- 国外数据保护法律选编
- 丁道勤,姜文等编译
- 10078字
- 2025-05-12 16:59:17
第52章 消费者数据保护法
§59.1-571.定义
除文义另有所指,本章中使用的术语具有下列含义:
“关联公司”,是指控制、受控于另一法律实体,或与另一法律实体受共同控制,或与另一法律实体有共同品牌的法律实体。就本定义而言,“控制”或“受控”是指: (1)拥有公司50%以上任何有表决权证券的流通股,或有投票权;(2)以任何方式控制大多数董事或行使类似职能的个人的选举;或(3)有权对公司的管理施加控制性影响。
“认证”,是指通过合理手段核实有权行使第59.1-573节规定的消费者权利的消费者与就有关个人数据行使这种消费者权利的消费者是同一个人。
“生物特征数据”,是指通过自动测量个人生物特征,如指纹、声纹、眼睛视网膜、虹膜或其他用于识别特定个人的独特生物模式或特征而产生的数据。生物特征数据不包括实物或数字照片、录像或录音或由此产生的数据,也不包括根据HIPAA规定为保健治疗、支付或操作而收集、使用或储存的信息。
“商业伙伴”,具有与HIPAA规定相同含义。
“儿童”,是指13岁以下的任何自然人。
“同意”,是指表明消费者自由给予、具体、知情和毫不含糊地同意处理与该消费者有关的个人数据的明确肯定行为。同意包括书面声明,以电子方式书写的声明,或任何其他明确的肯定行动。
“消费者”,是指仅以个人或家庭名义行事的弗吉尼亚联邦居民的自然人。它不包括在商业或雇佣场景下行事的自然人。
“控制者”,是指单独或与他人共同决定处理个人数据的目的和手段的自然人或法人。
“承保实体”,具有与HIPAA规定相同含义。
“对消费者产生法律或类似重大影响的决定”,是指控制者作出的,促成控制者提供或拒绝提供金融和借贷服务、住房、保险、教育入学、刑事司法、就业机会、保健服务或获得食物和水等基本必需品的决定。
“去识别数据”,是指不能合理地与已识别或可识别的自然人或与这种人有联系的装置产生联系的数据。拥有“去识别数据”的控制者应遵守第59.1-577节A小节的要求。
“基金”,是指根据第59.1-581节设立的消费者隐私基金。
“健康记录”,与第32.1-127.1:03节对该术语的定义相同。
“保健提供者”,与第32.1-276.3节对该术语的定义相同。
“HIPAA”,是指1996年联邦《健康保险便携和责任法》(《美国法典》第42卷第1320d条及其后各条)。
“已识别或可识别的自然人”,是指可以直接或间接地轻易识别的人。
“高等教育机构”,是指第23.1-100节中定义的公立机构和私立高等教育机构。
“非营利组织”,是指根据《弗吉尼亚州非股份有限公司法》 (第13.1-801节等)组织的任何公司或根据《国内税收法》第501(c)(3)、501(c)(6)或501(c)(12)节免于纳税的任何组织。
“个人数据”,是指与已识别或可识别的自然人联系或可产生合理联系的任何信息。“个人数据”不包括去标识化数据或公开信息。
“精确地理位置数据”,是指从技术中获得的信息,包括但不限于全球定位系统一级的经纬度坐标或其他能在1750英尺半径范围内以精确和准确的方式直接确定自然人的具体位置的机制。“精确地理位置数据”不包括通信内容或由公用事业计量基础设施系统或设备产生的或与之相连的供公用事业使用的任何数据。
“处理”,是指以人工或自动方式对个人数据或个人数据集进行的任何操作或一组操作,如收集、使用、存储、披露、分析、删除或修改个人数据。
“处理者”,是指代表控制者处理个人数据的自然人或法律实体。
“用户画像”,是指对个人数据进行的任何形式的自动处理,以评估、分析或预测与已识别或可识别的自然人的经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或动作有关的个人特征。
“受保护的健康信息”具有与HIPAA规定相同含义。
“匿名化数据”,是指如不使用附加信息就无法确定特定自然人的个人数据,但这种附加信息须单独保存,并须采取适当的技术和组织措施,以确保个人数据不能确定到已识别或可识别的自然人。
“可公开获得的信息”,是指通过联邦、州或地方政府记录合法获得的信息,或企业有合理理由认为通过广泛传播的媒体,可以由消费者或由消费者向其披露信息的人提供给公众的信息,除非消费者已将信息限制给特定的受众。
“出售个人数据”,是指控制者为变现考虑与第三方交换个人数据。“出售个人数据”不包括:
1.将个人数据披露给代表控制者处理个人数据的处理者;
2.为了提供消费者所要求的产品或服务而向第三方披露个人数据;
3.向控制者的附属机构披露或转移个人数据;
4.消费者:(1)有意通过大众媒体渠道向公众提供的信息,以及(2)不限于特定受众;或
5.作为合并、收购、破产或其他交易的一部分,向第三方披露或转让个人数据,使第三方获得对控制者全部或部分资产的控制权。
“敏感数据”,是指包括下列数据的一类个人数据:
1.揭示种族或族裔出身、宗教信仰、精神或身体健康诊断、性取向或公民或移民身份的个人数据;
2.为识别自然人的独特身份而处理基因或生物特征数据;
3.从已知儿童处收集的个人数据;或
4.精确的地理位置数据。
“国家机构”的含义与第2.2-307节中对该词的定义相同。
“定向广告”,是指基于从消费者即时行为和跨非关联网站或在线应用程序中获得的消费者个人数据并预测消费者爱好或者兴趣选取广告并向消费者展示。
“定向广告”不包括:
1.基于控制者自身网站或在线应用内活动的广告;
2.根据消费者当前的搜索查询、访问网站或在线应用程序场景下的广告;
3.应消费者要求提供信息或反馈而向其发出的广告;或
4.仅为衡量或报告广告效果、覆盖范围或频率而处理个人数据。
“第三方”,是指除消费者、控制者、处理者或者处理者、控制者的关联公司以外的自然人或法人、公共机关、代理机构或组织。
§59.1-572.范围;豁免
A.本章适用于在本州开展业务或生产以本州居民为对象的产品或服务的主体,包括:(1)在一年内,控制或处理至少100000名消费者的个人数据,或(2)控制或处理至少25000名消费者的个人数据,并从销售个人数据中获得50%以上的总收入的人。
B.本章不适用于:(1)本州或本州政治分支机构的任何主体、机关、理事会、局、委员会、地区或机构;(2)受联邦《格莱姆-利奇-布莱利法》(《美国法典》第15卷第6801条及其后条款)第五章管辖的金融机构或数据;(3)受美国卫生和公众服务部颁布的隐私、安全和违规通知规则、45C.F.R.第160和164部分(根据HIPAA制定),以及《卫生信息技术促进经济和临床健康法》 (公法111-5)监管的涵盖实体或商业伙伴; (4)非营利组织;或(5)高等教育机构。
C.下列信息和数据不受本章规定约束:
1.受HIPAA保护的健康信息。
2.第32.1编规定的健康记录。
3.《美国法典》第42卷第290dd-2条规定的患者身份信息。
4.45C.F.R.第46部分规定的保护受试者的联邦政策规定的可识别个人信息;为符合人用药品注册技术要求,国际协调理事会根据良好临床实践指南在人体试验中收集的个人信息;保护21C.F.R.第6、50和56部分规定的受试者,或根据本章规定或其他法律规定进行的研究中使用或分享的个人数据。
5.为《1986年联邦保健质量改进法》(美国法典第42卷第11101条及其后条款)目的而创建的信息和文件。
6.为联邦《患者安全和质量改进法》目的而生产的患者安全工作产品。
7.根据HIPAA去识别化要求,从本小节所列的任何与保健有关的信息中衍生出来的信息。
8.来自HIPAA定义的涵盖实体或商业伙伴或《美国法典》第42编第290dd-2条定义的方案或合格服务组织所维护的、与本小节规定的豁免信息无法区分的信息或以相同方式处理的信息。
9.HIPAA授权仅用于公共卫生活动和目的的信息。
10.消费者报告机构、提供信息供消费者报告使用的提供人或用户以及消费者报告的用户收集、保存、披露、出售、交流或使用与消费者的信用价值、信用状况、信用能力、性格、一般声誉、个人特征或生活方式有关的任何个人信息,但仅限于根据联邦公平信用报告法(《美国法典》第15篇第1681节及其后各篇)对这种活动进行管理和授权的范围。
11.根据《1994年联邦驾驶员隐私保护法》(美国法典第18卷第2721条及其后条款)收集、处理、出售或披露的个人数据。
12.联邦《家庭教育权利和隐私法》(美国法典第20卷第1232条及其后条款)规定的个人数据。
13.根据《联邦农业信贷法》(美国法典第12卷第2001条及其后条款)收集、处理、出售或披露的个人数据;以及
14.在下列过程中处理或维护的数据:(1)个人申请、受雇于控制者、处理者或第三方代理人或独立承包人的过程中,以该身份范围为限收集和使用的数据;(2)作为本章规定的个人紧急联络信息,为紧急联络之目的;或(3)为管理与第(1)款规定的个人有关的其他人的利益而有必要保留的数据,为管理这些利益之目的。
D.符合《联邦儿童在线隐私保护法》(美国法典第15卷第6501条及其后条款)中可核实的父母同意要求的控制者和处理者,应被视为遵守本章规定的任何获得父母同意的义务。
§59.1-573.个人数据权利;消费者
A.消费者可在任何时候根据本小节授权向控制者提交请求,说明其希望行使的消费者权利。儿童的父母或法定监护人可代表该儿童处理属于该儿童的个人数据。控制者应遵守经认证的消费者行使下列权利的请求:
1.确认是否由控制者处理消费者的个人数据或访问相关个人数据;
2.考虑到个人数据的性质和处理消费者个人数据的目的,纠正消费者个人数据的不准确之处;
3.删除消费者提供的或获得的有关个人数据;
4.获得消费者以前向控制者提供的个人数据的副本,该数据的格式是可移植的,并且在技术上可行的情况下,是随时可用的,可以使消费者能够不受阻碍地将数据传送给另一个控制者,该处理是通过自动手段进行的;以及
5.选择退出为下列目的处理个人数据:(1)定向广告; (2)出售个人数据;或(3)做对消费者产生法律或类似重大影响的决策而进行的用户画像。
B.除本章另有规定外,控制者应按消费者的请求行使根据A小节授权的消费者权利,具体如下:
1.控制者应在收到根据第59.1-573节A小节所述方法提交的请求后45日内对消费者作出答复,不得无故拖延。考虑到消费者请求的复杂性和数量,在合理必要的情况下,只要控制者在最初的45日答复期内将任何此类延长通知消费者,并说明延长的理由,答复期可再延长45日。
2.如果控制者拒绝对消费者的请求采取行动,控制者应在不无故拖延的情况下通知消费者,但在任何情况下,最迟应在收到请求后45日内通知消费者拒绝采取行动的理由,并说明如何根据C小节对该决定提出上诉。
3.应消费者请求提供的信息应由控制者免费提供,每个消费者每年最多可提供两次。如果消费者提出的请求明显没有根据、过多或重复,控制者可向消费者收取合理费用,以支付满足请求的行政费用,或拒绝对请求采取行动。控制者有责任证明该请求明显没有根据、过分或重复。
4.如果控制者无法通过商业上合理的努力来验证请求的真实性,不应要求控制者采取A小节规定的行动以遵守请求,并可要求消费者提供验证消费者和消费者请求的合理必要的补充信息。
C.根据B小节第2项内容,控制者应建立一种程序,使消费者能够在收到控制者拒绝采取措施或拒绝请求后的一段合理时间内,对控制者提出申诉。在收到申诉后60日内,控制者应以书面形式通知消费者针对上诉采取或未采取的任何行动,包括对决定理由的书面解释。如果申诉被驳回,控制者还应向消费者提供一个在线机制(如果有的话)或其他方法,消费者可通过这些方法与总检察长联系,以提交投诉。
§59.1-574.数据控制者的责任;透明度
A.控制者应:
1.将个人数据的收集限制在与处理这些数据的目的有关的充分、相关和合理必要的范围内,并向消费者披露。
2.除本章另有规定外,除非控制者获得消费者的同意,否则不为非合理必要之目的或与向消费者披露的处理此类个人数据的目的不兼容的其他目的,处理个人数据。
3.制定、实施和维持合理的行政、技术和物理数据安全做法,以保护个人数据的保密性、完整性和可获取性。这种数据安全做法应与所涉个人数据的数量和性质相适应。
4.不在违反禁止非法歧视消费者的州和联邦法律的情况下处理个人数据。控制者不得因消费者行使本章所载的任何消费者权利而对其进行歧视,包括拒绝提供商品或服务,对商品或服务收取不同的价格或费率,或向消费者提供不同质量水平的商品和服务。然而,本分则中的任何内容都不得解释为要求控制者提供需要消费者个人数据的产品或服务(且控制者并未收集或维护这些数据),也不得解释为禁止控制者向消费者提供不同的价格、费率、水平、质量或商品或服务的选择,包括免费提供商品或服务,如果消费者已根据第59.1-573节行使选择退出权利,或该给付与消费者自愿参加真正的版权费、奖励、高级功能、折扣或俱乐部卡计划有关。以及
5.在未获得消费者同意的情况下,不处理有关消费者的敏感数据,或在处理有关已知儿童的敏感数据时,应根据《联邦儿童在线隐私保护法》(美国法典第15卷第6501条及其后条款)处理此类数据。
B.任何种类的合同或协议的任何规定,凡是旨在以任何方式放弃或限制消费者根据第59.1-573节享有的权利的,均应被视为违反公共政策,应是无效和不可执行的。
C.控制者应向消费者提供可合理访问、清晰和有意义的隐私政策,包括:
1.控制者处理的个人数据类别;
2.处理个人数据的目的;
3.消费者如何根据第59.1-573节行使其消费者权利,包括消费者如何对控制者关于消费者请求所提出的决定提出申诉;
4.控制者与第三方共享的个人数据类别(如果有的话);以及
5.控制者与之共享个人数据的第三方类别(如果有的话)。
D.如果控制者将个人数据出售给第三方或为定向广告处理个人数据,控制者应明确和显眼地披露这种处理方式,以及消费者行使选择退出这种处理的权利的方式。
E.控制者应当为消费者提交行使本章规定的消费者权利的请求建立一种或多种安全可靠的手段,并应当在隐私通知中加以说明。这种手段应当考虑到消费者通常与控制者互动的方式、对这种请求进行安全可靠通信的需要,以及控制者验证提出请求的消费者身份的能力。控制者不得要求消费者为行使第59.1-573节规定的消费者权利而创建新的账户,但可要求消费者使用现有账户。
§59.1-575.不同身份的责任;控制者和处理者
A.处理者应遵守控制者的指示,并应协助控制者履行本章规定的义务。这种协助应包括:
1.考虑到处理的性质和处理者可获得的信息,通过适当的技术和组织措施,在合理可行的范围内,履行控制者根据第59.1-573节规定的消费者权利请求的响应义务。
2.考虑到处理的性质和处理者可获得的信息,根据第18.2-186.6节,协助控制者履行控制者在处理个人数据安全相关义务,并协助控制者履行处理者系统安全受到破坏的通报义务。
3.提供必要的信息,使控制者能够根据第59.1-576节进行数据保护评估并将其记录在案。
B.控制者和处理者之间的合同应规范处理者代表控制者进行的数据处理程序。合同应具有约束力,并明确规定处理数据的指示、处理的性质和目的、处理对象的数据类型、处理期限以及双方的权利和义务。合同中还应包括要求处理者应:
1.确保每个处理个人数据的人对数据负有保密义务。
2.根据控制者的指示,在服务结束时,按要求将所有个人数据删除或返还给控制者,除非法律要求保留个人数据。
3.应控制者的合理要求,向控制者提供其掌握的所有必要信息,以证明处理者遵守本章义务的情况。
4.允许控制者或控制者指定的评估员进行合理的评估,并予以合作;或者,处理员可安排一名合格的独立评估员,利用适当和公认的管制标准或框架以及评估程序,对处理员履行本章规定的义务的政策以及技术和组织措施进行评估。处理者应根据请求向控制者提供这种评估报告。以及
5.根据C小节规定的书面合同聘用任何分包商,该合同要求分包商履行处理者对个人数据的义务。
C.本节的任何内容均不得解释为免除控制者或处理者因其在本章所界定的处理关系中的身份而承担的责任。
D.基于个人数据处理场景和事实判断,确定一个人在具体的数据处理中是作为控制者还是处理者。在特定的个人数据处理过程中继续遵守控制者指示的处理者仍然是处理者。
§59.1-576.数据保护评估
A.控制者应当对下列涉及个人数据的每项处理活动进行数据保护评估并记录在案。
1.为定向广告的目的处理个人数据。
2.出售个人数据。
3.以用户画像为目的处理个人数据,如果该画像会带来以下可预见的风险:(1)对消费者造成不公平或欺骗性待遇,或对消费者造成非法差别待遇; (2)对消费者的经济、身体或名誉造成伤害;(3)对消费者的独处或隐居或对其私人事务或关切造成身体或其他方面的侵犯,而这种侵犯会使一个有理智的人感到不快;或(4)对消费者造成其他实质性伤害。
4.处理敏感数据。以及
5.任何涉及对消费者造成高度伤害风险的个人数据的处理活动。
B.根据A小节进行的数据保护评估应确定和权衡处理对控制者、消费者、其他利益攸关方和公众可能产生的直接和间接利益,以及与这种处理相关的对消费者权利的潜在风险,并通过控制者为减少这种风险可采用的保障措施加以缓解。控制者应将去识别数据的使用和消费者的合理期望,以及处理的场景和控制者与个人数据将被处理的消费者之间的关系纳入这一评估。
C.总检察长可基于民事调查需求,要求控制者披露与总检察长进行的调查有关的任何数据保护评估,控制者应向检察长提供数据保护评估。总检察长可以评估数据保护评估是否符合§59.1-574节中规定的责任。根据《弗吉尼亚信息自由法》(美国法典第2.2-3700条及其后续条文),数据保护评估应是保密的,免于公开检查和复制。根据总检察长的请求披露数据保护评估的,不应构成对律师和当事人特权的放弃,或对评估及评估中所载任何工作成果的放弃。
D.单一的数据保护评估可适用于包含类似活动的一系列相似处理操作。
E.控制者为遵守其他法律或法规而进行的数据保护评估,如果评估的范围和效果具有合理的可比性,则可能符合本节规定。
F.数据保护评估要求应适用于2023年1月1日之后创建或产生的处理活动,且不具有追溯性。
§59.1-577.处理去识别化的数据;豁免
A.拥有去识别化数据的控制者应:
1.采取合理措施,确保不能将数据与自然人联系起来;
2.公开承诺维护和使用去识别化的数据,而不试图重新识别该数据;以及
3.在合同中约定,任何接收者应当遵守本章对于去标识化数据所规定的义务。
B.本章的任何内容均不得解释为: (i)要求控制者或处理者重新识别未识别的数据或匿名化数据,或(ii)以可识别的形式维护数据,或收集、获取、保留或访问任何数据或技术,以便能够将经认证的消费者请求与个人数据联系起来。
C.本章的任何内容都不得解释为要求控制者或处理者根据第59.1-573节的规定遵守经认证的消费者权利请求,如果是以下所有情况都属实:
1.控制者无法合理地将请求与个人数据相关联,或者将请求与个人数据相关联对控制者来说是不合理的负担;
2.控制者不使用个人数据来识别或回应作为个人数据主体的特定消费者,或将个人数据与关于同一特定消费者的其他个人数据联系起来;以及
3.除本条允许的情况外,控制者不会将个人数据出售给任何第三方或其他方式自愿将个人数据披露给除处理者外的任何第三方。
D.第59.1-573节A小节第1至4项和第59.1-574节中包含的消费者权利不适用于匿名化数据,如果控制者能够证明识别消费者身份所需的任何信息是单独保存的,并且受到有效的技术和组织控制,可防止控制者获取这种信息。
E.披露匿名化数据或去识别化数据的控制者应进行合理的监督,以监测匿名化数据或去识别化数据须遵守的任何合同承诺的遵守情况,并应采取适当步骤处理任何违反这些合同承诺的行为。
§59.1-578.限制
A.本章的任何内容均不得解释为限制控制者或处理者的以下能力:
1.遵守联邦、州或地方法律、规则或条例。
2.遵守联邦、州、地方或其他政府当局的民事、刑事或监管查询、调查、传票或传唤。
3.就控制者或处理者合理和善意地认为可能违反联邦、州或地方法律、规则或条例的行为或活动与执法机构合作。
4.调查、确立、行使、准备或维护法律主张。
5.提供消费者特别要求的产品或服务,履行消费者为一方当事人的合同,包括履行书面保证的条款,或在订立合同前应消费者的要求采取措施。
6.立即采取步骤保护对消费者或其他自然人的生命或人身安全至关重要的利益,且该处理无法寻求其他合法性基础的支持。
7.防止、检测、防范或应对安全事件、身份窃取、欺诈、骚扰、恶意或欺骗活动或任何非法活动;维护系统的完整性或安全性;或调查、报告或起诉任何此类行为的责任人。
8.从事符合公共利益的公共或同行审查的科学或统计研究,这些研究应遵守所有其他适用的道德和隐私法,并由机构审查委员会或类似的独立监督实体批准、监测和管理,这些机构审查委员会或实体应确定:(i)删除信息很可能提供实质性的利好,且这些利好并不完全由控制者获得;(ii)研究的预期利好大于隐私风险;以及(iii)控制者是否实施了合理的保障措施,以减轻与研究相关的隐私风险,包括与重新识别相关的任何风险。或
9.协助另一控制者、处理者或第三方履行本小节规定的任何义务。
B.根据本章对控制者或处理者施加的义务不应限制控制者或处理者收集、使用或保留数据以从事下列行为的能力:
1.开展内部研究以开发、改进或维修产品、服务或技术;
2.实施产品召回;
3.查明并修复损害现有或预期功能的技术错误;或
4.执行符合消费者期望或基于消费者与控制者现有关系符合合理预期的内部操作,或执行与为向消费者提供其特别要求的产品或服务或履行消费者作为缔约方的合同而进行的数据处理相兼容的内部操作。
C.如果控制者或处理者遵守本章的规定将违反联邦法律规定的证据特权,则本章规定的控制者或处理者的义务不适用。本章的任何规定都不得解释为阻止控制者或处理者将有关消费者的个人数据作为保密通信的一部分提供给根据弗吉尼亚联邦法律享有证据特权的人。
D.遵照本章要求向第三方控制者或处理者披露个人数据的控制者或处理者,如果接收和处理这些个人数据的第三方控制者或处理者违反了本章规定,只要在披露个人数据时,披露的控制者或处理者并不实际知道接收者有意实施违法行为,则不构成违反本章规定。第三方控制者或处理者按照本章要求从控制者或处理者处接收个人数据,同样不因向其披露此类个人数据的控制者或处理者存在违法行为而构成本章规定的违法行为。
E.本章的任何内容均不得解释为对控制者和处理者施加的对任何人的权利或自由(如根据《美国宪法》第一修正案行使言论自由权)产生不利影响的义务,也不得解释为适用于个人在纯粹的个人或家庭活动过程中对个人数据的处理。
F.除非本章另有规定,否则控制者根据本节处理的个人数据不得用于本节明确列出的目的以外的任何其他目的。控制者根据本节处理的个人数据可在以下范围内进行处理:
1.与本节的目的是合理必要且相称的;以及
2.充分、相关,并仅限于与本节所列的特定目的有关的必要内容。根据B小节规定收集、使用或保留的个人数据,在适用的情况下,应考虑到此类收集、使用或保留的性质和目的。此类数据应遵循合理的管理、技术和物理措施,以保护个人数据的机密性、完整性和可访问性,并减少与此类收集、使用或保留个人数据有关的对消费者造成损害的合理可预见风险。
G.如果控制者根据本节中的豁免处理个人数据,控制者有责任证明此类处理符合豁免条件,并符合F小节的要求。
H.为A小节第1至9项中明确规定的目的处理个人数据的,不得仅据此将该实体认定为此类处理的控制者。
§59.1-579.调查权限
只要总检察长有合理的理由相信任何人从事、正在从事或将要从事任何违反本章的行为,总检察长都有权发出民事调查要求。第59.1-9.10节的规定比照适用于根据本节发布的民事调查要求。
§59.1-580.执行;民事处罚;费用
A.总检察长保留执行本章规定的专属权力。
B.在根据本章提起任何诉讼之前,总检察长应提前30日向控制者或处理者发出书面通知,指明总检察长主张的已经或正在被违反的本章的具体规定。如果在30日期限内,控制者或处理者纠正了提请注意的违规行为,并向总检察长提供一份明确的书面声明,说明被指控的违规行为已经得到纠正,且不再发生违规行为,则总检察长不得对控制者或处理者提起诉讼。
C.如果控制者或处理者在B小节的补救期后继续违反本章,或违反根据该小节向总检察长提供的明确书面声明,总检察长可以弗吉尼亚联邦的名义提起诉讼,并可寻求禁令,要求限制任何违反本章规定的行为,并对违反本章规定的行为处以最高7500美元的民事处罚。
D.在根据本章提起的任何诉讼中,总检察长可以获得因调查和准备案件所产生的合理费用的补偿,包括律师费。
E.本章的任何规定均不得解释为对违反本章或任何其他法律的行为提供依据或受其约束。
§59.1-581.消费者隐私基金
现在国库中设立消费者隐私基金,该基金属于不可撤销的特别基金。应在审计长的账簿上创建该基金。依照本章规定收取的一切民事罚款、费用和律师费,应当上缴国库,并计入该基金。基金内款项所赚取的利息须留在基金内,并计入基金贷方。在每个财政年度结束时,基金内包括利息在内的任何剩余款项均不得回撤到普通基金,而必须留在基金内。基金中的款项应用于支持总检察长办公室执行本章规定的工作,但须经批准。
2.科技联合委员会主席应成立一个工作组,由商务部长、行政部长、总检察长、参议院交通委员会主席、控制或处理至少100000人个人数据的企业代表以及消费者权益倡导者组成。工作组应审查本法的规定及其实施方面的问题。技术和科学联合委员会主席应在2021年11月1日之前将工作组的调查结果、最佳实践和关于实施本法案的建议提交参议院一般法律和技术委员会主席和众议院通信、技术和创新委员会主席。
3.本法案中提及的任何联邦法律或法规应视为包括任何附带的规则或条例或豁免。此外,该法是对现行法律的陈述。
4.第一和第三部分的规定将于2023年1月1日生效。
(翻译:胡俊良
审校:曹苓、姜文、唐艳艳、丁道勤)
[1] 本法将于2023年1月1日生效。