CDPA消费者权益

弗吉尼亚州消费者资料保护法(CDPA是一项将于xx年xx月xx日生效的法律2023年1月1日．与全球正在通过的其他数据保护法规类似，这项新法规的目的是通过规范企业如何收集、存储和使用消费者数据来保护弗吉尼亚州的消费者。

如果你拥有一家公司或者是一个收集客户数据的组织的负责人，了解你必须为你的客户提供什么样的消费者权利是很重要的或者客户，这样你就可以遵守新规定。

CDPA中所概述的消费者权利是建立在联邦贸易委员会《公平信息实践原则》(FIPPs)．fipp提供了一个框架，允许使用者对其数据的使用和收集方式进行更多的控制。

在下面的文章中，根据这些原则，我们将讨论消费者七项主要权利受CDPA的保护，以及当法律生效时，你应该做些什么来确保你的业务是合规的。

弗吉尼亚消费者数据保护法(CDPA)下的消费者权利

首先要注意的一件事是《数据保护法案》是美国东海岸第一部数据保护法．

此外，弗吉尼亚CDPA起草者似乎从观察到的陷阱和困难中获得了显著的好处开发和实现《欧洲一般资料保障规例》(GDPR)和加州的消费者隐私法(CCPA）.

通过引入更狭义的定义，弗吉尼亚州的法案避免了其中的许多问题。它排除了在欧洲和加利福尼亚法规下曾经(并将继续)令人困惑的数据类别和业务。

话虽如此，CDPA保护消费者权益的条款与CCPA的非常相似。因此,已经满足CCPA合规要求的组织也应该很容易满足CDPA的要求．

在这种情况下，让我们继续概述消费者的权利，你必须保护这些权利。

查阅资料的权利

消费者有权向数据控制者(为自己使用而获取和拥有消费者个人数据的任何实体)请求并访问个人信息的副本。

具体来说，弗吉尼亚州居民有权:

• 确认控制器正在处理其个人数据，并且
• 访问这些数据

这与《商业行为管制条例》要求商业机构披露“收集特定的个人信息。“然而，与CCPA不同的是，它没有规定必须披露的数据的期限。

知情权

消费者有权知道企业是否处理了他们的数据。他们可以请求有关数据处理和涉及的处理器的信息。这包括在访问权中。

纠正权

消费者有权更正其个人资料中的任何不准确之处。

无论消费者个人信息的性质和目的是什么，都可以做到这一点。

删除的权利

消费者有权要求删除向企业提供的个人资料。

事实上,根据CDPA，弗吉尼亚州的居民比其他地区的居民有更大的权利删除他们的个人数据．

例如，CDPA要求控制器在接收经过身份验证的请求时删除用户获得的或提供的任何个人数据。这是“来自消费者”的数据之外的数据，正如CCPA的情况一样。

虽然没有要求企业指示与之共享或出售消费者个人信息的第三方删除这些信息，但CDPA要求处理机构协助企业履行对消费者权利要求作出回应的义务。这包括删除请求。

但是，必须删除数据。”考虑到处理的性质和处理者可获得的信息，在合理可行的情况下，采取适当的技术和组织措施。＂

这里的一个缺点是，CDPA没有定义“合理可行”的含义。

反对数据处理的权利

消费者有权毫无例外地选择不为营销或销售目的处理其个人数据。受要求的企业必须遵守，而不考虑遵守的困难。

具体来说，弗吉尼亚州的CDPA赋予消费者在以下情况下选择不处理个人数据的权利:

• 有针对性的广告
• 出售他们的个人信息，或者
• 对消费者产生法律或类似重大影响的决策的进一步分析

值得注意的是，在弗吉尼亚州，“出售”个人数据的定义比CCPA要狭窄得多。然而，弗吉尼亚州对“销售”的定义仅限于“控制人向第三方交换个人资料以换取金钱补偿。＂

它不包括CCPA中有争议的“其他有价值的考虑”用语。

数据可携权

消费者有权以可移植的、在技术上可能的情况下易于使用的格式访问其个人数据。

这使得他们可以毫不费力地将数据发送到另一个控制器。”用自动化手段进行处理的地方。＂

目前还不清楚“用自动化手段进行处理的地方”是什么意思。

然而， CDPA将加工定义为:

“以手动或自动方式对个人资料或一组个人资料进行的任何操作或一组操作，例如个人资料的收集、使用、储存、披露、分析、删除或修改。”

话虽如此，如果法院坚持“自动化”一词的简单含义，那么有可能实际的可移植权可能只局限于信息，这些信息是在没有人类干预的情况下处理的。

上诉的权利

如果商家在合理期限内拒绝采取行动，消费者有权根据CDPA提出上诉。公司必须在收到请求后的45天内作出答复从一个消费者。如果企业认为有必要，可以将响应时间延长45天。但是，公司必须在初始响应窗口内通知消费者。

如果商家仍然不回应消费者的要求，CDPA规定:控制人应建立程序，以便消费者在收到决定后的合理时间内就控制人拒绝对请求采取行动的行为提出上诉。＂

如果消费者的上诉被拒绝，控制者必须向消费者提供向司法部长提出投诉的信息。

根据CDPA，哪些企业必须促进消费者权益?

如果这两个符合下列准则的企业，可受CDPA的规管:

• 他们要么为弗吉尼亚州居民生产产品或提供服务，要么在该州境内开展业务，而且
• 它们处理或控制着至少10万名消费者的个人信息，或
• 他们处理或控制着至少2.5万名消费者的个人信息，个人数据的销售占其总收入的50%以上

CDPA没有设立收入门槛，因此不掌握大量消费者信息的公司不受该法律约束。

如何促进CDPA下的消费者权益

为保障消费者权益，你必须:

• 限制数据的收集和使用．CDPA要求公司将个人数据收集限制在必要、充分、相关和合理的范围内。除非公司获得消费者的同意，否则机构不得为非合理必要的目的或与披露的数据处理目的不一致的目的处理个人数据。
• 提供合理的安全．您必须建立、应用和维护“合理的”技术、管理和物理数据安全措施，以保护个人信息的可访问性、机密性和完整性。这些安全措施也必须适合有关个人资料的性质和数量。
• 获取处理个人信息的同意．在处理任何敏感数据之前，您需要获得消费者的同意。CDPA以类似GDPR的方式定义了同意，并指出这是消费者采取的一种积极行动，是知情的、明确的、具体的和自由给予的。此外，该同意是作为处理个人信息的协议提供的，可能包括一份书面声明，数字或其他形式，给予公司明确的同意。
• 提供隐私通知．消费者应该有一个容易获取的，透明的，有意义的隐私通知，例如batway体育 ．本通知必须包括公司处理的个人信息类别。它还必须包括贵公司收集和处理个人数据的目的，以及消费者如何对其信息行使权利，包括就个人数据请求对公司的决定提出上诉。还应详细说明公司与第三方共享的个人信息类别(如适用);以及该公司与之共享个人数据的类别和第三方。
• 在向第三方出售数据的问题上保持透明．为定向广告或其他目的出售或处理个人信息的公司必须在其隐私通知中显著并清楚地披露这一事实。他们还需要提供一个选项，让消费者可以行使他们的退出权利。
• 为使用者提供提交请求的方法．通过向消费者提供一种安全的方式提出请求，确保他们有办法行使自己的权利。CDPA并没有规定消费者应该如何提交此类请求。但是，它明确指出，这种方法必须考虑到消费者与公司的交互方式、可靠且安全地通信这些请求的需求以及公司验证消费者身份的能力。
• 进行数据保护评估．数据保护评估必须由组织进行某些加工活动。这包括出售个人信息、分析或定向广告、处理敏感数据以及其他可能对消费者构成更大风险的处理活动。数据保护评估应该评估与处理消费者数据相关的业务的潜在利益和对消费者的风险。公司应权衡这些相互矛盾的问题，确定某些保障措施(例如，使用去识别的信息)是否会降低消费者的风险，以及消费者对与消费者的商业关系的合理期望。

总结

《弗吉尼亚州消费者数据保护法》是一项新的法律，将为消费者提供隐私和数据保护。

这些权利是:

• 查阅资料的权利
• 知情权
• 纠正权
• 删除的权利
• 反对数据处理的权利
• 数据便携权
• 上诉的权利

为了保障消费者的这些权利，CDPA要求企业在处理和披露个人数据方面负有义务。

尽管美国其他州仍在考虑制定数据隐私法，弗吉尼亚现在仅次于加利福尼亚在该州通过全面隐私立法的努力中。

如果你在弗吉尼亚做生意，但你还没有，你应该努力成为符合CDPA的．

这意味着:

• 将您获得的数据限制为仅相关和必要的信息
• 提供一份隐私声明，披露你收集的数据的类型和类别、你收集数据的原因，以及消费者如何行使他们的权利
• 还要在您的隐私通知中包含信息，让消费者知道他们有权选择退出您的数据收集工作，并有权更正、删除或访问您收集的数据

前进

随着消费者采用数字技术，企业既有机会增加消费者参与，也有责任保护消费者数据。

在弗吉尼亚州，CDPA对消费者权利的保护，以及立法的迅速推进，可能预示着其他州很快将把该法律作为为消费者提供数据隐私保护的努力的模板。