常見問題解答:什麼是弗吉尼亞消費者數據保護法 (VCDPA)?

已發表: 2023-05-15

數據隱私仍然是我們這個時代越來越相關的話題。

弗吉尼亞州立法機構兩院最近頒布了弗吉尼亞消費者數據保護法(弗吉尼亞州的 CDPA 或 VCDPA),對非豁免公司收集、披露和使用弗吉尼亞州居民的個人身份信息 (PII) 施加了新的限制。

此常見問題解答中回答的 VCDPA 問題:

  • 新的 VCDPA 有哪些限制?
  • VCDPA 提供哪些消費者保護?
  • 誰將執行 VCDPA?
  • VCDPA 適用於哪些人?
  • VCDPA 何時生效?
  • 關於 VCDPA,出版商需要了解什麼?
新的 VCDPA 有哪些限制?
  • 他們尊重弗吉尼亞消費者披露、更正或刪除個人信息的具體、可驗證的請求;
  • 他們允許弗吉尼亞州的消費者選擇不為特定目的處理個人數據(此外,如果沒有明確的選擇加入,則不會處理敏感數據);
  • 公司對其數據處理行為(以及“對消費者造成更高傷害風險”的其他個人數據處理行為)進行保護評估;
  • 公司維護和發布適當的隱私聲明和披露(並遵守它們); 和
  • 公司及其數據處理者在其使用協議中包含特定的法律條款。

為了根據新的 VCDPA 確保客戶個人信息的安全,數據處理者現在必須遵守一些額外的規定,主要與數據保護評估、消費者請求和安全漏洞通知有關。

讀者可以在此處查看 VCDPA 的全文。

一些觀察家將《加州消費者隱私法》(CCPA,於 2020 年生效)——美國第一項重要的數據隱私措施——與最近獲得批准兩年半以上的 VCDPA 進行了比較之後。 (請注意,加州隱私權法案 [CPRA] 於 2023 年 1 月 1 日對 CCPA 本身進行了修訂和擴展。)

然而,其他人則認為,歐盟更為強大的通用數據保護條例 (GDPR) 更類似於 VCDPA。

但 VCDPA 也明顯是它自己的一套措施。 雖然 VCDPA 確實對企業對消費者 (B2C) 定位設置了某些限制,但也恰好有許多方法可以繞過這些限制。

此外,雖然其中一些限制可能會影響公司的 B2C 營銷工作,但在企業對企業 (B2B) 或企業對政府 (B2G) 環境中以弗吉尼亞人為目標似乎仍然是公平的遊戲,因此只要這樣做與目標的工作職能相關並且不違反任何法律。 但是,如果您想在漫長的一天后與家人(和電話)在沙發上放鬆時接觸弗吉尼亞人,您可能需要調低有針對性的廣告。

VCDPA 提供哪些消費者保護?

VCDPA 授予消費者有關其私人數據的特定權利。 該法案規定的這些保護措施包括:

  1. 查看、訪問和確認個人數據的權利
  2. 刪除個人數據的權利
  3. 更正個人數據不准確之處的權利
  4. 數據可移植性的權利(即,對公司持有的所有個人數據進行簡化、可移植的訪問)
  5. 選擇不為有針對性的廣告目的處理任何個人數據的權利
  6. 選擇不出售個人數據的權利
  7. 選擇退出基於個人數據的分析的權利
  8. 行使前述任何權利不受歧視的權利

根據 VCDPA,為了合規,公司必須向消費者提供有關其權利的信息以及行使這些權利的機制。 該法案還規定了企業的各種個人數據義務。 例如,在收集和使用精確的地理位置數據、受保護用戶特徵數據以及遺傳或生物特徵數據等敏感個人數據時,需要遵守該法案的公司必須首先獲得同意。

VCDPA 與 CCPA 類似,因為 VCDPA 強制要求公司與他們用來代表他們處理數據的服務提供商之間簽訂特殊合同。 這些合同必須遵循該法案的要求,並定義服務提供商對其處理的個人數據的義務。

此外,VCDPA 規定企業保留個人信息的時間不得超過特定目的所需的期限,也不得超過實現規定目的所需的期限。 這些概念分別稱為目的限制和數據最小化。

VCDPA 還要求企業製定並維護足夠的數據安全策略,以保護客戶信息的隱私、完整性和可用性。

考慮到組織的規模和復雜性及其處理的個人數據,如果公司遵守公認的行業標準,其數據安全措施可能就足夠了; 然而,尚不清楚這些合理性標準將如何實施。

最後,與歐盟的通用數據保護條例 (GDPR) 一樣,VCDPA 要求組織在處理敏感數據或參與某些涉及個人數據的活動(例如定向廣告、銷售或剖析。

誰將執行 VCDPA?

弗吉尼亞總檢察長將負責執行 VCDPA,儘管有 30 天的寬限期來糾正任何違規行為,但超過此期限繼續違法可能導致每次事件最高 7,500 美元的民事罰款。 值得注意的是,該法案並未像 CCPA 那樣為個人消費者提供私人法律訴訟權。

關於最後一條警告,要符合 VCDPA 的消費者資格,弗吉尼亞州居民必須是“僅在個人或家庭環境中行事”的自然人。 (與 CCPA 形成鮮明對比的是,CCPA 並未將其對“消費者”的定義限制為“個人或家庭”。)VCDPA 還澄清說,不向“在商業或就業環境中行事”的人提供任何保障。

VCDPA 適用於哪些人?

與 CCPA 一樣,VCDPA 可以適用於不在弗吉尼亞州但仍在該州開展業務的公司。 該法律要求公司 (1) 在弗吉尼亞州開展業務或向弗吉尼亞州居民進行營銷; (2) 或者: (a) 處理或控制 100,000 名或更多弗吉尼亞居民的個人數據; (b) 處理或控制 25,000 名或更多弗吉尼亞居民的個人數據,並從出售個人數據中獲得超過 50% 的總收入受 VCDPA 約束。

VCDPA 何時生效?

VCDPA 於 2023 年 1 月 1 日生效,因此公司目前需要遵守它。

2021 年 3 月 2 日,弗吉尼亞州成為繼加利福尼亞州之後第二個實施全面數據隱私立法的州,這進一步加強了正在成為全國性立法的州 數據隱私法規拼湊而成。 (內華達州和緬因州也都通過了數據隱私法,儘管它們並不被國際隱私專業協會 [IAPP] 定義為“全面”。)

關於 VCDPA,出版商需要了解什麼?

公司應盡快評估其個人數據處理操作、數據安全措施、隱私政策和服務提供商合同,以保護自己免受 VCDPA 的執法。 我們還建議在響應消費者要求執行 CCPA 或 VCDPA 規定的權利時考慮大局。

Admiral 是一個 CMP(同意管理平台),它跟踪對美國和全世界的在線出版商產生影響的隱私同意法律。 建議您閱讀 如果您有任何問題或疑慮,請訪問 CMP 常見問題解答

除了監管要求外,收集訪問者同意可以建立有價值的訪問者細分市場,並為一些發布商帶來更高的每千次展示費用。

很快就會有更嚴格的數據隱私法

隨著數據洩露、不當使用客戶數據和隱私的故事越來越普遍,公眾已經開始關注數據隱私。 根據思科調查的結果,84% 的受訪者現在希望對他們的數據及其使用方式有更多的發言權。

84% 的受訪者現在希望對他們的數據及其使用方式有更多的發言權。 - 思科調查

這只是出版公司的冰山一角。 伊利諾伊州、緬因州、馬薩諸塞州、內華達州、新澤西州和賓夕法尼亞州只是最近通過數據保護和隱私法的幾個州。

還正在努力建立聯邦數據保護機構和國家數據保護規則。 在預期中,IAB 的技術實驗室創建了通用隱私平台,這是一個標準化的合規協議。 Admiral 的同意管理平台符合 GPP,並為跨州和司法管轄區的靈活性而構建。

遵守 VCDPA、CPRA、CCPA 和 GDPR

對於出版商來說,試圖跟上所有隱私立法和 GDPR、CCPA、CPRA 和 VCDPA 的複雜性可能是一場噩夢。 為了更好地處理訪問者的隱私和同意,許多出版商已向 Admiral 尋求幫助。

Admiral 是首批遵守互動廣告局 (IAB) 向下游供應商傳輸選擇退出信息、自動識別來自弗吉尼亞 IP 地址的站點訪問並為訪問者提供選擇退出的用戶界面的方法的 CMP 之一數據銷售。

Admiral 的 CMP 是面向媒體出版商的最具價值的隱私同意管理解決方案。 立即安排演示。

安排演示