作为加州标志性数据隐私法的《加州消费者隐私法案》(CCPA) 最初并未直接涉及 ADMT 的使用。随着 2020 年《加州隐私权法案》(CPRA) 的通过，这一情况发生了改变——该法案从多个重要方面对 CCPA 进行了修订。
CPRA 设立了 CPPA 作为监管机构，负责实施和执行 CCPA 规则。CPRA 还授权 CPPA 颁布关于加州消费者访问自动化决策信息及选择退出自动化决策的相关法规。CPPA 正依据此项授权制定 ADMT 规则。
与 CCPA 的其他部分一致，该草案规则将适用于在加州开展业务且符合以下至少一项条件的营利性组织：
此外，拟议法规仅适用于 AI 与 ADMT 的特定用途：作出重大决策、对消费者进行广泛画像分析，以及训练 ADMT 工具。
当前草案 将自动化决策技术定义为任何处理个人数据，并通过计算执行决策、替代人类决策或实质性协助人类决策的软件或程序。草案特别指出，此定义包括“源自机器学习、统计学、其他数据处理技术或人工智能”的软件与程序。
草案规则明确列出了一些不被视为自动化决策技术的工具，包括垃圾邮件过滤器、电子表格和防火墙。但若组织试图以规避监管的方式使用这些豁免工具进行自动化决策，则规则仍将适用于该用途。
该草案规则将适用于任何使用 ADMT 作出对消费者产生重大影响的决策之情形。一般而言，重大决策指影响个人权利或获取关键商品、服务及机会的决策。
例如，草案规则将涵盖影响个人就业、入学、获得医疗保健或取得贷款能力的自动化决策。
画像分析指自动处理某人的个人信息以评估、分析或预测其特质与特征（如工作表现、产品兴趣或行为）的行为。
“广泛画像分析”特指以下类型的画像分析行为：
该草案规则将适用于企业使用消费者个人数据训练特定 ADMT 工具的情形。具体而言，规则涵盖训练可用于作出重大决策、识别人物、生成深度伪造内容，或执行物理/生物识别与画像分析的 ADMT。
作为加州法律，CCPA 的消费者保护条款仅适用于居住在加州的消费者。ADMT 草案规则赋予的保护同样遵循此原则。
需要说明的是，这些规则对“消费者”的定义比许多其他数据隐私法规更广泛。除与企业互动的人员外，规则还涵盖员工、学生、独立承包商以及学校与职位的申请人。
CCPA AI 草案法规包含三项核心要求。使用受规范围 ADMT 的组织必须：向消费者发出使用前通知、提供退出 ADMT 的选项，并说明企业使用 ADMT 对消费者产生的影响。
尽管 CPPA 已修订过一次法规，且在规则正式通过前很可能再次修订，但这些核心要求在迄今为止的每一版草案中均有所体现。这些要求得以保留的事实表明，即使具体实施细则发生变化，它们仍将出现在最终规则中。
在将 ADMT 用于任一受规范围用途之前，组织必须清晰显著地向消费者提供使用前通知。通知须以平实语言详细说明企业如何使用 ADMT，并阐明消费者获取相关详细信息及退出该流程的权利。
企业不得使用笼统表述来描述其如何使用自动化决策技术，例如“我们使用自动化工具改进服务”。相反，组织必须描述具体用途。
通知必须引导消费者获取关于 ADMT 运行机制的补充信息，包括工具的逻辑原理及企业如何使用其输出结果。这些信息不必包含在通知正文中。组织可通过超链接或其他方式提供访问途径。
若企业允许消费者对自动化决策提出申诉，使用前通知必须说明申诉流程。
消费者有权退出大多数受规范围的 ADMT 用途。企业必须通过提供至少两种提交退出请求的途径来保障这一权利。
在提供的退出方法中，至少一种必须使用企业主要与消费者互动的相同渠道。例如，一家数字零售商可以提供一个供用户填写的网页表单。
退出方法必须简单，不能包含额外步骤，例如要求用户创建账户。
在收到退出请求后，企业必须在 15 天内停止使用该自动化决策技术处理该消费者的个人信息。企业不得再使用其先前处理的该消费者的任何数据。企业还必须通知所有与其共享了该用户数据的服务提供商或第三方。
组织无需允许消费者退出用于安全、安保和欺诈预防的 ADMT。草案规则特别提到了使用 ADMT 来检测和应对数据安全事件、预防和追诉欺诈及非法行为，以及确保自然人人身安全的用途。
根据人工申诉例外条款，如果组织允许个人向具备推翻决策权限的合格人工审核员申诉自动化决策，则无需提供退出选项。
对于工作和学习场景中某些特定且范围狭窄的 ADMT 用途，组织也可不提供退出选项。这些用途包括：
然而，这些工作和学习用途只有在满足以下条件时，才可豁免退出要求：
这些豁免情形均不适用于行为广告或训练 ADMT。消费者始终可以退出这些用途。
消费者有权访问关于企业如何对其使用 ADMT 的信息。组织必须为消费者提供便捷的途径来请求此信息。
在响应访问请求时，组织必须提供详细信息，例如使用 ADMT 的原因、该技术关于该消费者的输出结果，以及企业如何利用该输出结果作出决定的说明。
访问请求的回应还应包含关于消费者如何行使其 CCPA 权利的信息，例如提出投诉或要求删除其数据。
若企业使用 ADMT 作出对消费者产生负面影响的重大决策（例如导致解雇），企业必须就该决策相关的访问权利向消费者发送特别通知。
该通知必须包含：
CPPA 在制定 AI 与 ADMT 拟议规则的同时，也在起草关于风险评估的草案法规。虽然这在技术上是两套独立的规则，但风险评估法规将影响组织使用 AI 与 ADMT 的方式。
风险评估规则将要求组织在使用 ADMT 作出重大决策或进行广泛画像分析之前开展评估。组织在使用个人信息训练特定 ADMT 或 AI 模型前，同样需要进行风险评估。
风险评估必须识别 ADMT 对消费者构成的风险、对组织或其他利益相关方的潜在益处，以及为减轻或消除风险所采取的保障措施。若风险超过收益，组织必须避免使用 AI 和 ADMT。
加州关于 ADMT 的草案规则远非监管 AI 与自动化决策使用的首次尝试。
欧盟的《AI 法案》对欧洲范围内 AI 的开发和使用提出了严格的要求。
在美国，《科罗拉多隐私法案》和《弗吉尼亚消费者数据保护法》均赋予消费者退出使用其个人信息作出重大决策的权利。
在国家层面，拜登总统于 2023 年 10 月签署了一项行政命令，指示联邦机构及部门在其各自管辖范围内制定开发、使用和监管 AI 的标准。
但加州提出的 ADMT 法规比其他州的法律受到更多关注，因为它们可能影响到企业在加州之外的行为方式。
全球科技产业大量企业总部位于加州，因此许多开发最先进自动化决策工具的组织将必须遵守这些规则。消费者保护条款仅适用于加州居民，但为简化流程，组织可能会向加州以外的消费者提供相同的选择权。
最初的 CCPA 常被视为美国版的《通用数据保护条例》(GDPR)，因为它在全国范围内提升了数据隐私实践的标准。这些新的 AI 与 ADMT 规则可能会产生类似的效果。
规则尚未最终确定，因此无法确切断言。不过，许多观察人士估计，规则最早也要到 2025 年中才会生效。
预计加州隐私保护局将于 2024 年 7 月举行另一次董事会会议，进一步讨论这些规则。许多人认为，CPPA 董事会很可能在此次会议上启动正式的规则制定流程。若如此，该机构将有一年的时间完成规则定稿，因此预估生效日期为 2025 年中。
与 CCPA 的其他部分一样，CCPA 将被授权调查违规行为并对组织处以罚款。加州总检察长也可对不合规行为征收民事罚款。
组织可能因非故意违规被罚款 2,500 美元，因故意违规被罚款 7,500 美元。这些金额是针对每次违规行为，且每位受影响的消费者计为一次违规。当违规行为涉及多名消费者时（这很常见），罚款金额会迅速累积。
草案规则仍处于变动之中。CPPA 持续征集公众意见并举行委员会讨论，规则在正式通过前很可能进一步修改。
CPPA 已根据先前的反馈对规则进行了重大修订。例如，在 2023 年 12 月的委员会会议之后，机构新增了退出权的豁免情形，并对物理与生物画像分析施加了限制。
机构还调整了 ADMT 的定义，以缩小规则的适用范围。最初的草案涵盖任何协助人类决策的技术，而最新草案仅适用于实质性协助人类决策的 ADMT。
许多行业团体认为更新后的定义更好地反映了 ADMT 使用的现实情况，而隐私倡导者则担心这会造成可利用的漏洞。
即使在 CPPA 会内部，对于最终规则应如何制定也存在分歧。在 2024 年 3 月的一次会议上，两名委员对当前草案“超出了委员会权限”表示担忧 。
鉴于规则迄今为止的演变过程，关于使用前通知、退出权和访问权的核心要求很可能会得以保留。然而，组织可能仍存有疑问，例如：
无论结果如何，这些规则都将对全国范围内 AI 与 ADMT 的监管方式，以及在这项蓬勃发展的技术背景下如何保护消费者，产生重大影响。
免责声明：客户有责任确保遵守所有适用的法律和法规。IBM 不提供任何法律咨询，也不声明或保证其服务或产品确保客户遵循任何法律或法规。