CCPA/CPRA:加州隐私法合规指南
2026年最新更新。
加利福尼亚州《消费者隐私权法案》(CPRA)于2023年正式生效,并设立了加州隐私保护局(CPPA)——这是美国首个州级专职隐私监管机构。2024年,CPPA开出逾1亿美元罚款。这是切实的执法行动,而非停留在纸面的规定。
适用范围
以下三项测试决定该法律是否适用,企业满足其中任意一项即须合规:
- 年营业额2500万美元或以上
- 持有加州10万名或以上消费者的个人数据
- 超过50%的营业收入来自出售个人信息
加利福尼亚州有4000万居民,是全球第五大经济体。大多数跨国公司至少符合其中一项标准。
19类敏感个人数据
该法律为敏感个人信息设立了特殊保护层级,要求企业向消费者提供额外告知,并赋予其限制使用的权利。19类敏感数据包括:
- 社会保障号码、驾驶证号、州政府签发的身份证号、护照号
- 银行账户号或信用卡号(含访问凭据)
- 精确地理位置(精度在1852米以内)
- 种族或民族背景
- 宗教或哲学信仰
- 工会会员身份
- 私人电子邮件或邮政信件内容
- 基因信息
- 用于身份识别的生物特征记录
- 健康或医疗记录
- 性取向或性生活
- 移民身份(2024年新增)
- 心理健康记录(2024年新增)
- 公民身份
- 不含访问凭据的金融账户号码
- 残障状况
- 就业状况指标
- 保险保单信息
- 犯罪记录或逮捕记录
对于上述每一类数据,消费者均可限制企业对其使用和共享的方式,该权利独立于退出销售的一般权利之外。
CPPA 2024年的执法重点
CPPA 2024年的执法行动集中于四个领域。
数据经纪商注册。 州法律要求数据经纪商在CPPA登记注册。CPPA发现数百家未注册经纪商正在出售消费者档案。
失效的退出工具。 许多同意管理平台并未提供真正有效的退出途径——按钮无法使用,或退出操作仅覆盖部分用途。
AI决策缺乏告知。 2025年AI规则要求在自动化工具参与重大决策时提供告知,涵盖就业、信贷和住房等场景。2024年多起案件针对在未作告知的情况下使用AI工具的企业。
未成年人数据。 加州《年龄适当设计规范》适用于未成年人可能使用的所有服务,相关企业须完成数据保护影响评估。CPPA发现大量企业尚未履行这一义务。
州法律与GDPR的主要差异
GDPR合规并不等同于加州合规。两者目标相近,但在关键规则上存在差异。
退出制与选择加入制。 GDPR对大多数敏感数据使用要求事先获得同意(选择加入);加州法律采用退出制模式,处理数据的默认状态为允许,除非消费者提出异议。
消费者权利。 两部法律均赋予访问、删除和更正权利;加州法律还增加了退出自动化决策的权利,GDPR第22条也有类似规定,但适用范围更窄。
员工数据。 加州法律对员工个人信息提供全面保护;GDPR同样如此,但欧盟成员国有各自的劳工规则——加州员工隐私合规通常需要单独的合规路径。
敏感数据类型。 加州的19类数据与GDPR第9条存在部分重叠,但移民身份和无凭据账户号码等类别属于加州特有规定。
关于这些义务的叠加关系,请参阅法律合规指南。
对AI供应商的要求
2025年AI规则对在消费者记录上使用AI工具的企业明确了合规义务。
供应商合同。 服务商须签订书面协议,涵盖四项核心要求:仅将数据用于约定目的;服务终止后删除数据;传递消费者权利请求;保持足够的数据安全措施。
自动化决策告知。 若AI工具参与信贷评估、欺诈判断或招聘决策,须告知消费者,并提供退出选项。
AI训练限制。 若消费者数据被用于训练AI模型,该模型的使用范围受到限制,不得用于与原始采集目的相冲突的场景。
对大多数团队而言,最直接的解决方案是:在数据进入任何AI系统之前,先行删除个人标识符。这一做法同时满足AI决策告知规则,并降低敏感类型数据的合规风险。
了解anonym.legal如何在AI处理前删除标识符,请访问/security-compliance。
核心要点
加州法律覆盖大多数在该州拥有客户的跨国企业,新增了19类敏感数据类别、设立了专职执法机构,并增加了AI告知要求。GDPR合规不能替代加州合规,最关键的一步是:在数据进入AI工具之前删除个人标识符。
关于数据最小化,请阅读/docs/faq。
参考资料
- CPPA:加州隐私保护局。cppa.ca.gov
- 《加州隐私权法案》(CPRA)全文。leginfo.legislature.ca.gov
- CPPA:2025年自动化决策技术法规。cppa.ca.gov
- 加州《年龄适当设计规范》。leginfo.legislature.ca.gov