編輯

維吉尼亞州消費者資料保護法案 (VCDPA) 常見問題

  • 常見問題集

注意事項

本主題會以「目前狀態」提供。本主題中表示的資訊和檢視,包括 URL 和其他網際網路網站參考,可能會在未通知的情況下變更。 貴用戶須自行承擔使用風險。 本主題已建立為指南,因此不應視為法律建議。 您應該諮詢您的專屬法律專業人士。 本主題不對任何 Microsoft 產品的智慧財產權提供合法權利。 貴用戶可以複製本主題,並將其用為內部參考。

快速常見問題集

我應該知道的前四個 VCDPA 事實為何?

  1. 維吉尼亞州消費者資料保護法 (VCDPA) 是美國中完整的隱私權法,而且自 2023 年 1 月 1 日起,維吉尼亞州律師 (AG) 會強制執行該法律。 律師一般可能會尋求 「每個違規最高 $7,500 美元的損害」
  2. VCDPA 為維吉尼亞州消費者提供各種隱私權。 受 VCDPA 規範的企業對這些取用者有許多義務,包括提供揭露、類似 GDPR 的一般資料保護規定 (GDPR) 取用者資料主體要求 (DSR) ,以及遵守特定資料處理義務 (例如,資料最小化、合理的資料安全性作法) 。
  3. 雖然具有強式 GDPR 合規性計畫的公司可能會享有 VCDPA 合規性的起點,但 GDPR 與 VCDPA 之間仍有重要差異 需要考慮。 合規性不能在一夜發生;需要一些時間來瞭解 VCDPA 的法規複雜性,並實作內部工具和機制,以確保資料資產已準備好符合 VCDPA 規範。
  4. 如一節中進一步詳細說明,Microsoft 提供產品和服務來 協助客戶達成 VCDPA 合規性 ,並 提供特定元素工具來協助客戶 建立、實作及維護「合理的系統管理、技術和實體資料安全性做法,以保護個人資料的機密性、完整性和存取性」,如 VCDPA 所要求。

VCDPA 是否會套用至我的組織?

VCDPA 將適用于營利性公司,這些公司會大規模控制或處理維吉尼亞州居民的個人資料。

更具體來說,VCDPA 適用于「在維吉尼亞州的企業,或是產生以英國居民為目標的產品或服務」的組織,以及 在日曆年度期間: (1 個) 控制或處理至少 100,000 名維吉尼亞州居民的個人資料,或 (2) 從個人資料銷售中衍生超過 50% 的營收 (VCDPA 不會厘清是否套用營收閾值維吉尼亞州居民僅) 並控制或處理至少 25,000 名維吉尼亞州居民的個人資料。

請注意,雖然 VCDPA 並未定義「在維吉尼亞州進行業務」,但受管制的企業可以假設如果維吉尼亞州有一些經濟活動觸發稅務責任或個人管轄權,VCDPA 將會套用到該企業。

是否需要更新 Microsoft 合約以符合 VCDPA?

不能。 如有任何其他需要備妥的資料處理詞彙中所述?區段中,Microsoft 產品和服務資料保護增補條款將符合 VCDPA 的需求。

VCDPA 對我的公司有何影響?

提供給維吉尼亞州消費者的許多 VCDPA 許可權與 GDPR 所提供的許可權類似,包括消費者權力,例如個人資料的存取權、刪除權及可攜性。 因此,受規範的企業可以尋找現有的 GDPR 解決方案,以協助他們進行 VCDPA 合規性工作。

根據您業務的獨特情況,以及開發 VCDPA 隱私權計畫的所在位置,您可以考慮將焦點放在下列五個主要步驟,以開始您的 VCDPA 旅程:

  • 探索:識別您的企業擁有哪些個人資料及其所在位置。
  • 對應:判斷您的企業如何與協力廠商共用個人資料。
  • 管理:管理個人資料的使用和存取方式。
  • 保護:建立安全性控制以防止、偵測及回應安全弱點和資料外洩。
  • :記錄資料外泄回應程式。

此外,Microsoft Purview 合規性管理員Microsoft Purview 合規性入口網站中的一項功能,可協助您瞭解組織的合規性狀態,並採取動作來協助降低風險。 可在合規性管理員的 [評估範本] 頁面尋找範本。 如需詳細資訊,請參閱 合規性管理員中的組建評估 一文。

您必須瞭解貴組織在 VCDPA 下的特定義務,以及您如何符合這些義務,但 Microsoft 在此協助您完成旅程。

全方位常見問題集

VCDPA 何時會生效?

VCDPA 已于 2021 年 3 月 2 日簽署法律。 不過,維吉尼亞州律師 (AG) 的強制執行將不會在 2023 年 1 月 1 日開始。

是否有特定組織已豁免 VCDPA?

某些組織會豁免 VCDPA,包括:

  • 維吉尼亞州機關
  • 受 Gramm-Leach-Bliley 法案約束的金融機構
  • 受健康保險可攜性與責任法案規範的隱私權、安全性和缺口通知規則所控管的涵蓋實體或業務夥伴
  • 非營利組織;和高階教育機構。

企業必須在 VCDPA 下啟用哪些消費者權力?

如果/當取用者選擇執行其權利,並讓取用者能夠退出銷售其個人資料、目標廣告和特定分析時,VCDPA 也會提供免于辨識的保護。 若要深入瞭解如何利用 Microsoft 產品、服務和系統管理工具來協助尋找個人資料並「採取行動」,請參閱 資料主體要求和 GDPR 和 CCPA

VCDPA 要求受規範的企業在 45 天內回應要求以執行取用者權利,如果通知要求的取用者說明這類延遲的原因,則此期間可以延長 45 天。 VCDPA 也讓取用者有權透過必須「明顯可用」的企業所提供的訴求程式,對企業提出這類要求提出請求。 企業必須在 60 天內以書面方式回應訴求;如果拒絕爭議,企業必須提供取用者「線上機制 (如果有) 或其他方法」,取用者才能透過該機制向 AG 提交抱怨。

VCDPA 下的資料處理義務為何?

VCDPA 下的商務義務包括:

  • 資料最小化:將個人資料的收集限制為適當、相關且合理必要的 (,例如,用於處理) 的指定和明確用途。
  • 目的限制:僅針對合理必要目的處理個人資料,或與向取用者公開的用途相容 (例如,在隱私權通知中) 。
  • 安全性控制:建立、實作及維護「合理的系統管理、技術和實體資料安全性做法」,以保護取用者的個人資料。
  • 非辨識:不以違反州或聯邦反辨識法的方式處理個人資料。 此外,禁止企業在 VCDPA (下對消費者行使其權利,但有些例外,包括針對忠誠度計畫) 。
  • 同意:當商務 (1) 處理敏感性資料時,取得取用者的明確同意,或 (2) 偏離向取用者公開的資料處理目的 (例如,在企業的隱私權通知) 內。

什麼是特別視為「個人資料」和「敏感性資料」?

「個人資料」定義為連結或合理連結至已識別或可識別自然人,但不包含已取消識別資料或公開可用資訊的任何資訊。 VCDPA 的「個人資料」定義大致上符合 GDPR 下的「個人資料」。

「敏感性資料」是「個人資料」的類別,其中包含下列專案:

  • 個人資料,揭露種族或種族來源、種族信念、身心或實體健康情況診斷、性方向、種族或種族狀態;
  • 為了唯一識別自然人而處理基因或生物特徵辨識資料;
  • 從已知子系收集的個人資料;或
  • 精確的地理位置資料。

如上所述,VCDPA 在某些情況下需要取用者「同意」才能處理資料,包括在處理取用者的敏感性資料之前。 「同意」定義為「明確肯定的動作,表示取用者自由提供、特定、明智且明確的合約,以處理與客戶相關的個人資料」,而且可能包含「書面聲明,包括以電子方式撰寫的語句,或任何其他明確的肯定動作」。

是否有任何 VCDPA 必要的隱私權原則洩漏?

下列資訊必須包含在可合理存取、清楚的隱私權注意事項中:

  • 已處理的個人資料類別;
  • 處理個人資料的目的;
  • 取用者如何對其個人資料行使許可權 (例如,更正個人資訊的許可權) ;
  • 如果有任何) ,則會 (與協力廠商共用的個人資料類別;
  • 如果有任何) ,則受規範企業與 (共用個人資料的協力廠商類別。
  • 個人資料會銷售給協力廠商或針對目標廣告進行處理,以及如何退出宣告 (只有在控制者銷售或處理目標廣告) 的資料時, 需要此語句;和
  • 取用者如何對企業所做的許可權要求決策提出要求。

VCDPA 下的資料如何「銷售」?

企業對協力廠商的「個人資料銷售」定義為「個人資料交換以供貨幣考慮」。 VCDPA 為取用者提供「退出」其個人資料銷售的許可權。

請注意,VCDPA 指出受管制的企業不需要在下列揭露中接受「退出」銷售要求:

  • (我) 至處理器 (,例如 代表商務) 處理個人資料的實體。
  • (ii) 給協力廠商,以提供取用者要求的產品或服務。
  • (iii) 至聯盟
  • (iv) 取用者透過大型媒體頻道刻意提供給一般大眾,且未將這類資訊限制為特定物件的資訊,以及
  • (v) 作為合併、收購等專案的一部分,其中協力廠商會在其中控制企業的所有資產或部分資產。

什麼是資料保護評估 (DPA) ?

DPA 是一種評量,可識別並衡量因特定個人資料處理而對取用者帶來的好處與潛在風險。 在 VCDPA 下,DPA 必須針對下列活動進行:個人資料銷售、處理敏感性個人資料、處理個人資料以進行目標廣告、處理個人資料以供特定分析之用時,以及處理會對取用者造成損害風險的實例。 若要瞭解如何利用 Microsoft 產品、服務及系統管理工具來執行 DPA,請參閱 GDPR 的資料保護影響評估

是否有任何需要備妥的資料處理合約條款?

VCDPA 要求控制器 (例如,決定處理個人資料) 用途和方法的實體,以及資料處理器 (,例如代表控制者處理個人資料的實體) 輸入包含特定資料處理條款的合約。 本合約的條款必須包含特定條款,例如:處理資料的指示、受處理的資料類型、處理的本質和目的、處理的持續時間,以及雙方的權利和義務。 此外,合約必須包含與轉包、評估、機密性責任、刪除或傳回個人資料相關聯的義務,並示範處理者是否符合 VCDPA。

在某些情況下,向客戶提供服務時,可能會將 Microsoft 視為資料處理者。 如果是這種情況,Microsoft 產品和服務資料保護增補 (DPA 的條款) 已經符合 VCDPA 的需求,因為這些需求類似于 GDPR 的合約需求;不需要更新貴組織與 Microsoft 的合約。 如 DPA 中所述,Microsoft 遵守適用于其線上服務布建的所有法律和法規,其中包含 VCDPA。

如果不符合合規性,公司會被處以多少罰鍰?

VCDPA 會授與 AG 專屬授權單位以強制執行其布建,但任何不週期性 VCDPA 違規都需經過 30 天的週期。 AG 可能會針對每個違規,以及在調查和準備案例時產生的任何合理費用,包括律師費用,尋求最高美金 $7,500 元的一致性緩解和損害。

請注意,VCDPA 不會授與取用者私人動作許可權。

Microsoft 如何協助您達成 VCDPA 合規性?

除此之外,Microsoft 已在全域實作 GDPR 相關 DSR,因此我們已經是協助您符合類似 VCDPA 需求的絕佳位置。 我們也已檢閱我們的協力廠商資料共用協定,並採取步驟來建立必要的合約條款和護欄,以確保我們不會「銷售」個人資訊。

Microsoft 也藉由實作適當的技術和組織措施來協助您回應取用者 DSR、提供技術合規性工具/機制,以及遵守資料處理指示,協助您履行 VCDPA 的義務。

由於雲端運算的本質,Microsoft 會在線上服務的共同責任模型下運作。 共同責任是一個重要主題,因為雲端服務提供者和受規範的企業都需負責雲端安全性的一部分。 若要深入瞭解我們的安全性和隱私權做法,請造訪 Microsoft 信任中心

有哪些 Microsoft 工具可協助我的組織開始準備 VCDPA?

  • 開始在合規性管理員中使用 GDPR 評量,作為組織 VCDPA 隱私權計畫的一部分。
  • 建立有效率地回應取用者權利要求的程式。
  • 設定原則,以使用Microsoft Purview 資訊保護來探索、分類、標記及保護敏感性資料。
  • 使用電子郵件加密功能進一步控制敏感性資訊。

VCDPA 如何套用至子系?

VCDPA 會將子系定義為任何年齡低於 13 歲的個人。 符合子系線上隱私權保護規則 (COPPA) 下可驗證同意需求的企業,將會被視為符合在 VCDPA 下取得家長同意的任何義務。

VCDPA 提供必須根據 COPPA 需求來處理子系的敏感性資料。

企業員工的個人資料呢?

VCDPA 義務不適用於在雇用內容中收集和使用的個人資料。

GDPR 與 VCDPA 之間有何差異?

有許多差異。 更輕鬆地專注于相似性,包括:

  • 透明化/揭露義務。
  • 存取、刪除及更正其個人資料的取用者許可權。

重要的是,VCDPA 需要企業讓取用者退出宣告將資料銷售給協力廠商、目標廣告,以及某些分析。 相較于廣泛的 GDPR 物件處理許可權,這些是較窄且更明確的義務,其中包含這些類型的揭露,但不限於涵蓋這些揭露。

此外,VCDPA 也讓取用者有權透過必須「明顯可用」的企業所提供的訴求程式,對企業的要求提出要求,以影響資料主體要求。 GDPR 不需要這類的訴求程式。