2021年3月2日，弗吉尼亚州州长拉尔夫·诺瑟姆（Ralph Northam）签署了英联邦第一部全面的数据隐私法，即《消费者数据保护法》，使弗吉尼亚州成为继加利福尼亚之后的第二个州。加利福尼亚州的《消费者隐私法》（CCPA）在2020年11月被选民公投修订为《加利福尼亚隐私权法》（CPRA），这是美国第一部此类数据隐私法。该法律将于2023年1月1日生效。

一般来说，数据隐私在美国的联邦是一个“被子”，州和地方法律法规，通常根据住宅的数据保护数据主题，收集的数据的类型和收集了它的实体，以及任何通知或同意数据主题可能会同意。因此，健康信息或财务信息可能受到保护而不披露，也可能不受保护，这取决于收集这些信息的人以及收集这些信息的目的。然而，在欧洲和其他外国司法管辖区，处理数据隐私的方法更为全面；假设消费者普遍人权的数据隐私，并要求实体收集、存储、处理或使用人们的个人信息(和敏感的个人信息,如医疗记录、财务、宗教或政治信息)一般状态的本质信息被收集，并且只允许数据被用于收集它的目的，只有这样如果这些集合是客观合理的。加州采用的方法大体上与欧洲模式一致，尽管在欧洲限制要少得多。

弗吉尼亚州的新法律要求公司收集有关弗吉尼亚州居民的数据，以告知他们所收集的数据，并为他们提供有意义的机会，以“选择退出”收集和出售其数据。像加利福尼亚州和欧洲的法律一样，该法律将其权限范围内的人员限制为收集“就处理数据的目的而言是充分，相关且合理必要的”消费者数据。收集数据后，公司只能出于“合理必要”或“与”实体告诉消费者收集数据的原因“兼容”的目的处理数据，尽管其他使用或处理可能会消费者的同意。

与其他一般性隐私法一样，该法律还赋予弗吉尼亚人透明和数据准确性的权利-查看已收集的数据以及删除或纠正不正确的信息-就像人们访问其信用报告并要求更正信息一样。信息不正确。该法律还保护“数据可移植性”，即在技术上合理可行的情况下，有权下载收集的数据。与加利福尼亚州的法律不同，弗吉尼亚州的法规并未创建“私人诉权”，而是授权弗吉尼亚州总检察长起诉侵犯消费者权益的行为。如果AG发起执法行动，则他们必须通知数据控制者，该控制者有30天的时间证明违规行为已得到纠正，否则每次违规将面临7500美元的罚款。

与加利福尼亚州的法律不同，弗吉尼亚州法律仅涉及在弗吉尼亚州开展业务或生产针对弗吉尼亚州居民的产品或服务，并且控制或处理：

1. 至少100,000名消费者的个人数据的公司（在一个日历年内）

2. 至少有25,000名消费者，并且至少有50%的总收入来自出售个人数据，这是加州法律规定的覆盖范围的两倍，而且加州没有针对未达到这些个人数据限制的高收入公司的“全面”条款。

弗吉尼亚州的法律将“消费者”定义为在其个人或“家庭”环境中行事的人，其雇员或供应商数据不受隐私保护。

消费者不受限制地（通过大众媒体渠道）向公众提供的信息，或通过联邦、州或地方政府记录合法获得的信息，都不受保护。

弗吉尼亚州的法律不仅免除了“公共”信息，而且免除了受特定联邦法律规范的个人数据，包括FERPA规定的教育记录、GLBA规定的财务记录，《公平信用报告法》规定的信用报告和相关数据、驾驶执照根据《驾驶员隐私保护法》提供的信息以及受《农场信用法》保护的数据、以及某些特定的员工和求职者数据。弗吉尼亚州法律还豁免某些实体，例如弗吉尼亚州政府实体、GLBA监管的金融机构、HIPAA / HITECH下的医疗保健提供者、FERPA覆盖的大学和非营利机构。重要的是，实体免税条款不仅适用于受法律保护的数据，还适用于所描述的实体。

除了“选择退出”共享条款外，弗吉尼亚州法律还要求消费者肯定地“选择加入”某些类型的“敏感个人信息”，例如位置数据，遗传数据或某些种族数据。

像其他数据隐私法一样，弗吉尼亚州法律要求所涵盖的公司制定合理的数据隐私政策和数据安全计划，其中包括要求公司定期进行并有效应对“数据保护评估”，并确保与第三方达成协议。与他们共享数据的各方“明确规定了处理数据的指令，处理的性质和目的，要处理的数据的类型，处理的持续时间以及双方的权利和义务”，并使用了法定法定语言在此类协议中。公司还必须拥有可读且可理解的消费者个人数据隐私政策，尽管该法规没有规定必须如何传播这些政策。

虽然其他州的法律要求对违规行为或某些个人信息进行通知，而内华达州和缅因州等州要求对某些个人信息进行保护，但没有全面的联邦数据保护法。其他州，例如华盛顿、新泽西州、犹他州明尼苏达州、伊利诺伊州、爱荷华州、马里兰州、纽约州和南卡罗来纳州，都在考虑制定隐私立法。

从监管的角度来看，这意味着在弗吉尼亚州开展业务或与弗吉尼亚州居民有业务往来的公司将必须制定全面的数据保护制度，并进行“数据映射”，以便他们确切地知道他们收集了哪些有关消费者的数据以及在何处收集数据。是。他们还必须跟踪其使用方式，与谁共享，如何受到保护以及它是否准确。如果他们获得了通过在线或其他隐私政策收集数据的同意，那么良好做法将表明他们确切知道自己可以（或不能）对数据进行处理。最后，当然，如果有适用于数据的更强大或更全面的数据隐私法（包括联邦法律或国际法），则数据收集者将必须遵守更强大的法律。

尽管这项新法律受到像亚马逊这样的公司欢迎，该公司正在弗吉尼亚州北部开设第二家公司总部，但“按州”监管在线数据收集的方法给拥有客户关系管理（CRM）计划或收集客户关系管理的公司带来了挑战。个人资料。最终，对于跨州经营业务的公司而言，一部合理，全面的联邦数据隐私法以及一部包含州法律的法规可能会变得不那么笨拙。在此之前，公司将必须紧跟各种州隐私法，并制定程序来遵守每一项法律。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 关于“欧盟-美国数据隐私框架”的问与答

• Thales通过新的美国专区扩大OneWelcome身份平台的全球足迹

• 2023年美国国家网络安全战略要点

• 保护您的企业免受日益严格的数据隐私法的影响

• 美国：FIPS 140-3认证 合规性要求