弗吉尼亚消费者数据保护法概述

上次更新时间:2026年4月28日 16:22

了解弗吉尼亚消费者数据保护法及您在此领域的潜在责任。

本指导说明的内容不应被视为法律建议。如果您对该法案对您的业务或您的义务的适用性有任何疑问,我们建议您联系您自己的独立法律顾问。

本文内容:

弗吉尼亚消费者数据保护法(VDCPA)概述

了解弗吉尼亚消费者数据保护法(VCDPA)及您在此领域的潜在责任。本指导说明旨在向我们的客户提供有关VCDPA及其在此领域的潜在责任的信息。本指导说明的内容不应被视为法律建议。如果您对VCDPA对您的业务或您的义务的适用性有任何疑问,我们建议您联系您自己的独立法律顾问。

Toast致力于确保向Toast及我们的客户提供个人信息(在本文中称为“个人数据”,以与VCDPA保持一致)的个人信任其信息得到了充分保护,并按照他们的期望和适用的数据隐私立法进行管理。  这一承诺的一部分意味着我们的客户拥有适当的信息和工具,以了解他们的义务以及Toast如何支持这些义务的某些方面。


返回顶部

什么是VDCPA?

弗吉尼亚消费者数据保护法(“VCDPA”)是一部全面的消费者隐私法律,将于2023年1月1日生效。

VCDPA对处理个人数据的企业施加了一系列隐私义务,旨在提高消费者数据使用的透明度,并赋予消费者对其个人数据的更多控制权。它为维吉尼亚州居民建立了一套个人权利,包括删除个人数据的权利和选择退出定向广告的权利。


返回顶部

VCDPA下的个人数据是什么?

VCDPA将个人数据定义为“与已识别或可识别的自然人相关联或合理可关联的任何信息,不包括去标识化数据或公开可用的信息。”一般而言,要求适用于在个人或家庭背景下(例如,不在商业或雇佣背景下)行动的维吉尼亚州居民的个人数据。


返回顶部

VCDPA下的敏感个人数据是什么?

某些类型的个人数据在VCDPA下被定义为“敏感”,特别包括精确的地理位置(包括来自GPS等技术的信息,能够精确识别自然人的具体位置,精度和准确度在1750英尺的半径内)、已知儿童的数据以及某些人口统计细节(种族、宗教、健康/遗传信息等)。 在VCDPA下,未经消费者同意,禁止处理敏感个人数据。


返回顶部

VCDPA会影响我的业务吗?

这要看情况。VCDPA管理维吉尼亚州居民个人数据的收集和使用,并适用于以下企业:

(i)在一个日历年内,控制或处理至少100,000名消费者的个人数据,或
(ii)控制或处理至少25,000名消费者的个人数据,并且从个人数据的销售中获得超过50%的总收入。


某些群体是豁免的,例如政府实体、非营利组织、高等教育机构以及受其他隐私法律约束的医疗和金融机构。


返回顶部

如果您的企业必须遵守VCDPA,推荐的活动:

  • 考虑您的数据并制定数据清单:  考虑您的数据并制定数据清单:虽然VCDPA没有要求,但了解您收集的个人数据、收集来源、使用方式、共享对象以及保留时间,对于在其他领域(例如通知披露和个人权利义务)有效遵守VCDPA是重要的。
  • 处理个人权利合规:VCDPA规定了一系列个人隐私权利(在下面的指导说明中有更详细的描述)。在这些权利中,VCDPA赋予消费者选择退出某些处理活动的权利,包括销售、定向广告和个人资料分析。重要的是,符合范围的企业要理解这些请求的性质,并制定一个流程以便在收到请求时进行遵守。
  • 实施适当的安全措施:审查您在个人数据方面采取的措施。这些措施包括行政、技术和物理数据安全实践,以保护个人数据的机密性、完整性和可访问性,VCDPA要求这些措施应适合您企业处理的个人数据的数量和性质。
  • 隐私声明:VCDPA要求企业提供合理可访问、清晰且有意义的隐私通知,包含特定信息,并披露个人数据是否被出售或用于定向广告,以及消费者如何选择退出这两者。
  • 进行数据保护评估:企业需要进行数据保护评估,权衡每项处理活动的风险和收益。您的数据保护评估结果可能会影响您与供应商的合作方式。根据VCDPA,数据保护评估应在以下情况下完成:出于定向广告或个人资料分析的目的处理个人数据,可能使消费者面临某种风险;销售个人数据;处理敏感数据,以及任何涉及个人数据的处理活动,可能对消费者造成更高的伤害风险。


返回顶部

VCDPA下的个人权利

个人权利概述

VCDPA详细列出了您的客户可能根据VCDPA对您的企业的适用性行使的一系列个人权利(也称为个人数据权利)。

  • 访问权:消费者有权确认企业是否在处理他们的个人数据,并访问该信息
  • 更正权:消费者有权更正其个人数据中的不准确之处,考虑到个人数据的性质和处理目的。
  • 删除权:消费者有权删除他们提供的或已收集的个人数据。
  • 可携带权利:消费者有权以可携带的格式获取之前提供的个人数据副本,并在技术上可行的范围内,能够方便地传输到另一个进行自动化处理的企业。
  • 选择退出权利:消费者有权选择退出 
    (i)定向广告,
    (ii)个人数据的销售,以及
    (iii)为做出产生法律或类似重大影响的决定而进行的个人资料分析。


返回顶部

根据VCDPA的个人权利考虑

以下是您收到客户个人权利请求时的一些考虑事项:

  • 身份验证: 在范围内的企业需要在提供请求的信息之前验证提出请求的个人的身份。这可以防止将信息披露给没有权利的人。考虑您持有的个人数据以及您可能需要从个人那里获取的信息,以验证他们在您企业中的身份。示例可能包括但不限于姓名、电子邮件地址、电话号码或诸如忠诚账户号码的信息。请注意,根据VCDPA,父母可以代表其子女提交请求。
  • 适用性判断: 在身份验证后,下一步的判断是个人是否有权要求满足该请求。VCDPA提供了多个实例,企业不需要满足个人权利请求。在某些情况下这是合理的,例如,活跃合同的一方可能没有权利完全删除其信息。我们建议您熟悉每项权利适用的情况。
  • 时间表和沟通:VCDPA规定了一些时间表,包括权利本身的履行、与请求者的沟通以及请求者对企业拒绝履行请求的上诉。确保您了解这些时间表是很重要的。与提出请求的个人进行沟通也很重要,这与截止日期是并行的。如果个人的请求过于宽泛,或者您希望获得更多的明确性,澄清该请求可能是重要的。沟通同样重要,以确保您正确验证个人的身份,并确定他们的请求是否在VCDPA的允许范围内。
  • 权利履行/上诉流程: 为了履行VCDPA下的个人权利请求,相关企业需要了解他们收集了哪些个人数据、如何使用这些数据以及如何共享这些信息。例如,如果您不知道自己持有哪些个人数据或如何共享这些数据,根据访问请求向个人提供信息或理解您必须在删除请求中删除哪些内容将会很困难。VCDPA列出了许多特定要求,说明需要向个人提供什么,因此我们建议您阅读VCDPA以了解这些要求,并在有任何问题时咨询独立法律顾问。 此外,VCDPA要求企业建立上诉流程,以允许请求者对企业不履行其请求的决定提出异议。

在某些情况下,Toast可能能够支持我们的客户履行个人权利。Toast已准备了额外的指导,概述了Toast在此过程中能够提供的帮助。


查看我们的文章《Toast如何支持您遵守弗吉尼亚消费者数据保护法的努力》获取更多信息。


返回顶部