弗吉尼亚州的《消费者数据保护法案》(Consumer Data Protection Act)本周已签署成为法律，该法案将迫使企业赋予消费者选择退出数据收集的权利。

今年2月，该法案于获得州议会的批准，州长拉尔夫•诺瑟姆(Ralph Northam)本周签署成为法律。这项法案涵盖了拥有至少10万名消费者个人信息的公司，也适用于持有至少2.5万个个人资料，并通过出售这些资料赚取超过一半收入的人士。

继加利福尼亚之后，弗吉尼亚成为美国第二个颁布全面隐私立法的州。

弗吉尼亚州的法律允许消费者确认一家公司是否持有他们的数据，并使用自动系统访问这些数据。然后，他们可以修改不准确的信息，或强制该公司删除全部信息。

消费者也可以阻止公司将这些信息用于营销或其他目的。

组织必须在45天内回应请求，但在复杂的案件中，如果它们告知消费者并解释原因，则可以将请求延长45天。

公司有义务披露他们将个人数据用于什么目的，并且必须将个人数据收集限于这些目的。他们还必须说明哪些第三方将共享数据以及它们将如何处理。

消费者也有权选择不让公司收集个人信息，不向第三方出售数据。但如果一家公司需要消费者选择退出的数据来提供商品或服务，该组织可以选择不向个人提供这些商品或服务。

违反法律的人将被处以最高7500美元的民事罚款，但如果他们在州通知他们后30天内解决问题，则可以免除罚款。依据该法案收集到的所有罚款资金将捐给消费者隐私基金，以支持执法。

该法案引用了该州法律法规中的现有规定，而不是定义新的数据泄露规则。

现在，该法案将交由一个委员会来评估如何实施。预计将于11月公布研究结果。

在这项法律于2023年1月1日生效之前，还有很长的路要走。加州是美国另外唯一一个有类似法律的州，其CCPA消费者保护法于去年生效。

弗吉尼亚州的法律不适用于州或地方政府实体，并且根据《健康保险可移植性和责任法案》（HIPAA）豁免了某些数据，例如受保护的健康信息。（本文出自SCA安全通信联盟，转载请注明出处。）