cioctocdo 30 September 2022

SEO Title

VCDPA: Virginia’s Consumer Data Protection Act Explained

《弗吉尼亚州消费者数据保护法》（VCDPA）于2021颁布，旨在为其消费者提供增强的数据保护，并对违规行为进行行政追索。

弗吉尼亚州是美国四个为其居民制定全面数据保护法的州之一，类似于2018年的加利福尼亚消费者隐私法（CCPA）及其2020年的补充加州隐私权和执法法（CPRA）。另外两个制定数据隐私法的州是犹他州和科罗拉多州。

尽管VCDPA直到2023年1月1日才生效，但重要的是确定其未来适用于您的企业，以避免潜在的昂贵处罚。

请继续阅读，以了解有关VCDPA的更多信息，以及您需要做什么来遵守。具体来说，我们将介绍消费者如何受到影响，谁必须遵守，企业如何遵守，以及法律将如何执行。

什么是弗吉尼亚消费者数据保护法案（VCDPA）？

VCDPA是弗吉尼亚州的一项数据保护法，它赋予消费者对企业收集的个人信息的更多控制权，并为企业如何实施增强的隐私措施提供指导。这是目前通过的四项美国数据隐私法之一。

VCDPA规定了如何允许企业处理与弗吉尼亚州居民的已识别或可识别自然人相关或合理相关的个人信息。

对于消费者，VCDPA授予与使用其个人可链接数据相关的特定权利。这些权利包括：

访问他们的个人数据
正确的个人数据
按业务删除请求
获取个人数据副本
选择不处理个人数据
选择退出目标广告和销售
行使权利不受歧视
提交关于侵犯权利的投诉

VCDPA的要求是什么？

VCDPA下的要求具体涉及您的企业如何收集和处理消费者的个人信息和数据。

为了符合VCPDA要求，您的企业必须以清晰易懂的方式展示和解释所有可用的消费者权利。此外，您的企业必须建立消费者沟通流程，必要时获得消费者同意，并对如何共享和销售消费者的个人数据保持完全透明。

这些新规则确定了您的企业如何获取、披露、使用、共享、存储、销售、处理或控制您收集的消费者数据和个人信息。它还要求企业进行数据保护评估，以处理针对性广告和其他销售目的的个人数据。

消费者要求

为了满足VCDPA的门槛要求，您必须在弗吉尼亚州开展业务或生产针对弗吉尼亚州居民的产品或服务，这可能涉及大量业务。

例如，如果您的全球网站以美国各地的消费者为目标，那么这将包括弗吉尼亚州的居民。如果您的欧盟网站面向欧盟、英国和美国消费者，即使与欧盟和英国用户相比，您的美国用户相对较少，您也应遵守VCDPA。

其余要求与一个日历年内受您的业务实践影响的消费者数量有关，无论您是否：

控制或处理至少100000名消费者的个人数据
控制或处理25000名消费者的个人数据，并从个人数据销售中获得超过50%的总收入

定义的个人数据

个人数据在VCDPA中定义为与已识别或可识别自然人相关或合理相关的任何信息。

VCDPA对要保护的个人数据的定义包括：

姓名
地址
社会保障号码
驾驶执照
精确的地理位置数据

敏感个人信息包括：

种族或民族血统
宗教或政治信仰
遗传或生物特征数据
公民身份或移民身份
性取向
从已知儿童收集的数据

数据隐私政策

隐私政策通常从收集数据的事实开始，然后详细解释企业可能收集的数据类型以及消费者访问和控制该数据的权利。

VCDPA要求您将以下内容放在一个清晰、合理、有意义的隐私声明中，该声明规定：

处理个人数据的目的
处理的数据类别
与第三方共享的数据类别
出售给第三方的数据类别
披露第三方的类别
解释如何提交消费者请求
为消费者请求相关决定的上诉提供机制
明确披露针对性广告的个人数据处理
提供选择不处理数据的权利

同意

VCDPA要求企业从消费者那里获得明确和肯定的同意，表明他们对处理个人数据的知情和明确的同意。

企业可以通过让消费者表明他们同意处理其个人数据来获得同意。这通常通过让消费者：

选中空白电子复选框
键入书面声明，即“我同意让[公司名称]处理我的个人数据。”

与儿童打交道时，你的生意必须小心。虽然在处理消费者的敏感数据时明确要求获得同意，但儿童信息必须符合联邦《儿童在线隐私保护法》（COPPA）。

自愿同意

只要消费者得到通知并自愿同意，就可以出于任何目的收集和共享个人数据。

换句话说，消费者必须能够自己做出选择。例如，如果您使用复选框获得他们的同意，您需要提供一个空白复选框，他们可以勾选。空白复选框允许他们“选择加入”您的条款和条件。

相反，如果你给消费者一个预先勾选的复选框，你就已经为他们做出了选择。

记录保存

除了记录数据保护评估外，《弗吉尼亚消费者保护法》中没有重要的记录保存要求。然而，这可能会很麻烦，因为它们要求每个企业对以下各项进行数据保护评估并记录下来：

针对目标广告的个人数据处理
个人数据的销售
为了分析而处理个人数据
敏感数据的处理
任何涉及个人数据的处理活动，对消费者造成更高的伤害风险

申诉流程

如果您属于VCDPA的范围，您的企业必须建立一个流程来处理消费者的请求和对决策的上诉。

您必须在45天内答复经过验证的消费者权利请求。如果消费者希望对做出的任何决定提出上诉，您的整个上诉程序必须在收到通知后45天内结束。

在此期间，在合理必要的情况下，允许额外的45天宽限期。

此外，您的企业必须提供一种机制——在线，如果可用的话——联系弗吉尼亚州总检察长办公室，让消费者在上诉请求被拒绝时提交投诉。

如果在线方法不可用，您必须提供另一种方法联系弗吉尼亚州股份公司。

VCDPA与CCPA/CPRA：异同

VA消费者法是在加利福尼亚数据隐私法之后制定的。这些最初的法律创造了美国最严格的数据隐私和数字消费者权利法。弗吉尼亚州已将这些法律中最好的一项纳入其中，制定了一项全面的弗吉尼亚数据保护法案，该法案既明确又易于使用。

让我们回顾一下加州的政策。

加利福尼亚消费者隐私法案（CCPA）

2020年1月1日，《加利福尼亚消费者隐私法》（CCPA）成为加利福尼亚州的法律，并就如何处理加利福尼亚居民的个人身份信息制定了规则和条例。

CCPA主要关注隐私法，该法律要求您提供一个cookie政策，解释您收集和存储的cookie以及您或第三方如何使用它们。

目前，如果您的业务满足以下任何一项，您必须遵守CCPA的规则：

年总收入超过2500万美元
购买、接收或出售50000或更多加州居民、家庭或设备的个人信息
销售加州居民的个人信息至少可获得50%的年收入

加州隐私权法案（CPRA）

2020年11月，对CCPA进行了补充，以修订加利福尼亚州的数据隐私法要求。

《加利福尼亚隐私权法案》（CPRA）是一部强有力的数据隐私法，它影响所有可能针对或可供加利福尼亚消费者访问的网站的隐私和通知要求。

CPRA并没有取代CCPA，但通过增加消费者权利和全面描述业务合规要求，对其进行了修订，以造福消费者。VCDPA和CPRA修正案将于2023年1月1日生效。

对于CPRA，两个重要要求将发生变化：

将处理个人信息的门槛从50000加州居民提高到100000
信息共享将被视为受保护的个人数据，而不仅仅是购买、接收或销售

VCPDA还要求披露共享个人数据的处理和使用。

除了CPRA之外，有趣的是，企业从2022年1月1日起收集的任何数据都将遵守CPRA。此添加被称为回溯期，以验证个人数据是否得到正确处理。VCPDA不包括回溯期。

弗吉尼亚消费者数据保护法案（VCDPA）

在加利福尼亚州的增编和扩展之后，VCDPA似乎已经充分利用了这些其他法律的优势。它简明扼要，清晰明了，并明确了其法规的某些豁免。

年收入

如果您处理或控制100000弗吉尼亚居民的个人数据，或者您处理或管理25000弗吉尼亚居民的私人数据，同时从个人数据销售中获得50%的总收入，那么弗吉尼亚消费者保护法将适用于您的企业。

关于年度收入和合规范围，VCDPA的门槛要求更接近CPRA，因为它在披露和隐私通知要求中增加了共享。

由于信息共享如此普遍，这无疑会影响弗吉尼亚州的许多企业。

互联网活动

与加利福尼亚州的要求不同，《弗吉尼亚消费者数据保护法》并没有将设备添加到其受保护的信息类别中，也不清楚互联网活动是否受到保护。这项活动将包括在线浏览历史记录、搜索历史记录和可追溯到消费者设备并可能链接到其身份的IP地址。

“请勿出售/共享我的信息”页面

目前，VCDPA不要求披露信息，提醒消费者他们的个人数据正在被出售或共享。然而，它确实需要一份隐私声明，解释如何选择退出对其个人数据的处理，以及如何选择退出目标广告和销售。

这是一个比被要求在你的页面上张贴明显的链接更简单的要求。

根据修订后的CPRA，如果您的企业为了跨上下文行为广告而向第三方共享或披露个人信息，则必须通知消费者。虽然VCPDA确实需要通知和选择退出，但当CPRA生效时，它需要一个明确且明显的链接，说明“不要共享我的个人信息”，另一个标题为“限制使用我的敏感个人信息”

如果您的企业处理加利福尼亚州居民的个人身份识别数据以及其他阈值要求，您也可能需要遵守这些法律。

执行

与加州数据隐私法一样，弗吉尼亚州的数据隐私法赋予司法部长在本州的办公室执法权。

CPRA对CCPA的修正案通过建立一个新的政府机构来执行其数据隐私法，名为加利福尼亚隐私保护局（CPPA），从而加强了执法权力。

弗吉尼亚州没有单独的机构来处理和执行消费者投诉。

此外，与CCPA相反，VCDPA明确表示，消费者没有像CCPA那样的私人诉讼权来起诉涉嫌违规的公司。相反，他们必须通过总检察长办公室寻求执行。

消费者如何受到VCDPA的影响？

VCDPA为消费者提供了保护他们与企业共享的个人信息和数据的工具。然而，只有某些类别的消费者受到影响。

受VCDPA保护的消费者被定义为弗吉尼亚联邦居民，仅以个人或家庭身份行事的自然人。

这一定义意味着VCDPA对企业施加的义务不适用于在商业或就业环境中行事的人。

个人数据也被分类，个人数据包括与已识别或可识别自然人相关或合理相关的任何信息。这不包括以前已被取消识别的任何数据或已公开可用的任何信息。

VCDPA对企业有何影响？

VCPDA要求企业在处理消费者个人信息和数据时更加透明。这项新的弗吉尼亚数据隐私法影响了公司获取、使用、访问、存储、披露或共享客户个人信息的方式。

企业将需要开发更强大的数据保护流程和控制，以快速响应消费者请求和投诉。通过这种方式，VCDPA特别影响您的企业和客户之间的通信方法。

谁必须遵守VCDPA？

如果您在弗吉尼亚州开展业务或将您的产品和服务瞄准弗吉尼亚州居民，则您的业务必须符合VCDPA。

此外，合规性取决于受影响的消费者数量。您的企业至少必须控制或处理以下个人数据：

一个日历年内有100000名消费者
25000名消费者，其中50%的总收入来自个人数据销售

有任何豁免吗？

是的，VCDPA根据所涉及的企业或实体的类型以及您收集的信息和数据的类型，提供其要求的豁免。

企业或实体的豁免：

银行或金融机构
国家机构
非营利组织
高等院校

某些信息和数据的豁免：

商业或就业环境中的公司
根据《健康保险便携性和责任法案》（HIPAA）保护健康信息
受《家庭教育权利和隐私法》（FERPA）监管的个人数据
联邦公平信用报告法（FCRA）规定的与信用报告相关的信息和数据
1994年《联邦驾驶员隐私保护法》规定的与车辆驾驶员信息相关的信息和数据
受《格拉姆-利奇-布莱利法案》（美国法典第15章第6801条等）第五编约束的信息和数据，该法案主要监管银行和金融机构

企业如何遵守VCDPA？

企业可以通过对收集的数据和个人信息保持透明来遵守VCDPA。此外，必须概述所有消费者都能清楚看到和访问的步骤和程序。

如果您的企业受到VCDPA的约束，您必须制定并实施新的政策和程序，以确保您的监控、测试或审计程序符合弗吉尼亚州综合数据隐私法制定的新规则。

VCDPA下的业务义务需要：

透明：在处理消费者的个人数据时，您必须透明，并解释在涉及个人客户数据时，如何与第三方供应商开展业务。
限制数据收集：将信息和数据收集限制在足够、相关和合理的必要范围内，以运行您的业务。VCDPA扩展到在线和离线数据收集实践。
限制目的：处理个人信息和数据的目的只能与向消费者披露的目的相兼容。
维护安全协议：建立、实施和维护合理要求的安全措施，以保护消费者的个人数据。可能需要新的评估措施。
避免歧视：您的企业不能以违反州或联邦反歧视法的方式处理个人数据。此外，一般禁止企业歧视消费者行使VCDPA规定的权利。
获得同意：您的企业需要获得处理个人数据的同意。在处理敏感数据、处理儿童数据或偏离消费者先前披露的目的时，明示同意尤为重要。

VCDPA将如何实施？

VCDPA的实施方法可以极大地为您的企业带来好处，因为它有30天的治愈期。在此期间，将向企业发送指控不合规的信件，并给企业时间与总检察长办公室沟通，以在罚款之前纠正任何潜在的违规行为。

假设请求被拒绝，消费者对决定提出上诉。在这种情况下，《弗吉尼亚消费者数据保护法》规定了一个详细的机制，如果消费者的权利请求被拒绝，可以提交上诉。就处理消费者请求所需的时间而言，VCPDA强制规定30天内响应消费者请求。

最后，适当的执法要求消费者获得工具，通过在线或任何其他可用方法联系弗吉尼亚州总检察长办公室。

罚款和处罚

被发现违反VCDPA的公司将面临潜在的禁令和最高7500美元的民事处罚，以及律师费。

您可以通过及时遵守总检察长办公室提出的任何可行请求来避免罚款。企业还可以通过提前准备VCDPA的要求来避免罚款，以避免与不合规相关的潜在处罚的可能性。

最终，所有罚款归消费者隐私基金所有，用于支持司法部长执行VCPDA规定的工作。

总结

对您的企业来说，最好的方法是将VCPDA隐私法的要求纳入其中，同时保持对未来数据隐私合规性要求的新增加的适应性。

VCDPA直到2023年1月1日才生效。企业可以利用这段时间检查新法律的要求，并根据需要纳入规则和条例。如果你的企业未能遵守新法律的要求，罚款可能会很昂贵。

在联邦消费者数据隐私法通过之前，加利福尼亚州和弗吉尼亚州代表着州监督和监管如何处理消费者个人数据的新兴趋势。

本文：https://cioctocdo.com/vcdpa-virginias-consumer-data-protection-act-expl…

【美国VCDPA】VCDPA：弗吉尼亚消费者数据保护法解释

目录