倒计时 57 天:加州《删除法案》DROP 平台 8·1 全面执法——$200/日/请求 + 45 天访问义务 + CPPA 数据经纪人打击队,中资数据 / 广告 / 招聘 / SaaS 企业五项立即合规重构动作
引言:DROP 全面执法倒计时 57 天
2026 年 1 月 1 日,加州正式上线全美首个由政府运营的统一删除平台——删除请求与退出平台(Delete Request and Opt-out Platform,简称 DROP)。这是加州《删除法案》(Delete Act,SB 362,2023 年第 709 章)落地的核心机制:加州居民只需向加州隐私保护局(California Privacy Protection Agency,CPPA)提交一次删除请求,即可一键要求 500 余家已注册数据经纪人(data broker)删除其全部非豁免个人信息,全程免费。
真正的"硬约束"将在 2026 年 8 月 1 日触发——距今仅 57 天。自该日起,所有注册数据经纪人必须每 45 天至少访问 DROP 一次,检索并处理消费者删除请求;检索后须在 45 天内在平台上回报每一笔请求的处理状态,并在 90 天内完成数据删除。未能履行者,将按 每笔未处理删除请求每日 200 美元计罚。对于持有加州消费者数据、却"自认为不是数据经纪人"的中资广告、招聘、营销与 SaaS 企业,这是一道不容错过的合规闸口。
法规背景:《删除法案》如何改写数据经纪规则
《删除法案》于 2023 年 10 月签署,2024 年生效,将加州数据经纪人登记册的监管权从总检察长(AG)移交至 CPPA,并赋予该局全新的处罚权。法案对"数据经纪人"的定义关键在于"无直接关系"——即在明知的情况下收集并出售与其没有直接关系的消费者个人信息的企业。
2026 年 1 月 1 日生效的实施细则进一步厘清了"直接关系"的含义:指消费者主动与企业互动,以访问、购买、使用、请求或获取该企业产品或服务相关信息为目的而建立的关系。换言之,凡是消费者从未主动接触、却被收集并转售其画像的数据流,均可能落入"数据经纪"范畴。
值得中资企业高度警惕的一点是:《删除法案》的适用没有营业规模门槛。即便企业因年营收低于 2,500 万美元、年处理加州居民不足 10 万人、或出售加州居民信息收入占比低于 50% 而不落入 CCPA 适用范围,只要符合"数据经纪人"定义,仍须履行《删除法案》全部义务。许多以为自己"太小、管不到"的出海广告与数据变现公司,恰恰是此次执法的盲区高发区。
核心义务:注册、披露与 DROP 处理三大支柱
第一,年度注册与缴费。符合定义的数据经纪人必须每年 1 月 1 日至 31 日通过 DROP 完成注册并缴纳年费——2026 年年费定为 6,000 美元。逾期未注册者,按每日 200 美元计罚,外加注册费及 CPPA 调查所产生的费用。
第二,透明度与披露义务。数据经纪人须公开披露:(1) 上一年度收到的消费者删除请求数量及响应速度;(2) 是否处理敏感类别数据——包括未成年人信息、生殖健康数据、精确地理位置;(3) 在网站显著位置提供链接,告知消费者其在 CCPA 下的隐私权利。
第三,DROP 删除请求处理义务。自 2026 年 8 月 1 日起,注册经纪人须每 45 天访问 DROP、45 天内回报状态、90 天内完成删除,逐笔履行,违者每笔每日 200 美元。
CPPA 在 2025 年 12 月 17 日发布的 第 2025-01 号执法咨询函(Enforcement Advisory No. 2025-01)特别点名两类规避手法:一是用未登记的商号或网址让消费者难以识别自身身份;二是以母公司或关联实体的注册"搭便车"。咨询函强调,数据经纪人必须披露其提供服务的全部商号与网址,且必须独立注册,不得指向母公司登记。
执法动态:打击队已经出手
2026 年初,CPPA 在其执法部门内组建了专门的数据经纪人执法打击队(Data Broker Enforcement Strike Force),监控并调查数据经纪人在《删除法案》与 CCPA 下的合规情况。这并非空谈——近期一系列处罚已勾勒出执法力度:
内华达州营销公司 ROR Partners LLC 因未注册为数据经纪人,被责令支付 56,600 美元罚款及欠缴费用;数据经纪人 Background Alert, Inc.——曾以能挖出"令人毛骨悚然"的个人信息为卖点——被要求停业至 2028 年,否则缴纳 50,000 美元罚款;2024 年 Growbots, Inc. 与 UpLead LLC 因未在 2024 年截止日前注册,各自支付约 35,000 美元和解金;一家迟注册 230 天的佛州数据经纪人被处以 46,000 美元(230 天 × 200 美元)拟议罚款。
在更广义的 CCPA 战线上,CPPA 同样重拳频出:对全美最大乡村生活方式零售商 Tractor Supply Company 处以 135 万美元罚款;对 American Honda Motor Co. 处以 632,500 美元罚款;对服装零售商 Todd Snyder, Inc. 处以 345,178 美元罚款。CPPA 执法负责人 Michael Macko 明确表态:"规则清清楚楚,我们期待数据经纪人依法注册";执行董事 Tom Kemp 则警告,企业应"在收到我们通知之前就完成注册"。
对中资企业的合规要点
一、立即开展"数据经纪人身份"自评。不要以营收或用户规模自我豁免——《删除法案》无规模门槛。重点审视:你的业务是否在明知情况下收集并出售与你无直接关系的加州消费者数据?出海广告联盟、数据增强(data enrichment)、潜客名单(lead list)、人物搜索、设备图谱等模式尤需审慎评估。
二、若符合定义,务必在每年 1 月 31 日前完成注册并缴费,并披露全部商号与网址、独立注册。切勿依赖母公司或关联方登记"搭便车"——这正是第 2025-01 号咨询函点名的违规靶心。
三、在 8 月 1 日前完成 DROP 处理管线建设。建立可在 45 天周期内自动检索 DROP 请求、45 天内回报状态、90 天内完成删除的技术与流程闭环,并保留可审计的处理日志,以备 CPPA 核查每笔请求的时效。
四、完成数据映射与删除能力盘点。梳理个人信息在自有系统、数据湖及下游供应商(vendor)处的全部流向,确保收到删除请求后能够穿透到第三方同步删除;同步更新供应商数据处理协议(DPA),明确删除传导义务。
五、修订隐私政策与网站披露。在网站显著位置提供 CCPA 权利链接,准确披露删除请求统计与敏感数据处理情况(未成年人、生殖健康、精确地理位置),并与中国《个人信息保护法》(PIPL)下的删除权、告知义务做一致性映射,避免两地口径冲突。
格知律所如何协助
针对加州《删除法案》与 DROP 8·1 执法窗口,格知律师事务所可为中资企业提供端到端合规支持:开展数据经纪人身份与 CCPA/CPRA 适用性评估,厘清"直接关系"边界与登记义务;代为完成或复核 CPPA 数据经纪人年度注册,确保全部商号、网址披露完整、独立注册合规;设计并落地DROP 删除请求处理管线(45 天访问 / 45 天回报 / 90 天删除)及可审计日志体系;执行数据映射与供应商 DPA 复核,打通第三方删除传导链条;起草符合要求的隐私政策与网站披露,并完成 CCPA 与中国 PIPL 的跨法域一致性映射。一旦收到 CPPA 调查函或打击队问询,我们亦可提供执法应对与和解谈判支持,力争将每日累计罚款风险控制在最低区间。
结语与展望
加州正以 DROP 平台、专职打击队与跨境监管联盟(已与韩国、法国、英国数据保护机构建立合作)构筑起全美最具进攻性的隐私执法体系。8 月 1 日之后,"未注册"与"不处理删除请求"将不再是低风险的灰色地带,而是按日累计的确定性罚单。对持有加州消费者数据的中资企业而言,未来 57 天是把被动暴露转为主动合规的关键窗口——与其等待打击队的问询函,不如在闸口关闭前完成注册、建好管线、理清数据。合规的成本,永远远低于执法的代价。