简评美国弗吉尼亚州消费者数据保护法案

文| 石月 中国信通院互联网法律研究中心研究员

王怡璎 中国信通院互联网法律研究中心实习生

2021年3月2日，弗吉尼亚州州长签署批准了《消费者数据保护法》（VCDPA），将于2023年1月1日生效。法案借鉴了许多美国加州《消费者隐私法》以及欧盟《通用数据保护条例》的成熟经验，主要内容如下：

一、相关定义

“个人数据”指与已识别或可识别的自然人相关联或合理关联的任何信息，不包括去身份数据或公开数据。

“同意”是指明确的肯定行为，表示消费者自由给予、具体、知情和毫不含糊地同意处理与该消费者有关的个人数据。同意可包括书面声明，以电子方式书写的声明，或任何其他明确的肯定行动。

“去识别的数据”指不能合理的与已识别的或可识别的自然人，或与该自然人关联的设备相关联的数据。

“精确地理位置数据”指从技术衍生的信息，包括但不限于全球定位系统水平经纬度坐标或其他机制，直接确定自然人的具体位置，其精度和精度低于1750英尺。“精确地理位置数据”不包括通讯内容。

“对消费者产生法律或类似重大影响的决定”是指控制者做出的决定，导致控制者提供或拒绝提供金融和贷款服务，住房，保险，教育，刑事司法，就业机会，健康护理服务或获得基本必需品（例如食物和水）的机会。

“画像”指对个人数据进行的任何形式的自动处理，以评估、分析或预测与已识别或可识别的自然人的经济状况、健康状况、个人偏好、兴趣、可靠性、行为、位置或动向有关的个人情况。

“个人数据的销售”是指控制者向第三方交换个人数据以获取金钱报酬。不包括：1.将个人数据披露给代表控制者处理个人数据的处理者；2.为了提供消费者要求的产品或服务，向与消费者有直接关系的第三方披露个人数据；3.向控制者的关联方披露或转移个人数据；4.消费者（i）通过大众媒体有意向公众提供的信息；以及（ii）不限于特定受众的信息披露；5.作为合并，收购，破产或其他交易的一部分，作为第三方的资产将个人数据披露或转让给第三方，在该交易中，第三方承担控制者全部或部分资产的控制权。

“敏感数据”指一类个人数据，包括:1. 显示种族或民族出身、宗教信仰、精神或身体健康诊断、性取向或公民身份或移民身份的个人数据;2. 为唯一识别自然人而处理遗传或生物特征数据;3.从一名儿童收集的个人数据;4. 精确的地理位置数据。

“假名数据”是指未使用附加信息而无法归属于特定自然人的个人数据，前提是此类附加信息单独保存，并受到适当的技术和组织措施的约束，以确保个人数据不归属于已识别或可识别的自然人。

“定向广告”是指向消费者展示广告，广告的选择是基于消费者在一段时间内的活动以及在非附属网站或在线应用程序中获得的个人数据，以预测该消费者的喜好或兴趣。“定向广告”不包括：1.基于控制者自己的网站或在线应用程序中的活动的广告；2.基于消费者当前搜索查询，访问网站或在线应用程序的上下文的广告；3.响应消费者对信息或反馈的要求而针对消费者的广告；4.处理仅为评估或报告广告效果、覆盖范围或频率而处理的个人数据。

二、适用范围

法案将适用于“在弗吉尼亚州开展业务或向弗吉尼亚州居民提供产品或服务的主体，并且控制或处理至少10万名弗吉尼亚人数据的企业，或者那些总收入的50%来自个人数据销售的企业，以及控制或处理至少2.5万名消费者的个人数据的企业。

三、豁免规则

该法案规定了许多豁免情形：例如受《健康保险流通与责任法案》(HIPAA)管辖的实体和商业伙伴，非营利组织，高等教育机构以及受联邦《金融服务现代化法》约束的金融机构。《弗吉尼亚消费者数据保护法》还列出了14种不受其调整的数据集，例如HIPAA规定的个人健康信息，受《家庭教育权和隐私权法案》（FERPA）监管的个人数据，为实现《联邦医疗质量改善法》而创建的信息和文件；与就业有关的数据以及受《公平信用报告法案》（FCRA）监管的某些类型的数据。

四、消费者的权利

该法案将赋予弗吉尼亚州居民以下权利：1.确认控制者是否正在处理个人数据并访问这些个人数据；2.结合个人数据的性质和处理目的，纠正错误的个人数据；3.删除消费者提供的、或者与消费者有关的个人数据；4.以可携带、技术上可行且便于使用的格式使消费者获得其提供的个人数据副本，并允许消费者将数据无障碍地传输给其他以自动化方式处理数据的控制者；5.在以下情形中选择不处理个人数据：（1）个性化广告；（2）销售个人数据；或（3）分析对消费者有法律影响或者其他类似影响的决策。

五、控制者的责任

法案规定，组织必须将其数据收集限制在与向消费者提供服务相关且合理必要的数据上，并且未经明确同意不得将数据用于其他目的。未经消费者同意，控制者不得处理与消费者有关的敏感数据，在处理与已知儿童有关的敏感数据时，要根据《联邦儿童在线隐私保护法》处理此类数据。该法律还要求组织采取合理的安全措施来保护数据，并且不得因消费者选择退出数据收集或以其他方式行使其对数据的权利（例如拒绝服务）而歧视消费者。要求组织向消费者提供隐私声明，其中应披露收集的个人数据的类别，收集数据的原因以及消费者如何提交其访问、更正、删除数据的请求。

六、数据处理协议

该法案要求控制者与数据处理者签订数据处理协议，该协议应：1.列明处理个人数据的指示，包括处理的性质和目的；2.确定要处理的数据类型，处理的持续时间以及双方的权利和义务；3.确保处理个人数据的每个人都应对数据保密。协议还需要使数据处理者在合作结束或将这些义务通过合同转移给分包商时删除或返还个人数据。

七、数据保护评估

该法案要求控制者对涉及定向广告、数据销售、某些画像活动、敏感数据以及任何可能增加消费者风险的处理进行数据保护评估。总检察长可根据调查民事要求，要求控制者披露与总检察长进行的调查有关的任何数据保护评估。数据保护评估应保密，并免于公众检查和复制。

八、执法

弗吉尼亚州检察长办公室将专门执行该法律。如果有任何违规行为，办公室将提前30天通知，允许控制者或处理者予以解决。如果违规行为仍未解决，则办公室可以提起诉讼，每次违规行为赔偿7500美元。

简要评议

VCDPA法案充分吸收了欧盟《通用数据保护条例》（GDPR）以及加州《加州消费者隐私法》（CCPA）和《加州隐私权法》（CPRA）的重要制度。例如区分控制者和处理者，在控制者和处理者之间施加合同规范，为消费者提供权利，提供有关数据实践的透明性，进行风险评估。

VCDPA对个人数据也采用了较为广泛的定义，同时，明确排除了公开可用的信息和去身份的数据。

VCDPA借鉴了CPRA、CCPA和GDPR的原则，但部分领域有所不同。例如，豁免事项方面，尽管VCDPA被认定为“全面”的隐私法，但还是有许多豁免条款（与CCPA和CPRA类似）。这些豁免中的某些豁免与CCPA和CPRA中的豁免类似，但是在某些情况下，它们的适用范围比其他两项法律中的豁免更为广泛。

在适用范围上，VCDPA没有以组织的收入作为衡量标准，这点与CCPA有差别，CCPA中规定公司总收入高于 2500 万美元也纳入管制范围。

在“销售”数据方面，CCPA的规定比较模糊，在某些情况下，数据共享可以被解释为“销售”数据。例如，如果企业与之共享数据的供应商或合作伙伴随后将这些数据用于其他用途，CCPA可以将其限定为“销售”。对此VCDPA的规定相对宽松。

在个人数据定义方面，VCDPA界定了个人数据和敏感数据，而CCPA没有规定，但是CPRA中将敏感个人数据进行了界定，并进行单独的监管。

另外，在私人诉权方面，VCDPA没有规定私人诉权，CCPA虽然没有规定大范围的私人诉权，但针对数据泄露方面规定了私人诉权。

弗吉尼亚州的《消费者数据保护法案》吸收了美、欧个人数据保护立法的重要成果，但在私人诉权、敏感个人数据的同意规定等方面，未来要如何适应管理实践，还有待观察。

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。