CCPA & AI Compliance

Overview

《加州消費者隱私法》（CCPA），經《加州隱私權法》（CPRA）修訂後，是美國最全面的消費者隱私法律。自 2020 年 1 月生效，並於 2023 年透過 CPRA 修正案大幅加強，CCPA 賦予加州居民對其個人資訊的廣泛權利，並對收集、使用或出售該資料的企業施加義務。對於 AI 開發團隊而言，CCPA 直接影響訓練資料的來源、處理和保留方式。

CCPA 適用於符合以下任一門檻的營利企業：年度總收入超過 2,500 萬美元、購買、出售或分享 100,000 名以上加州消費者或家庭的個人資訊，或從出售或分享個人資訊中獲得 50% 以上的年收入。鑑於 AI 訓練所需的資料規模，許多建構 AI 系統的組織將達到這些門檻。CPRA 修正案進一步設立了加州隱私保護局（CPPA），這是美國第一個專門的隱私執法機構。

對於 AI 和機器學習而言，CCPA 對個人資訊的定義極為廣泛，不僅涵蓋明顯的識別符，還包括從個人資訊中得出的推論以建立消費者檔案。這意味著基於個人資料訓練的 AI 模型，以及這些模型產生的預測，本身可能構成 CCPA 下的個人資訊。因此，組織不僅必須考慮其訓練資料的法規影響，還必須考慮其模型輸出以及透過 AI 驅動分析建立的檔案。

AI-Specific Requirements

CCPA 建立了多項直接影響 AI 訓練資料管線的消費者權利。知情權要求企業披露其收集的個人資訊、收集目的以及與之分享資料的第三方類別。對於 AI 團隊，這意味著必須維護清晰的記錄，說明哪些個人資料進入了訓練管線以及如何被使用。刪除權要求企業在收到請求時刪除消費者資料，這引發了關於經訓練的模型權重是否必須重新訓練以「遺忘」已刪除資料的複雜問題。

CPRA 修正案引入了限制使用和披露敏感個人資訊的權利，包括精確地理位置、種族或民族來源、健康資訊和金融帳戶詳細資訊。AI 訓練資料集經常包含這些敏感類別，組織必須為消費者提供一種機制，讓其選擇退出將敏感資料用於超出預期服務合理所需的範圍。選擇退出出售或分享個人資訊的權利同樣至關重要——如果訓練資料來自資料經紀商或與第三方模型訓練服務分享，消費者必須有能力選擇退出。

CPRA 下的目的限制限制企業將個人資訊用於與收集時披露的目的有實質不同或不相容的目的。這意味著組織不能簡單地將為服務交付而收集的客戶資料重新用於 AI 訓練資料集，而不提供額外通知並獲得適當同意。資料最小化要求進一步規定，收集和處理必須限於對披露目的合理必要和成比例的範圍。違規可能導致每次違規 2,500 美元或每次故意違規 7,500 美元的罰款，在大型資料集上可能迅速累積。

How Ertas Helps

Ertas Data Suite 的本地端架構為 AI 開發中的 CCPA 合規提供了堅實的基礎。透過將所有個人資訊處理保持在您組織的基礎設施內，您消除了與第三方 AI 服務供應商分享資料的複雜性。當您的 AI 訓練管線完全在您自己的硬體上運作且無外部資料傳輸時，CCPA 圍繞服務供應商和第三方的披露要求變得更加簡單。

Ertas Data Suite 中的 PII 編輯引擎透過識別和移除訓練資料集中的個人識別符，幫助組織滿足 CCPA 的資料最小化要求。當消費者行使刪除權時，資料譜系追蹤使您能夠準確識別哪些資料集包含特定個人的資訊，促進有針對性的資料移除。全面的稽核日誌記錄為您的資料處理實踐建立了可辯護的記錄，這在回應消費者請求或向加州隱私保護局展示合規性時至關重要。

Ertas Studio 的 Vault 確保為 AI 訓練保留的任何個人資訊都受到加密和存取控制的保護。系統的資料譜系功能幫助組織維護 CCPA 要求的資料收集、使用和分享的詳細記錄。透過提供個人資訊如何流經您的 AI 開發管線的完整、可稽核的圖景，Ertas 使組織能夠準確回應消費者關於資料處理的資訊請求，並展示符合 CCPA 透明度和問責要求的合規性。

Compliance Checklist