米国の最新の包括的なデータプライバシー法は、個人データを広く保護していますが、かなりの注意が必要です。

3月8日、消費者データ保護法(CDPA)がバージニア州で正式に法制化されました。結論:2023年の初めに、バージニア人の個人データに触れる多くの人々や企業は、別のことをしなければならないか、代金を支払うリスクがあります(違反ごとに最大7,500ドルに加えて、費用と弁護士費用)。

CDPAは、非営利団体、バージニア州の高等学校、バージニア州および地方政府機関、およびHIPAAまたはGLBの対象となる企業/団体を特に免除します(連邦政府の先制問題を回避するため)。それ以外の場合、CDPAは、バージニア州で事業を行う、またはバージニア州を対象とするすべての企業および事業体に適用されます。

  1. バージニア州の10万人の消費者の個人データを暦年で管理または処理します(収益に関係なく)。または
  2. 1暦年に25,000人以上のバージニア州の消費者の個人データを管理または処理し、個人データの販売から総収入の50%以上を獲得します。

上記のすべては、最後の1つの質問に対する答えを要求します:データを「個人的」にするものは何ですか?

CDPAは、個人データを「特定された、または識別可能な自然人にリンクされている、または合理的にリンク可能な情報」と定義しています。 (いくつかの例外があります。後で説明します。)

マーケティングとしてSEO対策 福岡という事象が大事なポイントとなる

CDPAは、特定の連邦法(HIPAA、FCRA、FERPA、運転者のプライバシー保護法、農場信用法など)によってすでに規制されているデータ、「緊急連絡先データ」、および通常のコースと同様に従業員と請負業者のデータを処理する雇用主を免除します。雇用の。そうでなければ、バージニア州の消費者の「個人データ」に対するCDPAの支配は意図的に非常に広範です。一般に、会社がCDPAの要件の対象である場合、CDPAにより、バージニア州の消費者は、その会社が個人データを処理することをオプトアウトできます。

しかし、本当に個人的なものはどうですか?

CDPAに基づく機密データ:広範かつ不確実

CDPAは一般に「オプトアウト」データプライバシー法ですが、特定のデータの収集にはオプトインが必要です。具体的には、CDPAは一部の個人データを「機密データ」として分類します。 CDPA対象企業は、消費者のオプトインによってのみ機密データを処理できます。

CDPAは、「機密データ」を「含む個人データのカテゴリ」と定義しています(正確な言葉は次のとおりです)。

  1. 人種的または民族的起源、宗教的信念、精神的または肉体的健康診断、性的指向、または市民権または移民ステータスを明らかにする個人データ。
  2. 自然人を一意に識別する目的での遺伝的または生体認証データの処理。
  3. 既知の子供から収集された個人データ。または
  4. 正確なジオロケーションデータ。

このリストの前に「含む」という単語が巧妙に使用されているため、「機密データ」はこれよりもさらに広い可能性があります。バージニア州司法長官は、バージニア州議会議員が考えていなかった他のカテゴリの機密データを検討できるようです。これは、今後多くの規制の不確実性を意味します。

それでも、別の重要な言葉は、機密データと見なすことができるものを大幅に制限します。それは「個人」です。

公開データは個人データではありません

CDPAの「個人データ」の定義は広範ですが、限界があります。 CDPAの「個人データ」の定義では、特に(1)匿名化されたデータおよび(2)「公開されている情報」は除外されています。

前者の除外はおそらく言うまでもありません(それが非定義化されている場合、それはおそらく識別されたまたは識別可能な人にリンクされていないか、リンク可能ではありません)。ただし、後者の除外は大きなものです。それが公開されている場合、それは個人的ではありません—そしてそれが個人的でない場合、それは敏感ではありません。

これはCDPAの到達範囲に対する大きな制限です(「抜け穴」を読んでください)。 CDPAが「公開されている情報」を具体的にどのように定義しているかを見ると、他の方法で解釈されるよりもさらに広くなります。

当然、その定義には、「連邦、州、または地方自治体の記録を通じて合法的に利用可能にされた」データが具体的に含まれています。情報がそのサブカテゴリに分類されない場合でも、企業が単に「広く配布されたメディアを通じて合法的に一般に公開されていると信じる合理的な根拠がある」場合は、「公開」されます。消費者が特定の聴衆に情報を制限していない限り、消費者、または消費者が情報を開示した人によって。」

つまり、バージニア州の消費者が主要なソーシャルアプリで機密データを含む無制限の公開投稿を行った場合(または、さらに言えば、バージニア州の居住者がその情報を開示した他の誰かがその情報を合法的に公開することになっている場合)方法)、それは一般的にデータコントローラーとデータプロセッサーのためのこの非常に大きな抜け穴に陥るように思われるでしょう。結局のところ、そのデータは、公開されているためにCDPAの「個人的な」要件を満たしていないため、CDPAでは「機密」になる可能性はありません。 (予測:ソーシャルメディアプロファイルやニュースサイトから公開されている情報を取得するソフトウェアの売り上げが急増しています。)多くの公開ニュースソース、ほとんどの公開政府の記録、またはその他の公開メディアや公開フォーラムの匿名化されていない情報についても同様です。 。

状況によっては、他の法律や規制がこの領域で重複する場合があります(また、他の法律や規制はこの記事の範囲外です)が、データ管理者が情報の「公開されている」性質についての合理的な信念を示すことができる場合それらが処理する場合、CDPA自体は、このデータに関して消費者への報告、修正、または削除の義務を必要としないようです。

さらに、いずれにせよ、CDPAには、CDPAが憲法修正第1条の保護を侵害すると解釈されるべきではないことを示す包括的な「違憲であるとしてこれを打ち負かさないでください。あなたの名誉」条項が含まれています。

この記事はもともとMarTechTodayに掲載されました。


著者について

Joe Stanganelliは、ビジネスコンサルタントおよび法律アナリストです。彼は、マーケティングおよびソートリーダーシップアドバイザリーであるBlackwood KingLCのマネージングディレクターです。仕事や執筆をしていないとき、ジョーはピアノを弾いたり、レモンの皮を茹でたり、食べた正味の炭水化物の量に基づいて人々を判断したりするのを楽しんでいます。