常见问题解答:什么是弗吉尼亚消费者数据保护法 (VCDPA)?

已发表: 2023-05-15

数据隐私仍然是我们这个时代越来越相关的话题。

弗吉尼亚州立法机构两院最近颁布了弗吉尼亚消费者数据保护法(弗吉尼亚州的 CDPA 或 VCDPA),对非豁免公司收集、披露和使用弗吉尼亚州居民的个人身份信息 (PII) 施加了新的限制。

此常见问题解答中回答的 VCDPA 问题:

  • 新的 VCDPA 有哪些限制?
  • VCDPA 提供哪些消费者保护?
  • 谁将执行 VCDPA?
  • VCDPA 适用于哪些人?
  • VCDPA 何时生效?
  • 关于 VCDPA,出版商需要了解什么?
新的 VCDPA 有哪些限制?
  • 他们尊重弗吉尼亚消费者披露、更正或删除个人信息的具体、可验证的请求;
  • 他们允许弗吉尼亚州的消费者选择不为特定目的处理个人数据(此外,如果没有明确的选择加入,则不会处理敏感数据);
  • 公司对其数据处理行为(以及“对消费者造成更高伤害风险”的其他个人数据处理行为)进行保护评估;
  • 公司维护和发布适当的隐私声明和披露(并遵守它们); 和
  • 公司及其数据处理者在其使用协议中包含特定的法律条款。

为了根据新的 VCDPA 确保客户个人信息的安全,数据处理者现在必须遵守一些额外的规定,主要与数据保护评估、消费者请求和安全漏洞通知有关。

读者可以在此处查看 VCDPA 的全文。

一些观察家将《加州消费者隐私法》(CCPA,于 2020 年生效)——美国第一项重要的数据隐私措施——与最近获得批准两年半以上的 VCDPA 进行了比较之后。 (请注意,加州隐私权法案 [CPRA] 于 2023 年 1 月 1 日对 CCPA 本身进行了修订和扩展。)

然而,其他人则认为,欧盟更为强大的通用数据保护条例 (GDPR) 更类似于 VCDPA。

但 VCDPA 也明显是它自己的一套措施。 虽然 VCDPA 确实对企业对消费者 (B2C) 定位设置了某些限制,但也恰好有许多方法可以绕过这些限制。

此外,虽然其中一些限制可能会影响公司的 B2C 营销工作,但在企业对企业 (B2B) 或企业对政府 (B2G) 环境中以弗吉尼亚人为目标似乎仍然是公平的游戏,因此只要这样做与目标的工作职能相关并且不违反任何法律。 但是,如果您想在漫长的一天后与家人(和电话)在沙发上放松时接触弗吉尼亚人,您可能需要调低有针对性的广告。

VCDPA 提供哪些消费者保护?

VCDPA 授予消费者有关其私人数据的特定权利。 该法案规定的这些保护措施包括:

  1. 查看、访问和确认个人数据的权利
  2. 删除个人数据的权利
  3. 更正个人数据不准确之处的权利
  4. 数据可移植性的权利(即,对公司持有的所有个人数据进行简化、可移植的访问)
  5. 选择不为有针对性的广告目的处理任何个人数据的权利
  6. 选择不出售个人数据的权利
  7. 选择退出基于个人数据的分析的权利
  8. 行使前述任何权利不受歧视的权利

根据 VCDPA,为了合规,公司必须向消费者提供有关其权利的信息以及行使这些权利的机制。 该法案还规定了企业的各种个人数据义务。 例如,在收集和使用精确的地理位置数据、受保护用户特征数据以及遗传或生物特征数据等敏感个人数据时,需要遵守该法案的公司必须首先获得同意。

VCDPA 与 CCPA 类似,因为 VCDPA 强制要求公司与他们用来代表他们处理数据的服务提供商之间签订特殊合同。 这些合同必须遵循该法案的要求,并定义服务提供商对其处理的个人数据的义务。

此外,VCDPA 规定企业保留个人信息的时间不得超过特定目的所需的期限,也不得超过实现规定目的所需的期限。 这些概念分别称为目的限制和数据最小化。

VCDPA 还要求企业制定并维护足够的数据安全策略,以保护客户信息的隐私、完整性和可用性。

考虑到组织的规模和复杂性及其处理的个人数据,如果公司遵守公认的行业标准,其数据安全措施可能就足够了; 然而,尚不清楚这些合理性标准将如何实施。

最后,与欧盟的通用数据保护条例 (GDPR) 一样,VCDPA 要求组织在处理敏感数据或参与某些涉及个人数据的活动(例如定向广告、销售或剖析。

谁将执行 VCDPA?

弗吉尼亚总检察长将负责执行 VCDPA,尽管有 30 天的宽限期来纠正任何违规行为,但超过此期限继续违法可能导致每次事件最高 7,500 美元的民事罚款。 值得注意的是,该法案并未像 CCPA 那样为个人消费者提供私人法律诉讼权。

关于最后一条警告,要符合 VCDPA 的消费者资格,弗吉尼亚州居民必须是“仅在个人或家庭环境中行事”的自然人。 (与 CCPA 形成鲜明对比的是,CCPA 并未将其对“消费者”的定义限制为“个人或家庭”。)VCDPA 还澄清说,不向“在商业或就业环境中行事”的人提供任何保障。

VCDPA 适用于哪些人?

与 CCPA 一样,VCDPA 可以适用于不在弗吉尼亚州但仍在该州开展业务的公司。 该法律要求公司 (1) 在弗吉尼亚州开展业务或向弗吉尼亚州居民进行营销; (2) 或者: (a) 处理或控制 100,000 名或更多弗吉尼亚居民的个人数据; (b) 处理或控制 25,000 名或更多弗吉尼亚居民的个人数据,并从出售个人数据中获得超过 50% 的总收入受 VCDPA 约束。

VCDPA 何时生效?

VCDPA 于 2023 年 1 月 1 日生效,因此公司目前需要遵守它。

2021 年 3 月 2 日,弗吉尼亚州成为继加利福尼亚州之后第二个实施全面数据隐私立法的州,这进一步加强了正在成为全国性立法的州 数据隐私法规拼凑而成。 (内华达州和缅因州也都通过了数据隐私法,尽管它们并不被国际隐私专业协会 [IAPP] 定义为“全面”。)

关于 VCDPA,出版商需要了解什么?

公司应尽快评估其个人数据处理操作、数据安全措施、隐私政策和服务提供商合同,以保护自己免受 VCDPA 的执法。 我们还建议在响应消费者要求执行 CCPA 或 VCDPA 规定的权利时考虑大局。

Admiral 是一个 CMP(同意管理平台),它跟踪对美国和全世界的在线出版商产生影响的隐私同意法律。 建议您阅读 如果您有任何问题或疑虑,请访问 CMP 常见问题解答

除了监管要求外,收集访问者同意可以建立有价值的访问者细分市场,并为一些发布商带来更高的每千次展示费用。

很快就会有更严格的数据隐私法

随着数据泄露、不当使用客户数据和隐私的故事越来越普遍,公众已经开始关注数据隐私。 根据思科调查的结果,84% 的受访者现在希望对他们的数据及其使用方式有更多的发言权。

84% 的受访者现在希望对他们的数据及其使用方式有更多的发言权。 - 思科调查

这只是出版公司的冰山一角。 伊利诺伊州、缅因州、马萨诸塞州、内华达州、新泽西州和宾夕法尼亚州只是最近通过数据保护和隐私法的几个州。

还正在努力建立联邦数据保护机构和国家数据保护规则。 在预期中,IAB 的技术实验室创建了通用隐私平台,这是一个标准化的合规协议。 Admiral 的同意管理平台符合 GPP,并为跨州和司法管辖区的灵活性而构建。

遵守 VCDPA、CPRA、CCPA 和 GDPR

对于出版商来说,试图跟上所有隐私立法和 GDPR、CCPA、CPRA 和 VCDPA 的复杂性可能是一场噩梦。 为了更好地处理访问者的隐私和同意,许多出版商已向 Admiral 寻求帮助。

Admiral 是首批遵守互动广告局 (IAB) 向下游供应商传输选择退出信息、自动识别来自弗吉尼亚 IP 地址的站点访问并为访问者提供选择退出的用户界面的方法的 CMP 之一数据销售。

Admiral 的 CMP 是面向媒体出版商的最具价值的隐私同意管理解决方案。 立即安排演示。

安排演示