为 CDPA 做准备:弗吉尼亚州签署隐私法时,东海岸与西海岸相遇
已发表: 2021-04-22
弗吉尼亚州最近投票决定成为东海岸第一个颁布有关公司如何保护消费者个人数据的法律的州。 新法律出台之际,科技巨头在处理个人信息方面面临立法者和消费者的反对。
弗吉尼亚消费者数据保护法 (CDPA) 法案于 2021 年 3 月 2 日签署成为法律,并将于 2023 年生效。
与 2018 年加州消费者隐私法 (CCPA)、2020 年加州隐私权法案 (CPRA) 甚至欧洲的 GDPR 类似,CDPA 是美国隐私立法分水岭之年的最新进展。
但是,致力于遵守其他法律的企业不应该满足于现状。 他们仍然需要为 CDPA 做准备,这与 CCPA 或 CPRA 的规定不同。
在本文中,我们将看看弗吉尼亚法案的这些不同条款,并将它们与 CCPA(经 CPRA 修订)和 GDPR 进行比较。
| 关键条款 | 弗吉尼亚 CDPA | 加利福尼亚 CCPA + CPRA | 欧洲 GDPR | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 处理能力 | |||||||||||||||||||||||
| 数据最小化 | 是的 | 不 | 是的 | ||||||||||||||||||||
| 允许的目的 | 是的 | 不 | 是的 | ||||||||||||||||||||
| 个人权利 | |||||||||||||||||||||||
| 接收处理活动通知的权利 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 访问个人数据的权利 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 数据可移植性的权利(即,数据必须以易于使用的格式提供,以便可以从一个实体/平台转移到另一个实体/平台) | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 纠正个人数据错误的权利 | 是的 | 不 | 是的 | ||||||||||||||||||||
| 删除个人数据的权利 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 选择退出行为广告的权利 | 是的 | 不 | 是的 | ||||||||||||||||||||
| 反对自动分析和决策的权利 | 是的 | 不 | 是的 | ||||||||||||||||||||
| 行使这些权利的不受歧视的权利 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 选择不出售个人信息的权利 | 是的 | 是的 | 不 | ||||||||||||||||||||
| 选择加入或退出处理敏感信息 | 选择参加 | 选择退出 | 选择参加 | ||||||||||||||||||||
| 拒绝请求的上诉权 | 是的 | 不 | 不 | ||||||||||||||||||||
| 问责制/治理 | |||||||||||||||||||||||
| 数据保护评估 | 是的 | 不 | 是的 | ||||||||||||||||||||
| 安全 | |||||||||||||||||||||||
| 适当的数据安全以保护信息 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 违规通知 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| EEA 以外的数据传输 | |||||||||||||||||||||||
| 国际转移的附加措施 | 不 | 不 | 是的 | ||||||||||||||||||||
| 转让给第三方 | |||||||||||||||||||||||
| 服务提供商协议中的合同要求 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 营销 | |||||||||||||||||||||||
| 同意 Adtech cookie | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 在直接营销之前获得同意 | 不 | 不 | 是的 | ||||||||||||||||||||
| 执法机构 | |||||||||||||||||||||||
| 司法部长 | 总检察长,CPPA | DPA | |||||||||||||||||||||
| 手术日期 | |||||||||||||||||||||||
| 2023 年 1 月 1 日 | 2020 年 1 月 1 日 / 2023 年 1 月 1 日 | 2018 年 5 月 25 日 | |||||||||||||||||||||
致力于遵守 CCPA 或 GDPR 的企业会发现这些法律有很多类似的措辞和术语; 但是,假设弗吉尼亚州的法律具有相同的要求是错误的。
虽然与 CCPA 和 GDPR 有相似之处,但 CDPA 包含可能对每个组织都独特的细微差别。
如果您对阅读本文感到不知所措,请查看我们在下面列出的分步说明,以帮助您遵守新的隐私法。
首先,让组织内的律师、IT 专业人员和隐私专家评估法律对您的业务的适用性。 然后,找出任何差距并制定包含这些问题的解决方案的合规计划。
让我们更详细一点,好吗?
要达到 CDPA 的合规性,您需要:
- 创建和维护一个全面的数据清单,提供对所涉及数据类型和处理活动性质的洞察。
- 确保敏感数据被隔离和管理,没有不必要的风险。
- 实施实施数据保护影响评估 (DPIA) 的框架。
- 评估现有的网络安全政策、实践和控制措施,以确保它们符合行业公认的标准。
- 使消费者能够选择不出售其个人信息(如适用)。
- 更新面向公众的隐私政策,除其他变更外,承诺不会重新识别去识别的个人数据,并提供其数据处理活动的详细信息。
- 制定机制,以接受、跟踪、验证和尊重消费者根据 CDPA 访问、更正、删除和选择退出个人数据的请求。
- 确保您的客户服务员工准确了解法规,以有效且可预测地满足消费者的要求。
最后,虽然 2023 年似乎遥不可及,但不要推迟制定合规计划。
如果其他最近的隐私法教会了我们什么,那就是这些举措需要大量的努力和时间来仔细计划、发现隐私机制中的漏洞,并实施新的政策、流程和补救措施。
随着纽约和华盛顿等更多州开始颁布消费者隐私保护法,现在开始 CDPA 合规工作还为时过早。
随着越来越多的州立法机构积极通过消费者隐私保护法案或法律,有一点变得很清楚:确保客户隐私不再是事后的想法。 它必须融入您的商业模式。
