弗吉尼亚州州长于3月初签署了《弗吉尼亚州消费者数据保护法》（Consumer Data Protection Act，CDPA）。该法案采用了《加利福尼亚隐私权法案》（California Privacy Rights Act，CPRA）中的某些条款，最值得注意的是关于收集敏感个人资料和私隐通知的要求。

新法律的条款要到2023年1月1日生效，届时只适用于控制或处理至少10万名州居民的数据的企业，或其总收入的50%来自出售个人数据并控制或处理至少2.5万名消费者的个人数据的企业。与加州消费者隐私法的一个区别是，CDPA没有收入门槛；在加州，一家年营收超过2500万美元的企业，无论其客户数量或记录如何，都要受CPRA的约束。

弗吉尼亚州消费者隐私法提供了强有力的保护吗？

弗吉尼亚州在覆盖其个人身份信息的范围方面为居民提供了大致平等的保护，但CDPA仅适用于出售的数据。对于适用的数据保护条款，必须有直接的“金钱考虑”。

该法案的定向广告保护也有需要谨慎注意的措辞。弗吉尼亚居民将有权选择退出有针对性的广告和profiling项目。然而，根据弗吉尼亚的条款，直接从消费者访问该组织的网站获得的信息不符合“定向广告”的条件。看起来网站(和应用程序)可以收集用户信息,并使用它为内部定向广告,但如果收集数据是与第三方共享，将被要求为消费者提供一个明确的和可核查的退出方式。发布者还被要求向其共享数据的任何第三方传达消费者选择退出的意愿。

弗吉尼亚州的消费者将获得与加利福尼亚州现有的个人数据管理权利相当的权利。他们将有权查看收集的数据、更正错误、删除数据、并有权得知出售给其他方的确切信息。数据管理员必须更加谨慎地对待弗吉尼亚人的个人数据，因为新的限制将数据收集权限制在处理目的充分、相关且合理必要的范围内；也不能再处理“敏感数据”——包括揭示种族或族裔血统、性取向、生物特征数据和地理位置的信息。数据控制者必须获得消费者的明确同意，才能处理这些受保护类别中的任何内容。

新的消费者隐私法也对数据控制者提出了新的安全要求：“……现在需要合理的管理、技术和物理数据安全措施，以保护个人数据的机密性、完整性和可访问性”。还需要数据控制者对某些类别的处理活动进行文件化的数据保护评估，包括针对性的广告以及任何敏感数据或个人信息的销售。组织将有45天的时间来遵守消费者权利要求，如果可以证明有需要，组织可以为每个案例申请45天的延期。

弗吉尼亚州总检察长是CDPA的唯一执行机构。另一个与加州消费者隐私法的关键区别是：没有给予州居民私人救济的权利。一旦接到通知，企业有30天的时间纠正CDPA违规行为。但每违反一次，违反者将被处以7500美元的赔偿金，外加7500美元的民事罚款。

有一些行业不受新的消费者隐私法条款的约束，如HIPAA所涵盖的医疗保健机构，受GLBA (Gramm-Leach-Bliley Act)约束的金融机构或相关数据处理者，非营利组织和高等教育机构。

它在法律上定义了数据销售，这一定义比美国以前做出的任何努力都更加明确

乍一看，弗吉尼亚即将出台的消费者隐私法与加利福尼亚州的法案大致相当，也许在某些领域力度有所减弱。但是，正如网络安全人士评论的那样：“尽管弗吉尼亚州的法律借鉴了CCPA和GDPR的某些概念，但它在某些关键方面……以更容易辨认和直观的方式定义销售等概念。”

弗吉尼亚州的法律可能会迫使企业专注于实施有意义的增强措施，从而为消费者提供更强有力的隐私保护。

其他正在制定消费者隐私法的州包括佛罗里达州、明尼苏达州、纽约州、俄克拉荷马州和华盛顿州，内华达州和佛蒙特州还通过了数据隐私法案，对数据中间商进行了限制。（本文出自SCA安全通信联盟，转载请注明出处。）