2021年3月2日，美國弗吉尼亞州州長拉爾夫-諾森（Ralph Northam）簽署了《消費者數(shù)據(jù)保護法》（Consumer Data Protection Act ,簡稱“CDPA”）。這使得弗吉尼亞州成為美國第二個制定全面隱私立法的州，也是第一個自行立法的州（加州在2018年領(lǐng)先立法，但加州立法機構(gòu)是被迫推進了該法案，因為如果他們沒有這樣做，他們將面臨投票倡議。）

與最近的隱私法相比，CDPA并不是特別新穎。它在很大程度上借鑒了擬議中的華盛頓州隱私法案，并包括了與加州消費者隱私法類似的內(nèi)容。具體如下：

（1）適用范圍

根據(jù)CDPA，如下實體將成為義務(wù)主體：

（a）在一年中控制或處理至少10萬名消費者的個人數(shù)據(jù)。

（b）控制或處理至少25,000名消費者的個人數(shù)據(jù)，并從出售個人數(shù)據(jù)獲得至少50%的總收入。

（c）控制或處理至少25,000名消費者的個人數(shù)據(jù)，并從出售個人數(shù)據(jù)獲得至少50%的總收入。

熟悉《加利福尼亞州消費者隱私保護法案》（CCPA）的人可能會注意到，CDPA沒有設(shè)定收入門檻來強制規(guī)定義務(wù)。這意味著，即使是大型企業(yè)，只要不屬于上述兩類之一，也不會受到CDPA的約束。此外，與CCPA相比，CDPA將必須收集或處理的居民數(shù)據(jù)數(shù)量增加了一倍，才能適用于企業(yè)。

CDPA的范圍也部分由幾個關(guān)鍵定義決定。“消費者”被定義為“僅在個人或家庭背景下行事的聯(lián)邦居民自然人”。重要的是，它明確地在定義中省略了“在商業(yè)或就業(yè)環(huán)境中行事”的人。因此，與包括員工數(shù)據(jù)在內(nèi)的《加州隱私權(quán)法案》不同，企業(yè)在評估該法的適用性時不需要考慮他們收集和處理的員工個人數(shù)據(jù)。

此外，“個人信息的出售”被定義為“控制者為了金錢目的向第三方交換個人數(shù)據(jù)”。根據(jù)CCPA的規(guī)定，只要以“貨幣或其他有價值的代價”交換個人數(shù)據(jù)，就發(fā)生了銷售，而與CCPA不同的是，CDPA則要求代價必須是貨幣性的，才有構(gòu)成數(shù)據(jù)銷售。銷售的定義還包括一些值得注意的例外情況：

（2）對處理者的披露

（a）為提供消費者要求的產(chǎn)品或服務(wù)而向第三方披露。

（b）向控制者的附屬機構(gòu)披露。

（c）消費者 A）有意通過大眾媒體渠道向公眾提供的信息披露；B）不限制特定受眾的信息披露。

（d）作為合并、收購等的一部分而披露的信息。

個人數(shù)據(jù)的定義對于確定范圍也是至關(guān)重要的，因為它排除了任何未經(jīng)識別的數(shù)據(jù)或可公開獲得的信息。鑒于CDPA對“可公開獲取的信息”的定義，這種排除是很重要的。與CCPA一樣，該術(shù)語被部分定義為“通過聯(lián)邦、州或地方政府記錄合法提供的信息”。

然而，CDPA也在其對“公開可得”的定義中包括了任何“企業(yè)有合理的理由相信，通過廣泛傳播的媒體，由消費者或由消費者向其披露信息的人合法提供的信息，除非消費者將信息限制給特定的受眾”。這一措辭值得注意的是，在判斷某項信息是否為公開信息時，除了傳統(tǒng)的客觀分析外，還需要對企業(yè)的合理信念進行額外的主觀調(diào)查。

（3）豁免

在計算是否達到上述門檻之前，一個實體應(yīng)首先看它或它收集的數(shù)據(jù)是否屬于豁免范圍。CDPA規(guī)定的豁免主要有兩類：實體級豁免和數(shù)據(jù)級豁免。CDPA規(guī)定了五種類型的豁免實體：

（a）社會團體、權(quán)力機構(gòu)、委員會、局、委員會、地區(qū)或弗吉尼亞州的機構(gòu)或任何弗吉尼亞州的政治分支；

（b）受格萊姆-里奇-布萊利法案（GLBA）約束的任何金融機構(gòu)或數(shù)據(jù)；

（c）受《健康保險便攜性和責任法案》（HIPAA）和《經(jīng)濟和臨床健康健康健康信息技術(shù)法案》約束的受保實體或企業(yè)；

（d）非營利組織；

（e）高等教育機構(gòu)。

CDPA在HIPAA和GLBA方面的實體級豁免尤其引人注目。根據(jù)法律規(guī)定，此類機構(gòu)對HIPAA和GLBA監(jiān)管數(shù)據(jù)及其收集的所有數(shù)據(jù)不受該法律的約束。即使數(shù)據(jù)本身不一定會被豁免，這種情況仍然存在。

關(guān)于豁免數(shù)據(jù)集有14個類別，包括GLBA、公平信用報告法、司機隱私保護法、農(nóng)業(yè)信貸法和家庭教育權(quán)利和隱私法所規(guī)定的具體信息。其他豁免類型的信息包括特定員工和求職者數(shù)據(jù)。

（4）權(quán)利

CDPA規(guī)定消費者有六大權(quán)利：

（a）查閱權(quán)。消費者有權(quán)“確認控制者是否在處理消費者的個人數(shù)據(jù)，并有權(quán)獲取這些個人數(shù)據(jù)”；

（b）更正權(quán)。考慮到個人數(shù)據(jù)的性質(zhì)和處理消費者個人數(shù)據(jù)的目的，消費者有權(quán)糾正其個人數(shù)據(jù)的不準確之處；

（c）刪除權(quán)。消費者有權(quán)刪除由消費者提供或獲得的關(guān)于消費者的個人資料；

（d）數(shù)據(jù)可攜帶的權(quán)利（Right to data portability）。消費者有權(quán)獲得消費者之前提供給控制者的個人數(shù)據(jù)的副本，其格式為可移植的，并且在技術(shù)可行的范圍內(nèi)，隨時可用的格式，使消費者能夠毫無阻礙地將數(shù)據(jù)傳輸給另一個控制者，如果處理是通過自動化手段進行的；

（e）選擇退出的權(quán)利。選擇退出對個人數(shù)據(jù)的處理，以便進行有針對性的廣告宣傳，銷售個人數(shù)據(jù)，并在推進決策時對消費者產(chǎn)生法律或類似的重大影響；

CDPA沒有對這些權(quán)利提供任何例外。上述措辭構(gòu)成了法律對消費者權(quán)利的全部討論。因此，如果企業(yè)收到經(jīng)認證的請求，書面法律規(guī)定企業(yè)必須遵守，無論請求的困難或不可行的性質(zhì)如何。

（f）起訴權(quán)。CDPA為消費者提供的最后一項權(quán)利是對企業(yè)拒絕在合理時間內(nèi)采取行動提出起訴的權(quán)利。根據(jù)法律規(guī)定，企業(yè)必須在收到消費者請求后45天內(nèi)作出答復(fù)。在合理必要的情況下，企業(yè)只要在最初的答復(fù)窗口內(nèi)通知消費者，就可以將答復(fù)期限再延長45天。如果企業(yè)未能做到這一點，CDPA規(guī)定“控制者應(yīng)建立一個程序，讓消費者在收到?jīng)Q定后的合理時間內(nèi)對控制者拒絕對請求采取行動提出上訴”。如果起訴被拒絕，控制者需要告知消費者如何向總檢察長提交申訴狀。

（5）義務(wù)

（a）對收集數(shù)據(jù)的限制。與 CCPA 和之前的GDPR一樣， CDPA也包括一項規(guī)定，將數(shù)據(jù)收集限制在“與處理數(shù)據(jù)的目的有關(guān)的充分、相關(guān)和合理必要的范圍內(nèi)”；

（b）對使用的限制。一旦收集了數(shù)據(jù)，該法規(guī)規(guī)定企業(yè)“不得出于既非合理必要，也不符合向消費者披露的處理這些個人數(shù)據(jù)的目的而處理個人數(shù)據(jù)，除非控制者獲得消費者的同意。”此外，該法還對處理敏感個人信息施加了限制，即未經(jīng)消費者同意，禁止這樣做；

（c）技術(shù)保障措施。除了對企業(yè)的處理活動施加義務(wù)外，CDPA與CCPA和GDPR一樣，還要求企業(yè)“建立、實施和維護合理的行政、技術(shù)和物理數(shù)據(jù)安全實踐，以保護個人數(shù)據(jù)的保密性、完整性和可訪問性”；

（d）數(shù)據(jù)保護評估。CDPA還要求控制者進行“數(shù)據(jù)保護評估”，評估與處理活動相關(guān)的風險。雖然該法案明確規(guī)定了必須進行評估的活動類型，但沒有說明必須多長時間進行一次，以及必須保存多長時間；

（e）數(shù)據(jù)處理協(xié)議。與GDPR的第28條一樣，CDPA要求處理者代表控制者進行的處理活動受數(shù)據(jù)處理協(xié)議的約束。這種協(xié)議必須 “明確規(guī)定處理數(shù)據(jù)的說明、處理的性質(zhì)和目的、處理的數(shù)據(jù)主體類型、處理的期限以及雙方的權(quán)利和義務(wù)”。該條款規(guī)定了一系列必須納入?yún)f(xié)議的列舉條款；

（f）隱私政策。不出所料，CDPA中包含了一個條款，要求控制者向消費者提供隱私政策。該政策必須說明:

控制者處理的個人數(shù)據(jù)的類別。

·處理個人數(shù)據(jù)的目的；

·消費者如何行使其消費者權(quán)利，并對控制者關(guān)于消費者要求的決定提出上訴；

·控制者與第三方共享的個人數(shù)據(jù)類別（如有）；

·與控制者共享個人數(shù)據(jù)的第三方類別（如有）。

然而，與其他擬議的州級法案不同，CDPA沒有規(guī)定披露時間或必須遵循的任何特定格式。

（6）執(zhí)行

CDPA沒有規(guī)定私人訴權(quán)，實施工作完全由州總檢察長負責。一旦州總檢察長決定采取行動，該辦公室必須通知管制員。然后，管制員有30天的時間糾正違規(guī)行為，并向總檢察長提供一份“明確的書面聲明，說明所指控的違規(guī)行為已經(jīng)糾正，并且不會再發(fā)生違規(guī)行為”。如果管制員未能糾正違規(guī)行為，總檢察長可以對其每次違規(guī)行為處以最高7500美元的罰款。

關(guān)注“廣東技術(shù)性貿(mào)易措施”，獲取更多服務(wù)。