان کو ایک تحریری معاہدے پر دستخط کرنے ہوں گے۔ معاہدے کو چار چیزیں کور کرنی ہوں گی۔ پہلی، صرف بیان کردہ مقصد کے لیے ریکارڈ استعمال کریں۔ دوسری، سروس ختم ہونے پر ریکارڈ حذف کریں۔ تیسری، صارف حقوق درخواستیں آگے بھیجیں۔ چوتھی، مناسب سیکیورٹی برقرار رکھیں۔

خودکار فیصلہ نوٹس۔ اگر AI ٹول قرض، دھوکہ دہی یا ملازمت پر فیصلہ کرنے میں مدد کرتا ہے — صارفین کو بتانا ہوگا۔ انہیں آپٹ آؤٹ بھی ملنی چاہیے۔

AI تربیتی حدیں۔ اگر صارف ریکارڈز نے AI ماڈل کو تربیت دی، تو اس ماڈل کی حدیں ہیں۔ اسے ایسے مقاصد کے لیے استعمال نہیں کیا جا سکتا جو اصل جمع کرنے کی وجہ سے متضاد ہوں۔

زیادہ تر ٹیموں کے لیے براہ راست حل: ریکارڈز کسی AI سسٹم میں داخل ہونے سے پہلے ذاتی IDs ہٹا دیں۔ یہ AI فیصلے کے قواعد کو پورا کرتا ہے اور ایک ساتھ حساس قسم کا خطرہ کم کرتا ہے۔

جانیں کہ anonym.legal AI پروسیسنگ سے پہلے شناخت کنندے کیسے ہٹاتا ہے /security-compliance پر۔

اہم نکات

ریاستی قانون ریاست میں کسٹمرز والی زیادہ تر عالمی کمپنیوں کو کور کرتا ہے۔ یہ 19 حساس اقسام، ایک فعال نفاذ ایجنسی اور AI نوٹس قواعد شامل کرتا ہے۔ GDPR تعمیل ریاستی تعمیل کی جگہ نہیں لیتی۔ سب سے واضح قدم: AI ٹولز میں ریکارڈ داخل ہونے سے پہلے ذاتی IDs ہٹا دیں۔

ڈیٹا کم سازی کے بارے میں /docs/faq پر پڑھیں۔

ذرائع

  • CPPA: California Privacy Protection Agency۔ cppa.ca.gov۔
  • California Privacy Rights Act (CPRA) مکمل متن۔ leginfo.legislature.ca.gov۔
  • CPPA: Automated Decision-Making Technology Regulations 2025۔ cppa.ca.gov۔
  • California Age-Appropriate Design Code۔ leginfo.legislature.ca.gov۔

متعلقہ مضامین

GDPR اور تعمیل

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR اور تعمیل

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR اور تعمیل

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

کیا آپ اپنے ڈیٹا کی حفاظت کے لیے تیار ہیں؟

48 زبانوں میں 285+ ادارتی اقسام کے ساتھ PII کی گمنامی شروع کریں۔

مفت آزمائش شروع کریںخصوصیات دیکھیں

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.