加州隐私保护机构历时一年多起草后批准法规草案
2025年7月24日,加州隐私保护局(CPPA)一致投票通过了《加州消费者隐私法案》(经《加州隐私权利法案》修订)下关于自动化决策技术(ADMT)、隐私风险评估及网络安全审计的法规草案。该法规现已提交加州行政法办公室进行最终审批,若获批准将正式编入《加州法规汇编》。
最终法规的出台历经一年起草过程,期间征求了公众意见,甚至加文·纽森州长也提供了反馈。
相较于先前草案,法规的主要变更包括:
- 删除关于ADMT的“人工智能”及行为广告相关表述,放宽ADMT的使用条件,并调整消费者拒绝使用ADMT的权利。
- 当处理行为可能对消费者隐私构成风险时,需进行风险评估。此类处理活动包括:出售/共享个人信息、处理敏感个人信息、使用自动化决策技术(ADMT)作出涉及消费者的"重大决策",以及特定的ADMT技术应用场景。值得注意的是,风险评估还包含数据映射要求——这项措施在隐私保护领域长期被倡导,即便在缺乏法定要求的情况下亦是如此。
但这可能并非《加州消费者隐私法案》法规的最终章。该法案指出,法规可能根据实际执行效果再次修订(可能趋严或趋松)。
此外,该法规试图限制消费者使用ADMT所面临的威胁,这与特朗普政府近期发布的《美国人工智能行动计划》中提出的目标相悖——该计划主张限制"繁琐"的人工智能监管以促进潜在经济效益。此举可能引发现政府与加州监管机构之间的冲突。 无论如何,受《加州消费者隐私法案》约束的企业可能还需遵守其他州级、联邦及国际法规,这些法规对开发和使用ADMT的企业可能要求承担比本法规批准的更严格的义务。
法规的生效日期各不相同,部分条款最早将于2026年1月1日生效,其余条款则在一年后陆续实施。 例如,对于发生在生效日(由行政法律办公室确定)之后的处理活动,首次风险评估的截止日期为2027年12月31日(距今两年多),而采用ADMT的企业则无需在2027年1月1日之前遵守ADMT要求。 尽管如此,部分合规要求可能需要投入大量资源,我们建议企业尽早启动合规工作。
加州隐私保护局董事会于7月24日一致投票通过,最终确定了《加州消费者隐私法案》下关于自动化决策技术使用、风险评估、网络安全审计及保险的监管规则。该法规方案历经一年多的起草与辩论,在预制定规阶段和正式制定阶段的讨论后,最终以5票赞成、0票反对的结果获得通过。
查看参考文章
