לצד הבחירות בארצות-הברית, אישרו בעלי זכות הבחירה בקליפורניה (3.11.2020) את חוק זכויות הפרטיות של קליפורניה משנת 2020 (CPRA), אשר מבצע מספר תיקונים בחוק פרטיות הצרכן של קליפורניה (CCPA), ביניהם מתן זכויות חדשות לצרכנים.
חוק הפרטיות החדש יכנס לתוקף רק ב-1 לינואר 2023, דבר המקנה לעסקים זמן הסתגלות של למעלה משנה להוראותיו. החוק הקליפורני (CCPA) נחשב לחוק הפרטיות החזק ביותר בארה"ב עד כה. בנוסף לשינוי חלק מההגדרות המהותיות ביחסים מסחריים במסגרת CCPA (למשל, בהגדרת "מכירה" ו"נותן שירותים"), CPRA מקנה זכויות צרכניות נוספות, משלב מינימום נתונים ועקרונות מסוימים נוספים מהתקנה הכללית להגנת נתונים, ומקים סוכנות חדשה להגנת הפרטיות בקליפורניה, שתחליף את משרד היועץ המשפטי לממשלה כממונה על החוק.
ה- CPRA מציג את המונח "שיתוף" כפעילות נבדלת מ"מכירת מידע אישי". שיתוף מוגדר כגילוי או מסירה אחרת של מידע אישי של צרכן לצורך פרסום ממוקד על סמך היסטוריית הרכישות של הצרכן. לצרכנים ניתנת הזכות לבטל הסכמה לשימוש במידע למטרות אלו, כמו גם שיתופו עם צדדים שלישיים. בנוסף, בהתאם להוראות -CPRA שהתקבלו קמה זכות התיקון, לפיה צרכנים יוכלו לבקש לתקן מידע לא מדויק עליהם המצוי בידי החברות.
בחוק החדש כלולה התייחסות גם לנושא קבלת החלטות אוטומטית תוך שימוש בתוכנות של בינה מלאכותית. בהתאם לחוק החדש לצרכנים יש זכות לבטל את השימוש במידע האישי שלהם לצורך קבלת החלטות אוטומטיות, הכוללות "פרופיל" בקשר להערכות או החלטות לגבי ביצועי העבודה של הצרכן, מצבו הכלכלי, בריאותו, העדפות אישיות, תחומי עניין, אמינות, התנהגות, מיקום או תנועות. לצרכן יש גם זכות לגשת ל"מידע משמעותי אודות ההיגיון הכרוך בתהליכי קבלת החלטות מסוג זה, כמו גם תיאור התוצאה הסבירה של התהליך ביחס לצרכן. "
החוק החדש מגביל את השימוש במידע אישי רגיש, הכולל נתוני מיקום גיאוגרפי מדויק, גזע, דת, נטייה מינית, מספרי ביטוח לאומי ומידע בריאותי מסוים מחוץ להקשר של HIPAA. הצרכנים עשויים להגביל את השימוש והגילוי של מידע אישי רגיש למטרות "משניות" מסוימות, כולל איסור על עסקים לחשוף IP רגיש לצדדים שלישיים, בכפוף לפטורים מסוימים.
בדומה לתקנות המידע האירופאיות (GDPR) כולל החוק החדש גם זכות לניידות נתונים. בהתאם לכך הצרכנים יהיו רשאים לבקש מהעסק להעביר חלקים מסוימים של מידע אישי לגורם אחר בפורמט מובנה, נפוץ וקריא במכונה.
