2021年1月29日,弗吉尼亚众议院以89:9的票数通过了HB2307号法案,即《弗吉尼亚消费者数据保护法》,该法案现在由参议院综合法律与技术委员会负责。SB1392号附加法案已于2021年1月27日由参议院综合法律与技术委员会通过。
根据维吉尼亚州议会的日程表,2月5日星期五是每个众议院完成自己的立法工作的最后期限(预算案除外)。大会将于2月11日休会。
总体而言,该法案采用了华盛顿参议院提出的《华盛顿隐私法案》的内容,但是对其进行了多处修改,《弗吉尼亚消费者数据保护法》对商业更加友好。以下是该法案的简要内容:
适用范围
根据目前的草案,该法案将适用于“在弗吉尼亚州开展业务或向弗吉尼亚州居民提供产品或服务的主体,并且(i)在一个日历年内,控制或处理至少100,000名消费者的个人数据,或(ii)控制或处理至少25,000名消费者的个人数据、且通过销售个人数据获得收入达到总收入的50%以上。”该法案没有规定最低收入门槛。
消费者
该法将“消费者”定义为“仅在个人或家庭背景下行事的弗吉尼亚州居民,不包括在商业或就业环境中行事的居民,消费者只能是自然人。”
豁免
该法规定了许多豁免情形:包括《健康保险流通与责任法案》(HIPAA)涵盖的实体及业务伙伴、非营利组织、高等教育机构以及受《金融服务现代化法案》(GLBA)第五章(U.S.C. 15 §6801及以下)约束的金融机构或数据主体。《弗吉尼亚消费者数据保护法》还列出了14种不受其调整的数据集,例如《健康保险流通与责任法案》规定的个人健康信息,受《家庭教育权和隐私权法案》(FERPA)监管的个人数据,与就业有关的数据以及受《公平信用报告法案》(FCRA)监管的某些类型的数据。
个人数据
该法案将“个人数据”广义地定义为“与已识别或可识别的自然人有联系或合理可联系的任何信息”,但是,它排除了去识别化和公开可用的信息。
隐私权
该法案将赋予弗吉尼亚州居民以下权利:
1.确认控制者是否正在处理个人数据并访问这些个人数据;
2.结合个人数据的性质和处理目的,纠正错误的个人数据;
3.删除消费者提供的、或者与消费者有关的个人数据;
4.以可移植、技术上可行且便于使用的格式使消费者获得其提供的个人数据副本,并允许消费者将数据无障碍地传输给其他以自动化方式处理数据的控制者,
5.在以下情形中选择不处理个人数据:(i)个性化广告;(ii)销售个人数据;或(iii)分析对消费者有法律影响或者其他类似影响的决策。
控制者有45天的时间回应消费者的要求。
与CCPA形成鲜明对比的是,“销售个人数据”被定义为“控制者第三方交易将个人数据换取金钱”。该定义不像CCPA的“销售”定义那样包含“其他经济上的考虑”。该法还从其销售定义中排除了以下披露:
1.披露给代表控制者处理个人数据的处理者;
2.为了提供消费者要求的产品或服务而向第三方披露个人数据;
3.向控制者的关联方披露或转移个人数据;
4.披露消费者有意通过大众媒体向不特定公众公开的信息;或者
5.作为合并、收购、破产或其他交易的部分资产而向第三方披露或转移,在该交易中,第三方获得数据控制者全部或部分资产的控制权。
控制者的责任
该法案规定,控制者收集数据必须遵循相关且合理必要的要求,不得未经同意就出于不兼容目的处理数据,实施合理的安全措施,不得歧视消费者行使其隐私权,未经同意不得处理敏感数据。
敏感数据被定义为“关于种族、宗教信仰、心理或身体健康诊断、性取向、公民或移民身份的个人数据……为唯一识别自然人而对基因或生物特征数据进行的处理……从孩子那里收集的个人数据;或者……精确的地理位置数据。”
控制者亦须向消费者提供隐私通知以披露基本信息,例如收集个人资料的类别、收集资料的目的、以及消费者如何行使其权利。
数据处理协议
该法案要求控制者与数据处理者签订数据处理协议,该协议应:
(1)列明处理个人数据的指示,包括处理的性质和目的;
(2)确定要处理的数据类型,处理的持续时间以及双方的权利和义务;
(3)确保处理个人数据的每个人都应对数据保密。 协议还需要使数据处理者在合作结束或将这些义务通过合同转移给分包商时删除或返还个人数据。
数据保护评估
此外,该法案要求控制者对涉及定向广告、数据销售、某些分析活动、敏感数据以及任何可能增加消费者风险的处理进行数据保护评估。
豁免
该法案规定了一页多的豁免情形,其中包括不限制控制者或处理者遵守联邦或州法律,配合执法,捍卫法律主张,提供消费者要求的产品或服务,履行与消费者之间的合同,预防或查明安全事件。该法案也不会禁止控制者和处理者执行“双方现有关系下符合消费者合理期望的内部操作,有助于提供消费者特别要求的产品或服务的内部数据处理,或者履行与消费者之间订立的合同而进行的内部数据处理。”
执法
弗吉尼亚州检察长办公室将专门执行该法律。如果有任何违规行为,办公室将提前30天通知,允许控制者或处理者予以解决。如果违规行为仍未解决,则办公室可以提起诉讼,要求每次违规行为赔偿7500美元。
生效日期
如果获得通过,该法案将于2023年1月1日生效。
文章来源:数据法律资讯,原载于“JD SUPRA”官网
