把 CCPA/CPRA 做扎实,放心服务加州用户

加州是执法最活跃的美国隐私法域:退出机制不完整、数据最小化不到位,都已经有真实罚单。我们替你把每一条做到位。

CCPA 经 CPRA 修订后义务大幅扩展,2026 年起网络安全审计、隐私风险评估和自动化决策(ADMT)三项新义务陆续生效。Kaamel 用自研控制框架逐条映射全部适用条款,与你已有的 SOC 2、GDPR 控制最大程度复用。

AICPA SOCDrataVanta

自动化基于 Vanta 与 Drata · 近 100 家出海企业选择 Kaamel

1,275 万美元
通用汽车 2026 年因数据最小化违规被罚,CCPA 纪录再刷新
3 项
2026 年生效的新义务:网络安全审计、风险评估、ADMT
6 项
消费者权利,全部纳入响应流程与台账

CCPA/CPRA 是什么?

CCPA 是美国首部综合性州级消费者隐私法,2020 年生效;CPRA 于 2023 年生效,对它做了全面修订与扩展。两者不是两部法律,企业实际要合规的是经 CPRA 修订后的 CCPA。它不看你的公司注册在哪里:达到营收或数据量门槛、处理加州居民个人信息,它就适用于你。

三个适用门槛,满足其一即适用

全球年收入超过 2,625 万美元(随通胀调整);或每年买卖、分享 10 万名以上加州居民或家庭的个人信息;或 50% 以上收入来自出售或分享个人信息。

六项消费者权利

知情、删除、更正(CPRA 新增)、退出出售或分享、限制敏感个人信息使用、不受歧视。每一项都要有流程、有台账、有时限。

退出权是执法焦点

退出机制必须在所有设备与服务中统一生效,并支持全球隐私控制(GPC)信号。迪士尼案说明:部分合规等于不合规。

敏感信息范围在扩大

CPRA 定义的敏感个人信息之外,加州已把神经数据纳入敏感范畴。采集与用途限制要跟着立法动态更新。

2026 年起的三项新义务

新义务谁会触发关键时限
隐私风险评估出售/分享个人信息、处理敏感信息、用 ADMT 做重大决定等高风险活动存量活动 2027 年底前完成评估,2028 年 4 月前向 CPPA 提交;新活动启动前完成
自动化决策(ADMT)合规用算法实质性取代人类做金融、住房、就业、医疗等重大决策2027 年 1 月前建立事前通知、退出与访问机制
强制网络安全审计50% 以上收入来自出售/分享个人信息,或高营收且处理 25 万以上消费者信息义务 2026 年 1 月已生效,认证按营收 2028-2030 分批提交

为什么要做 CCPA/CPRA

加州有两个执法机构在同时行动:总检察长与加州隐私保护局(CPPA),罚单已经落到从初创到巨头的各类公司头上。

罚单是真实的,而且在加速

迪士尼 275 万、通用汽车 1,275 万美元接连刷新纪录;Tractor Supply、本田、PlayOn 等中型企业同样被罚。执法对象不限于巨头。

美国客户的采购前提

面向美国市场的企业客户,尽调问卷里 CCPA 已是常规项。答不上来,合同就停在采购环节。

新义务窗口期正在关闭

风险评估、ADMT、网络安全审计的时限都已排定。等到截止前再动手,返工成本远高于现在按节奏推进。

服务怎么进行

CCPA/CPRA 没有证书可考,合规是一套要持续运行并经得起执法检查的项目。我们分四步把它建起来。

  1. 01

    适用评估与差距分析

    先确认你是否触发管辖门槛,再对照全部适用条款和 2026 年新规做差距评估,输出分阶段路线图,与 SOC 2、ISO 等在建项目统筹推进。

  2. 02

    政策与权利响应机制

    全套隐私政策与知情披露文件,六项消费者权利的响应流程与台账;退出机制做到全设备统一生效,并接入 GPC 信号。

  3. 03

    2026 新规三件套

    隐私风险评估流程与首批评估、ADMT 合规机制(事前通知、退出、访问)、网络安全审计的触发评估与审计准备。

  4. 04

    持续监控与执法应对

    控制接入合规自动化平台持续监控,形成随时可以应对 CPPA 调查、总检察长执法与客户尽调的证据包。

需要你投入什么?

Kaamel 顾问主导

适用评估、政策起草、权利响应设计、风险评估组织、ADMT 评估、审计准备、培训演练、供应商合同评审,都由顾问团队完成。

你的团队配合

在指导下完成加密、日志、访问控制、退出机制等技术配置,多数复用现有云原生能力,不需要额外采购。

最后到你手里的

适用与差距评估报告、全套政策与流程文件、权利响应台账、风险评估与 ADMT 报告、审计准备清单,和一块持续更新的证据看板。

想知道按你的情况,需要多久、花多少?

为什么选择 Kaamel

我们按"真的会有人来查"的标准建 CCPA 项目:每项要求对应一个控制、一个责任人、一份审计能查的证据。

一次建设,多框架复用

自研控制框架与 SOC 2、ISO 27001/27701、GDPR 天然兼容。已合规的企业增量成本很低,CCPA 控制还能并入 SOC 2 审计范围。

贴着你的技术栈设计

为 SaaS、AI 和云原生架构而写,消费者权利响应与数据生命周期的控制贴合工程实践,不是纸面合规。

紧跟立法与执法动态

CPPA 规则制定、总检察长执法案例、神经数据这类立法扩展,我们持续跟踪,合规建议始终基于最新要求。

双团队全程辅导,没有时差

硅谷、亚洲两地团队衔接,中英双语交付,出海团队与加州本地团队协作不打折。

十大服务领域,按你的范围裁剪

  • 适用范围评估与分阶段合规路线图
  • 全套隐私政策、知情披露与制度体系
  • 六项消费者权利的响应流程与台账
  • 退出机制与 GPC 信号支持,全设备统一生效
  • 敏感个人信息与神经数据管理
  • 隐私风险评估(2026 新规)
  • 自动化决策 ADMT 合规(2026-2027 新规)
  • 强制网络安全审计的触发评估与准备
  • 数据泄露响应流程与年度桌面演练
  • 服务提供商与承包商合同条款评审

CCPA/CPRA 常见问题

我们不在加州注册,CCPA 也适用吗?

适用与否看业务而不是注册地。满足三个门槛之一就在管辖范围内:全球年收入超过 2,625 万美元;每年买卖或分享 10 万名以上加州居民或家庭的个人信息;或一半以上收入来自出售或分享个人信息。面向美国市场的出海企业很容易触发第一条。

CCPA 和 CPRA 是什么关系?

CPRA 不是一部新法律,而是对 CCPA 的全面修订,2023 年生效。企业实际要合规的是经 CPRA 修订后的 CCPA:消费者权利更多、义务更重,并授权 CPPA 持续制定新规。

CCPA 有认证证书吗?

没有官方认证。合规状态通过政策文件、风险评估记录、控制运行证据来证明。我们帮你形成完整的合规证据包;需要更强的对外证明时,可以把 CCPA 控制并入 SOC 2 审计范围,或安排独立第三方评估。

2026 年的新规到底要做什么?

三件事:高风险处理活动的隐私风险评估(存量活动 2027 年底前完成,2028 年 4 月前向 CPPA 提交);用于重大决策的自动化决策技术(ADMT)要有事前通知、退出和访问机制;触发条件的企业要做年度网络安全审计。义务已生效,认证按营收规模 2028-2030 分批提交。

我们已经做了 GDPR,CCPA 还要做多少?

大部分基础可以复用:数据梳理、安全控制、泄露响应是相通的。但加州有自己的特有要求,例如"出售或分享"的定义、退出权与 GPC 信号、敏感信息的用途限制、以及 2026 年新规,这些需要单独落地。我们只补增量,不重建。

执法真的会找上中型公司吗?

会。除了迪士尼和通用汽车,Tractor Supply(135 万美元)、本田(63 万美元)、PlayOn Sports(110 万美元)都已被罚,还有数据经纪专项执法与多州联合的 GPC 合规检查。执法覆盖面在扩大,不是只盯巨头。

在向加州用户提供产品或服务?

预约一次免费评估,我们帮你确认是否触发 CCPA/CPRA、缺什么、2026 新规的时限怎么排。