加州行政法办公室批准更新的 CCPA 条例

加州行政法办公室已对加州隐私保护局 2025 年 7 月批准的 CCPA 更新法规盖章批准，修订后的法规现在将公布在《加州法规汇编》(CCR) 中。修订后的法规包括关于自动决策技术 (ADMT) 的新法规，其中不仅包括人工智能、风险评估和网络安全审计的使用，还包括对隐私通知、服务提供商协议和其他法规要求等领域现有法规的更新和澄清。修订后的法规还包括仅针对保险公司的新法规。 

对现行法规的修改于 2026 年 1 月 1 日生效。但是，有关 ADMT、风险评估和网络安全审计的某些新要求的生效日期较晚：

• 网络安全审计的生效日期取决于企业的年收入，收入超过 1 亿美元的企业的合规日期为 2028 年 4 月 1 日，收入在 5000 万至 1 亿美元之间的企业的合规日期为 2027 年 4 月 1 日，收入低于 5000 万美元的企业的合规日期为 2030 年 4 月 1 日。 
• 根据修订后的法规要求进行风险评估的企业必须从 2026 年 1 月 1 日起开始合规，但在 2028 年 4 月 1 日之前不需要提供已完成风险评估的证明和评估结果摘要。 
• 使用 ADMT 技术做出重大决策的企业在 2027 年 1 月 1 日前无需遵守新的 ADMT 法规。 

对企业的影响

需要提醒企业的是，并非所有新法规都适用于企业。新的 ADMT、风险评估和网络安全审计法规都有一定的适用门槛。例如，ADMT 法规只有在 ADMT（同样，ADMT 不仅包括人工智能的使用，还可能适用于其他更传统的技术）用于法规中定义的 "重大决策 "时才适用。企业应审查哪些新法规（如果有的话）适用于自己（在适用的生效日期可能适用于自己），并在适当的时候开始制定合规计划。 

虽然有些新法规的生效日期可能是 4 年以后（对于受网络安全审计要求约束的相对较小的企业），但有些新法规可能需要一些规划和资源，及早开始可能会受益匪浅。另一方面，相对较大的企业（年收入超过 1 亿美元的企业）可能拥有大量的信息技术基础设施，完成网络安全审计的窗口期较短（不到 3 年），时间会过得很快。这些企业需要立即分配资源以遵守最后期限。 

加州隐私保护局 (CPPA) 今天宣布，加州行政法办公室已批准了涉及网络安全审计、风险评估、自动决策技术 (ADMT)、保险公司以及现有 CCPA 法规更新的法规。

查看参考文章