弗吉尼亞州消費者資料保護法案 (VCDPA) 常見問題

注意

本主題以「現狀」提供。 本主題所陳述的資訊及觀點 (包括 URL 及其他網際網路網站參考) 如有變更,恕不另行通知。 貴用戶須自行承擔使用風險。 本主題已建立為指南,因此不應視為法律建議。 您應該諮詢您的專屬法律專業人士。 本主題不對任何 Microsoft 產品的智慧財產權提供合法權利。 貴用戶可以複製本主題,並將其用為內部參考。

快速常見問題集

我應該知道的前四個 VCDPA 事實為何?

  1. 弗吉尼亞州消費者資料保護法案 (VCDPA) 是美國的綜合隱私權法律,其 會由佛吉尼亞律師一般 () AG 強制執行(從2023年1月1日開始)。 律師一般會 針對每個違規搜尋「最多 $7500 的損害」。
  2. VCDPA 為弗吉尼亞州消費者提供各種隱私權權利。 由 VCDPA 管制的企業將會有許多義務給這些消費者,包括提供披露、回應一般資料保護 (法規) (Dsr) 的使用者資料主體要求,以及遵循某些資料處理的義務 (例如,資料最小化、合理的資料安全性作法) 。
  3. 雖然具有強 GDPR 合規性計畫的公司可能會享受 VCDPA 規範的開端,但是 在 GDPR 和 VCDPA 之間 ,有重要的區別需要考慮。 合規性不能整夜發生;需要花時間瞭解 VCDPA 的規章,並執行內部工具和機制,以確保資料 estates 的 VCDPA 規範準備就緒。
  4. 如您在「廣泛 FAQs」一節中所述,Microsoft 提供產品和服務,以協助 客戶實現 VCDPA 合規性 ,並 提供某些 elemental 工具,協助客戶 建立、實施及維護「合理的系統管理、技術和實體資料安全性作法」,以保護個人資料的機密性、完整性及協助工具(如 VCDPA 所要求)。

VCDPA 是否適用于我的組織?

VCDPA 將適用于以較大比例控制或處理弗吉尼亞州人員個人資料的盈利性公司。

更明確地說,VCDPA 適用于在弗吉尼亞州的麻塞諸塞州開展生意的組織,或出具產品或服務,其適用于居民的居民 ' 和,在行事曆期間內: (1) 控制或處理至少100000弗吉尼亞州居民的個人資料,或 (2) 從個人資料的銷售中取得總收入的 50% (VCDPA 不會澄清是否會套用收入閾值。僅限弗吉尼亞州居民) 和控制或處理至少25000弗吉尼亞州居民的個人資料。

請注意,雖然 VCDPA 未定義「在弗吉尼亞州開展業務」,但如果有部分經濟活動會觸發弗吉尼亞州或個人司法轄區,則管制業務可以假定 VCDPA 會套用至此人。

是否需要更新 Microsoft 合約,以符合 VCDPA?

否。 如您所述,是否需要有其他的資料處理字詞?區段中,Microsoft 產品和服務資料保護附錄的條款會符合 VCDPA 的需求。

VCDPA 會如何影響我的公司?

許多 VCDPA 對佛吉尼亞使用者的權力,都與 GDPR 提供的權利類似,包括使用者權限,例如存取、刪除和存取個人資料的權力。 如此一來,管控業務便可以查看我們現有的 GDPR 解決方案,以協助他們 VCDPA 法規遵從性工作。

根據您公司的獨特情況和您在開發 VCDPA 隱私權計畫的位置,您可以考慮著重于下列五個重要步驟,以開始您的 VCDPA 旅程:

  • 探索:找出您公司的個人資料及其存放位置。
  • 地圖:判斷您的企業與協力廠商共用個人資料的方式。
  • 管理:控制如何使用和存取個人資料。
  • 保護:建立安全性控制以防止、偵測及回應安全弱點和資料外洩。
  • :記錄資料洩密回應程式。

此外, Microsoft 合規性管理員也是Microsoft 365 合規性中心中的功能,可協助您瞭解組織的合規性狀況,並採取行動以協助降低風險。 可在合規性管理員的 [評估範本] 頁面尋找範本。 如需詳細資訊,請參閱 合規性管理員文章中的組建評估

您必須瞭解貴組織的特定義務是在 VCDPA 之下,以及您如何符合這些條件,但 Microsoft 可在這裡幫您進行旅程。

全方位常見問題集

VCDPA 何時會生效?

VCDPA 已于2021年3月2日簽署法律。 不過,根據弗吉尼亞州的律師一般 (AG) ,直到2023年1月1日為止,才會開始執行。

是否有某些組織從 VCDPA 中免除?

某些組織會從 VCDPA 中免除,包括:

  • 弗吉尼亞州代理商
  • 受 Gramm-Leach-Bliley 法案制約的金融機構
  • 受限於健康保險流通與責任法案所建立之隱私權、安全性和侵犯性通知規則所制約的已涵蓋實體或業務夥伴
  • 非盈利性組織;和高等教育機構。

VCDPA 中的企業必須啟用的使用者權限為何?

當消費者選擇行使其權利並讓消費者能夠選擇不需要出售個人資料、目標廣告及特定分析時,VCDPA 也會針對歧視提供保護。 若要深入瞭解如何使用 Microsoft 產品、服務及系統管理工具來協助尋找個人資料上的「act」,請參閱 資料主體要求和 GDPR 及 CCPA

VCDPA 要求管制業務在45天內回應行使消費者權力的要求,而且如果向要求的使用者說明此類延遲的原因,則此期間可延伸額外的45天。 VCDPA 也可讓消費者利用必須「conspicuously 提供」的富有吸引力的程式,吸引業務對這類要求的拒絕。 公司必須回應在60天內撰寫的吸引力;如果您的吸引力遭到拒絕,則公司必須為使用者提供「線上機制」 ((如果有的話)) 或其他方法,供消費者將投訴提交給 AG。

VCDPA 下的資料處理義務是多少?

VCDPA 下的業務義務包括:

  • 資料 最小化:將個人資料的集合限制為充分、相關且合理必要的 (, 例如,處理) 所指定及明確的目的。
  • 目的限制:處理個人資料只有出於合理的目的,或與消費者 (( 例如 隱私權通知) 中的目的)相容。
  • 安全性控制:建立、實施及維護「合理的系統管理、技術和實體資料安全性慣例」,以保護消費者的個人資料。
  • 非歧視:請勿以違反 state 或聯邦 antidiscrimination 法則的方式處理個人資料。 此外,企業被禁止消費者 discriminating,以在 VCDPA (中行使權利,但有一些例外,包括會員計畫) 。
  • 同意:當 business (1) 處理機密資料,或 (2) 偏離消費者 (的資料處理目的時,取得客戶的明確同意, 例如,在公司的隱私權通知) 內。

特別是「個人資料」和「敏感性資料」的功能?

「個人資料」是定義為已識別或可辨識的自然人員,但不包括解除識別的資料或公開提供資訊的任何資訊。 「個人資料」的 VCDPA 定義大致會與 GDPR 下的「個人資料」對齊。

「敏感性資料」是「個人資料」的類別,其中包含下列專案:

  • 個人資料洩漏種族或種族、宗教 beliefs、精神或實物健康情況診斷、性行為、公民或 immigrations 狀態;
  • 以唯一識別自然人員的目的,處理遺傳或生物資料的處理方式。
  • 從已知子系收集的個人資料;或
  • 精確地理位置資料。

如以上所述,VCDPA 需要消費者「同意」,才能在某些情況下處理資料,包括在處理消費者的機密資料之前。 ' Consent'is 定義為「clear affirmative 法案,表示消費者自由提供的特定、特定、告知及明確的合約,以處理與客戶相關的個人資料,而且可能包括 ' 書面語句,包含以電子方式撰寫的語句,或任何其他明確的 affirmative 動作。 '

是否有任何 VCDPA 必要的隱私權原則披露?

下列資訊必須包含在合理可存取的明文隱私權中,請注意:

  • 已處理的個人資料類別;
  • 處理個人資料的目的;
  • 消費者如何使用其個人資料 (的權利, 例如 更正個人資訊) 的權利;
  • 如果有任何) ,則為協力廠商共用的個人資料類別 (;
  • 管制公司在任何) 都與 (共用個人資料的協力廠商的類別。
  • 個人資料為協力廠商銷售或處理以進行目標廣告的事實,以及如何選擇只在審計員銷售或處理目標廣告的資料時 需要 (此語句) ;和
  • 消費者如何吸引公司所做的權利要求決定。

VCDPA 中資料的銷售方式如何?

「個人資料的銷售」是指公司為協力廠商所考慮的「個人資料,以進行大量考慮」的 exchange。 VCDPA 為客戶提供個人資料的「自願出」銷售。

請注意,VCDPA 規定,管制公司不需要在下列披露中服從「自願即用」銷售要求:

  • (i) 處理器 (例如, 來代表商務) 處理個人資料的實體)。
  • (ii) 以提供消費者所要求的產品或服務,以供協力廠商使用。
  • (iii) 給加盟。
  • (iv) 消費者特意透過大量媒體通道提供給一般公開的資訊,但不會將這些資訊限制在特定物件中,而且
  • (v) 做為合併、購買等的一部分,協力廠商可以控制所有或部分商務資產。

何謂 (DPA) 的資料保護評估?

DPA 是一種評估,可找出並權衡某些使用者對個人資料的處理帶來的利益與潛在風險。 在 [VCDPA] 下,必須執行下列活動的 DPA:在處理機密的個人資料時,處理機密的個人資料、處理機密的個人資料時、處理個人資料以用於特定的分析目的時,以及處理會帶來對消費者有害風險的情況時,都必須執行 DPA。 若要瞭解如何使用 Microsoft 產品、服務及系統管理工具來執行 DPA,請參閱 GDPR 的資料保護影響評估

是否有任何需要進行中的資料處理合約字詞?

VCDPA 要求 controller (例如,用來決定處理個人資料用途的實體,以及處理個人資料的方式) 和資料處理程式 (例如,用來處理個人資料之實體的實體,) 輸入包含特定資料處理字詞的合約。 本協定的條款必須包含特定的規定,例如:處理資料的指示、要處理的資料類型、處理的性質和目的、處理的持續時間,以及雙方的權利和義務。 此外,合約必須包含與轉包、評估、機密的機密性、刪除或傳回個人資料相關的義務,並示範處理器與 VCDPA 的相容性。

在某些情況下,若要為我們的客戶提供服務,可能會將 Microsoft 視為資料處理器。 如果是這種情況,Microsoft 產品和服務資料保護附錄 (DPA) 的條款已經符合 VCDPA 的需求,因為這些需求與 GDPR 的合約需求類似。不需要使用 Microsoft 更新組織的合約。 在 DPA 中設定時,Microsoft 會遵守所有適用于其提供線上服務的法律和規定,包括 VCDPA。

如果不符合合規性,公司會被處以多少罰鍰?

VCDPA 授與 AG 專屬授權,以強制執行其布建,但受限於任何聲稱的 VCDPA 違規的30天的硬化期限。 在調查和準備案例(包括律師的費用)的情況下,AG 可能會針對每個違規搜尋最高 $7500 的 injunctive 止條和損害,並取得任何「合理的開支。」

附注,VCDPA 不會授與消費者私人的動作權利。

Microsoft 做什麼以協助您達到 VCDPA 規範?

除此之外,Microsoft 已在全球範圍內實施 GDPR 相關 Dsr,因此我們已有極佳的位置可協助您符合類似的 VCDPA 需求。 我們也已回顧協力廠商資料共用協定,並採取步驟來建立必要的合約條款和 guardrails,以確保我們不會「出售」個人資訊。

Microsoft 也會透過執行適當的技術和組織量值,協助您符合 VCDPA 下的義務,以促進對消費者 Dsr 的回應、提供技術規範工具/機制,以及遵循資料處理指示。

由於雲端計算的性質,Microsoft 會在線上服務的 共用責任模型 下運作。 「共用責任」是一個重要主題,因為雲端服務提供者和管制企業都負責雲端安全性的某些部分。 若要深入瞭解安全性和隱私權的相關資訊,請造訪 Microsoft 信任中心

有哪些可協助我的組織開始準備 VCDPA 的 Microsoft 工具?

  • 開始使用合規性管理員中的 GDPR 評估做為組織的 VCDPA 隱私權計畫的一部分。
  • 建立處理常式以有效回應使用者權限要求。
  • 設定原則,以使用 Microsoft 資訊保護來探索、分類、標示和保護機密資料。
  • 使用電子郵件加密功能進一步控制敏感性資訊。

VCDPA 對孩子的套用方式?

VCDPA 會將子系定義為小於13歲的任何個人。 遵守兒童之線上隱私權保護規則下的可驗證同意需求的公司 (COPPA) 會被視為符合 VCDPA 中取得「父母同意的任何責任。

VCDPA 提供必須依照 COPPA 需求處理子系的機密資料。

公司員工的個人資料為何?

VCDPA 義務不適用於雇用內容中收集和使用的個人資料。

GDPR 與 VCDPA 之間的差異為何?

有許多差異。 更容易著重于相似之處,包括:

  • 透明化/揭露義務。
  • 存取、刪除和修正其個人資料的使用者權限。

重要的是,VCDPA 需要讓企業能夠選擇從銷售資料到協力廠商、目標廣告及特定分析。 這些是比對要處理之物件的廣泛 GDPR (涵蓋這些類型的披露,但並未特別局限于涵蓋這些披露)。

此外,VCDPA 也可讓消費者利用必須是「conspicuously 可用」之公司所提供的富有吸引力的處理常式,吸引公司拒絕 effectuate 資料主體要求的權利。 GDPR 不需要這類誘人的處理常式。