明毓律師事務所HSU & Associates
2021/4/6 / 時事探討

美國消費者隱私保護專法第二槍

維吉尼亞州消費者資料保護法(VCDPA)


2021年3月2日,美國維吉尼亞州州長簽署《維吉尼亞州消費者資料保護法(Virginia Consumer Data Protection Act,下稱VCDPA)》,本法案將於2023年1月1日生效,與加州新近通過之《加州消費者隱私法(California Consumer Privacy Act,下稱CCPA)》修訂法案——《加州隱私權利法(California Privacy Rights Act,下稱CPRA)》同時生效。本法的通過使維吉尼亞州繼加州之後,成為美國第二個制訂消費者隱私保護專法的州。

 

維吉尼亞州所通過之VCDPA是《華盛頓隱私法(Washington Privacy Act)》的簡化版本,其部分主要內容與《華盛頓隱私法》一致,惟《華盛頓隱私法》草案雖較早提出,目前仍在立法程序中,並未正式成為該州法律。維州通過之VCDPA內容可能會進一步成為正在引進隱私法案之科羅拉多、康涅狄格和明尼蘇達州所參考依循之法框架。做為美國第二個正式實施消費者隱私保護專法的州,維州之VCDPA有何重點,又與加州之CCPA/CPRA規範有何不同,即廣為各界所關注。本文擬羅列數項VCDPA中之規範重點,並簡略與歐盟GDPR以及加州CCPA/CPRA等個資立法相比較。

 

•   VCDPA所規範之主體

 

VCDPA適用於在維吉尼亞州執進行業務,或針對維州居民生產產品或提供服務之企業實體(entity,意指由一人或多人創建以執行企業功能之組織,因稅收目的而維持獨立之法律地位),並且在一日曆年內符合以下任一情形:(1) 控制或處理至少100000名維吉尼亞州居民之個人資料;(2) 透過銷售個人資料獲得總收入之50%以上,並控制或處理至少25000名維吉尼亞州居民之個人資料。與CCPA不同的是,VCDPA主要以個人資料之處理數目決定應受規範對象,並未以企業總收入做為標準,因此除非不論大型企業規模如何,只要符合有上述任一情形,即否則不受本法所規範。

 

•   個人資料之定義

 

VCDPA定義個人資料為「任何得連結或合理連結至已識別或可識別之自然人之訊息」,但不包括就業資料、假名化資料(pseudonymous data)、去識別化資料(de-identified data)或公開可用資料(publicly available information)。VCDPA將「公開可用資料」定義為「透過廣泛分佈的媒體向大眾公開之資料」,此定義類似於CPRA之規範。

 

•   消費者資料權利

 

VCDPA賦予維州居民之資料權利與CPRA賦予加州居民之資料權利相似,包括近用、更正及刪除其個人資料之權利。此外,如同CCPA/CPRA所規範,資料控制者必須建立安全措施,並於隱私聲明中加以描述,俾使消費者得行使相關權利。VCDPA亦有資料可攜權之規定,此點同於GDPR、CCPA/CPRA。VCDPA同時強調消費者不應因行使任何個人資料權利而受歧視。

 

和CCPA相同,VCDPA賦予消費者拒絕出售個人資料之權利。新近通過之CPRA剛擴張了消費者於共享資料部分之選擇退出權利,使其及於「跨情境行為廣告(cross-context behavioral advertising)」,對此VCDPA則更進一步賦予受本法所保護之消費者選擇退出任何以定向廣告為目的處理其個人資料之權利。除此之外,VCDPA亦賦予消費者選擇退出對其產生法律效力之剖析(profiling)的權利。

 

•   選擇加入(opt-in)敏感個人資料處理

 

除非有例外情形,否則原則上企業必須得到當事人的積極同意(affirmative consent),才能處理敏感個人資料。需注意的是,於敏感資料之處理部分,CCPA/CPRA僅於處理兒童及青少年敏感個人資料之情況下才有積極同意之規範,VCDPA則進一步擴張成人之選擇加入權。VCDPA所規範之敏感資料包含:(1) 種族、宗教、心理或生理狀況之診斷資訊、性取向、公民或移民身分;(2) 為識別自然人此一唯一目的而處理基因或生物資訊;(3) 從已知的孩童蒐集而來之資訊;(4) 精確的地理位置資訊。

 

•   資料影響評估

 

VCDPA要求資料控制者進行資料保護評估(data protection assessment),類似於GDPR要求的資訊保護影響評估(data protection impact assessments),以評估處理資訊可能之風險,此外VCDPA亦要求資料控制者與資料處理者之間應訂立資料處理協議,明確規定處理資料之指令、處理性質和目的、處理的資料類型、持續期間及控制者與處理者之間的權利義務。

 

跟隨著GDPR以及加州CCPA/CPRA的腳步,維州的VCDPA更進一步使大眾認識到國際個資立法之浪潮方興未艾,可預期在未來數年內美國各州,乃至世界各國將更進一步建立專門之個資法規以符應世界趨勢,透過對VCDPA的簡單觀察,或可一窺其對美國未來各州個資立法方向之影響,頗值讀者參考。

 

參考資料:

1. California Consumer Privacy Act

2. California Privacy Rights Act

3. General Data Protection Regulation

4. Virginia Consumer Data Protection Act

5. Gibson Dunn, ‘Virginia Passes Comprehensive Privacy Law’(March 8, 2021) <www.gibsondunn.com/virginia-passes-comprehensive-privacy-law/#_ftn10> (last visited: March 31, 2021)

6. Jim Halpert and Lael Bellamy, ‘What Virginia's Consumer Data Protection Act means for your privacy program’(March 8, 2021) <iapp.org/news/a/what-the-virginia-consumer-data-protection-act-means-for-your-privacy-program/> (last visited: March 31, 2021)

Articles
Latest
posts
拜登《發展數位資產行政命令》簡介
加密貨幣該怎麼管?美國《金融創新責任法案》簡介(下篇)
加密貨幣該怎麼管? 美國《金融創新責任法案》簡介(上篇)
公益與營業秘密揭露之兩難——簡介TRIPS Covid-19豁免提案
認識歐盟新版標準契約條款:個資國際傳輸新發展
深偽技術移花接木——面對人工智慧,個資法準備好了嗎?
疫苗通行證將上線?淺談「台北通app」之個資蒐用問題
中國個人信息保護法開跑!十大重點一次看!
真的假的!?埋在發財致富路的陷阱 ——淺談詐欺取財罪與非法吸金罪
謝絕來電計畫——公正第三方介入當事人同意機制之可行性?
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知