CCPA（加州消费者隐私法） & AI Compliance

Overview

《加州消费者隐私法》（CCPA）经《加州隐私权法》（CPRA）修订后，是美国最全面的消费者隐私法律。该法于2020年1月生效，并在2023年通过 CPRA 修正案大幅强化，赋予加州居民对其个人信息的广泛权利，同时对收集、使用或出售该数据的企业施加相应义务。对于 AI 开发团队而言，CCPA 对训练数据的来源、处理和保留方式具有直接影响。

CCPA 适用于满足以下任一条件的营利性企业：年总收入超过2500万美元、购买/出售/共享10万或以上加州消费者或家庭的个人信息、或年收入的50%以上来源于出售或共享个人信息。鉴于 AI 训练所需的数据规模，许多构建 AI 系统的组织都会达到这些门槛。CPRA 修正案还设立了加州隐私保护局（CPPA），这是美国首个专门的隐私执法机构。

就 AI 和机器学习而言，CCPA 对个人信息的定义极为宽泛，不仅涵盖明显的标识符，还包括从个人信息中推断出的用于创建消费者画像的信息。这意味着基于个人数据训练的 AI 模型及其生成的预测结果，本身可能构成 CCPA 下的个人信息。因此，组织不仅需要考虑训练数据的合规影响，还需要关注模型输出以及通过 AI 分析创建的画像所带来的监管问题。

AI-Specific Requirements

CCPA 确立了多项直接影响 AI 训练数据管道的消费者权利。知情权要求企业披露其收集的个人信息类型、收集目的以及数据共享的第三方类别。对于 AI 团队，这意味着必须清晰记录哪些个人数据进入了训练管道以及如何使用。删除权则要求企业在收到请求时删除消费者数据，这引发了一个复杂的问题——是否需要重新训练模型以"遗忘"已删除的数据。

CPRA 修正案引入了限制敏感个人信息使用和披露的权利，包括精确地理位置、种族或民族来源、健康信息和金融账户信息等。AI 训练数据集经常包含这些敏感类别，组织必须为消费者提供一种机制，允许其选择退出将敏感数据用于超出预期服务合理需要的用途。选择退出个人信息出售或共享的权利同样至关重要——如果训练数据来源于数据经纪商或与第三方模型训练服务共享，消费者必须有权选择退出。

CPRA 的目的限制原则禁止企业将个人信息用于与收集时披露的目的实质不同或不相容的用途。这意味着组织不能在未提供额外通知并获得适当同意的情况下，将为服务交付而收集的客户数据直接用于 AI 训练数据集。数据最小化要求进一步规定，数据的收集和处理应限于与所披露目的合理必要且相称的范围。违规处罚为每次违规2500美元或每次故意违规7500美元，当涉及大规模数据集时，罚款可迅速累积。

How Ertas Helps

Ertas Data Suite 的本地化架构为 AI 开发中的 CCPA 合规提供了坚实基础。通过将所有个人信息处理保留在组织自有基础设施内，您可以消除与第三方 AI 服务提供商共享数据的复杂性。当 AI 训练管道完全在您自有硬件上运行且没有外部数据传输时，CCPA 关于服务提供商和第三方的披露要求将变得更为简单。

Ertas Data Suite 中的 PII 脱敏引擎通过识别和移除训练数据集中的个人标识符，帮助组织满足 CCPA 的数据最小化要求。当消费者行使删除权时，数据血缘追踪可以让您精准定位哪些数据集包含特定个人的信息，从而支持有针对性的数据移除。全面的审计日志为您的数据处理实践创建了可辩护的记录，在响应消费者请求或向加州隐私保护局证明合规时至关重要。

Ertas Studio 的 Vault 确保为 AI 训练保留的所有个人信息均受到加密和访问控制的保护。系统的数据血缘功能帮助组织维护 CCPA 所要求的数据收集、使用和共享详细记录。通过提供个人信息在 AI 开发管道中流转的完整、可审计视图，Ertas 使组织能够准确响应消费者关于数据处理的知情请求，并证明其符合 CCPA 的透明度和问责要求。

Compliance Checklist