美国弗吉尼亚州签署消费者数据保护法

点击上方“CIE智库”订阅，了解更多数字经济、工业互联网、人工智能、区块链和智慧社会领域资讯！    

     消费者数据保护相关法律制定成为当下全球热点。美国国会山网站2021年3月2日消息，弗吉尼亚州州长拉尔夫·诺瑟姆（Ralph Northam）签署了《弗吉尼亚州消费者数据保护法》（Consumer Data Protection Act，CDPA），将于2023年1月1日生效，该法案借鉴了此前通过的欧盟《通用数据保护条例》以及加利福尼亚《消费者隐私法》中的成熟经验，将更好的要求企业保护消费者数据隐私并赋予消费者相关权利。在我国，十三届全国人大常委会第二十八次会议将于4月26日至29日在北京举行，会上将审议包括个人信息保护法草案、数据安全法草案在内的多项议案。CIE智库在此将《弗吉尼亚州消费者数据保护法》主要内容进行介绍，以为我国相关立法提供参考。法案主要内容如下：

一、适用范围

法案将适用于在弗吉尼亚州开展业务或向弗吉尼亚州居民提供产品或服务的主体，并且控制或处理至少10万名弗吉尼亚居民数据的企业，或者那些总收入的50%来自个人数据销售的企业，以及控制或处理至少2.5万名消费者的个人数据的企业。

二、豁免规则

法案规定了许多豁免情形，例如受《健康保险流通与责任法案》管辖的实体和商业伙伴、非营利组织、高等教育机构以及受联邦《金融服务现代化法》约束的金融机构。

法案还列出了14种不受其调整的数据集，例如《健康保险流通与责任法案》规定的个人健康信息，受《家庭教育权和隐私权法案》监管的个人数据，为实现《联邦医疗质量改善法》而创建的信息和文件，与就业有关的数据以及受《公平信用报告法案》监管的某些类型的数据。

三、消费者的权利

法案将赋予弗吉尼亚州居民以下权利：

1.确认数据控制者是否正在处理个人数据并访问这些个人数据；

2.结合个人数据的性质和处理目的，纠正错误的个人数据；

3.删除消费者提供的、或者与消费者有关的个人数据；

4.以可携带、技术上可行且便于使用的格式使消费者获得其提供的个人数据副本，并允许消费者将数据无障碍地传输给其他以自动化方式处理数据的控制者；

5.在以下情形中有权选择拒绝使用个人数据：

（1）个性化广告；

（2）销售个人数据；

（3）分析对消费者有法律影响或者其他类似影响的决策。

若消费者向数据控制者提出修改或删除相关数据的请求，则数据控制者必须在45天内对收到的请求作出回应，并可在“合理必要”的情况下将该期限再延长45天。如果请求将被拒绝，数据控制者必须将拒绝的原因告知消费者，建立消费者上诉程序，并在60天内对任何此类上诉作出回应。

四、数据控制者的责任

法案要求受约束的数据控制者履行以下责任：

1.必须将其数据收集限制在与向消费者提供服务相关且合理必要的数据上，并且未经明确同意不得将数据用于其他目的。

2.未经消费者同意，数据控制者不得处理与消费者有关的敏感数据，在处理与已知儿童有关的敏感数据时，要根据《联邦儿童在线隐私保护法》处理此类数据。

3.采取合理的安全措施来保护数据，并且不得因消费者选择退出数据收集或以其他方式行使其对数据的权利（例如拒绝服务）而歧视消费者。

4.向消费者提供隐私声明，其中应披露收集的个人数据的类别，收集数据的原因以及消费者如何提交其访问、更正、删除数据的请求。

五、数据处理协议

法案要求数据控制者与数据处理者签订数据处理协议，该协议应：

1.列明处理个人数据的指示，包括处理的性质和目的；

2.确定要处理的数据类型，处理的持续时间以及双方的权利和义务；

3.确保处理个人数据的每个人都应对数据保密。协议还需要使数据处理者在合作结束或将这些义务通过合同转移给分包商时删除或返还个人数据。

六、数据保护评估

法案要求数据控制者对涉及定向广告、数据销售、某些画像活动、敏感数据以及任何可能增加消费者风险的处理进行数据保护评估。总检察长可根据调查民事要求，要求数据控制者披露与总检察长进行的调查有关的任何数据保护评估。数据保护评估应保密，并免于公众检查和复制。

七、执法

弗吉尼亚州检察长办公室将专门执行该法律。如果有任何违规行为，办公室将提前30天通知，允许数据控制者或处理者予以解决。如果违规行为仍未解决，则办公室可以提起诉讼，每次违规行为赔偿7500美元。

八、总结

《弗吉尼亚州消费者数据保护法》试图使数据隐私法更易于理解，且更容易为消费者所利用。法案实施之后，弗吉尼亚州的消费者将有权查看数据、更正错误、删除数据、并有权得知出售给其他方的确切信息，这可能会迫使企业专注于实施有意义的增强措施，从而为消费者提供更强有力的数据隐私保护。

该法案是美国州层面颁布的第二部全面的消费者隐私法案，法案的宣布将重新点燃对数据隐私和安全的关注。据悉，美国华盛顿州正在审议《华盛顿州隐私法案》，佛罗里达州、明尼苏达州、纽约州和俄克拉荷马州等也正在制定其消费者数据隐私法。