維吉尼亞州消費者資料保護法 (VCDPA) 指南

作者: /

 

您在美國經營一家處理個人和敏感消費者資料的營利組織嗎?如果是這樣,您可能會擔心各州不斷湧現的資料隱私法。

自《加州消費者隱私法案》(CCPA) 於 2020 年 1 月 1 日生效以來,美國其他四個州——康乃狄克州、科羅拉多州、猶他州和維吉尼亞州——也通過了自己的資料隱私法。每項法律都以 CCPA 作為基礎,但與公式略有不同。這對美國組織來說是一個問題,因為它們無法在其他地方應用相同的 CCPA 合規框架。

在本文中,您將了解維吉尼亞州消費者資料保護法案 (VCDPA) 的獨特之處以及如何確保合規性。

什麼是 VCDPA?

VCDPA 是一項新的資料隱私法,由州長 Ralph Northam 於 2021 年 3 月 2 日簽署,並於 2023 年 1 月 1 日生效。它賦予維吉尼亞州居民相關組織如何處理其個人和敏感消費者資料的某些權利。

該法律包含多項規定,其中定義:

  • 誰必須遵守 VCDPA
  • 誰可以豁免 VCDPA
  • 資料主體的消費者權利
  • 相關術語,例如“消費者”、“個人資料”、“敏感資料”和“個人資料出售”
  • 資料控制者的權利和責任
  • 適用組織必須採取哪些措施來確保 VCDPA 合規性

這些準則定義了 VCDPA 合規組織必須遵守的資料收集實務。這些做法旨在保護個人或敏感資料被收集的維吉尼亞州居民的權利。

VCDPA 資料主體的消費者權利有哪些?

根據新的維吉尼亞州資料隱私法,有七項消費者權利可以保護符合「資料主體」定義的居民。

資料主體是其資訊被收集的「已識別或可識別的自然人」。個人識別資訊包括個人姓名、地址、出生日期、宗教信仰、移民身分、兒童保護評估狀況、種族血統等。

以下是每項 VCDPA 消費者權利的詳細分類:

  • 知情權、存取權和確認個人資料的權利:資料主體有權知道其資料正在被收集,有權存取其數據,並有權確認所收集的資料是準確且最新的。
  • 刪除個人資料的權利:資料主體有權要求刪除其收集的個人或敏感消費者資料。
  • 更正不準確個人資料的權利:資料主體有權要求更正其收集的資料。
  • 資料可攜性權利:資料主體有權取得其收集的數據,並在合理和可能的情況下請求將其收集的資料從一個資料控制者轉移到另一個資料控制者。
  • 選擇退出資料處理活動的權利:資料主體有權選擇不收集其個人或敏感資料。
  • 選擇不出售個人和敏感消費者資料的權利:資料主體有權選擇不將其收集的資料出售給第三方。

不因行使權利而受到歧視:資料主體有權不 越南電話號碼數據 因行使其個人或敏感消費者資料不被收集、處理和出售給第三方用於定向廣告或其他目的的權利而受到歧視。

誰必須遵守 VCDPA?

VCDPA 適用於營利組織。具體來說,是那些在維吉尼亞州經營和提供產品或服務的公司。

此外,屬於這兩個類別的營利組織必須遵守 VCDPA:

  • 在一個財政年度內收集和處理至少 100,000 名維吉尼亞州居民的個人資料或
  • 收集和處理至少 25,000 名維吉尼亞州居民的個人數據,並透過出售個人或敏感數據獲得至少 50% 的總收入。

如果營利組織位於維吉尼亞州以外且屬於上述類別之一,則必須遵守 VCDPA。無論相關組織的收入門檻如何,資格要求也適用。如果大型組織不符合上述兩個資格要求中的任何一個,則可以避免遵守 VCDPA。

VCDPA 保護哪些類型的消費者資料?

適用於 VCDPA 的兩種主要資料類型是個人資料和敏感資料。

個人資料是可識別的或個人可識別的訊息,例如家庭住址、出生日期或電話號碼。公開可用或已去識別化(與自然人或實體無關)的資訊不被視為個人資料。

敏感資料是個人資料的一類。這些數據要么是收集的已知兒童的數據,要么是可用於形成對自然人或個人的看法的數據。敏感資料的範例包括有關個人的種族、宗教、政治信仰和性取向的資訊。

電話號碼數據

遵守 VCDPA 的組織必須了解兩種資料類型之間的差異,這一點很重要,因為如果不了解,每次違規可能會導致高達 7,500 美元的處罰。例如,如果一個組織想要收集敏感資料(而且他們有正當理由這樣做),他們必須先徵求消費者的同意。如果相關組織未能做到這一點,那麼他們將違反 VCDPA,並可能受到多重處罰——與他們發生的違規次數相同。

5 步 VCDPA 合規框架

快速了解 VCDPA 的條款可能具有挑戰性,特別是如果 業機會聯絡我們資源思想領導 這是您第一次遇到此類法律。也就是說,即使是擁有資料隱私法經驗的組織仍應花時間了解 VCDPA。

這是一個需要遵循的簡單 5 步驟 VCDPA 合規框架。

1. 評估數據

首先,花時間熟悉維吉尼亞州消費者 阿根廷數據 資料保護法案 (VCDPA)。然後,閱讀本文「VCDPA 適用於誰」部分的內容,並使用此資訊來確定該法律是否適用於您的組織。

您如何知道您是否達到資料主體閾值?簡單的。使用Matomo 等網路分析平台來查看您的網路訪客在哪裡、有多少人(來自該特定區域)正在訪問您的網站以及您正在從其中收集多少個人或敏感資料。

要在 Matomo 中執行此操作,只需打開儀表板,查看“位置”部分,然後使用顯示的資訊來查看有多少弗吉尼亞州居民正在訪問您的網站。

使用儀表板將幫助您確定 VCDPA 是否適用於您的公司。

2. 評估您的隱私實踐

檢查您現有的隱私權政策和做法並進行更新以符合 VCDPA。確保您的資料收集實務保護訪客的機密性、完整性和可存取性。

實現此目的的一種方法是自動匿名訪客 IP,您可以在 Matomo 中執行此操作 – 事實上,該功能會自動設定為預設值。

IP 匿名化的另一個好處是,訪客離開您的網站後,他們曾經訪問過的任何證據都會消失,並且其他任何人都無法追蹤此類資訊。

3.告知資料主體他們的權利

為了確保您的組織遵守 VCDPA,您必須告知您的資料主體其權利,包括存取其資料的權利、將資料傳輸給其他控制者的權利以及選擇退出您的資料收集工作的權利。

最後一點是最重要的一點,為了確保您準備好回應消費者權利請求,您應該提前準備一份選擇退出表格。如果訪客想要選擇退出跟踪,他們將能夠快速輕鬆地執行此操作。這不僅有助於您遵守 VCDPA,而且您的訪客也會欣賞您認真對待他們的隱私的事實。

 

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

版權所有 沃沃盒

返回頂端