버지니아 소비자 데이터 보호법(VCDPA) 질문과 대답

1. 버지니아 소비자 데이터 보호법 (VCDPA)은 미국 포괄적 인 개인 정보 보호 법이며 2023 년 1 월 1 일부터 버지니아 법무 장관 (AG)에 의해 시행됩니다. 법무 장관은 '각 위반에 대해 최대 $ 7,500의 손해 배상'을 요청할 수 있습니다.
2. VCDPA는 버지니아 소비자에게 다양한 개인 정보 보호 권한을 제공합니다. VCDPA에 의해 규제되는 기업은 공개 제공, GDPR(일반 데이터 보호 규정) DSR(소비자 데이터 주체 요청)에 유사하게 대응, 특정 데이터 처리 의무 준수(예: 데이터 최소화, 합리적인 데이터 보안 관행)를 포함하여 해당 소비자에게 많은 의무를 집니다.
3. 강력한 GDPR 규정 준수 프로그램을 보유한 기업은 VCDPA 규정 준수에 대한 첫 시작을 즐길 수 있지만 , 고려해야 할 중요한 GDPR과 VCDPA 간에는 주요 차이점 이 있습니다. 규정 준수는 하룻밤 사이에 발생할 수 없습니다. VCDPA의 규정 복잡성을 이해하고 내부 도구 및 메커니즘을 구현하여 데이터 자산이 VCDPA 규정 준수를 준비하도록 하는 데 시간이 걸립니다.
4. 포괄적인 FAQ 섹션에 자세히 설명된 대로 Microsoft는 고객이 VCDPA 규정 준수를 달성하고 고객이 VCDPA 에서 요구하는 대로 '개인 데이터의 기밀성, 무결성 및 접근성을 보호하기 위한 합리적인 관리, 기술 및 물리적 데이터 보안 관행'을 설정, 구현 및 유지 관리하는 데 도움이 되는 특정 요소 도구를 제공하는 제품 및 서비스를 제공합니다.

VCDPA는 버지니아 거주자의 개인 데이터를 더 큰 규모로 제어하거나 처리하는 영리 회사에 적용됩니다.

더 구체적으로, VCDPA는 '버지니아 연방에서 사업을 수행하거나 영연방 거주자를 대상으로 하는 제품 또는 서비스를 생산하는' 조직에 적용되며, (1) 버지니아 거주자 최소 100,000명의 개인 데이터를 제어하거나 처리하거나 (2) 개인 데이터 판매로 인한 총 수익의 50% 이상을 파생합니다(수익 임계값이 버지니아 거주자에게만 적용되는지 여부를 VCDPA는 명확히 밝히지 않음). 최소 25,000명의 버지니아 주민의 개인 데이터를 제어하거나 처리합니다.

참고로, VCDPA는 '버지니아에서 사업 수행'을 정의하지 않지만, 규제 기업은 버지니아에서 세금 책임 또는 개인 관할권을 트리거하는 몇 가지 경제 활동이있는 경우 VCDPA가 적용 될 것이라고 가정 할 수 있습니다.

아니요. 설명한 대로 제자리에 있어야 하는 다른 데이터 처리 용어가 있나요? 섹션, Microsoft 제품 및 서비스 데이터 보호 부록의 조건은 VCDPA의 요구 사항을 충족합니다.

버지니아 소비자에게 제공되는 VCDPA의 많은 권리는 개인 데이터의 액세스, 삭제 및 이식성과 같은 소비자 권리를 포함하여 GDPR이 제공하는 권리와 유사합니다. 따라서 규제된 비즈니스는 VCDPA 규정 준수 노력에 도움이 되도록 기존 GDPR 솔루션을 살펴볼 수 있습니다.

비즈니스의 고유한 상황과 VCDPA 개인 정보 보호 프로그램을 개발하는 위치에 따라 아래 5가지 주요 단계에 집중하여 VCDPA 여정을 시작할 수 있습니다.

• 검색: 비즈니스에 있는 개인 데이터와 해당 데이터가 있는 위치를 식별합니다.
• 맵: 비즈니스에서 제3자와 개인 데이터를 공유하는 방법을 결정합니다.
• 관리: 개인 데이터를 사용하고 액세스하는 방법을 제어합니다.
• 보호: 보안 제어를 설정하여 취약점과 데이터 유출을 방지, 감지, 대처합니다.
• 문서: 데이터 위반 응답 프로그램을 문서화합니다.

또한 Microsoft Purview 준수 관리자는 조직의 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자의 평가 서식 파일 페이지에서 평가 빌드를 위한 서식 파일을 찾습니다. 자세한 내용은 준수 관리자 문서의 빌드 평가를 참조하세요.

Microsoft는 귀하의 여정을 돕기 위해 여기에 있지만 VCDPA에 따른 조직의 특정 의무와 이를 충족하는 방법을 이해해야 합니다.

VCDPA는 2021년 3월 2일에 법으로 서명되었습니다. 그러나 버지니아 법무 장관 (AG)의 집행은 2023 년 1 월 1 일까지 시작되지 않습니다.

특정 조직은 다음을 포함하여 VCDPA에서 제외됩니다.

• 버지니아 주 정부 기관
• Gramm-Leach-Bliley 법의 적용을 받는 금융 기관
• 건강 보험 이식성 및 책임법에 따라 설정된 개인 정보 보호, 보안 및 위반 알림 규칙의 적용을 받는 대상 엔터티 또는 비즈니스 동료
• 비영리 조직; 및 고등 교육 기관.

또한 VCDPA는 소비자가 자신의 권리를 행사하기로 결정했을 때 차별에 대한 보호를 제공하고 소비자에게 개인 데이터 판매, 타겟 광고 및 특정 프로파일링을 옵트아웃할 수 있는 기능을 제공합니다. Microsoft 제품, 서비스 및 관리 도구를 활용하여 개인 데이터를 찾고 '행동'하는 방법에 대한 자세한 내용은 데이터 주체 요청 및 GDPR 및 CCPA를 참조하세요.

VCDPA는 규제된 비즈니스가 45일 이내에 소비자 권리를 행사하라는 요청에 응답하도록 요구하며, 이러한 지연 이유를 설명하는 요청 소비자에게 통지가 제공되면 이 기간을 추가로 45일 동안 연장할 수 있습니다. VCDPA는 또한 소비자에게 '눈에 띄게 사용할 수 있어야'하는 비즈니스에서 제공하는 항소 절차를 통해 이러한 요청을 거부하는 비즈니스에 이의를 제기 할 수있는 권리를 제공합니다. 기업은 60일 이내에 서면으로 항소에 응답해야 합니다. 항소가 거부되면 기업은 소비자가 AG에 불만을 제출할 수 있는 '온라인 메커니즘(사용 가능한 경우) 또는 기타 방법'을 소비자에게 제공해야 합니다.

VCDPA에 따른 비즈니스 의무는 다음과 같습니다.

• 데이터 최소화: 개인 데이터의 수집을 적절하고 관련성이 있으며 합리적으로 필요한 항목(예: 처리에 대해 지정된 명시적 목적)으로 제한합니다.
• 목적 제한: 합리적으로 필요하거나 소비자에게 공개되는 목적(예: 개인 정보 고지)과 호환되는 목적으로만 개인 데이터를 처리합니다.
• 보안 제어: 소비자의 개인 데이터를 보호하기 위해 '합리적인 관리, 기술 및 물리적 데이터 보안 관행'을 수립, 구현 및 유지 관리합니다.
• 차별 금지: 주 또는 연방 차별 금지법을 위반하는 방식으로 개인 데이터를 처리하지 않습니다. 또한 기업은 VCDPA에 따라 자신의 권리를 행사하는 소비자를 차별하는 것이 금지됩니다(충성도 프로그램을 포함한 일부 예외 제외).
• 동의: 비즈니스(1)가 중요한 데이터를 처리하거나 (2) 소비자에게 공개되는 데이터 처리 목적에서 벗어날 때(예: 비즈니스 개인 정보 고지 내) 소비자로부터 명시적 동의를 얻습니다.

'개인 데이터'는 식별되거나 식별 가능한 자연인과 연결되거나 합리적으로 연결될 수 있지만 식별되지 않은 데이터 또는 공개적으로 사용할 수 있는 정보를 포함하지 않는 정보로 정의됩니다. VCDPA의 '개인 데이터' 정의는 대략 GDPR의 '개인 데이터'와 일치합니다.

'중요한 데이터'는 다음을 포함하는 '개인 데이터'의 범주입니다.

• 인종 또는 민족 기원, 종교적 신념, 정신적 또는 신체적 건강 진단, 성적 지향, 시민권 또는 이민 상태를 드러내는 개인 데이터;
• 자연인을 고유하게 식별하기 위한 유전적 또는 생체 인식 데이터의 처리;
• 알려진 자식으로부터 수집된 개인 데이터입니다. 또는
• 정확한 지리적 위치 데이터입니다.

위에서 설명한 것처럼 VCDPA는 소비자의 중요한 데이터를 처리하기 전을 포함하여 특정 상황에서 데이터를 처리하기 전에 소비자의 '동의'를 요구합니다. '동의'는 '고객과 관련된 개인 데이터를 처리하기 위한 소비자의 자유롭고, 구체적이고, 통보되고, 명확한 합의를 의미하는 명확한 긍정 행위'로 정의되며 , '전자적 수단으로 작성된 진술 또는 기타 명확한 긍정 조치를 포함한 서면 진술'을 포함할 수 있습니다.

다음 정보는 합리적으로 액세스 가능하고 명확한 개인 정보 보호 알림에 포함되어야 합니다.

• 처리된 개인 데이터의 범주입니다.
• 개인 데이터를 처리하는 용도
• 소비자가 개인 데이터(예: 개인 정보를 수정할 권리)와 관련하여 자신의 권리를 행사할 수 있는 방법
• 제3자와 공유되는 개인 데이터의 범주(있는 경우)
• 규제된 비즈니스가 개인 데이터를 공유하는 제3자의 범주(있는 경우)입니다.
• 개인 데이터가 타사에 판매되거나 타겟 광고를 위해 처리된다는 사실과 옵트아웃하는 방법(이 진술은 컨트롤러가 대상 광고에 대한 데이터를 판매하거나 처리하는 경우에만 필요함). 및
• 소비자가 비즈니스에서 내린 권리 요청 결정에 이의를 제기할 수 있는 방법.

'개인 데이터 판매'는 기업이 제3자에게 '금전적 고려를 위한 개인 데이터 교환'으로 정의됩니다. VCDPA는 소비자에게 개인 데이터 판매를 '옵트아웃'할 권리를 제공합니다.

참고로, VCDPA는 규제 된 비즈니스가 다음 공개에서 '옵트 아웃'판매 요청을 존중 할 필요가 없다고 명시합니다.

• (i) 프로세서(예: 비즈니스를 대신하여 개인 데이터를 처리하는 엔터티)
• (ii) 소비자가 요청한 제품 또는 서비스를 제공하기 위해 타사에
• (iii) 계열사에,
• (iv) 소비자가 의도적으로 대중 매체 채널을 통해 일반 대중에게 공개하고 특정 청중에게 이러한 정보를 제한하지 않은 정보 및
• (v) 합병, 인수 등의 일환으로, 제3자는 비즈니스 자산의 전부 또는 일부를 제어한다고 가정합니다.

DPA는 특정 개인 데이터 처리로 인한 소비자에게 발생할 수 있는 위험과 이점을 식별하고 가중치를 적용하는 평가입니다. VCDPA에서 DPA는 개인 데이터 판매, 중요한 개인 데이터 처리 시, 대상 광고를 위해 개인 데이터를 처리할 때, 특정 프로파일링 목적으로 개인 데이터를 처리할 때, 처리가 소비자에게 해를 끼칠 위험이 높아지는 경우를 위해 수행해야 합니다. Microsoft 제품, 서비스 및 관리 도구를 활용하여 DPA를 수행하는 방법을 알아보려면 GDPR에 대한 데이터 보호 영향 평가를 참조하세요.

VCDPA는 컨트롤러(예: 개인 데이터 처리의 목적 및 수단을 결정하는 엔터티) 및 데이터 프로세서(예: 컨트롤러를 대신하여 개인 데이터를 처리하는 엔터티)가 특정 데이터 처리 조건을 포함하는 계약을 체결하도록 요구합니다. 본 계약의 조건에는 데이터 처리 지침, 처리 대상 데이터 유형, 처리의 성격 및 목적, 처리 기간, 양 당사자의 권리 및 의무와 같은 특정 조항이 포함되어야 합니다. 또한 계약에는 하도급, 평가, 기밀 의무, 개인 데이터 삭제 또는 반환과 관련된 의무가 포함되어야 하며 프로세서가 VCDPA를 준수하는지 입증해야 합니다.

Microsoft는 고객에게 서비스를 제공할 때 데이터 프로세서로 간주될 수 있습니다. 이 경우 이러한 요구 사항이 GDPR의 계약 요구 사항과 유사하므로 Microsoft 제품 및 서비스 DPA(Data Protection Addendum)의 조건은 이미 VCDPA의 요구 사항을 충족합니다. Microsoft와 조직의 계약을 업데이트할 필요가 없습니다. DPA에 명시된 대로 Microsoft는 VCDPA를 포함하는 온라인 서비스 제공에 적용되는 모든 법률 및 규정을 준수합니다.

VCDPA는 주장된 VCDPA 위반에 대해 30일의 치료 기간이 적용되는 프로비저닝을 적용할 수 있는 AG 독점 권한을 부여합니다. AG는 각 위반에 대해 최대 $7,500의 금지 구제 및 손해 배상을 요구할 수 있으며 '변호사 비용을 포함하여 사건을 조사하고 준비하는 데 발생하는 합리적인 비용'을 청구할 수 있습니다.

참고로, VCDPA는 소비자에게 개인 작업 권한을 부여하지 않습니다.

무엇보다도 Microsoft는 GDPR 관련 DSR을 전 세계에 구현했으므로 유사한 VCDPA 요구 사항을 충족하는 데 도움이 되는 훌륭한 위치에 이미 있습니다. 또한 타사 데이터 공유 계약을 검토하고 개인 정보를 '판매'하지 않도록 필요한 계약 조건 및 보호책이 마련되어 있음을 확립하기 위한 조치를 취했습니다.

또한 Microsoft는 소비자 DSR에 대한 응답을 촉진하고, 기술 규정 준수 도구/메커니즘을 제공하고, 데이터 처리 지침을 준수하기 위한 적절한 기술 및 조직적 조치를 구현하여 VCDPA에 따른 의무를 충족하는 데 도움을 줍니다.

클라우드 컴퓨팅의 특성으로 인해 Microsoft는 온라인 서비스 대한 공동 책임 모델로 운영됩니다. 공유 책임은 클라우드 서비스 공급자와 규제되는 비즈니스 모두 클라우드 보안의 일부에 대한 책임이 있으므로 중요한 주제입니다. 보안 및 개인 정보 취급 방침에 대한 자세한 내용은 Microsoft 보안 센터를 방문하세요.

• 규정 준수 관리자에서 GDPR 평가를 조직의 VCDPA 개인 정보 보호 프로그램의 일부로 사용하기 시작합니다.
• 소비자 권한 요청에 효율적으로 응답하는 프로세스를 설정합니다.
• Microsoft Purview Information Protection 사용하여 중요한 데이터를 검색, 분류, 레이블 지정 및 보호하는 정책을 설정합니다.
• 전자 메일 암호화 기능을 사용하여 중요 한 정보를 더욱 강력하게 제어합니다.

VCDPA는 자녀를 13세 미만의 개인으로 정의합니다. 아동 온라인 개인 정보 보호 규칙 (COPPA)에 따라 확인 가능한 동의 요구 사항을 준수하는 기업은 VCDPA에 따라 부모의 동의를 얻기 위해 모든 의무를 준수하는 것으로 간주됩니다.

VCDPA는 자식의 중요한 데이터를 COPPA 요구 사항에 따라 처리해야 한다고 제공합니다.

VCDPA 의무는 고용 컨텍스트에서 수집 및 사용되는 개인 데이터에 적용되지 않습니다.

많은 차이점이 있습니다. 다음과 같은 유사성에 보다 쉽게 초점을 맞출 수 있습니다.

• 투명/공개 의무.
• 개인 데이터에 액세스, 삭제 및 수정할 수 있는 소비자 권한입니다.

중요한 것은, VCDPA는 소비자가 타사에 대한 데이터 판매, 타겟 광고 및 특정 프로파일링을 옵트아웃할 수 있도록 기업을 요구합니다. 이는 이러한 유형의 공개를 포괄하는 처리에 반대할 광범위한 GDPR 권리보다 더 좁고 구체적인 의무이지만 이러한 공개를 다루는 데 특별히 국한되지는 않습니다.

또한 VCDPA는 소비자에게 '눈에 띄게 사용 가능'해야 하는 비즈니스에서 제공하는 항소 절차를 통해 데이터 주체 요청을 적용하지 않는 비즈니스에 이의를 제기할 수 있는 권리를 제공합니다. 이러한 항소 절차는 GDPR에서 필요하지 않습니다.