神奇马赛克｜2026美国科技法律新格局|华盛顿|唐纳德·特朗普|科技法律|美国|联邦贸易委员会|马赛克

美国许多州法律都隐含地假定，科技公司不会自愿约束自身，而且仅靠市场机制也无法迅速纠正损害。

最终形成的监管体系既雄心勃勃又脆弱不堪。

在美国联邦政府瘫痪的过去的一年里，美国的科技政策出现了大分裂——创造性地、焦虑地、逐州地分裂。

到2026 年初，美国已形成了一种奇特的治理形式：在华盛顿几乎什么都不做，而在其他所有地方几乎什么都做。

正如艾迪·罗伯逊在The Verge上的评论冷冷地指出，国会在2025年依然处于熟悉的运转失灵状态。然而，联邦政府的不作为并不意味着监管的缺失。相反，它催生了一种更奇特、更具启发性的现象：一个科技法律体系五花八门的局面。

在这个体系中，加利福尼亚州像一个准监管超级大国一样监管人工智能，弗吉尼亚州尝试对青少年实行宵禁，而科罗拉多州则悄悄地认定，你那部坏掉的手机，实际上仍然是你的手机。

通读今年生效的法律，与其说是在阅读法典，不如说是在阅读一份集体心理画像。这些不仅仅是关于技术的规则；它们表达了恐惧、疲惫，以及日益增长的怀疑：塑造日常生活的平台已不再符合公众利益。

即将生效的关键人工智能法规

各自修长城：数字自卫的试验场

2026年科技法律格局最引人注目的特点并非某一项具体规则，而是规则数量之多。在过去，如果没有联邦政府的协调，制定有关人工智能、数据隐私和社交媒体的政策是不可想象的。而如今，各州不仅成为了民主的试验场，也成为了数字自卫的试验场。

这种权力下放部分是出于务实考虑。国会屡次未能通过全面的隐私保护立法、有效的AI监管或更新的青少年保护法。但它也带有意识形态色彩。许多州法律都隐含地假定，科技公司不会自愿约束自身，而且仅靠市场机制也无法迅速纠正损害。

最终形成的监管体系既雄心勃勃又脆弱不堪。

加州人工智能治理之梦

没有哪个州比加利福尼亚州更能体现这种雄心壮志。其2026年的人工智能法案——尤其是SB 53法案——不应被理解为狭隘的消费者保护，而应被理解为对司法管辖权的自信宣言。加州实际上是在说：如果硅谷在这里构建未来，我们将在这里监管未来。

SB 53 的透明度和举报人保护条款试图迫使大型人工智能公司披露其系统如何运作、如何出现故障以及内部警报的发出者。这体现了“阳光治理”的理念——即信息披露本身就能塑造企业行为。与之配套的关于聊天机器人心理健康保障和执法部门人工智能信息披露的法律则更进一步，深入探讨了算法系统的伦理层面。

然而，加州的信心岌岌可危。迫在眉睫的威胁并非技术失败，而是政治上的先发制人。特朗普政府公开宣称要禁止各州制定人工智能法律，这不仅会凌驾于加州之上，还会彻底摧毁目前唯一正在进行的严肃治理实验。2026年关于人工智能监管的争论，其重要性或许不在于这些法律最终能取得什么成果，而在于各州是否还能保留尝试的权利。

维修权、反欺骗和“霉粉”

2026年，“维修权”运动也迎来了一场民粹主义的胜利。科罗拉多州和华盛顿州现在要求制造商为种类繁多的电子产品提供零部件和使用手册。你价值1200美元的智能手机再也不会因为一个专用螺丝而变成一块砖头了。

这些法案挑战了长达十年的“所有权附加条件”的趋势——你的设备曾经是“你的”，但只有在它坏掉之前才属于你。通过强制规定用户能够获得零部件、使用手册和诊断工具，这些法案旨在打破人们对技术更新的被动依赖。

2026年一些最具文化共鸣的法律旨在应对切身而非抽象的伤害。俄勒冈州将未经同意的图像禁令扩大到包括人工智能生成的深度伪造图像，这反映了一个来之不易的教训：性剥削的危害并不取决于图像是否“真实”。

与此同时，密歇根州和俄勒冈州正在着手处理2023年“时代巡回演唱会”混乱局面留下的后遗症。密歇根州的“泰勒·斯威夫特”法案（HB 4045）将于3月24日生效，旨在打击由机器人程序驱动的黄牛倒卖，这种倒卖行为已使现场音乐成为一种奢侈品。

其他值得注意的消费者行为变化包括：

缅因州的“点击取消”功能：让取消订阅和加入订阅一样简单。
科罗拉多州加密货币 ATM 限额：每日交易上限，以防止“祖父母诈骗”，此类诈骗在 2025 年骗取了数亿美元。
伊利诺伊州的隐私保护：允许公职人员从网络上清除其个人数据，以防止人肉搜索。

青少年数字宵禁

2026年最显著的变化或许是对青少年社交媒体使用的“限制”。弗吉尼亚州的SB 854法案最为激进，它实际上规定16岁以下用户每天使用社交媒体的时间限制为一小时，除非家长手动解除限制。

这并非建议，而是架构上的必要要求。社交媒体公司现在必须构建“年龄验证”机制，而不仅仅是一个简单的出生日期下拉菜单。尽管面临法律挑战，犹他州和德克萨斯州关于应用商店年龄验证的争论仍在继续。

政策专家指出：“在未成年人心理健康方面，我们正在从‘用户自负’的时代过渡到‘平台承担责任’的时代。”

《下架法案》（Take It Down Act）于5月19日在联邦层面生效，进一步强化了这一做法，将未经同意传播人工智能生成的私密图像的行为定为犯罪。尽管隐私倡导者对此表示欢迎，但批评者称其包含一个“毒丸”——模糊不清的删除要求可能导致过度审查。

很少有哪个领域比有关儿童和青少年上网的法律更能体现当下的焦虑。弗吉尼亚州的SB 854法案认为，强迫性使用并非仅仅是个人责任或家长监管的问题，而是平台设计的问题。无限滚动、通知和算法推送不再被视为中性功能，而被视为行为控制手段。

这项法律能否经受住司法审查几乎无关紧要。它的存在标志着伦理框架的转变。多年来，关于青少年和社交媒体的辩论主要围绕内容审核和言论自由展开。如今，辩论的焦点日益集中在注意力上——谁控制注意力，谁在利用注意力，以及州和国家是否应该参与注意力配给。

内布拉斯加州的适龄设计规范和阿肯色州的儿童隐私保护条例都体现了这种转变。它们共同表明，人们越来越倾向于监管儿童上网的内容，而不是他们上网的时间和条件。

隐私法承诺不足，实际效果却差强人意

并非所有政府举措都能令人信服。“弗吉尼亚模式”的数据隐私保护——已被印第安纳州、肯塔基州和罗德岛州效仿——恰恰说明了监管若沦为安抚而非约束的风险。

这些法律表面上赋予用户权利——访问权、更正权和删除权——但实际上却保留了大规模数据收集的商业模式。隐私保护组织批评这些法律形同虚设，其目的更多是为了规避更严格的监管，而非真正保护用户。

这里，这种拼凑式的监管模式有利有弊。在缺乏联邦标准的情况下，各州可以进行创新，但也可能导致监管不力，最终形成一种低标准、更有利于行业而非民众的监管体系。

判决：一个分裂的共和国

肯塔基州和罗德岛州采用的“弗吉尼亚模式”数据隐私保护法，遭到了电子隐私信息中心（EPIC）等组织的批评，他们认为该模式“形同虚设”。这些组织认为，只要将数据隐藏在隐私政策中，这些法律就允许公司继续收集数据。

展望2026年，美国人的数字体验将取决于你身处何地。在加利福尼亚州，人工智能透明公开；在科罗拉多州，你有权自行维修笔记本电脑；在弗吉尼亚州，你的孩子或许真的会在吃饭时放下手机看看电视。这是一种混乱、不一致，却又极具美国特色的科技巨头问题解决方案。

支离破碎也是一种未来之美？

综合来看，2026年的各项科技法律法规表明，美国在科技治理方面存在着一种混乱局面。它缺乏一个统一的愿景，而是存在着数十个零散的方案——有些经过深思熟虑，有些仓促仓促，有些则仅仅停留在象征层面。这种碎片化既是优势也是劣势。

一方面，各州正在发挥其一贯的优势：回应地方关切、尝试新政策，并填补联邦政府不作为留下的空白。另一方面，由此产生的复杂性却有利于这些法律试图限制的公司——那些拥有驾驭五十种不同法律法规的法律和技术能力的公司。

更深层次的问题是，这一刻代表着过渡还是最终的妥协？州法律是通往最终联邦治理的桥梁，还是永久的替代方案？人工智能监管会固化为持久的规范，还是会在政治压力下崩溃？

就目前而言，2026年并没有带来什么宏伟的解决方案，只有一系列的尝试。但这些尝试至关重要。它们反映出一种日益增长的共识：数字世界并非自然现象，而是人为设计的。

而这一切都建立在一种理念之上：人为设计的事物，最终是可以被管理的。

新闻链接：迎接2026年新的科技法律

今年即将生效的法规包括：大量人工智能监管条例、青少年社交媒体封锁以及“泰勒·斯威夫特法”。

阿迪·罗伯逊

2026年1月1日

2025年，美国国会一如既往地陷入严重瘫痪。但各州议会却纷纷通过法律，涵盖人工智能、社交媒体乃至维修权等方方面面。这些法律，连同过去几年通过的法规，将于2026年生效——要么现在生效，要么在未来几个月内生效。

从1月1日起，美国民众将享有诸多权利，包括科罗拉多州加密货币ATM取款退款、科罗拉多州和华盛顿州广泛的电子产品维修服务，以及加利福尼亚州人工智能系统透明度等。然而，一项最后一刻的法院裁决暂时阻止了一项备受瞩目的州法律的生效：德克萨斯州基于App Store的年龄验证规定。

1月1日

加州：人工智能透明度、聊天机器人等等

加州去年通过了一系列与人工智能相关的法规。其中最引人注目的是SB 53法案：一项透明度法案，要求大型人工智能公司公布安全保障细节，并保护举报人。该法案是SB 1047法案的修订版，后者在2024年经过激烈辩论后被州长加文·纽森否决，而SB 53法案将于2026年1月1日生效。

其他几项法案则涉及人工智能更具体的应用。其中就包括SB 243，这是首批针对所谓“陪伴型聊天机器人”的监管法案之一，要求此类机器人必须制定防止自杀念头和自残行为的协议，并每隔几个小时提醒已知的未成年用户，该系统并非真人。另一项法案SB 524则要求执法机构“公开”披露其人工智能的使用方式。

这一切都使加利福尼亚州成为检验各州人工智能法律能走多远的一个试验场，尤其是在唐纳德·特朗普政府试图彻底禁止人工智能的情况下。这场斗争也将在2026年上演。

科罗拉多州：维修权和加密货币ATM机

科罗拉多州于2024年通过了全美最全面的“维修权”法规之一，要求制造商为大量电子设备提供维修服务。这项名为HB24-1121的法案将于今年正式生效。该州还针对一个主要的诈骗渠道——加密货币ATM机——加强了消费者保护。据报道，由于加密货币ATM机允许用户将法定货币兑换成加密货币并发送到匿名钱包，诈骗分子今年已从受害者手中骗取了数亿美元。SB25-079法案规定了新老用户的每日交易限额，并为首次向美国境外汇款的用户提供退款选项——这可以作为用户可能因受骗而汇款的重要信号。

爱达荷州：言论自由保护

爱达荷州通过SB 1001法案，加入了众多制定法律打击针对公众参与的战略性诉讼（反SLAPP法）的州行列。虽然严格来说这并非一项科技法，但SLAPP诉讼一直是埃隆·马斯克等科技亿万富翁的重要武器，限制此类诉讼有助于防止网络审查的发生。然而，亟需的联邦法律仍然遥遥无期。

伊利诺伊州：公职人员隐私

从今年开始，伊利诺伊州将限制应公职人员要求而共享其个人信息。HB 576法案涵盖了州议会成员和前成员、公设辩护人、县书记员等，涉及的信息包括家庭住址、家庭电话号码、个人电子邮件地址以及18岁以下儿童的身份信息。此举旨在防止官员在“履行公职”过程中遭受骚扰——这是一个日益突出的问题。

印第安纳州：数据隐私

数据隐私是国会长期忽视但各州却着手处理的领域，但结果却参差不齐。印第安纳州的《消费者数据保护法》旨在提供一份“数据消费者权利法案”，其中包括获取、更正和删除公司持有的关于您的个人信息的权利。但数据隐私和消费者保护组织谴责该法形同虚设——公共利益研究集团 (PIRG) 和电子隐私信息中心 (EPIC) 联合发布的2025 年隐私报告卡将其评为 F。

肯塔基州：数据隐私

HB 15是另一项未能通过2025年PIRG/EPIC评估的数据隐私框架。肯塔基州和印第安纳州都属于该报告所称的“弗吉尼亚模式”：该框架被指允许公司“只要在隐私政策中披露了数据，就可以继续收集他们想要的任何数据”，同时却让选择退出变得异常困难。

缅因州：点击取消

与许多其他法规一样，禁止难以取消订阅的联邦法规也陷入了法律困境，但一些州已经开始采取行动。缅因州也加入了这一行列，推出了LD 1642号法案，该法案以联邦贸易委员会（FTC）的标准为蓝本，这意味着，除其他事项外，公司必须披露订阅条款，并提供与注册系统一样简便的取消方式。

内布拉斯加州：适合年龄段的设计

LB 504是多个州级“适龄设计”法规之一，它限制了儿童应用程序的通知、游戏内购买和无限滚动等功能，旨在通过阻止“黑暗模式”（即让儿童沉迷于网络的模式）来对抗强迫性使用。然而，加州一项类似的法规已被阻止，因此今年晚些时候可能会出现法律挑战。

内华达州：人工智能与选举

内华达州通过AB 73法案，加入到众多试图遏制未公开人工智能竞选活动的州行列。该法案的信息披露规定允许候选人在发现自己出现在不受欢迎的、未加标签的人工智能生成的广告中时提起诉讼。

俄克拉荷马州：数据泄露通知

俄克拉荷马州通过SB 626 法案扩大了数据泄露通知规则的范围，包括将其扩展到涵盖生物识别数据，并提供了一些新的安全港来避免法律损害。

俄勒冈州：深度伪造、数据隐私和黄牛票

HB 2299将人工智能生成（或其他数字处理）的图像纳入其未经同意的性图像禁令范围——自 2019 年以来，几乎所有州都已采取类似措施。HB 2008禁止数据收集者出售个人信息，并利用已知未满 16 岁用户的数据投放定向广告，同时还增加了一项类似的、适用于所有年龄段的精确地理位置数据禁令。HB 3167禁止销售旨在帮助倒卖门票的机器人软件，解决了联邦贸易委员会在 2025 年重点关注的一个令人头疼的问题。

罗德岛：数据隐私

罗德岛州的HB 7787法案，即《罗德岛州数据透明度和隐私保护法案》，包含要求披露个人信息收集和出售方式的规则。该法案与另外两项“弗吉尼亚模式”规则一起，构成了今年生效的第三项规则，这三项规则均未通过隐私评估。

德克萨斯州：人工智能规则盛行——但应用商店的年龄验证功能尚未普及

就在几周前，德克萨斯州原本计划实施一种新的在线年龄限制措施：要求应用商店核实用户年龄并将信息传递给应用开发者。但一家地方法院发布了初步禁令，阻止了SB 2420法案的实施。然而，这项法律的走向仍然值得关注，因为德克萨斯州很可能会向第五巡回上诉法院提起上诉——该法院以推翻下级法院关于互联网监管的判决而臭名昭著。

德克萨斯州正在实施HB 149法案，这是一项人工智能监管框架，禁止利用该技术煽动伤害、获取生物识别信息或基于种族、性别或“政治观点”等特征进行歧视。这将是对特朗普政府废除州级人工智能法律计划的又一次考验，凸显了州共和党人和联邦共和党人在人工智能问题上的分歧。

弗吉尼亚州：社交媒体使用时间限制

如果你未满16岁，居住在弗吉尼亚州，那么你的屏幕使用时间可能已被大幅减少。SB 854法案要求社交媒体公司验证用户年龄，并将青少年每天每个应用程序的使用时间限制在一小时以内。家长可以选择增加或减少这一限制。与许多互联网监管法规一样，这项法案目前正面临法律挑战，其最终命运尚未可知。

华盛顿：维修权

华盛顿州于 2025 年通过了两项维修权法案，即HB 1483和SB 5680。正如 iFixit 所解释的那样，这些法案要求公司为大多数消费电子产品提供维修材料，阻止零件配对，并为轮椅使用者提供特定的保护。

行进中

纽约：《提高就业率法案》

《RAISE法案》曾被誉为人工智能领域的里程碑式法律，它将要求大型模型开发商遵守新的安全和透明度规则。但该法案在最后一刻被大幅删减，削弱了其可能产生的影响。尽管如此，该法案仍将于3月19日生效，距离其去年底签署已过去90天。

密歇根州：反SLAPP诉讼和泰勒·斯威夫特

密歇根州是另一个从 3 月 24 日起获得新的反 SLAPP 法案（HB 4045）的州。同一天，该州还实施了一系列被称为“泰勒·斯威夫特法案”的规则，这些规则旨在打击票务机器人，并以联邦 BOTS 法案为蓝本。

可能性

联邦拆除法案

《下架法案》（Take It Down Act）将于2025年生效，该法案将未经同意传播人工智能生成的私密图像的行为在联邦层面定为犯罪，网络公民权利倡议组织（CCRI）等团体称这项变革早就应该出台。但正如CCRI主席玛丽·安妮·弗兰克斯所说，该法案包含一个“毒丸条款”，其中一项宽泛且含糊的要求是，网络平台必须迅速删除此类图像，这引发了人们对审查制度和执法问题的担忧。该平台下架条款附带一年的执行延期，将于5月19日到期——因此，我们很快就能知道它的实际效果（或破坏性）究竟如何。

犹他州：App Store 年龄验证

犹他州的《应用商店问责法案》（SB 142）实际上已于去年生效。但该法案给予应用商店至2026年5月6日的时间，开始使用“商业上可行的方法”验证用户年龄，并在发现未成年人时要求获得家长同意。最后一项条款——允许未成年人或其家长在应用商店不遵守规定时提起诉讼并要求赔偿——将于12月31日生效。

六月

科罗拉多州：人工智能法规

科罗拉多州的SB 24-205法案是特朗普政府打击各州人工智能法律的重点目标之一。该法案要求人工智能公司披露高风险系统的信息，更具体地说，要求公司采取“合理措施保护消费者”免受算法歧视。该法案原定于2月生效，现已改期至6月30日。

七月

阿肯色州：儿童隐私

HB 1717是一项儿童数据隐私规则，类似于联邦《儿童在线隐私保护法》(COPPA) 和拟议的 COPPA 2.0，禁止面向未成年人或明知用户未成年而收集不必要的个人数据的在线服务。该法案将于 7 月 1 日生效。

犹他州：数据可移植性

犹他州的HB 418法案，即《数字选择法案》，旨在通过允许用户在不同社交媒体平台间迁移数据来降低社交媒体网络的粘性。哈佛大学阿什中心的一份报告解释了其中的细微差别，但总的来说，该法案要求社交媒体公司实施开放协议，使用户能够在不同的服务平台之间共享个人数据。欧洲多年来一直强制推行数据可移植性，虽然效果并不显著，但该法案仍有可能促进中心化网络的竞争。该法案的生效日期也是7月1日。

八月

加利福尼亚州：人工智能检测

你以为加州的人工智能法律就此结束了吗？其实不然，由于种种原因， SB 942法案的生效日期从原定的1月份推迟到了8月2日。该法案要求政府制定人工智能检测系统的标准，并要求相关服务提供商提供此类工具。而针对企业的额外要求则分别于2027年和2028年生效。这项法案旨在解决一个严肃且极其复杂的问题——与其他法规一样，它的通过也取决于各州是否有权制定自己的人工智能法律。

迎接2026年新的科技法律

今年即将生效的法规包括：大量人工智能监管条例、青少年社交媒体封锁以及“泰勒·斯威夫特法”。

经过阿迪·罗伯逊

2026年1月1日晚上11:00（GMT+8）

评论（全部新增）

如果您通过 Verge 的链接购买商品，Vox Media 可能会获得佣金。请参阅我们的道德声明。

图片：Cath Virginia / The Verge，Getty Images

阿迪·罗伯逊

Adi是一位资深科技与政策编辑，专注于网络平台和言论自由。自2011年以来，Adi一直为The Verge撰写有关虚拟现实和增强现实、计算机发展史等方面的文章。

00:00

如需更详细地了解将于 2026 年生效的技术相关法规（包括一项联邦法律——《下架法案》——的主要部分），请继续阅读。

1月1日加州：人工智能透明度、聊天机器人等等

科罗拉多州：维修权和加密货币ATM机

爱达荷州：言论自由保护

伊利诺伊州：公职人员隐私

印第安纳州：数据隐私

肯塔基州：数据隐私

缅因州：点击取消

内布拉斯加州：适合年龄段的设计

内华达州：人工智能与选举

俄克拉荷马州：数据泄露通知

俄克拉荷马州通过SB 626 法案扩大了数据泄露通知规则的范围，包括将其扩展到涵盖生物识别数据，并提供了一些新的安全港来避免法律损害。

俄勒冈州：深度伪造、数据隐私和黄牛票

罗德岛：数据隐私

德克萨斯州：人工智能规则盛行——但应用商店的年龄验证功能尚未普及

弗吉尼亚州：社交媒体使用时间限制

华盛顿：维修权

行进纽约：《提高就业率法案》

密歇根州：反SLAPP诉讼和泰勒·斯威夫特

可能联邦拆除法案

犹他州：App Store 年龄验证

六月科罗拉多州：人工智能法规

七月阿肯色州：儿童隐私

犹他州：数据可移植性

八月加利福尼亚州：人工智能检测

Meet the new tech laws of 2026

Coming into force this year: AI regulations galore, a teen social media lockdown, and “Taylor Swift” laws.

by Adi Robertson

Jan 1, 2026 at 11:00 PM GMT+8

Comments (All New)

If you buy something from a Verge link, Vox Media may earn a commission. See our ethics statement.

Image: Cath Virginia / The Verge, Getty Images

Adi Robertson

is a senior tech and policy editor focused on online platforms and free expression. Adi has covered virtual and augmented reality, the history of computing, and more for The Verge since 2011.

As usual, 2025 was a year of deep congressional dysfunction in the US. But state legislatures were passing laws that govern everything from AI to social media to the right to repair. Many of these laws, alongside rules passed in past years, take effect in 2026 — either right now or in the coming months.

As of January 1st, Americans should have the right to crypto ATM refunds in Colorado, wide-ranging electronics repairs in Colorado and Washington, and AI system transparency in California, among other things. But a last-minute court ruling offered a reprieve from one high-profile state law: Texas’ App Store-based age verification rule.

00:00

02:00

For a longer rundown of tech-related regulations that go into force in 2026 — including a major piece of one federal law, the Take It Down Act — read on.

January 1st California: AI transparency, chatbots, and more

California passed a parcel of AI-related rules last year. The most prominent is SB 53: a transparency law that requires major AI companies to publish safety and security details and protects whistleblowers. It’s a revised version of SB 1047, which Gov. Gavin Newsom vetoed after a heated fight in 2024, and it goes into effect on January 1st, 2026.

Several other bills deal with more specific implementations of AI. Among them is SB 243, one of the first regulations on so-called companion chatbots, requiring them to maintain protocols for preventing suicidal ideation and self-harm, as well as remind known underage users every few hours that the system isn’t human. SB 524, another of the bills, requires law enforcement agencies to “conspicuously” disclose how they use AI.

All this has set up California as a test case for how far state AI laws can push, especially as Donald Trump’s administration aims to ban them altogether. That fight, too, is poised to play out in 2026.

Colorado: Right to repair and crypto ATMs

Colorado passed one of the country’s most comprehensive right-to-repair rules in 2024, requiring manufacturers to facilitate repairs on a large swath of electronic devices. That law, HB24-1121, will finally kick in this year. The state is also adding consumer protections to a major fraud vector: cryptocurrency ATMs, which — because they let users convert fiat money into crypto and send it to an anonymous wallet — reportedly helped scammers extract hundreds of millions of dollars from victims this year. SB25-079requires daily transaction limits for new and existing customers, plus refund options for first-time users who transfer money outside the US — a major signal they might have been sending money because they were duped by a scam.

Idaho: Speech protections

Idaho joins the long list of states with laws combating strategic lawsuits against public participation, or anti-SLAPP laws, with SB 1001. While this isn’t technically a tech law, SLAPP suits have been a key weapon of tech billionaires like Elon Musk, and limiting them helps prevent what can amount to online censorship. A much-needed federal lawremains nowhere to be seen.

Illinois: Public officials’ privacy

Starting this year, Illinois will restrict sharing personal information of public officials at their request. HB 576 covers general assembly members and former members, public defenders, and county clerks, among others, and the covered information includes home addresses, home phone numbers, personal email addresses, and the identity of children under 18. The goal is preventing harassment — an increasingly prominent issue — as officials “administer their public duties.”

Indiana: Data privacy

Data privacy is another area long neglected by Congress but taken up by states, with highly mixed results. Indiana’s Consumer Data Protection Act aims to provide a “data consumer bill of rights” that includes obtaining, correcting, and deleting personal information a company holds about you. But data privacy and consumer protection groups have denounced the law as toothless — a 2025 privacy report card by PIRG and the Electronic Privacy Information Center (EPIC) gave it an F.

Kentucky: Data privacy

HB 15 is another data privacy framework that failed the 2025 PIRG/EPIC evaluation. Kentucky and Indiana both fall under what that report dubs the “Virginia model”: a framework they allege lets companies “continue collecting whatever data they wanted as long they disclosed it somewhere in a privacy policy,” while making opt-outs onerous.

Maine: Click-to-cancel

As with so many regulations, the federal rule banning difficult-to-cancel subscriptions is in legal hell, but some states have been stepping up. Maine is joining them with LD 1642, a rule modeled on the FTC standard — which means, among other things, making companies disclose the terms of subscriptions and offer a cancellation method as simple as the system for signing up.

Nebraska: Age-appropriate design

LB 504 is one of multiple state-level “age-appropriate design” rules — it restricts app features like notifications, in-game purchases, and infinite scrolling for children, aiming to combat compulsive use by stopping “dark patterns” that keep kids online. A similar code was blocked in California, however, so a legal challenge could materialize later this year.

Nevada: AI and elections

With AB 73, Nevada joins the slew of statestrying to curb undisclosed AI-powered electioneering. Its disclosure rules include letting candidates sue if they find themselves starring in unwelcome, unlabeled AI-generated ads.

Oklahoma: Data breach notifications

Oklahoma is broadening the scope of its data breach notification rules with SB 626, including by expanding them to cover biometric data and offering some new safe harbors for avoiding legal damages.

Oregon: Deepfakes, data privacy, and ticket scalpers

HB 2299 adds AI-generated (or otherwise digitally manipulated) imagery to its ban on nonconsensual sexual imagery — a move seen in nearly every state since 2019. HB 2008 bans data collectors from selling personal information and targeting ads using data from users they know are under 16, while adding a similar all-ages ban for precise geolocation data. And HB 3167 bans the sale of software designed to facilitate ticket-scalping bots, addressing a maddening problem the Federal Trade Commission focused on in 2025 as well.

Rhode Island: Data privacy

Rhode Island’s HB 7787, the Rhode Island Data Transparency and Privacy Protection Act, includes rules that require disclosure of how personal information is collected and sold. It rounds out the trifecta of “Virginia model” rules that failed a privacy evaluationand take effect this year.

Texas: AI rules — but not App Store age verification (yet)

Mere weeks ago, Texas was set to implement a new form of online age-gating: requiring app stores to check users’ ages and pass that information to app developers. But a district court granted a preliminary injunctionblocking SB 2420. The law remains worth watching, however, because Texas will likely appeal to the Fifth Circuit — which is notorious for reversing lower court decisions on internet regulation.

Texas is enacting HB 149, an AI regulatory framework that prohibits using the technology to incite harm, capture biometric identifiers, or discriminate based on characteristics like race and gender or “political viewpoint.” That’s going to be another test of the Trump administration’s plan to repeal state-level AI laws, highlighting a split between state and federal Republicans on AI.

Virginia: Social media time limits

If you’re under 16 years old in Virginia, your screen time may have just been drastically reduced. SB 854 requires social media companies to verify users’ ages and limit younger teens to one hour of use per app per day. A parent can choose to increase or decrease that limit. Like many internet regulations, this one is being challenged in court, so its ultimate fate remains undecided.

Washington: Right to repair

Washington passed a pair of right-to-repair laws, HB 1483 and SB 5680, in 2025. As iFixit explains, they require companies to make repair materials available for most consumer electronics, block parts pairing, and provide specific protections for wheelchair users.

March New York: RAISE Act

The RAISE Act has been touted as a landmark AI law that would require large model developers to follow new safety and transparency rules. But it was significantly stripped down at the last minute, lessening its likely impact. Regardless, it’ll take effect on March 19th, 90 days after being signed late last year.

Michigan: Anti-SLAPP and Taylor Swift

Michigan is another state getting a new anti-SLAPP law — HB 4045 — as of March 24th. On the same date, it’s effectuating a package of rules known as the “Taylor Swift” bills, targeting ticket bots and modeled on the federal BOTS Act.

May Federal Take It Down Act

The Take It Down Act criminalized AI-generated nonconsensual intimate imagery distribution at a federal level in 2025, a change groups like the Cyber Civil Rights Initiative (CCRI) called long overdue. But in the words of CCRI president Mary Anne Franks, it included a “poison pill” with a broad, ambiguous requirement that online platforms remove such images rapidly, raising concerns about censorship and enforcement. That platform takedown provision came with a one-year enforcement delay that will expire on May 19th — so we’ll soon figure out how effective (or disruptive) it actually is.

Utah: App Store age verification

Utah’s App Store Accountability Act, SB 142, technically took effect last year. But app stores were given until May 6th of 2026 to start verifying users’ ages with “commercially available methods” and require parental consent if they detect minors. One final piece — letting minors or their parents sue for damages if app stores don’t comply — will take effect on December 31st.

June Colorado: AI regulations

Colorado’s SB 24-205 is a named target of the Trump administration’s war on state AI laws. It requires AI companies to disclose information about high-risk systems, and more specifically, take “reasonable care to protect consumers” from algorithmic discrimination. Originally slated for February, it’s now set to take effect June 30th instead.

July Arkansas: Children’s privacy

HB 1717 is a children’s data privacy rule similar to the federal COPPA law and the proposed COPPA 2.0, barring online services from collecting unnecessary personal data if they’re aimed at minors or know a user is underage. It takes effect July 1st.

Utah: Data portability

Utah’s HB 418, dubbed the Digital Choice Act, aims to make social media networks less sticky by letting you move data between them. A writeup from Harvard’s Ash Centerexplains the nuances, but broadly, it requires social media companies to implement open protocols that allow users to share personal data across different services. Europe has mandated data portability for years and the results haven’t been revolutionary, but there’s still a chance it could promote more competition on a centralized web. Its enforcement date is also July 1st.

August California: AI detection

Did you think we were done with California AI laws? Well, a delay pushed back the original January goalpost for SB 942, which requires the government to develop standards for AI detection systems and requires covered providers to make such tools available. Now its first provisions kick in on August 2nd, with additional requirements for companies taking effect in 2027 and 2028. It’s taking on a serious issue, but also an incredibly messy one— and like other rules, it depends on preserving the right to state-level AI laws.

3 COMMENTS

Follow topics and authorsfrom this story to see more like this in your personalized homepage f