上周,弗吉尼亚州参众两院以绝对多数票通过了消费者数据保护法案(CDPA)。
因此,一旦州长拉尔夫·诺瑟姆(Ralph Northam)签署该法案成为法律(预计他将在未来几周内签署该法案),你就可以把“CDPA”添加到你的隐私法规首字母缩写列表中。
一些人将美国第二部全面的数据隐私法称为CDPA,这是弗吉尼亚州对GDPR或加州消费者隐私法东海岸版本的回应。
但事实却介于两者之间。如果该法案获得通过,将于2023年1月1日生效。
以下是CDPA的情况。
CDPA, CCPA, GDPR
虽然弗吉尼亚州的立法者明显受到了加州的启发,但CDPA是一项可选择的法律,使用与GDPR类似的语言来定义同意,这需要明确、肯定、自由、具体、知情和明确。
这一标准高于CCPA和加州隐私权法,这要求消费者有机会选择不收集数据。
CDPA赋予消费者类似gdp的权利。
隐私合规初创公司Ethyca的首席执行官兼创始人Cillian Kieran表示:“在CCPA只提供知情权和删除权的情况下,CDPA则提供访问权、更正权、删除权和可移动权,这些权利广泛反映在GDPR的更深远的义务中。”
但说到适用性阈值,CDPA比CCPA要宽松一些。
虽然CCPA设定了一个特定的收入门槛——该法律适用于任何年收入超过2500万美元的企业——但弗吉尼亚州的法案没有。CDPA适用于在英联邦开展业务、控制或处理至少10万名消费者的个人数据,或从销售或处理至少2.5万名消费者的数据中获得超过50%总收入的任何人。
CDPA对消费者一词的定义也比较有限,仅指居住在弗吉尼亚州的人,不包括任何从事商业活动或就业的人。
基兰说,综合来看,缺乏收入门槛,再加上定义较窄,弗吉尼亚州的法律适用的企业总数可能少于CCPA。
基兰指出,弗吉尼亚州的法案还包含了对已经处理其他法律监管数据的企业的具体规定,比如HIPAA下的健康数据和Gramm-Leach-Bliley法案下的敏感财务数据。
没有个人诉讼权利
CCPA和弗吉尼亚州法案的另一个显著区别是后者没有提供私人诉讼权利,这意味着司法部长是唯一有权执行法律的人。
CCPA规定,对于涉及数据泄露的违法行为,有个人有权提起诉讼,这为集体诉讼打开了大门。
如果CDPA通过,在30天的补救期之后,违约方将有机会解决其被指控的任何混乱,司法部长将可以要求每项违规最高7500美元,包括禁令救济和律师费。
着准备
虽然弗吉尼亚州的隐私法仍然是一个法案,但毫无疑问,弗吉尼亚州州长将很快签署CDPA成为法律。
Adswerve创新部门负责人Charles Farina表示,尽管有必要进行一些地理上的调整,但那些已经为CCPA和/或GDPR做了准备工作的企业,在cpa正式生效时将“处于有利地位”。
法里纳说:“我们预计,一旦[CDPA]签署成为法律,大多数隐私供应商,如OneTrust和Cookiebot,将迅速提供更新。”
但基兰说,不要认为为CCPA做准备就会把CCPA准备工作变成一种框框练习。CDPA对“消费者”一词有不同的定义,并提供了更类似于GDPR的权利。
Kieran表示:“确保企业完全符合GDPR,是为更广泛的数据隐私法规做好准备的更好基础。”“但重要的是要认识到,每个州都有细微差别……没有放之四海而皆准的解决方案。”