把 CCPA/CPRA 做扎实,放心服务加州用户
加州是执法最活跃的美国隐私法域:退出机制不完整、数据最小化不到位,都已经有真实罚单。我们替你把每一条做到位。
CCPA 经 CPRA 修订后义务大幅扩展,2026 年起网络安全审计、隐私风险评估和自动化决策(ADMT)三项新义务陆续生效。Kaamel 用自研控制框架逐条映射全部适用条款,与你已有的 SOC 2、GDPR 控制最大程度复用。



自动化基于 Vanta 与 Drata · 近 100 家出海企业选择 Kaamel
CCPA/CPRA 是什么?
CCPA 是美国首部综合性州级消费者隐私法,2020 年生效;CPRA 于 2023 年生效,对它做了全面修订与扩展。两者不是两部法律,企业实际要合规的是经 CPRA 修订后的 CCPA。它不看你的公司注册在哪里:达到营收或数据量门槛、处理加州居民个人信息,它就适用于你。
三个适用门槛,满足其一即适用
全球年收入超过 2,625 万美元(随通胀调整);或每年买卖、分享 10 万名以上加州居民或家庭的个人信息;或 50% 以上收入来自出售或分享个人信息。
六项消费者权利
知情、删除、更正(CPRA 新增)、退出出售或分享、限制敏感个人信息使用、不受歧视。每一项都要有流程、有台账、有时限。
退出权是执法焦点
退出机制必须在所有设备与服务中统一生效,并支持全球隐私控制(GPC)信号。迪士尼案说明:部分合规等于不合规。
敏感信息范围在扩大
CPRA 定义的敏感个人信息之外,加州已把神经数据纳入敏感范畴。采集与用途限制要跟着立法动态更新。
2026 年起的三项新义务
| 新义务 | 谁会触发 | 关键时限 |
|---|---|---|
| 隐私风险评估 | 出售/分享个人信息、处理敏感信息、用 ADMT 做重大决定等高风险活动 | 存量活动 2027 年底前完成评估,2028 年 4 月前向 CPPA 提交;新活动启动前完成 |
| 自动化决策(ADMT)合规 | 用算法实质性取代人类做金融、住房、就业、医疗等重大决策 | 2027 年 1 月前建立事前通知、退出与访问机制 |
| 强制网络安全审计 | 50% 以上收入来自出售/分享个人信息,或高营收且处理 25 万以上消费者信息 | 义务 2026 年 1 月已生效,认证按营收 2028-2030 分批提交 |
为什么要做 CCPA/CPRA
加州有两个执法机构在同时行动:总检察长与加州隐私保护局(CPPA),罚单已经落到从初创到巨头的各类公司头上。
罚单是真实的,而且在加速
迪士尼 275 万、通用汽车 1,275 万美元接连刷新纪录;Tractor Supply、本田、PlayOn 等中型企业同样被罚。执法对象不限于巨头。
美国客户的采购前提
面向美国市场的企业客户,尽调问卷里 CCPA 已是常规项。答不上来,合同就停在采购环节。
新义务窗口期正在关闭
风险评估、ADMT、网络安全审计的时限都已排定。等到截止前再动手,返工成本远高于现在按节奏推进。
服务怎么进行
CCPA/CPRA 没有证书可考,合规是一套要持续运行并经得起执法检查的项目。我们分四步把它建起来。
- 01
适用评估与差距分析
先确认你是否触发管辖门槛,再对照全部适用条款和 2026 年新规做差距评估,输出分阶段路线图,与 SOC 2、ISO 等在建项目统筹推进。
- 02
政策与权利响应机制
全套隐私政策与知情披露文件,六项消费者权利的响应流程与台账;退出机制做到全设备统一生效,并接入 GPC 信号。
- 03
2026 新规三件套
隐私风险评估流程与首批评估、ADMT 合规机制(事前通知、退出、访问)、网络安全审计的触发评估与审计准备。
- 04
持续监控与执法应对
控制接入合规自动化平台持续监控,形成随时可以应对 CPPA 调查、总检察长执法与客户尽调的证据包。
需要你投入什么?
Kaamel 顾问主导
适用评估、政策起草、权利响应设计、风险评估组织、ADMT 评估、审计准备、培训演练、供应商合同评审,都由顾问团队完成。
你的团队配合
在指导下完成加密、日志、访问控制、退出机制等技术配置,多数复用现有云原生能力,不需要额外采购。
最后到你手里的
适用与差距评估报告、全套政策与流程文件、权利响应台账、风险评估与 ADMT 报告、审计准备清单,和一块持续更新的证据看板。
为什么选择 Kaamel
我们按"真的会有人来查"的标准建 CCPA 项目:每项要求对应一个控制、一个责任人、一份审计能查的证据。
一次建设,多框架复用
自研控制框架与 SOC 2、ISO 27001/27701、GDPR 天然兼容。已合规的企业增量成本很低,CCPA 控制还能并入 SOC 2 审计范围。
贴着你的技术栈设计
为 SaaS、AI 和云原生架构而写,消费者权利响应与数据生命周期的控制贴合工程实践,不是纸面合规。
紧跟立法与执法动态
CPPA 规则制定、总检察长执法案例、神经数据这类立法扩展,我们持续跟踪,合规建议始终基于最新要求。
双团队全程辅导,没有时差
硅谷、亚洲两地团队衔接,中英双语交付,出海团队与加州本地团队协作不打折。
十大服务领域,按你的范围裁剪
- 适用范围评估与分阶段合规路线图
- 全套隐私政策、知情披露与制度体系
- 六项消费者权利的响应流程与台账
- 退出机制与 GPC 信号支持,全设备统一生效
- 敏感个人信息与神经数据管理
- 隐私风险评估(2026 新规)
- 自动化决策 ADMT 合规(2026-2027 新规)
- 强制网络安全审计的触发评估与准备
- 数据泄露响应流程与年度桌面演练
- 服务提供商与承包商合同条款评审
CCPA/CPRA 常见问题
我们不在加州注册,CCPA 也适用吗?
适用与否看业务而不是注册地。满足三个门槛之一就在管辖范围内:全球年收入超过 2,625 万美元;每年买卖或分享 10 万名以上加州居民或家庭的个人信息;或一半以上收入来自出售或分享个人信息。面向美国市场的出海企业很容易触发第一条。
CCPA 和 CPRA 是什么关系?
CPRA 不是一部新法律,而是对 CCPA 的全面修订,2023 年生效。企业实际要合规的是经 CPRA 修订后的 CCPA:消费者权利更多、义务更重,并授权 CPPA 持续制定新规。
CCPA 有认证证书吗?
没有官方认证。合规状态通过政策文件、风险评估记录、控制运行证据来证明。我们帮你形成完整的合规证据包;需要更强的对外证明时,可以把 CCPA 控制并入 SOC 2 审计范围,或安排独立第三方评估。
2026 年的新规到底要做什么?
三件事:高风险处理活动的隐私风险评估(存量活动 2027 年底前完成,2028 年 4 月前向 CPPA 提交);用于重大决策的自动化决策技术(ADMT)要有事前通知、退出和访问机制;触发条件的企业要做年度网络安全审计。义务已生效,认证按营收规模 2028-2030 分批提交。
我们已经做了 GDPR,CCPA 还要做多少?
大部分基础可以复用:数据梳理、安全控制、泄露响应是相通的。但加州有自己的特有要求,例如"出售或分享"的定义、退出权与 GPC 信号、敏感信息的用途限制、以及 2026 年新规,这些需要单独落地。我们只补增量,不重建。
执法真的会找上中型公司吗?
会。除了迪士尼和通用汽车,Tractor Supply(135 万美元)、本田(63 万美元)、PlayOn Sports(110 万美元)都已被罚,还有数据经纪专项执法与多州联合的 GPC 合规检查。执法覆盖面在扩大,不是只盯巨头。

