• โฮมเพจ
  • บทความ
  • บล็อก
  • คำถามที่พบบ่อย: พระราชบัญญัติคุ้มครองข้อมูลผู้บริโภคเวอร์จิเนีย (VCDPA) คืออะไร

คำถามที่พบบ่อย: พระราชบัญญัติคุ้มครองข้อมูลผู้บริโภคเวอร์จิเนีย (VCDPA) คืออะไร

เผยแพร่แล้ว: 2023-05-15

ความเป็นส่วนตัวของข้อมูลยังคงเป็นหัวข้อที่เกี่ยวข้องมากขึ้นในยุคสมัยของเรา

กฎหมายคุ้มครองข้อมูลผู้บริโภคเวอร์จิเนีย (Virginia's CDPA หรือ VCDPA) เพิ่งประกาศใช้โดยทั้งสองสภาของสภานิติบัญญัติเวอร์จิเนีย โดยกำหนดข้อจำกัดใหม่ในการรวบรวม การเปิดเผย และการใช้ข้อมูลส่วนบุคคล (PII) ของผู้อยู่อาศัยในเวอร์จิเนียโดยองค์กรที่ไม่ได้รับการยกเว้น

ตอบคำถาม VCDPA ในคำถามที่พบบ่อยนี้:

  • VCDPA ใหม่มีข้อจำกัดอะไรบ้าง
  • VCDPA มีการคุ้มครองผู้บริโภคอะไรบ้าง?
  • ใครจะบังคับใช้ VCDPA?
  • VCDPA ใช้กับใคร
  • VCDPA มีผลบังคับใช้เมื่อใด
  • ผู้จัดพิมพ์จำเป็นต้องรู้อะไรเกี่ยวกับ VCDPA
VCDPA ใหม่มีข้อจำกัดอะไรบ้าง
  • พวกเขาเคารพคำขอที่เฉพาะเจาะจงและตรวจสอบได้จากผู้บริโภคในเวอร์จิเนียในการเปิดเผย แก้ไข หรือลบข้อมูลส่วนตัว
  • พวกเขาอนุญาตให้ผู้บริโภคในเวอร์จิเนียยกเลิกการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เฉพาะ (และยิ่งไปกว่านั้น ข้อมูลที่ละเอียดอ่อนจะไม่ถูกประมวลผลหากไม่มีการเลือกรับที่ชัดเจน)
  • บริษัทนั้นทำการประเมินการป้องกันการดำเนินการประมวลผลข้อมูลของตน (เช่นเดียวกับการดำเนินการอื่นๆ ในการประมวลผลข้อมูลส่วนบุคคล “ที่นำเสนอความเสี่ยงสูงที่จะเกิดอันตรายต่อผู้บริโภค”)
  • บริษัทนั้นรักษาและเผยแพร่ประกาศความเป็นส่วนตัวและการเปิดเผยที่เหมาะสม (และปฏิบัติตาม) และ
  • บริษัทดังกล่าวและผู้ประมวลผลข้อมูลของพวกเขารวมถึงข้อกฎหมายเฉพาะในข้อตกลงการใช้งานของพวกเขา

เพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้าภายใต้ VCDPA ใหม่ ผู้ประมวลผลข้อมูลต้องปฏิบัติตามกฎระเบียบเพิ่มเติมสองสามข้อ ซึ่งส่วนใหญ่เกี่ยวข้องกับการประเมินการปกป้องข้อมูล คำขอของผู้บริโภค และการแจ้งเตือนการละเมิดความปลอดภัย

ผู้อ่านสามารถตรวจสอบเนื้อหาทั้งหมดของ VCDPA ได้ที่นี่

ผู้สังเกตการณ์บางคนมีความคล้ายคลึงกันระหว่างกฎหมายความเป็นส่วนตัวของผู้บริโภคในแคลิฟอร์เนีย (CCPA ซึ่งมีผลบังคับใช้ในปี 2020) ซึ่งเป็นมาตรการความเป็นส่วนตัวของข้อมูลที่สำคัญเป็นครั้งแรกในสหรัฐอเมริกา และ VCDPA ล่าสุดซึ่งได้รับการอนุมัติมานานกว่าสองปีครึ่ง ภายหลัง. (โปรดทราบว่า CCPA ได้รับการแก้ไขและขยายเพิ่มเติมโดย California Privacy Rights Act [CPRA] เมื่อวันที่ 1 มกราคม 2023)

อย่างไรก็ตาม คนอื่นๆ ให้เหตุผลว่ากฎระเบียบคุ้มครองข้อมูลทั่วไป (GDPR) ของสหภาพยุโรปที่เข้มงวดกว่านั้นมีความคล้ายคลึงกับ VCDPA มากกว่า

แต่ VCDPA ก็เป็นชุดมาตรการของตัวเองอย่างชัดเจนเช่นกัน แม้ว่า VCDPA จะกำหนดข้อจำกัดบางประการเกี่ยวกับการกำหนดเป้าหมายแบบธุรกิจกับผู้บริโภค (B2C) แต่ก็มีหลายวิธีที่จะหลีกเลี่ยงข้อจำกัดเหล่านี้

นอกจากนี้ แม้ว่าข้อจำกัดบางประการเหล่านี้อาจส่งผลต่อความพยายามทางการตลาดแบบ B2C ของบริษัท แต่ดูเหมือนว่าการกำหนดเป้าหมายไปยังชาวเวอร์จิเนียภายในบริบทแบบธุรกิจกับธุรกิจ (B2B) หรือธุรกิจกับภาครัฐ (B2G) ยังคงเป็นเกมที่ยุติธรรม ดังนั้น ตราบใดที่การทำเช่นนั้นเกี่ยวข้องกับหน้าที่การงานของเป้าหมายและไม่ละเมิดกฎหมายใดๆ แต่ถ้าคุณต้องการเข้าถึงชาวเวอร์จิเนียในขณะที่เขาหรือเธอกำลังพักผ่อนกับครอบครัว (และโทรศัพท์) บนโซฟาหลังจากเหน็ดเหนื่อยมาทั้งวัน คุณอาจต้องการโทรหาโฆษณาที่ตรงเป้าหมายของคุณ

VCDPA มีการคุ้มครองผู้บริโภคอะไรบ้าง?

VCDPA ให้สิทธิ์เฉพาะแก่ผู้บริโภคเกี่ยวกับข้อมูลส่วนตัวของพวกเขา การคุ้มครองเหล่านี้ภายใต้กฎหมายรวมถึง:

  1. สิทธิ์ในการดู เข้าถึง และยืนยันข้อมูลส่วนบุคคล
  2. สิทธิ์ในการลบข้อมูลส่วนบุคคล
  3. สิทธิในการแก้ไขความไม่ถูกต้องในข้อมูลส่วนบุคคล
  4. สิทธิ์ในการพกพาข้อมูล (กล่าวคือ เข้าถึงข้อมูลส่วนตัวทั้งหมดที่บริษัทถือครองได้ง่ายและพกพาได้)
  5. สิทธิ์ในการเลือกไม่ประมวลผลข้อมูลส่วนบุคคลใด ๆ เพื่อวัตถุประสงค์ในการโฆษณาตามเป้าหมาย
  6. สิทธิ์ในการยกเลิกการขายข้อมูลส่วนบุคคล
  7. สิทธิ์ในการยกเลิกการทำโปรไฟล์ตามข้อมูลส่วนบุคคล
  8. สิทธิที่จะไม่ถูกเลือกปฏิบัติในการใช้สิทธิใด ๆ ข้างต้น

ภายใต้ VCDPA เพื่อให้เป็นไปตามข้อกำหนด บริษัทต่างๆ จะต้องให้ข้อมูลเกี่ยวกับสิทธิของตนแก่ผู้บริโภค ตลอดจนกลไกในการใช้สิทธิเหล่านั้น พระราชบัญญัตินี้ยังกำหนดข้อผูกมัดเกี่ยวกับข้อมูลส่วนบุคคลต่างๆ สำหรับธุรกิจ เมื่อพูดถึงการรวบรวมและใช้ข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น ข้อมูลตำแหน่งทางภูมิศาสตร์ที่แม่นยำ ข้อมูลเกี่ยวกับลักษณะผู้ใช้ที่ได้รับการคุ้มครอง และข้อมูลทางพันธุกรรมหรือไบโอเมตริก เป็นต้น บริษัทที่ต้องปฏิบัติตามกฎหมายจำเป็นต้องได้รับความยินยอมก่อน

VCDPA คล้ายกับ CCPA ตรงที่ VCDPA กำหนดสัญญาพิเศษระหว่างบริษัทและผู้ให้บริการที่พวกเขาใช้ในการประมวลผลข้อมูลในนามของพวกเขา สัญญาเหล่านี้ต้องเป็นไปตามข้อกำหนดของกฎหมายและกำหนดข้อผูกมัดของผู้ให้บริการเกี่ยวกับข้อมูลส่วนบุคคลที่ดำเนินการ

นอกจากนี้ VCDPA กำหนดให้ธุรกิจเก็บรักษาข้อมูลส่วนบุคคลไว้ไม่เกินระยะเวลาที่จำเป็นสำหรับวัตถุประสงค์เฉพาะ และไม่เกินระยะเวลาที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ดังกล่าว แนวคิดเหล่านี้เรียกว่าการจำกัดวัตถุประสงค์และการย่อขนาดข้อมูลตามลำดับ

นอกจากนี้ VCDPA ยังกำหนดให้ธุรกิจมีนโยบายการรักษาความปลอดภัยของข้อมูลที่เพียงพอ เพื่อปกป้องความเป็นส่วนตัว ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลลูกค้า

มาตรการรักษาความปลอดภัยข้อมูลของบริษัทน่าจะเพียงพอหากปฏิบัติตามมาตรฐานอุตสาหกรรมที่เป็นที่ยอมรับ โดยคำนึงถึงขนาดและความซับซ้อนขององค์กรและข้อมูลส่วนบุคคลที่บริษัทจัดการ อย่างไรก็ตามยังไม่ชัดเจนว่าจะนำเกณฑ์ความสมเหตุสมผลเหล่านี้ไปใช้อย่างไร

ประการสุดท้าย VCDPA เช่นเดียวกับระเบียบคุ้มครองข้อมูลทั่วไป (GDPR) ของสหภาพยุโรป กำหนดให้องค์กรดำเนินการและบันทึกการประเมินการปกป้องข้อมูลก่อนที่จะประมวลผลข้อมูลที่ละเอียดอ่อนหรือมีส่วนร่วมในกิจกรรมบางอย่างกับข้อมูลส่วนบุคคล เช่น การโฆษณา การขาย หรือ การทำโปรไฟล์

ใครจะบังคับใช้ VCDPA?

อัยการสูงสุดของเวอร์จิเนียจะต้องรับผิดชอบในการบังคับใช้ VCDPA และแม้ว่าจะมีระยะเวลาผ่อนผัน 30 วันในการแก้ไขการละเมิดใดๆ ก็ตาม การละเมิดกฎหมายต่อไปนอกเหนือจากจุดนี้อาจส่งผลให้มีโทษทางแพ่งสูงถึง 7,500 ดอลลาร์ต่อเหตุการณ์ โปรดทราบว่าพระราชบัญญัตินี้ไม่ได้ให้สิทธิส่วนบุคคลแก่ผู้บริโภคแต่ละรายในการดำเนินการทางกฎหมายตามที่ CCPA ทำ

เกี่ยวกับข้อแม้สุดท้ายนี้ เพื่อให้มีคุณสมบัติเป็นผู้บริโภคภายใต้ VCDPA ผู้ที่อาศัยอยู่ในรัฐเวอร์จิเนียจะต้องเป็นบุคคลธรรมดา “ดำเนินการเฉพาะในบริบทส่วนบุคคลหรือครัวเรือนเท่านั้น” (ตรงกันข้ามกับ CCPA ซึ่งไม่จำกัดคำจำกัดความของ "ผู้บริโภค" เป็น "บุคคลหรือครัวเรือน") นอกจากนี้ VCDPA ยังชี้แจงด้วยว่าไม่มีมาตรการป้องกันใดๆ ให้แก่ผู้ที่ "ดำเนินการในบริบทเชิงพาณิชย์หรือการจ้างงาน"

VCDPA ใช้กับใคร

เช่นเดียวกับ CCPA VCDPA สามารถใช้ได้กับบริษัทที่ไม่ได้ตั้งอยู่ในรัฐเวอร์จิเนีย แต่ยังคงทำธุรกิจในรัฐ กฎหมายนี้กำหนดว่าบริษัทที่ (1) ดำเนินธุรกิจในเวอร์จิเนียหรือทำการตลาดให้กับผู้อยู่อาศัยในเวอร์จิเนีย; และ (2) อย่างใดอย่างหนึ่ง: (ก) ประมวลผลหรือควบคุมข้อมูลส่วนบุคคลของผู้อยู่อาศัยในเวอร์จิเนีย 100,000 คนขึ้นไป; หรือ (b) ประมวลผลหรือควบคุมข้อมูลส่วนบุคคลของผู้พักอาศัยในเวอร์จิเนีย 25,000 คนขึ้นไป และได้รับรายได้รวมมากกว่า 50% จากการขายข้อมูลส่วนบุคคลอยู่ภายใต้ VCDPA

VCDPA มีผลบังคับใช้เมื่อใด

VCDPA มีผลบังคับใช้ในวันที่ 1 มกราคม 2023 ดังนั้น บริษัทต่างๆ จำเป็นต้องปฏิบัติตามในปัจจุบัน

เมื่อวันที่ 2 มีนาคม 2021 เวอร์จิเนียกลายเป็นรัฐที่สองรองจากแคลิฟอร์เนียที่บังคับใช้กฎหมายความเป็นส่วนตัวของข้อมูลที่ครอบคลุม กฎ ระเบียบความเป็นส่วนตัวของข้อมูล (รัฐเนวาดาและรัฐเมนต่างก็ผ่านกฎหมายความเป็นส่วนตัวของข้อมูลเช่นกัน แม้ว่าจะไม่ถือว่า "ครอบคลุม" ตามที่กำหนดโดย International Association of Privacy Professionals [IAPP])

ผู้จัดพิมพ์จำเป็นต้องรู้อะไรเกี่ยวกับ VCDPA

บริษัทต่างๆ ควรประเมินการดำเนินการประมวลผลข้อมูลส่วนบุคคล มาตรการรักษาความปลอดภัยข้อมูล นโยบายความเป็นส่วนตัว และสัญญาของผู้ให้บริการโดยเร็วที่สุด เพื่อป้องกันตนเองจากการบังคับใช้ของ VCDPA นอกจากนี้ เรายังแนะนำให้พิจารณาภาพรวมในการตอบสนองความต้องการของผู้บริโภคในการบังคับใช้สิทธิ์ภายใต้ CCPA หรือ VCDPA

Admiral ซึ่งเป็น CMP (Consent Management Platform) ติดตามกฎหมายการยินยอมความเป็นส่วนตัวที่มีผลกระทบต่อผู้เผยแพร่ออนไลน์ในสหรัฐอเมริกาและทั่วโลก ขอแนะนำให้คุณอ่าน คำถามที่พบบ่อยเกี่ยวกับ CMP หากคุณมีคำถามหรือข้อกังวลใดๆ

นอกเหนือจากข้อบังคับด้านกฎระเบียบแล้ว การรวบรวมความยินยอมของผู้เข้าชมยังสามารถสร้างกลุ่มผู้เข้าชมที่มีมูลค่าในตลาดได้ และทำให้ CPM สูงขึ้นสำหรับผู้เผยแพร่โฆษณาบางราย

จะมีกฎหมายความเป็นส่วนตัวของข้อมูลที่เข้มงวดขึ้นในเร็วๆ นี้

ความสนใจของสาธารณชนได้รับความสนใจจากความเป็นส่วนตัวของข้อมูล เนื่องจากเรื่องราวของการละเมิดข้อมูล การใช้ข้อมูลลูกค้าอย่างไม่เหมาะสม และความเป็นส่วนตัวมีมากขึ้น จากผลการสำรวจของ Cisco ขณะนี้ 84% ของผู้ตอบแบบสอบถามต้องการแสดงความคิดเห็นเพิ่มเติมเกี่ยวกับข้อมูลของตนและวิธีการนำข้อมูลไปใช้

ขณะนี้ 84% ของผู้ตอบแบบสอบถามต้องการแสดงความคิดเห็นเกี่ยวกับข้อมูลของตนมากขึ้นและใช้งานอย่างไร - การสำรวจของซิสโก้

นี่คือยอดภูเขาน้ำแข็งสำหรับบริษัทสิ่งพิมพ์ อิลลินอยส์ เมน แมสซาชูเซตส์ เนวาดา นิวเจอร์ซีย์ และเพนซิลเวเนียเป็นเพียงไม่กี่รัฐที่เพิ่งนำกฎหมายคุ้มครองข้อมูลและความเป็นส่วนตัวมาใช้

นอกจากนี้ยังมีความพยายามในการจัดตั้งหน่วยงานปกป้องข้อมูลของรัฐบาลกลางและกฎการปกป้องข้อมูลระดับชาติ ตามความคาดหมาย Tech Lab ของ IAB ได้สร้าง General Privacy Platform ซึ่งเป็นโปรโตคอลการปฏิบัติตามมาตรฐาน แพลตฟอร์มการจัดการความยินยอมของ Admiral เป็นไปตาม GPP และสร้างขึ้นเพื่อความยืดหยุ่นในทุกรัฐและเขตอำนาจศาล

สอดคล้องกับ VCDPA, CPRA, CCPA และ GDPR

สำหรับผู้เผยแพร่โฆษณา การพยายามปฏิบัติตามกฎหมายว่าด้วยความเป็นส่วนตัวทั้งหมดและความซับซ้อนของ GDPR, CCPA, CPRA และ VCDPA อาจดูเหมือนฝันร้าย เพื่อจัดการความเป็นส่วนตัวและความยินยอมของผู้เข้าชมได้ดียิ่งขึ้น ผู้เผยแพร่จำนวนมากได้ขอความช่วยเหลือจาก Admiral

Admiral เป็นหนึ่งใน CMP แรกที่ปฏิบัติตามระเบียบวิธีของ Interactive Advertising Bureau (IAB) ในการส่งข้อมูลการเลือกไม่ใช้ไปยังผู้ขายปลายน้ำ ระบุการเข้าชมไซต์โดยอัตโนมัติจากที่อยู่ IP ของเวอร์จิเนีย และให้อินเทอร์เฟซผู้ใช้แก่ผู้เยี่ยมชมเพื่อเลือกไม่ใช้ ขายข้อมูล

CMP ของ Admiral เป็นโซลูชันการจัดการความยินยอมความเป็นส่วนตัวที่คุ้มค่าที่สุดสำหรับผู้เผยแพร่สื่อ กำหนดการสาธิตวันนี้

กำหนดการสาธิต