加州行政法办公室批准修订后的《加州消费者隐私法案》条例

加州行政法办公室已批准加州隐私保护局于2025年7月修订的《加州消费者隐私法案》法规，修订后的法规将正式刊载于《加州法规汇编》。 修订条例新增了关于自动化决策技术（ADMT）的规定，其涵盖范围不仅限于人工智能应用，还包括风险评估与网络安全审计。同时对隐私声明、服务提供商协议及其他监管要求等现有条款进行了更新与细化。此次修订还特别针对保险公司制定了专项新规。 

现行法规的修订将于2026年1月1日生效。但涉及ADMT、风险评估及网络安全审计的若干新要求将延后生效：

• 网络安全审计的生效日期取决于企业的年度收入规模：年收入超过1亿美元的企业需在2028年4月1日前完成合规；年收入介于5000万至1亿美元的企业需在2027年4月1日前完成合规；年收入低于5000万美元的企业则需在2030年4月1日前完成合规。 
• 根据修订后的法规，需要进行风险评估的企业须于2026年1月1日起开始合规操作，但无需在2028年4月1日前提交风险评估完成证明及评估结果摘要。 
• 采用ADMT技术进行重大决策的企业，在2027年1月1日之前无需遵守新的ADMT法规。 

对企业的影响

企业需注意，并非所有新规都适用于自身。每项新出台的先进数据处理技术（ADMT）、风险评估及网络安全审计法规均设有适用门槛。例如，ADMT法规仅在该技术（需再次强调，其不仅限于人工智能应用，亦可能涉及其他传统技术）用于法规定义的"重大决策"时方适用。 企业应评估新规中哪些条款（如有）适用于自身（且可能在适用生效日期起生效），并在适当时候着手制定合规计划。 

虽然部分生效日期可能在四年后（针对需接受网络安全审计的小型企业），但某些新规可能需要提前规划和资源配置，尽早着手将更有利。 另一方面，大型企业（年收入超过1亿美元）通常拥有庞大的信息技术基础设施，而完成网络安全审计的短暂窗口期（不足三年）将迅速流逝。此类企业需立即调配资源以确保按时达标。 

加州隐私保护局（CPPA）今日宣布，加州行政法办公室已批准涵盖网络安全审计、风险评估、自动化决策技术（ADMT）、保险公司以及现有《加州消费者隐私法案》（CCPA）法规更新的监管条例。

查看引用文章