FAQ: 버지니아 소비자 데이터 보호법(VCDPA)이란 무엇입니까?

게시 됨: 2023-05-15

데이터 개인 정보 보호는 우리 시대에 점점 더 관련성이 높은 주제입니다.

버지니아 소비자 데이터 보호법(버지니아 CDPA 또는 VCDPA)은 최근 버지니아 주의회 양원에서 제정되어 비면제 기업이 버지니아 주민의 개인 식별 정보(PII)를 수집, 공개 및 사용하는 데 새로운 제한을 부과했습니다.

이 FAQ에서 답변한 VCDPA 질문:

  • 새로운 VCDPA에는 어떤 제한 사항이 있습니까?
  • VCDPA는 어떤 소비자 보호를 제공합니까?
  • 누가 VCDPA를 시행합니까?
  • VCDPA는 누구에게 적용됩니까?
  • VCDPA는 언제 발효되었습니까?
  • 퍼블리셔는 VCDPA에 대해 무엇을 알아야 합니까?
새로운 VCDPA에는 어떤 제한 사항이 있습니까?
  • 개인 정보를 공개, 수정 또는 삭제하라는 버지니아 소비자의 구체적이고 검증 가능한 요청을 존중합니다.
  • 버지니아 소비자가 특정 목적을 위한 개인 데이터 처리를 거부할 수 있도록 허용합니다(더 나아가 민감한 데이터는 명확한 동의 없이 처리되지 않음).
  • 회사가 데이터 처리 작업(및 "소비자에게 해를 끼칠 위험이 높은" 개인 데이터의 기타 처리 작업)에 대한 보호 평가를 수행합니다.
  • 회사는 적절한 개인 정보 보호 고지 및 공개를 유지하고 게시합니다(그리고 이를 준수합니다). 그리고
  • 해당 회사와 데이터 프로세서는 사용 계약에 특정 법적 조항을 포함합니다.

새로운 VCDPA에 비추어 고객 개인 정보의 안전을 보장하기 위해 데이터 프로세서는 이제 주로 데이터 보호 평가, 소비자 요청 및 보안 위반 알림과 관련된 몇 가지 추가 규정을 준수해야 합니다.

독자는 여기에서 VCDPA의 전체 텍스트를 검토할 수 있습니다.

일부 관찰자들은 미국 최초의 중요한 데이터 개인 정보 보호 조치인 캘리포니아 소비자 개인 정보 보호법(2020년에 발효된 CCPA)과 2년 반 이상 승인된 최근 VCDPA 사이에 유사점을 그렸습니다. 나중에. (CCPA 자체는 2023년 1월 1일 캘리포니아 개인정보 보호법[CPRA]에 의해 수정 및 확장되었습니다.)

그러나 다른 사람들은 EU의 훨씬 더 강력한 일반 데이터 보호 규정(GDPR)이 VCDPA와 더 유사하다고 주장합니다.

그러나 VCDPA는 또한 분명히 자체 측정 세트입니다. VCDPA는 B2C(Business-to-Consumer) 타겟팅에 특정 제한을 두지만 이러한 제한을 우회할 수 있는 여러 가지 방법도 있습니다.

또한 이러한 제한 중 일부는 기업의 B2C 마케팅 노력에 영향을 미칠 수 있지만 B2B(Business-to-Business) 또는 B2G(Business-to-Government) 컨텍스트 내에서 버지니아인을 대상으로 하는 것은 여전히 ​​공정한 게임인 것으로 보입니다. 그렇게 하는 것이 대상의 직무와 관련이 있고 어떠한 법률도 위반하지 않는 한. 그러나 버지니아인이 긴 하루를 보낸 후 소파에서 가족(및 전화)과 함께 휴식을 취하고 있는 동안 도달하고 싶다면 타겟 광고를 낮추는 것이 좋습니다.

VCDPA는 어떤 소비자 보호를 제공합니까?

VCDPA는 개인 데이터에 관한 특정 권리를 소비자에게 부여합니다. 법에 따른 이러한 보호에는 다음이 포함됩니다.

  1. 개인 데이터를 보고, 액세스하고, 확인할 권리
  2. 개인 데이터를 삭제할 권리
  3. 개인 데이터의 부정확성을 수정할 권리
  4. 데이터 이식성에 대한 권리(즉, 회사가 보유한 모든 개인 데이터에 대한 간소화된 이동성 액세스)
  5. 타겟 광고 목적을 위한 개인 데이터 처리를 거부할 권리
  6. 개인 데이터 판매를 거부할 권리
  7. 개인 데이터를 기반으로 한 프로파일링을 거부할 권리
  8. 상기 권리를 행사함에 있어 차별받지 않을 권리

VCDPA에 따라 준수하기 위해 회사는 소비자에게 권리에 대한 정보와 해당 권리를 행사할 수 있는 메커니즘을 제공해야 합니다. 이 법은 또한 기업에 대한 다양한 개인 데이터 의무를 성문화합니다. 정확한 지리적 위치 정보, 보호되는 사용자 특성에 관한 정보, 유전 또는 생체 정보와 같은 민감한 개인 정보를 수집하고 사용하는 경우 법 준수 대상 기업은 먼저 동의를 받아야 합니다.

VCDPA는 VCDPA가 회사와 회사를 대신하여 데이터를 처리하는 데 사용하는 서비스 공급자 간의 특별 계약을 요구한다는 점에서 CCPA와 유사합니다. 이러한 계약은 법의 요구 사항을 따라야 하며 처리하는 개인 데이터와 관련하여 서비스 제공업체의 의무를 정의해야 합니다.

또한 VCDPA는 기업이 특정 목적에 필요한 기간 및 명시된 목적을 달성하는 데 필요한 기간 동안 개인 정보를 보유하도록 요구합니다. 이러한 개념을 각각 목적 제한 및 데이터 최소화라고 합니다.

VCDPA는 또한 기업이 고객 정보의 개인 정보, 무결성 및 가용성을 보호하기 위해 적절한 데이터 보안 정책을 시행하고 유지하도록 요구합니다.

회사의 데이터 보안 조치는 조직의 규모와 복잡성 및 조직에서 처리하는 개인 데이터를 고려하여 인정된 산업 표준을 준수하는 경우 적절할 수 있습니다. 그러나 이러한 합리성 기준이 어떻게 구현될지는 아직 명확하지 않습니다.

마지막으로 VCDPA는 유럽 연합의 일반 데이터 보호 규정(GDPR)과 마찬가지로 조직이 민감한 데이터를 처리하거나 대상 광고, 판매 또는 프로파일링.

누가 VCDPA를 시행합니까?

버지니아 법무 장관은 VCDPA를 시행할 책임이 있으며 위반 사항을 시정할 수 있는 30일의 유예 기간이 있지만 이 시점 이후에도 계속해서 법을 위반하면 건당 최대 7,500달러의 민사 처벌을 받을 수 있습니다. 이 법은 CCPA와 같이 개별 소비자에게 법적 조치를 취할 수 있는 사적 권리를 제공하지 않는다는 점에 유의해야 합니다.

이 마지막 경고와 관련하여 VCDPA에 따라 소비자 자격을 얻으려면 버지니아 거주자는 "개인 또는 가정 상황에서만 행동하는" 자연인이어야 합니다. (이것은 "소비자"의 정의를 "개인 또는 가구"로 제한하지 않는 CCPA와 대조됩니다.) VCDPA는 또한 "상업 또는 고용 맥락에서 행동하는" 사람들에게 어떠한 보호 장치도 제공되지 않는다는 점을 분명히 합니다.

VCDPA는 누구에게 적용됩니까?

CCPA와 마찬가지로 VCDPA는 버지니아에 기반을 두고 있지 않지만 버지니아주에서 사업을 하는 회사에 적용될 수 있습니다. 이 법은 (1) 버지니아에서 사업을 수행하거나 버지니아 거주자에게 판매하는 회사; (2) 다음 중 하나를 수행합니다. (a) 100,000명 이상의 버지니아 주민의 개인 데이터를 처리하거나 제어합니다. 또는 (b) 25,000명 이상의 버지니아 주민의 개인 데이터를 처리 또는 제어하고 개인 데이터 판매에서 총 수익의 50% 이상을 얻는 것은 VCDPA의 적용을 받습니다.

VCDPA는 언제 발효되었습니까?

VCDPA는 2023년 1월 1일에 발효되었으므로 기업은 현재 VCDPA를 준수해야 합니다.

2021년 3월 2일에 버지니아는 캘리포니아에 이어 포괄적인 데이터 개인정보 보호법을 시행하는 두 번째 주가 되었으며, 데이터 프라이버시 규정의 패치워크 . (네바다주와 메인주는 국제 개인정보보호전문가협회[IAPP]에서 정의한 "포괄적"인 것으로 간주되지는 않지만 데이터 개인정보 보호법을 통과시켰습니다.)

퍼블리셔는 VCDPA에 대해 무엇을 알아야 합니까?

회사는 VCDPA의 시행으로부터 스스로를 보호하기 위해 가능한 한 빨리 개인 데이터 처리 작업, 데이터 보안 조치, 개인 정보 보호 정책 및 서비스 공급자 계약을 평가해야 합니다. 또한 CCPA 또는 VCDPA에 따른 권리 행사에 대한 소비자 요구에 대응할 때 더 큰 그림을 고려할 것을 제안합니다.

CMP(동의 관리 플랫폼)인 Admiral은 미국 및 전 세계 온라인 게시자에게 영향을 미치는 개인정보 동의법을 추적합니다. 당신이 읽을 것을 권장합니다 질문이나 우려 사항이 있는 경우 CMP FAQ .

규제 의무 외에도 방문자 동의를 수집하면 시장에 내놓을 귀중한 방문자 세그먼트를 설정할 수 있으며 일부 게시자에게는 더 높은 CPM을 제공했습니다.

곧 더 엄격한 데이터 개인정보 보호법이 시행될 예정입니다.

데이터 유출, 고객 데이터의 부적절한 사용 및 개인 정보 보호에 대한 이야기가 점점 보편화되면서 데이터 개인 정보 보호에 대한 대중의 관심이 높아지고 있습니다. Cisco 설문 조사 결과에 따르면 응답자의 84%는 이제 데이터와 데이터 사용 방식에 대해 더 많은 발언권을 원합니다.

응답자의 84%는 이제 데이터와 데이터 사용 방식에 대해 더 많은 발언권을 원합니다. - 시스코 설문조사

이것은 출판사에게 빙산의 일각입니다. 일리노이, 메인, 매사추세츠, 네바다, 뉴저지, 펜실베니아는 최근 데이터 보호 및 개인 정보 보호법을 채택한 주 중 일부에 불과합니다.

연방 데이터 보호 기관 및 국가 데이터 보호 규칙을 수립하기 위한 노력도 진행 중입니다. 예상대로 IAB의 Tech Lab은 표준화된 규정 준수 프로토콜인 General Privacy Platform을 만들었습니다. Admiral의 동의 관리 플랫폼은 GPP를 준수하며 주 및 관할권 전반에 걸쳐 유연성을 제공하도록 구축되었습니다.

VCDPA, CPRA, CCPA 및 GDPR 준수

게시자에게 모든 개인 정보 보호 법률과 GDPR, CCPA, CPRA 및 VCDPA의 복잡성을 따라가는 것은 악몽일 수 있습니다. 방문자 개인정보 보호 및 동의를 더 잘 처리하기 위해 많은 게시자가 Admiral의 도움을 요청했습니다.

Admiral은 다운스트림 공급업체에 옵트아웃 정보를 전송하고, 버지니아 IP 주소에서 사이트 방문을 자동으로 식별하고, 방문자에게 옵트아웃을 위한 사용자 인터페이스를 제공하는 IAB(Interactive Advertising Bureau)의 방법론을 준수하는 최초의 CMP 중 하나입니다. 데이터 판매.

Admiral의 CMP는 미디어 퍼블리셔를 위한 최고의 개인 정보 보호 동의 관리 솔루션입니다. 오늘 데모를 예약하십시오.

데모 예약