2021年3月2日,，美國(guó)弗吉尼亞州州長(zhǎng)拉爾夫-諾森（Ralph Northam）簽署了《消費(fèi)者數(shù)據(jù)保護(hù)法》（Consumer Data Protection Act ,簡(jiǎn)稱“CDPA”）,。這使得弗吉尼亞州成為美國(guó)第二個(gè)制定全面隱私立法的州,，也是第一個(gè)自行立法的州（加州在2018年領(lǐng)先立法,，但加州立法機(jī)構(gòu)是被迫推進(jìn)了該法案,，因?yàn)槿绻麄儧](méi)有這樣做,，他們將面臨投票倡議,。）

與最近的隱私法相比,，CDPA并不是特別新穎,。它在很大程度上借鑒了擬議中的華盛頓州隱私法案,，并包括了與加州消費(fèi)者隱私法類似的內(nèi)容。具體如下：

（1）適用范圍

根據(jù)CDPA,，如下實(shí)體將成為義務(wù)主體：

（a）在一年中控制或處理至少10萬(wàn)名消費(fèi)者的個(gè)人數(shù)據(jù),。

（b）控制或處理至少25,000名消費(fèi)者的個(gè)人數(shù)據(jù)，并從出售個(gè)人數(shù)據(jù)獲得至少50%的總收入,。

（c）控制或處理至少25,000名消費(fèi)者的個(gè)人數(shù)據(jù),，并從出售個(gè)人數(shù)據(jù)獲得至少50%的總收入。

熟悉《加利福尼亞州消費(fèi)者隱私保護(hù)法案》（CCPA）的人可能會(huì)注意到,，CDPA沒(méi)有設(shè)定收入門檻來(lái)強(qiáng)制規(guī)定義務(wù),。這意味著，即使是大型企業(yè),，只要不屬于上述兩類之一,，也不會(huì)受到CDPA的約束。此外,，與CCPA相比,，CDPA將必須收集或處理的居民數(shù)據(jù)數(shù)量增加了一倍,，才能適用于企業(yè)。

CDPA的范圍也部分由幾個(gè)關(guān)鍵定義決定,?！跋M(fèi)者”被定義為“僅在個(gè)人或家庭背景下行事的聯(lián)邦居民自然人”。重要的是,，它明確地在定義中省略了“在商業(yè)或就業(yè)環(huán)境中行事”的人,。因此，與包括員工數(shù)據(jù)在內(nèi)的《加州隱私權(quán)法案》不同,，企業(yè)在評(píng)估該法的適用性時(shí)不需要考慮他們收集和處理的員工個(gè)人數(shù)據(jù),。

此外，“個(gè)人信息的出售”被定義為“控制者為了金錢目的向第三方交換個(gè)人數(shù)據(jù)”,。根據(jù)CCPA的規(guī)定,，只要以“貨幣或其他有價(jià)值的代價(jià)”交換個(gè)人數(shù)據(jù)，就發(fā)生了銷售,，而與CCPA不同的是，CDPA則要求代價(jià)必須是貨幣性的,，才有構(gòu)成數(shù)據(jù)銷售,。銷售的定義還包括一些值得注意的例外情況：

（2）對(duì)處理者的披露

（a）為提供消費(fèi)者要求的產(chǎn)品或服務(wù)而向第三方披露。

（b）向控制者的附屬機(jī)構(gòu)披露,。

（c）消費(fèi)者 A）有意通過(guò)大眾媒體渠道向公眾提供的信息披露,；B）不限制特定受眾的信息披露。

（d）作為合并,、收購(gòu)等的一部分而披露的信息,。

個(gè)人數(shù)據(jù)的定義對(duì)于確定范圍也是至關(guān)重要的，因?yàn)樗懦巳魏挝唇?jīng)識(shí)別的數(shù)據(jù)或可公開獲得的信息,。鑒于CDPA對(duì)“可公開獲取的信息”的定義,，這種排除是很重要的。與CCPA一樣,，該術(shù)語(yǔ)被部分定義為“通過(guò)聯(lián)邦,、州或地方政府記錄合法提供的信息”。

然而,，CDPA也在其對(duì)“公開可得”的定義中包括了任何“企業(yè)有合理的理由相信,，通過(guò)廣泛傳播的媒體，由消費(fèi)者或由消費(fèi)者向其披露信息的人合法提供的信息,，除非消費(fèi)者將信息限制給特定的受眾”,。這一措辭值得注意的是，在判斷某項(xiàng)信息是否為公開信息時(shí),，除了傳統(tǒng)的客觀分析外,，還需要對(duì)企業(yè)的合理信念進(jìn)行額外的主觀調(diào)查,。

（3）豁免

在計(jì)算是否達(dá)到上述門檻之前，一個(gè)實(shí)體應(yīng)首先看它或它收集的數(shù)據(jù)是否屬于豁免范圍,。CDPA規(guī)定的豁免主要有兩類：實(shí)體級(jí)豁免和數(shù)據(jù)級(jí)豁免,。CDPA規(guī)定了五種類型的豁免實(shí)體：

（a）社會(huì)團(tuán)體、權(quán)力機(jī)構(gòu),、委員會(huì),、局、委員會(huì),、地區(qū)或弗吉尼亞州的機(jī)構(gòu)或任何弗吉尼亞州的政治分支,；

（b）受格萊姆-里奇-布萊利法案（GLBA）約束的任何金融機(jī)構(gòu)或數(shù)據(jù)；

（c）受《健康保險(xiǎn)便攜性和責(zé)任法案》（HIPAA）和《經(jīng)濟(jì)和臨床健康健康健康信息技術(shù)法案》約束的受保實(shí)體或企業(yè),；

（d）非營(yíng)利組織,；

（e）高等教育機(jī)構(gòu)。

CDPA在HIPAA和GLBA方面的實(shí)體級(jí)豁免尤其引人注目,。根據(jù)法律規(guī)定,，此類機(jī)構(gòu)對(duì)HIPAA和GLBA監(jiān)管數(shù)據(jù)及其收集的所有數(shù)據(jù)不受該法律的約束。即使數(shù)據(jù)本身不一定會(huì)被豁免,，這種情況仍然存在,。

關(guān)于豁免數(shù)據(jù)集有14個(gè)類別，包括GLBA,、公平信用報(bào)告法,、司機(jī)隱私保護(hù)法、農(nóng)業(yè)信貸法和家庭教育權(quán)利和隱私法所規(guī)定的具體信息,。其他豁免類型的信息包括特定員工和求職者數(shù)據(jù),。

（4）權(quán)利

CDPA規(guī)定消費(fèi)者有六大權(quán)利：

（a）查閱權(quán)。消費(fèi)者有權(quán)“確認(rèn)控制者是否在處理消費(fèi)者的個(gè)人數(shù)據(jù),，并有權(quán)獲取這些個(gè)人數(shù)據(jù)”,；

（b）更正權(quán)?？紤]到個(gè)人數(shù)據(jù)的性質(zhì)和處理消費(fèi)者個(gè)人數(shù)據(jù)的目的,，消費(fèi)者有權(quán)糾正其個(gè)人數(shù)據(jù)的不準(zhǔn)確之處；

（c）刪除權(quán),。消費(fèi)者有權(quán)刪除由消費(fèi)者提供或獲得的關(guān)于消費(fèi)者的個(gè)人資料,；

（d）數(shù)據(jù)可攜帶的權(quán)利（Right to data portability）。消費(fèi)者有權(quán)獲得消費(fèi)者之前提供給控制者的個(gè)人數(shù)據(jù)的副本,，其格式為可移植的,，并且在技術(shù)可行的范圍內(nèi)，隨時(shí)可用的格式，使消費(fèi)者能夠毫無(wú)阻礙地將數(shù)據(jù)傳輸給另一個(gè)控制者,，如果處理是通過(guò)自動(dòng)化手段進(jìn)行的,；

（e）選擇退出的權(quán)利。選擇退出對(duì)個(gè)人數(shù)據(jù)的處理,，以便進(jìn)行有針對(duì)性的廣告宣傳,，銷售個(gè)人數(shù)據(jù)，并在推進(jìn)決策時(shí)對(duì)消費(fèi)者產(chǎn)生法律或類似的重大影響,；

CDPA沒(méi)有對(duì)這些權(quán)利提供任何例外,。上述措辭構(gòu)成了法律對(duì)消費(fèi)者權(quán)利的全部討論。因此,，如果企業(yè)收到經(jīng)認(rèn)證的請(qǐng)求,，書面法律規(guī)定企業(yè)必須遵守，無(wú)論請(qǐng)求的困難或不可行的性質(zhì)如何,。

（f）起訴權(quán),。CDPA為消費(fèi)者提供的最后一項(xiàng)權(quán)利是對(duì)企業(yè)拒絕在合理時(shí)間內(nèi)采取行動(dòng)提出起訴的權(quán)利。根據(jù)法律規(guī)定,，企業(yè)必須在收到消費(fèi)者請(qǐng)求后45天內(nèi)作出答復(fù),。在合理必要的情況下，企業(yè)只要在最初的答復(fù)窗口內(nèi)通知消費(fèi)者,，就可以將答復(fù)期限再延長(zhǎng)45天,。如果企業(yè)未能做到這一點(diǎn)，CDPA規(guī)定“控制者應(yīng)建立一個(gè)程序,，讓消費(fèi)者在收到?jīng)Q定后的合理時(shí)間內(nèi)對(duì)控制者拒絕對(duì)請(qǐng)求采取行動(dòng)提出上訴”。如果起訴被拒絕,，控制者需要告知消費(fèi)者如何向總檢察長(zhǎng)提交申訴狀,。

（5）義務(wù)

（a）對(duì)收集數(shù)據(jù)的限制。與 CCPA 和之前的GDPR一樣,， CDPA也包括一項(xiàng)規(guī)定,，將數(shù)據(jù)收集限制在“與處理數(shù)據(jù)的目的有關(guān)的充分、相關(guān)和合理必要的范圍內(nèi)”,；

（b）對(duì)使用的限制,。一旦收集了數(shù)據(jù)，該法規(guī)規(guī)定企業(yè)“不得出于既非合理必要,，也不符合向消費(fèi)者披露的處理這些個(gè)人數(shù)據(jù)的目的而處理個(gè)人數(shù)據(jù),，除非控制者獲得消費(fèi)者的同意?！贝送?，該法還對(duì)處理敏感個(gè)人信息施加了限制，即未經(jīng)消費(fèi)者同意,，禁止這樣做,；

（c）技術(shù)保障措施,。除了對(duì)企業(yè)的處理活動(dòng)施加義務(wù)外，CDPA與CCPA和GDPR一樣,，還要求企業(yè)“建立,、實(shí)施和維護(hù)合理的行政、技術(shù)和物理數(shù)據(jù)安全實(shí)踐,，以保護(hù)個(gè)人數(shù)據(jù)的保密性,、完整性和可訪問(wèn)性”；

（d）數(shù)據(jù)保護(hù)評(píng)估,。CDPA還要求控制者進(jìn)行“數(shù)據(jù)保護(hù)評(píng)估”,，評(píng)估與處理活動(dòng)相關(guān)的風(fēng)險(xiǎn)。雖然該法案明確規(guī)定了必須進(jìn)行評(píng)估的活動(dòng)類型,，但沒(méi)有說(shuō)明必須多長(zhǎng)時(shí)間進(jìn)行一次,，以及必須保存多長(zhǎng)時(shí)間；

（e）數(shù)據(jù)處理協(xié)議,。與GDPR的第28條一樣,，CDPA要求處理者代表控制者進(jìn)行的處理活動(dòng)受數(shù)據(jù)處理協(xié)議的約束。這種協(xié)議必須 “明確規(guī)定處理數(shù)據(jù)的說(shuō)明,、處理的性質(zhì)和目的,、處理的數(shù)據(jù)主體類型、處理的期限以及雙方的權(quán)利和義務(wù)”,。該條款規(guī)定了一系列必須納入?yún)f(xié)議的列舉條款,；

（f）隱私政策。不出所料,，CDPA中包含了一個(gè)條款,，要求控制者向消費(fèi)者提供隱私政策。該政策必須說(shuō)明:

控制者處理的個(gè)人數(shù)據(jù)的類別,。

·處理個(gè)人數(shù)據(jù)的目的,；

·消費(fèi)者如何行使其消費(fèi)者權(quán)利，并對(duì)控制者關(guān)于消費(fèi)者要求的決定提出上訴,；

·控制者與第三方共享的個(gè)人數(shù)據(jù)類別（如有）,；

·與控制者共享個(gè)人數(shù)據(jù)的第三方類別（如有）。

然而,，與其他擬議的州級(jí)法案不同,，CDPA沒(méi)有規(guī)定披露時(shí)間或必須遵循的任何特定格式。

（6）執(zhí)行

CDPA沒(méi)有規(guī)定私人訴權(quán),，實(shí)施工作完全由州總檢察長(zhǎng)負(fù)責(zé),。一旦州總檢察長(zhǎng)決定采取行動(dòng)，該辦公室必須通知管制員。然后,，管制員有30天的時(shí)間糾正違規(guī)行為,，并向總檢察長(zhǎng)提供一份“明確的書面聲明，說(shuō)明所指控的違規(guī)行為已經(jīng)糾正,，并且不會(huì)再發(fā)生違規(guī)行為”,。如果管制員未能糾正違規(guī)行為，總檢察長(zhǎng)可以對(duì)其每次違規(guī)行為處以最高7500美元的罰款,。

關(guān)注“廣東技術(shù)性貿(mào)易措施”,，獲取更多服務(wù)。