於2020年11月3日，除了美國總統大選之外，加州選民通過了第24號提案《加州隱私權法案》(California Privacy Rights Acts, 或CPRA）。

CPRA將先前已被認為為美國最周全的資料隱私法──2018年《加州消費者隱私法》（CCPA）──做全面修訂，不只修改了已在今年(2020)初生效的CCPA關鍵部分: 對於CCPA下的商業關係至關重要的一些定義外，CPRA還規定了更多的消費者權利，結合了資料最小化和《一般資料保護規則》中的其他原則，並設立加州隱私保護局作為全新的法規執行者，以取代總檢察長辦公室。

以下為新通過CPRA主要規範的概要：

管理機構

CPRA將所有的資金、規則制定和執行權限從總檢察長轉移到新的加州隱私保護局（Privacy Protection Agency, PPA）。主要的執法責任仍歸州政府機構（而不是私人訴權），但有微小卻重要的變化。具體而言，對於與未滿16歲未成年人相關的違法行為，CPRA的罰金增加三倍，並取消目前可資企業利用的CCPA下30天改正期。

消費者隱私權

CPRA增加了數個新的消費者隱私權及保護：

1. 更正不正確資料的權利

對於商家所持有之個人資料，消費者有權更正不正確部分。

2. 擴大選擇退出資料「共享」的權利

消費者對於使用個人資料進行自動決策有權選擇退出之權利，包括消費者工作表現、經濟狀況、健康狀況、個人喜好、興趣、可靠性、行為、位置或動作之剖繪，以進行評估或決策。CPRA還擴大了選擇退出權的範圍，同時囊括「銷售」和「共享」，並包含為「跨情境行為廣告」而向第三方揭露個人資料之情形，而使加州法律規範線上廣告網路之方式益加明確 。

3. 限制使用敏感個人資料的權利

CPRA涵蓋一項新的消費者權利，可以限制使用及揭露敏感個人資料，其中包括有關種族和族裔、性取向、精確地理位置以及在HIPAA範圍之外的某些健康資料的訊息（註：HIPPA意指Health Insurance Portability and Accountability Act，對於健康及醫療個資有特別規範）。 依消費者要求，業者不僅必須停止出售或共享敏感資料，且就此類資料的任何內部使用或其「次要」目的，都必須予以限制。

4. 數據最小化和目的限制

CPRA建立了一項新的一般義務（1798.100），即企業蒐集、處理、保管和共享消費者的個人資料，「對於達成蒐集或處理個人資料之目的，或達成其他符合個人資料蒐集情境下已揭露之目的（且並未以衝突於該目的之方式處理者），應具有合理必要性，且比例相符。」

總而言之，CPRA保留了與CCPA相同的基本結構，但對受監理的企業類型，有小幅調整。業者未來必須檢閱其服務提供商／承包商條款，以確保條款涵蓋必要的合約條款及服務範圍，確保其並未訂有違反CPRA的行銷和廣告行為態樣。許多業者可能需要執行新流程，以因應這些新的消費者權益。而此提案之通過，代表加州隱私權規範更趨嚴格，將達到歐盟《一般資料保護規則》（General Data Protection Regulation，GDPR)標準。

最後，CPRA規定，新主管機關自2023年1月1日起始依CPRA執行民事和行政執法，且該等民事與行政執法僅適用於該日期以後所發生的違規行為。在此之前，業者僅必須遵守CCPA及其施行規則。

‍