备注
本主题按“原样”提供。 本主题中表达的信息和观点(包括 URL 和其他 Internet 网站引用)如有更改,恕不另行通知。 使用本主题的风险需自行承担。 本主题已创建用作指南,不得构成法律建议。 您应咨询自己的法律专家。 本主题并未向您提供有关任何 Microsoft 产品的任何知识产权的任何法律权利。 您可出于内部参考的目的复制和使用本主题。
- 《美国消费者数据保护法案》 (VCDPA) 在美国是一项全面的隐私法,并且从 2023 年 1 月 1 日开始,由美国律师总 (AG) 强制执行。 律师总代表可能会就每次违反事件而要求最高金额为 7,500 美元。
- VCDPA 为 客户提供各种隐私权利。 受 VCDPA 监管的企业将承担许多针对这些消费者 的义务,包括 提供披露、以类似方式响应一般数据保护条例 (GDPR) 消费者数据主体请求 (DSR) 以及遵守某些数据处理义务 (例如,数据最小化、合理的数据安全做法) 。
- 尽管具有强大的 GDPR 合规性计划的公司可能享有 VCDPA 合规性的开端,但 GDPR 和 VCDPA 之间存在一些重要的差异,需要考虑。 合规性不能夜间发生;需要时间来了解 VCDPA 的法规的不一致性并实施内部工具和机制,以确保数据资产已做好 VCDPA 合规性准备。
- 如全面常见问题解答部分进一步详细介绍,Microsoft 提供的产品和服务帮助客户实现 VCDPA 合规性,并提供某些元素工具,帮助客户建立、实施和维护 VCDPA 所需的"合理的管理、技术和物理数据安全实践,以保护个人数据的机密性、完整性和可访问性"。
VCDPA 将适用于控制或处理大尺寸的一位用户个人数据的盈利性公司。
更具体地说,VCDPA 适用于组织"在一家商务公司中经营业务,或生产面向以下居民的产品或服务",以及 在日历年期间, (1) 控制或处理至少 100,000 名"美国居民"的个人数据,或 (2) 从销售个人数据获得超过 50% 的收入总额 (VCDPA 不会阐明收入阈值是否适用To 一位) ,并控制或处理至少 25,000 位百米居民的个人数据。
请注意,尽管 VCDPA 未定义"在亚克林中开展业务",但受监管的企业可以假定如果某些经济活动触发了税款责任或在 InIngs 中触发个人管辖,则 VCDPA 将应用于它。
不正确。 如 以下所述,是否有其他任何数据处理术语需要就位?section, the terms of the Microsoft Products and Services Data Protection Addendum will meet the requirements of the VCDPA.
为用户提供的许多 VCDPA 权利都类似于 GDPR 提供的权利,包括消费者权利,如个人数据的访问、删除和可移植性。 因此,受监管的企业可以查找我们现有的 GDPR 解决方案,以帮助他们进行 VCDPA 合规性工作。
根据业务的独特环境以及开发 VCDPA 隐私计划的情况,你可以考虑关注以下五个关键步骤,以开始 VCDPA 旅程:
- 发现:确定你的企业拥有哪些个人数据以及它所在的位置。
- 地图:确定你的企业如何和第三方共享个人数据。
- 管理:管理个人数据的使用和访问方式。
- 保护:建立安全控制措施来防止、检测和应对漏洞和数据泄露的情况。
- 文档:记录数据泄露响应计划。
此外,Microsoft 合规性管理器是 Microsoft 365 合规中心的一项功能,可帮助你了解组织的合规性状态,并采取措施帮助降低风险。 在合规性管理器的“评估模板”页面中找到用于建立评估的模板。 有关详细信息,请参阅合规性 管理器中的生成 评估文章。
你需要了解你的组织的特定义务在 VCDPA 下是什么以及如何履行它们,尽管 Microsoft 将帮助你实现你的旅程。
VCDPA 于 2021 年 3 月 2 日签署法律。 但是,由 (AG) 将于 2023 年 1 月 1 日开始强制执行。
某些组织免受 VCDPA 限制,包括:
- 州/市/县机构
- 受格雷姆-Leach-Bliley 法案监管的金融机构
- 受《健康保险可移植性和责任法案》规定的隐私、安全和泄露通知规则的涵盖实体或业务关联
- 非营利组织;和教育机构。
当消费者选择行使其权利时,VCDPA 还提供防止侵犯性措施,并授予消费者选择不出售其个人数据、定向广告和某些分析的能力。 若要了解有关如何利用 Microsoft 产品、服务和管理工具来帮助查找和"操作"个人数据的信息,请参阅数据主体请求以及GDPR 和 CCPA。
VCDPA 要求受监管的企业在 45 天内响应行使其消费者权利的请求,如果向请求的消费者提供了解释此类延迟原因的通知,则此期限可以延长 45 天。 VCDPA 还向消费者提供通过企业提供的必须"完全可用"的拉审流程来就此类请求向企业提出请求的权利。 企业必须在 60 天内对书面请求做出响应;如果投诉被拒绝,则企业必须为消费者提供"联机机制 ((如果有) 或其他方法)供消费者向 AG 提出投诉。
VCDPA 规定的业务义务包括:
- 数据最小化:将个人数据集合限制为适当、相关和合理必需的 (,例如用于处理个人数据的) 。
- 目的限制:仅出于合理必要目的或与向消费者披露的目的(例如 (,在隐私声明中)处理个人数据) 。
- 安全控制:建立、实施和维护"合理的管理、技术和物理数据安全实践",以保护消费者的个人数据。
- 非侵犯 性:不以违反州或联邦反转录法的方式处理个人数据。 此外,企业不得侵犯消费者根据 VCDPA (行使权利,但某些例外情况除外,包括针对会员计划或) 。
- 同意:当业务 (1) 处理敏感数据或 (2) 偏离向消费者 (披露的数据处理目的时(例如,在 企业隐私声明) 中)征得消费者明确同意。
"个人数据"定义为链接到或合理链接到已识别或可识别的自然人的任何信息,但不包括未识别的数据或公开的信息。 VCDPA 对"个人数据"的定义与 GDPR 下的"个人数据"大致一致。
"敏感数据"是包括以下内容的"个人数据"类别:
- 显示种族或族裔、宗教动机、精神或健康诊断、性取向、种族或性取向状态的个人数据;
- 处理基因或生物识别数据,以便唯一标识自然人;
- 从已知子级收集的个人数据;或
- 精确的地理位置数据。
如上所述,在某些情形下(包括在处理消费者的敏感数据之前)处理数据之前,VCDPA 要求消费者"同意"。 "同意"定义为"明确的肯定行为,表示消费者在处理与客户相关的个人数据时自由给出、明确、明智和明确的协议",并可能包括"书面声明,包括通过电子方式编写的声明,或任何其他明确的肯定行动"。
以下信息必须包含在合理可访问的清晰隐私声明中:
- 处理的个人数据类别;
- 处理个人数据的目的;
- 消费者如何行使其有关其个人数据的权利 (例如,更正个人数据) ;
- 与第三方共享的个人数据类别 ((如果有) ;
- 受监管企业与被监管企业共享个人数据的第三方 ((如果有) )。
- 将个人数据出售给第三方或针对定向广告进行处理,以及如何选择退出 (仅在控制者销售或处理目标广告服务的数据时,才需要此声明;如果控制者销售或处理目标广告) ;和
- 消费者如何对企业做出的权利请求决定进行请求。
"出售个人数据"定义为企业向第三方交换个人数据,以作为货币考虑。 VCDPA 向消费者提供"选择退出"其个人数据销售的权利。
请注意,VCDPA 指出,受监管的企业无需在下列披露中遵守"选择退出"销售请求:
- (我) 处理者 (,例如代表业务部门处理个人数据) ,
- (ii) 提供使用者请求的产品或服务而向第三方发送,
- (iii) 关联,
- (iv) 消费者通过大量媒体频道有意提供给普通公众的信息,并且并未将此类信息限制为特定受众,
- (v) 合并、收购等的一部分,其中第三方将控制企业资产的所有或一部分。
DPA 是一项评估,用于识别和权衡因特定处理个人数据而给消费者带来的好处和潜在风险。 在 VCDPA 下,必须为以下活动执行 DPA:出售个人数据、处理敏感个人数据时、处理个人数据进行定向广告时、出于某些分析目的处理个人数据时,以及处理给消费者带来高风险的实例。 若要了解如何利用 Microsoft 产品、服务和管理工具执行 DPA,请参阅 GDPR 的数据保护 影响评估。
VCDPA 要求控制者 (如、确定个人数据) 处理目的和途径的实体以及数据处理者 ((如 )代表控制者) 处理个人数据的实体签订包含某些数据处理条款的协议。 本协议的条款必须包含某些条款,例如:数据处理说明、需要处理的数据类型、处理性质和目的、处理持续时间以及双方的权利和义务。 此外,合同还必须包含与泄露、评估、保密义务、删除或返回个人数据相关的义务,并证明处理者遵守 VCDPA。
在某些情况下,当为客户提供服务时,Microsoft 可能会被视为数据处理者。 如果是这种情况,Microsoft 产品和服务数据保护附录 (DPA) 条款已满足 VCDPA 的要求,因为这些要求与 GDPR 合同要求类似;无需更新组织与 Microsoft 的合同。 如 DPA 中所列,Microsoft 遵守适用于在线服务的所有法律和法规,其中包括 VCDPA。
VCDPA 授予 AG 独占权限,以强制执行其设置,但针对任何可能违反 VCDPA 的行为,其期限为 30 天。 AG 可能会针对每次违规和"调查和准备案件时产生的任何合理费用(包括律师费)"寻求最多 7,500 美元的风险和损害。
请注意,VCDPA 不会向消费者授予私人行动权利。
此外,Microsoft 已在全球实现与 GDPR 相关的 DSR,因此我们已经处于一个绝佳位置,可帮助你满足类似的 VCDPA 要求。 我们还审阅了第三方数据共享协议,并采取措施确定必要的合同条款和防护措施,以确保我们不会"出售"个人信息。
Microsoft 还通过实施适当的技术和组织措施来帮助你履行 VCDPA 规定的义务,旨在推动你响应消费者 DSR,提供技术合规性工具/机制,并遵循数据处理说明。
由于云计算的性质,Microsoft 在联机服务的 共同 责任模型下运营。 共享责任是一个重要的主题,因为云服务提供商和受监管的企业都负责云安全部分。 若要了解有关我们的安全和隐私做法详细信息,请访问 Microsoft 信任中心。
- 开始在合规性管理器中将 GDPR 评估用作组织的 VCDPA 隐私计划的一部分。
- 建立一个有效响应消费者权利请求的流程。
- 设置策略以使用数据标签发现、分类、标记和保护Microsoft 信息保护。
- 使用电子邮件加密功能进一步控制敏感信息。
VCDPA 将子元素定义为 13 岁以下的儿童。 遵守儿童在线隐私保护规则 (COPPA) 规定的可验证同意要求的企业将被视为符合根据 VCDPA 获得家长同意的任何义务。
VCDPA 规定,子项的敏感数据必须按照 COPPA 要求进行处理。
VCDPA 义务不适用于在雇佣环境中收集和使用的个人数据。
两者存在诸多差异。 更便于关注相似之处,包括:
- 透明度/披露义务。
- 消费者访问、删除和更正其个人数据的权利。
重要的是,VCDPA 要求企业使消费者能够选择不向第三方销售数据、定向广告和某些分析。 与广泛的 GDPR 对象处理权利(包括这些类型的披露)不同,这些义务范围更窄、更具体,但不限于涵盖这些披露。
此外,VCDPA 还向消费者提供通过企业提供的必须"明显可用"的拉审流程来向企业发出请求的权利,以请求获得数据主体。 GDPR 不需要此类请求流程。