2021年3月2日,美国弗吉尼亚州州长拉尔夫-诺森(Ralph Northam)签署了《消费者数据保护法》(Consumer Data Protection Act ,简称“CDPA”)。这使得弗吉尼亚州成为美国第二个制定全面隐私立法的州,也是第一个自行立法的州(加州在2018年领先立法,但加州立法机构是被迫推进了该法案,因为如果他们没有这样做,他们将面临投票倡议。)
与最近的隐私法相比,CDPA并不是特别新颖。它在很大程度上借鉴了拟议中的华盛顿州隐私法案,并包括了与加州消费者隐私法类似的内容。具体如下:
(1)适用范围
根据CDPA,如下实体将成为义务主体:
(a)在一年中控制或处理至少10万名消费者的个人数据。
(b)控制或处理至少25,000名消费者的个人数据,并从出售个人数据获得至少50%的总收入。
(c)控制或处理至少25,000名消费者的个人数据,并从出售个人数据获得至少50%的总收入。
熟悉《加利福尼亚州消费者隐私保护法案》(CCPA)的人可能会注意到,CDPA没有设定收入门槛来强制规定义务。这意味着,即使是大型企业,只要不属于上述两类之一,也不会受到CDPA的约束。此外,与CCPA相比,CDPA将必须收集或处理的居民数据数量增加了一倍,才能适用于企业。
CDPA的范围也部分由几个关键定义决定。“消费者”被定义为“仅在个人或家庭背景下行事的联邦居民自然人”。重要的是,它明确地在定义中省略了“在商业或就业环境中行事”的人。因此,与包括员工数据在内的《加州隐私权法案》不同,企业在评估该法的适用性时不需要考虑他们收集和处理的员工个人数据。
此外,“个人信息的出售”被定义为“控制者为了金钱目的向第三方交换个人数据”。根据CCPA的规定,只要以“货币或其他有价值的代价”交换个人数据,就发生了销售,而与CCPA不同的是,CDPA则要求代价必须是货币性的,才有构成数据销售。销售的定义还包括一些值得注意的例外情况:
(2)对处理者的披露
(a)为提供消费者要求的产品或服务而向第三方披露。
(b)向控制者的附属机构披露。
(c)消费者 A)有意通过大众媒体渠道向公众提供的信息披露;B)不限制特定受众的信息披露。
(d)作为合并、收购等的一部分而披露的信息。
个人数据的定义对于确定范围也是至关重要的,因为它排除了任何未经识别的数据或可公开获得的信息。鉴于CDPA对“可公开获取的信息”的定义,这种排除是很重要的。与CCPA一样,该术语被部分定义为“通过联邦、州或地方政府记录合法提供的信息”。
然而,CDPA也在其对“公开可得”的定义中包括了任何“企业有合理的理由相信,通过广泛传播的媒体,由消费者或由消费者向其披露信息的人合法提供的信息,除非消费者将信息限制给特定的受众”。这一措辞值得注意的是,在判断某项信息是否为公开信息时,除了传统的客观分析外,还需要对企业的合理信念进行额外的主观调查。
(3)豁免
在计算是否达到上述门槛之前,一个实体应首先看它或它收集的数据是否属于豁免范围。CDPA规定的豁免主要有两类:实体级豁免和数据级豁免。CDPA规定了五种类型的豁免实体:
(a)社会团体、权力机构、委员会、局、委员会、地区或弗吉尼亚州的机构或任何弗吉尼亚州的政治分支;
(b)受格莱姆-里奇-布莱利法案(GLBA)约束的任何金融机构或数据;
(c)受《健康保险便携性和责任法案》(HIPAA)和《经济和临床健康健康健康信息技术法案》约束的受保实体或企业;
(d)非营利组织;
(e)高等教育机构。
CDPA在HIPAA和GLBA方面的实体级豁免尤其引人注目。根据法律规定,此类机构对HIPAA和GLBA监管数据及其收集的所有数据不受该法律的约束。即使数据本身不一定会被豁免,这种情况仍然存在。
关于豁免数据集有14个类别,包括GLBA、公平信用报告法、司机隐私保护法、农业信贷法和家庭教育权利和隐私法所规定的具体信息。其他豁免类型的信息包括特定员工和求职者数据。
(4)权利
CDPA规定消费者有六大权利:
(a)查阅权。消费者有权“确认控制者是否在处理消费者的个人数据,并有权获取这些个人数据”;
(b)更正权。考虑到个人数据的性质和处理消费者个人数据的目的,消费者有权纠正其个人数据的不准确之处;
(c)删除权。消费者有权删除由消费者提供或获得的关于消费者的个人资料;
(d)数据可携带的权利(Right to data portability)。消费者有权获得消费者之前提供给控制者的个人数据的副本,其格式为可移植的,并且在技术可行的范围内,随时可用的格式,使消费者能够毫无阻碍地将数据传输给另一个控制者,如果处理是通过自动化手段进行的;
(e)选择退出的权利。选择退出对个人数据的处理,以便进行有针对性的广告宣传,销售个人数据,并在推进决策时对消费者产生法律或类似的重大影响;
CDPA没有对这些权利提供任何例外。上述措辞构成了法律对消费者权利的全部讨论。因此,如果企业收到经认证的请求,书面法律规定企业必须遵守,无论请求的困难或不可行的性质如何。
(f)起诉权。CDPA为消费者提供的最后一项权利是对企业拒绝在合理时间内采取行动提出起诉的权利。根据法律规定,企业必须在收到消费者请求后45天内作出答复。在合理必要的情况下,企业只要在最初的答复窗口内通知消费者,就可以将答复期限再延长45天。如果企业未能做到这一点,CDPA规定“控制者应建立一个程序,让消费者在收到决定后的合理时间内对控制者拒绝对请求采取行动提出上诉”。如果起诉被拒绝,控制者需要告知消费者如何向总检察长提交申诉状。
(5)义务
(a)对收集数据的限制。与 CCPA 和之前的GDPR一样, CDPA也包括一项规定,将数据收集限制在“与处理数据的目的有关的充分、相关和合理必要的范围内”;
(b)对使用的限制。一旦收集了数据,该法规规定企业“不得出于既非合理必要,也不符合向消费者披露的处理这些个人数据的目的而处理个人数据,除非控制者获得消费者的同意。”此外,该法还对处理敏感个人信息施加了限制,即未经消费者同意,禁止这样做;
(c)技术保障措施。除了对企业的处理活动施加义务外,CDPA与CCPA和GDPR一样,还要求企业“建立、实施和维护合理的行政、技术和物理数据安全实践,以保护个人数据的保密性、完整性和可访问性”;
(d)数据保护评估。CDPA还要求控制者进行“数据保护评估”,评估与处理活动相关的风险。虽然该法案明确规定了必须进行评估的活动类型,但没有说明必须多长时间进行一次,以及必须保存多长时间;
(e)数据处理协议。与GDPR的第28条一样,CDPA要求处理者代表控制者进行的处理活动受数据处理协议的约束。这种协议必须 “明确规定处理数据的说明、处理的性质和目的、处理的数据主体类型、处理的期限以及双方的权利和义务”。该条款规定了一系列必须纳入协议的列举条款;
(f)隐私政策。不出所料,CDPA中包含了一个条款,要求控制者向消费者提供隐私政策。该政策必须说明:
控制者处理的个人数据的类别。
·处理个人数据的目的;
·消费者如何行使其消费者权利,并对控制者关于消费者要求的决定提出上诉;
·控制者与第三方共享的个人数据类别(如有);
·与控制者共享个人数据的第三方类别(如有)。
然而,与其他拟议的州级法案不同,CDPA没有规定披露时间或必须遵循的任何特定格式。
(6)执行
CDPA没有规定私人诉权,实施工作完全由州总检察长负责。一旦州总检察长决定采取行动,该办公室必须通知管制员。然后,管制员有30天的时间纠正违规行为,并向总检察长提供一份“明确的书面声明,说明所指控的违规行为已经纠正,并且不会再发生违规行为”。如果管制员未能纠正违规行为,总检察长可以对其每次违规行为处以最高7500美元的罚款。
关注“广东技术性贸易措施”,获取更多服务。