為 CDPA 做準備:弗吉尼亞州簽署隱私法時,東海岸與西海岸相遇
已發表: 2021-04-22
弗吉尼亞州最近投票決定成為東海岸第一個頒布有關公司如何保護消費者個人數據的法律的州。 新法律出台之際,科技巨頭在處理個人信息方面面臨立法者和消費者的反對。
弗吉尼亞消費者數據保護法 (CDPA) 法案於 2021 年 3 月 2 日簽署成為法律,並將於 2023 年生效。
與 2018 年加州消費者隱私法 (CCPA)、2020 年加州隱私權法 (CPRA) 甚至歐洲的 GDPR 類似,CDPA 是美國隱私立法分水嶺之年的最新發展。
但是,致力於遵守其他法律的企業不應該滿足於現狀。 他們仍然需要為 CDPA 做準備,這與 CCPA 或 CPRA 的規定不同。
在本文中,我們將看看弗吉尼亞法案的這些不同條款,並將它們與 CCPA(經 CPRA 修訂)和 GDPR 進行比較。
| 關鍵條款 | 弗吉尼亞 CDPA | 加利福尼亞 CCPA + CPRA | 歐洲 GDPR | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 處理能力 | |||||||||||||||||||||||
| 數據最小化 | 是的 | 不 | 是的 | ||||||||||||||||||||
| 允許的目的 | 是的 | 不 | 是的 | ||||||||||||||||||||
| 個人權利 | |||||||||||||||||||||||
| 接收處理活動通知的權利 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 訪問個人數據的權利 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 數據可移植性的權利(即,數據必須以易於使用的格式提供,以便可以從一個實體/平台轉移到另一個實體/平台) | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 糾正個人數據錯誤的權利 | 是的 | 不 | 是的 | ||||||||||||||||||||
| 刪除個人數據的權利 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 選擇退出行為廣告的權利 | 是的 | 不 | 是的 | ||||||||||||||||||||
| 反對自動分析和決策的權利 | 是的 | 不 | 是的 | ||||||||||||||||||||
| 行使這些權利的不受歧視的權利 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 選擇不出售個人信息的權利 | 是的 | 是的 | 不 | ||||||||||||||||||||
| 選擇加入或退出處理敏感信息 | 選擇參加 | 選擇退出 | 選擇參加 | ||||||||||||||||||||
| 拒絕請求的上訴權 | 是的 | 不 | 不 | ||||||||||||||||||||
| 問責制/治理 | |||||||||||||||||||||||
| 數據保護評估 | 是的 | 不 | 是的 | ||||||||||||||||||||
| 安全 | |||||||||||||||||||||||
| 適當的數據安全以保護信息 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 違規通知 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| EEA 以外的數據傳輸 | |||||||||||||||||||||||
| 國際轉移的附加措施 | 不 | 不 | 是的 | ||||||||||||||||||||
| 轉讓給第三方 | |||||||||||||||||||||||
| 服務提供商協議中的合同要求 | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 營銷 | |||||||||||||||||||||||
| 同意 Adtech cookie | 是的 | 是的 | 是的 | ||||||||||||||||||||
| 在直接營銷之前獲得同意 | 不 | 不 | 是的 | ||||||||||||||||||||
| 執法機構 | |||||||||||||||||||||||
| 司法部長 | 總檢察長,CPPA | DPA | |||||||||||||||||||||
| 手術日期 | |||||||||||||||||||||||
| 2023 年 1 月 1 日 | 2020 年 1 月 1 日 / 2023 年 1 月 1 日 | 2018 年 5 月 25 日 | |||||||||||||||||||||
致力於遵守 CCPA 或 GDPR 的企業會發現這些法律有很多類似的措辭和術語; 但是,假設弗吉尼亞州的法律具有相同的要求是錯誤的。
雖然與 CCPA 和 GDPR 有相似之處,但 CDPA 包含可能對每個組織都獨特的細微差別。
如果您對閱讀本文感到不知所措,請查看我們在下面列出的分步說明,以幫助您遵守新的隱私法。
首先,讓組織內的律師、IT 專業人員和隱私專家評估法律對您的業務的適用性。 然後,找出任何差距並製定包含這些問題的解決方案的合規計劃。
讓我們更詳細一點,好嗎?
要達到 CDPA 的合規性,您需要:
- 創建和維護一個全面的數據清單,提供對所涉及數據類型和處理活動性質的洞察。
- 確保敏感數據被隔離和管理,沒有不必要的風險。
- 實施實施數據保護影響評估 (DPIA) 的框架。
- 評估現有的網絡安全政策、實踐和控制措施,以確保它們符合行業公認的標準。
- 使消費者能夠選擇不出售其個人信息(如適用)。
- 更新面向公眾的隱私政策,除其他變更外,承諾不會重新識別去識別的個人數據,並提供其數據處理活動的詳細信息。
- 制定機制,以接受、跟踪、驗證和尊重消費者根據 CDPA 訪問、更正、刪除和選擇退出個人數據的請求。
- 確保您的客戶服務員工準確了解法規,以有效且可預測地滿足消費者的要求。
最後,雖然 2023 年似乎遙不可及,但不要推遲制定合規計劃。
如果最近的其他隱私法教會了我們什麼,那就是這些舉措需要大量的努力和時間來仔細計劃、發現隱私機制中的漏洞,並實施新的政策、流程和補救措施。
隨著紐約和華盛頓等更多州開始頒布消費者隱私保護法,現在開始 CDPA 合規工作還為時過早。
隨著越來越多的州立法機構積極通過消費者隱私保護法案或法律,有一點變得很清楚:確保客戶隱私不再是事後的想法。 它必須融入您的商業模式。
