美國消費者隱私保護專法第二槍

維吉尼亞州消費者資料保護法（VCDPA）

2021年3月2日，美國維吉尼亞州州長簽署《維吉尼亞州消費者資料保護法（Virginia Consumer Data Protection Act，下稱VCDPA）》，本法案將於2023年1月1日生效，與加州新近通過之《加州消費者隱私法（California Consumer Privacy Act，下稱CCPA）》修訂法案——《加州隱私權利法（California Privacy Rights Act，下稱CPRA）》同時生效。本法的通過使維吉尼亞州繼加州之後，成為美國第二個制訂消費者隱私保護專法的州。

維吉尼亞州所通過之VCDPA是《華盛頓隱私法（Washington Privacy Act）》的簡化版本，其部分主要內容與《華盛頓隱私法》一致，惟《華盛頓隱私法》草案雖較早提出，目前仍在立法程序中，並未正式成為該州法律。維州通過之VCDPA內容可能會進一步成為正在引進隱私法案之科羅拉多、康涅狄格和明尼蘇達州所參考依循之法框架。做為美國第二個正式實施消費者隱私保護專法的州，維州之VCDPA有何重點，又與加州之CCPA/CPRA規範有何不同，即廣為各界所關注。本文擬羅列數項VCDPA中之規範重點，並簡略與歐盟GDPR以及加州CCPA/CPRA等個資立法相比較。

•   VCDPA所規範之主體

VCDPA適用於在維吉尼亞州執行業務，或針對維州居民生產產品或提供服務之企業實體（entity，意指由一人或多人創建以執行企業功能之組織，因稅收目的而維持獨立之法律地位），並且在一日曆年內符合以下任一情形：(1) 控制或處理至少100000名維吉尼亞州居民之個人資料；(2) 透過銷售個人資料獲得總收入之50%以上，並控制或處理至少25000名維吉尼亞州居民之個人資料。與CCPA不同的是，VCDPA主要以個人資料之處理數目決定應受規範對象，並未以企業總收入做為標準，因此不論企業規模如何，只要符合上述情形，即受本法所規範。

•   個人資料之定義

VCDPA定義個人資料為「任何得連結或合理連結至已識別或可識別之自然人之訊息」，但不包括就業資料、假名化資料（pseudonymous data）、去識別化資料（de-identified data）或公開可用資料（publicly available information）。VCDPA將「公開可用資料」定義為「透過廣泛分佈的媒體向大眾公開之資料」，此定義類似於CPRA之規範。

•   消費者資料權利

VCDPA賦予維州居民之資料權利與CPRA賦予加州居民之資料權利相似，包括近用、更正及刪除其個人資料之權利。此外，如同CCPA/CPRA所規範，資料控制者必須建立安全措施，並於隱私聲明中加以描述，俾使消費者得行使相關權利。VCDPA亦有資料可攜權之規定，此點同於GDPR、CCPA/CPRA。VCDPA同時強調消費者不應因行使任何個人資料權利而受歧視。

和CCPA相同，VCDPA賦予消費者拒絕出售個人資料之權利。新近通過之CPRA剛擴張了消費者於共享資料部分之選擇退出權利，使其及於「跨情境行為廣告（cross-context behavioral advertising）」，對此VCDPA則更進一步賦予受本法所保護之消費者選擇退出任何以定向廣告為目的處理其個人資料之權利。除此之外，VCDPA亦賦予消費者選擇退出對其產生法律效力之剖析（profiling）的權利。

•   選擇加入（opt-in）敏感個人資料處理

除非有例外情形，原則上企業必須得到當事人的積極同意（affirmative consent），才能處理敏感個人資料。需注意的是，於敏感資料之處理部分，CCPA/CPRA僅於處理兒童及青少年敏感個人資料之情況下才有積極同意之規範，VCDPA則進一步擴張成人之選擇加入權。VCDPA所規範之敏感資料包含：(1) 種族、宗教、心理或生理狀況之診斷資訊、性取向、公民或移民身分；(2) 為識別自然人此一唯一目的而處理基因或生物資訊；(3) 從已知的孩童蒐集而來之資訊；(4) 精確的地理位置資訊。

•   資料影響評估

VCDPA要求資料控制者進行資料保護評估（data protection assessment），類似於GDPR要求的資訊保護影響評估（data protection impact assessments），以評估處理資訊可能之風險，此外VCDPA亦要求資料控制者與資料處理者之間應訂立資料處理協議，明確規定處理資料之指令、處理性質和目的、處理的資料類型、持續期間及控制者與處理者之間的權利義務。

跟隨著GDPR以及加州CCPA/CPRA的腳步，維州的VCDPA更進一步使大眾認識到國際個資立法之浪潮方興未艾，可預期在未來數年內美國各州，乃至世界各國將更進一步建立專門之個資法規以符應世界趨勢，透過對VCDPA的簡單觀察，或可一窺其對美國未來各州個資立法方向之影響，頗值讀者參考。

參考資料：

1. California Consumer Privacy Act

2. California Privacy Rights Act

3. General Data Protection Regulation

4. Virginia Consumer Data Protection Act

5. Gibson Dunn, ‘Virginia Passes Comprehensive Privacy Law’(March 8, 2021) (last visited: March 31, 2021)

6. Jim Halpert and Lael Bellamy, ‘What Virginia's Consumer Data Protection Act means for your privacy program’(March 8, 2021) (last visited: March 31, 2021)