《删除法》究竟做了什么

《删除法》是对加州自2020年起实施的现行数据经纪商注册制度的结构性补充。原有框架仅要求经纪商每年向州政府注册并披露其个人信息类别，而《删除法》在此基础上增加了一套具有严格时限、审计义务和违规处罚的集中删除机制。

集中删除注册系统

该注册系统是CPPA运营的平台，加州消费者可在此提交单一删除请求，该请求随即自动传播至每一家已注册数据经纪商。经纪商须至少每四十五天检查一次注册系统，识别与其数据集中个体相匹配的新请求，并在法规规定的时限内删除匹配记录。消费者无需知晓哪些经纪商持有其数据——注册系统负责处理扇出分发。

谁属于数据经纪商

该法将数据经纪商定义为：以商业方式收集并出售与其无直接关系的消费者个人信息的企业。这一定义比字面看起来更为严格——出售自有受众的第一方发布商不属于经纪商，代表控制者处理数据的处理者也不属于经纪商——但它涵盖了身份图谱提供商、跨场景广告平台、人员搜索服务，以及发布商借以路由程序化数据的大部分受众扩展层。

注册与公开名单

每家受约束的经纪商须每年注册、缴纳费用，并出现在CPPA维护的公开名单上。截至2026年，该名单是发布商审计下游数据流的实际参考依据：名单上的任何供应商就《删除法》而言均为数据经纪商，发布商与该供应商的合同义务必须反映删除传播的现实。

四十五天扫描周期及其操作影响

核心操作规则是删除扫描节奏。每四十五天，每家已注册经纪商须检查注册系统并删除所有匹配记录。这一节奏产生了一种新的身份流失模式，发布商必须为此进行针对性的技术设计。

受众在扫描周期下的衰减方式

基于数据经纪商数据扩充构建的受众将按约六周的周期缩减——随着已提交删除请求的加州消费者逐步经由经纪商网络传播处理，受众规模持续下降。依赖身份解析运营美国衡量体系的发布商——包括程序化受众定向、依赖跨站点标识符的归因窗口、使用经纪商提供的种子数据进行相似受众建模——将看到加州受众规模呈锯齿形下降：每次扫描移除一批用户，随后新增访客逐渐填补，直至下次扫描。

重新识别被明确禁止

该法明确禁止经纪商对已被删除的消费者进行重新识别，即便经纪商此后从其他来源获取了相同数据。这一禁止条款堵塞了显而易见的漏洞，意味着发布商不能依靠自身第一方数据将已删除消费者重新拼接回经纪商路由的受众中。删除旨在持久有效，监管机构的审计程序也是专门为检测重新识别模式而设计的。

发布商第一方数据不受扫描约束

发布商自身的第一方数据——注册用户、新闻邮件订阅者、忠诚度会员——不受《删除法》扫描约束，因为发布商对于这些记录而言并非数据经纪商。发布商仍须遵守CCPA和CPRA的删除权，两者相互独立。两套制度可能产生交互：经纪商层面的《删除法》删除操作仍可能保留发布商的第一方记录完整，而发布商须继续通过自身的受理渠道处理消费者单独提交的CCPA删除请求。

新框架下的全球隐私控制信号

《删除法》与浏览器及隐私扩展程序发送的全球隐私控制（GPC）标头相互交织，该标头用于表明用户已设置通用退出偏好。CPPA的法规确认，发布商和经纪商须将GPC视为有效的CCPA退出信号予以遵守，而《删除法》的集中注册系统则为相同结果提供了另一条平行路径。

两种信号，一个结果

加州消费者有两种方式退出商业数据生态系统：在其使用的每台浏览器上发送GPC标头，或提交单一的《删除法》注册系统请求。两条路径在大多数使用场景下产生等效结果，但在范围上有所不同。GPC规范的是消费者访问每个网站时的持续数据销售与共享行为。注册系统则删除经纪商持有的现有记录。发布商应将两者均视为权威信号，CMP也应配置为能识别其中任意一种。

CMP在呈现两条路径中的作用

面向加州受众的合规CMP，在2026年须呈现以下内容：GPC遵守状态（访客已设置GPC，退出已激活）、发布商自身的退出链接（消费者可专门针对本网站拒绝数据销售与共享），以及为希望实现从经纪商处删除数据结果的消费者清晰指向CPPA注册系统的链接。这在技术层面并不复杂——同意界面中有三项控件而非一项——但措辞至关重要，CPPA对具有误导性或隐蔽性退出路径的执法行动一直保持积极态势。

发布商需要采取的措施

《删除法》是一项针对经纪商而非发布商的法规，但其对发布商的操作影响是真实存在的，需要对同意架构和数据架构进行具体调整。

对照经纪商注册名单审计供应商技术栈

发布商广告与分析技术栈中的每一家供应商都应与CPPA的公开经纪商名单进行交叉核对。名单上的供应商受《删除法》制度约束，发布商与这些供应商的合同须反映删除传播、审计日志留存以及四十五天扫描节奏等要求。目前，大多数主要身份解析供应商和多家大型SSP已在名单之列；审计工作本身并不繁琐，但至少需要每年进行一次。

更新隐私声明和同意界面

发布商的隐私声明应在现有CCPA删除权之外，说明《删除法》注册系统路径，并附上CPPA注册系统的直接链接。同意界面应在访客设置了GPC标头时显示GPC遵守状态，退出控件的样式设计应与接受控件具有同等显著度——司法部长在2024年和2025年的执法决定已明确将暗模式测试标准显式化。

为受众锯齿形波动做好规划

衡量和受众定向团队需要了解，加州受众指标将随扫描节奏呈现六周锯齿形波动。仪表板和出价节奏模型应根据这一模式进行调校，而非将每次下跌视为故障。运营严格归因分析的发布商还应将经纪商删除路径单独建模为一个流失来源，以便在扫描后准确还原数据。

常见的《删除法》合规错误及其触发调查的后果

CPPA在2025年依据《删除法》开展的第一轮执法行动，已呈现出发布商侧调查结论的清晰规律。发布商的隐私声明描述了CCPA退出路径，但从未提及《删除法》注册系统。同意横幅对数据销售与共享遵守了GPC信号，但未将该信号传播至发布商的第一方删除受理渠道。发布商与已注册经纪商签订合同，但从未更新合同以反映《删除法》的删除传播义务。CMP提供的「管理偏好」面板将退出选项深埋于三层点击之后，且按钮颜色比全部接受按钮更深。以上每一项都是文档或用户体验层面的修复，而非深层架构变更——但每一项也恰恰是CPPA开启调查时首先审查的内容。

结语

《删除法》赋予加州消费者一个按钮，让他们退出整个商业数据生态系统。截至2026年，注册系统已正式运营，经纪商名单对外公开，执法程序正积极推进。对发布商而言，影响是真实的，但也是有边界的：《删除法》并不要求发布商采取任何激进举措，但它确实要求发布商了解哪些下游供应商属于经纪商、更新隐私声明和同意界面以呈现新路径、始终如一地遵守GPC，并为四十五天扫描产生的受众锯齿形波动做好规划。这些在技术上均不复杂，但在操作上高度具体。那些在2024年和2025年完成了清晰审计的发布商，如今正基于稳固的架构有序推进；而那些将《删除法》视为与己无关的数据经纪商问题的发布商，则正在2026年忙于撰写回复函，并在监管机构的截止日期压力下修订隐私声明。