
关键要点
- 2026年1月1日生效的新《加州消费者隐私法案》(CCPA)规定,为企业引入了多项重大新义务,包括网络安全审计、风险评估以及自动化决策技术(ADMT)要求。
- 网络安全审计仅适用于其处理行为对消费者构成"重大风险"的组织,并将按阶段实施,直至2030年完成。
- 该法规要求进行详细、基于证据的审计——这意味着企业必须准备政策、日志、配置和文档,而不仅仅是书面声明。
- 对某些敏感个人信息处理、ADMT、生物识别数据以及数据共享或销售活动,需要进行新的风险评估。
- 加利福尼亚州的新框架提高了合规门槛,要求企业尽早投入、详尽记录并聘请经验丰富的审计师,以避免出现瓶颈。
- 组织应立即着手准备工作,包括审查数据处理活动、识别ADMT的使用情况,并评估其是否符合新定义的阈值要求。
引言
《加州消费者隐私法案》(CCPA)自最初通过以来已发生重大演变,而最新一批法规——经行政法办公室于2025年9月23日批准,将于2026年1月1日生效——引入了迄今为止最全面的修订。这些更新反映了加州隐私保护局(现更名为Cal Privacy)与众多行业利益相关方历时数年的协作成果。
在福里尔·拉德纳律师事务所近期播客中,隐私事务负责人史蒂夫·米伦多夫与盖布·怀尔德——两位均隶属于技术交易、网络安全及隐私业务组的律师——系统阐释了相关法规及其对企业的影响。他们的讨论揭示了一个核心事实:这些规则将为众多组织带来显著的运营提升,尤其对处理海量个人信息或运用自动化决策技术的企业而言。
风险评估要求
网络安全审计侧重于系统安全性,而隐私风险评估则考察企业如何使用个人信息——以及这种使用行为所带来的风险。
什么会触发风险评估?
企业若从事对消费者隐私构成重大风险的处理活动,必须进行风险评估,包括:
- 出售或共享个人信息
- 处理敏感个人信息
- 以影响消费者权益或机会的方式使用ADMT
- 处理生物识别或身份验证数据
- 利用个人信息训练自动化系统
重要的是,某些做法——例如定向广告——通常不被纳入监管范围,除非涉及高风险因素。
时间线与保留
对于现有处理活动,首次风险评估的截止日期为:
- 2027年12月31日
此后,必须更新风险评估:
- 每三年,或
- 在处理方式发生重大变更后45天内
所有评估记录必须保留五年。
风险评估必须包含哪些内容?
评估必须详细记录:
- 处理的业务目的
- 个人信息的类别与来源
- 收集、使用、保留和披露的方法
- ADMT的逻辑与局限性(如适用)
- 消费者面临的风险包括:
- 偏见或歧视
- 失控
- 经济影响
- 心理或声誉损害
- 消费者和利益相关者的利益
- 减轻危害的保障措施
完成分析后,企业必须评估风险是否大于收益,若风险大于收益,则应停止处理。
该要求呼应了《通用数据保护条例》中数据保护影响评估的部分内容,但更明确地与记录在案的损害及缓解措施相关联。
自动化决策技术
该法规为资产管理工具(ADMT)引入了新的透明度和风险评估规则——其定义范围广泛,包括:
- 画像
- 预测性分析
- 机器学习模型
- 人工智能工具影响就业、信贷或其他重大决策
- 采用生物特征或生理数据进行识别的技术
企业必须提供以下信息:
- 所使用的逻辑
- 人类参与的作用
- 结果如何影响消费者
- 退出权(在特定情况下)
鉴于人工智能和机器学习技术的快速普及,这很可能成为加州隐私法执法的重点领域。
立即行动——企业当下应采取的措施
两位律师都强调,提前准备至关重要。即使距离首次审计或风险评估还有数年时间,评估窗口期可能已经开启。
建议的下一步措施包括:
1. 开展就绪性评估
审查现有的网络安全措施、文件记录及数据处理活动,以识别:
- 文档缺失
- 缺失的政策
- 不完整的配置
- 过时的安全工具
- 高风险加工活动
2. 开始构建文档
若未被记录,便不存在。开始创建:
- 政策
- 程序
- 日志
- 报告
- 数据流记录
3. 尽早确定外部合作伙伴
审计师、人工智能可解释性专家和风险评估顾问将备受追捧。
4. 分析所有ADMT用例
许多组织在使用机器学习模型时,并未意识到这些模型属于ADMT的定义范畴。
5. 合规预算
网络安全审计和风险评估将需要:
- 员工工时
- 外部审计师费用
- 技术投资
- 已识别问题的整改
6. 执行内部干运行
模拟审计或风险评估以识别:
- 准备不足的团队
- 缺失的知识
- 系统可见性缺口
正如律师们强调的:你绝不希望第一个发现漏洞的人是你的审计员——或是监管机构。
这对加州企业意味着什么
这些法规显著扩展了加利福尼亚州的隐私框架,使其更接近于GDPR式的治理模式,尤其体现在以下方面:
- 问责制
- 文档
- 透明度
- 风险平衡
- 消费者权益
播客讨论中贯穿始终的主题是:这绝非走过场式的形式主义。这些法规要求周密规划、专业技术支持以及跨职能协作。
组织应将准备工作视为一项多年历程,而非赶在截止日期前仓促完成的任务。及早着手者将最能从容应对新形势。
结论
新颁布的《加州消费者隐私法案》标志着美国隐私治理体系最重大的扩展之一。对众多企业而言,合规要求将迫使它们进行重大运营调整——尤其是那些采用自动化技术或大规模处理数据的企业。
但通过提前规划、规范记录和选择合适的合作伙伴,企业完全能够做好准备。现在就了解要求并采取主动措施,企业就能降低风险、简化合规流程,并为新的监管环境做好充分准备。
想了解最新的隐私动态吗?
收听福莱律师事务所网络安全与数据隐私团队的播客系列,我们的律师将深入解析不断演变的法规、新兴风险及其对您业务的影响。
若您错过了昨日首播及本系列第一部分,请点击此处立即收听Foley隐私事务组的首期播客节目。