加州敲定CCPA新规：网络安全审计与AI决策技术面临严格监管

加州最终确定新的和修订的CCPA法规

2025年9月23日，加州隐私保护机构（“CPPA”）宣布，加州行政法办公室（“OAL”）已批准CPPA在2025年7月24日董事会会议后提交审核的新修订的《加州消费者隐私法案》法规。这是加州法律正式采用新修订法规的最后一步。

这些法规确立了企业需要进行年度全面网络安全审计和详细技术隐私风险评估的标准。法规还对某些自动化决策技术（包括人工智能工具和技术）的使用实施了新标准。CPPA借此机会对现有法规进行了一些额外更新，包括涉及在线退出偏好信号的处理以及与第三方供应商签订的数据处理协议中的强制性语言。

这些法规将于2026年1月1日生效，但需遵守以下延迟截止日期：

受网络安全审计要求约束的企业必须根据其年度总收入在以下日期前向CPPA提交认证：

2030年4月1日之后，在1月1日前达到上一年度审计标准的企业必须完成涵盖接下来12个月的审计，并在次年的4月1日前提交报告。

需要完成风险评估的企业必须在2026年1月1日前开始合规。到2028年4月1日，它们必须向CPPA提交：

对于2027年之后进行的评估，企业必须在评估次年4月1日前提交证明和所需信息。

使用ADMT做出法规定义的重大决策的企业必须从2027年1月1日开始遵守ADMT要求。

下一次CPPA董事会会议将于2025年9月26日星期五举行。

我们将在我们的隐私、网络与数据战略博客上继续提供对新法规的更新和分析。如果您对新法规可能如何影响您的组织有疑问，请联系Alston & Bird的隐私、网络与数据战略团队。