バージニア州 消費者データ保護法案

こんにちは、丸山満彦です。

世界でプライバシー関連の法律が色々整備されておりますが、米国は州単位の法律もあるので追いかけるのが大変です...

バージニア州で「消費者データ保護法案」が上院に提出されているようですね。。。

バージニア州において、1年間で

• 100,000人以上の消費者の個人データを管理または処理する。または
• 25,000人以上の消費者の個人データを管理または処理し、かつ総収入の50％以上を個人データの販売から得る

 事業者等に適用されるようですね。州政府、地方自治体は対象外。

正確なジオロケーションデータ、プロファイリング、ターゲットを絞った広告、個人データの販売などの定義を確立し、個人データへのアクセス、修正、削除、コピーの取得、ターゲットを絞った広告目的での個人データの処理をオプトアウトする権利を消費者に付与する条文を含むようです。。。

● Virginia.gov

・2021 SESSION - SB 1392 Consumer Data Protection Act; establishes a framework for controlling and processing personal data.

条文は、こちら、

・2021.01.13 SENATE BILL NO. 1392　A BILL to amend the Code of Virginia by adding in Title 59.1 a chapter numbered 52, consisting of sections numbered59.1-571through59.1-581, relating to Consumer Data Protection Act.

定義の一部抜粋。。。

"Decisions that produce legal or similarly significant effects concerning a consumer" means a decision made by the controller that results in the provision or denial by the controller of financial and lending services, housing, insurance, education enrollment, criminal justice, employment opportunities, health care services, or access to basic necessities, such as food and water.	「消費者に関する法的または同様に重要な影響をもたらす決定」とは、金融・融資サービス、住宅、保険、教育登録、刑事司法、雇用機会、医療サービス、または食料や水などの基本的な必需品へのアクセスの提供または拒否をもたらす、管理者によってなされた決定を意味する。
"De-identified data" means data that cannot reasonably be linked to an identified or identifiable natural person, or a device linked to such person. A controller that possesses "de-identified data" shall comply with the requirements of subsection A of § 59.1-577.	「非識別データ」とは、識別または識別可能な自然人、またはそのような人にリンクされたデバイスと合理的にリンクすることができないデータを意味する。「非識別データ」を保有する管理者は、§59.1-577 の第 A 項の要件を遵守しなければならない。
"Personal data" means any information that is linked or reasonably associated to an identified or identifiable natural person. "Personal data" does not include de-identified data or publicly available information.	「個人データ」とは、特定または識別可能な自然人にリンクされている、または合理的に関連付けられている情報を意味します。「個人データ」には、非識別データや一般に公開されている情報は含まれない。
"Precise geolocation data" means information derived from technology, including but not limited to global positioning system level latitude and longitude coordinates or other mechanisms, that directly identifies the specific location of a natural person with precision and accuracy below 1,750 feet. "Precise geolocation data" does not include the content of communications.	「正確なジオロケーションデータ」とは、全地球測位システムレベルの緯度経度座標またはその他のメカニズムを含むがこれらに限定されない技術から得られる情報であって、1,750フィート以下の精度と正確度で自然人の特定の位置を直接特定するものを意味する。「正確なジオロケーションデータ」には、通信の内容は含まれない。
"Process" or "processing" means any operation or set of operations performed, whether by manual or automated means, on personal data or on sets of personal data, such as the collection, use, storage, disclosure, analysis, deletion, or modification of personal data.	「処理」または 「処理すること」とは、個人データの収集、使用、保存、開示、分析、削除、または修正など、手動または自動化された手段であるかどうかにかかわらず、個人データまたは個人データの集合に対して実行されるあらゆる操作または操作のセットを意味する。
"Profiling" means any form of automated processing performed on personal data to evaluate, analyze, or predict personal aspects related to an identified or identifiable natural person's economic situation, health, personal preferences, interests, reliability, behavior, location, or movements.	「プロファイリング」とは、特定または識別可能な自然人の経済状況、健康状態、個人的嗜好、興味、信頼性、行動、場所、または動きに関連する個人的側面を評価、分析、または予測するために、個人データに対して実行される自動化された処理のあらゆる形態を意味する。
"Pseudonymous data" means personal data that cannot be attributed to a specific natural person without the use of additional information, provided that such additional information is kept separately and is subject to appropriate technical and organizational measures to ensure that the personal data is not attributed to an identified or identifiable natural person.	「仮名データ」とは、追加情報を使用しなければ特定の自然人に帰することができない個人データを意味し、その追加情報が別個に保管され、個人データが特定または識別可能な自然人に帰することがないようにするための適切な技術的および組織的措置が講じられていることを条件とする。
"Publicly available information" means information that is lawfully made available through federal, state, or local government records, or information that a business has a reasonable basis to believe is lawfully made available to the general public through widely distributed media, by the consumer, or by a person to whom the consumer has disclosed the information, unless the consumer has restricted the information to a specific audience.	「公開されている情報」とは、連邦政府、州政府、または地方自治体の記録を通じて合法的に入手可能になっている情報、または事業者が、消費者によって、または消費者が情報を開示した者によって、広く配布されたメディアを通じて、合法的に一般の人々に入手可能になっていると信じる合理的な根拠を持つ情報を意味するが、消費者が情報を特定の対象者に限定している場合を除く。
"Sale of personal data" means the exchange of personal data for monetary consideration by the controller to a third party. "Sale of personal data" does not include: 1. The disclosure of personal data to a processor that processes the personal data on behalf of the controller; 2. The disclosure of personal data to a third party with whom the consumer has a direct relationship for purposes of providing a product or service requested by the consumer; 3. The disclosure or transfer of personal data to an affiliate of the controller; 4. The disclosure of information that the consumer (i) intentionally made available to the general public via a channel of mass media and (ii) did not restrict to a specific audience; or 5. The disclosure or transfer of personal data to a third party as an asset that is part of a merger, acquisition, bankruptcy, or other transaction in which the third party assumes control of all or part of the controller's assets.	「個人データの販売」とは、管理者が金銭的な対価として個人データを第三者に交換することを意味する。「個人データの販売には、以下のものは含まれない。 1. 管理者に代わって個人データを処理する処理者に個人データを開示すること。 2. 消費者が要求する製品やサービスを提供する目的で、消費者が直接関係を持つ第三者に個人データを開示すること。 3. 管理者の関連会社への個人データの開示または転送すること。 4. 消費者が(i)マスメディアのチャネルを介して意図的に一般の人々が利用できるようにし、(ii)特定の対象者に限定しなかった情報を開示すること。 5. 合併、買収、破産、またはその他の取引の一環として、第三者が管理者の資産の全部または一部を支配することを前提とした資産としての個人データの第三者への開示または譲渡すること。
"Targeted advertising" means displaying advertisements to a consumer where the advertisement is selected based on personal data obtained from a consumer's activities over time and across nonaffiliated websites or online applications to predict such consumer's preferences or interests. "Targeted advertising" does not include: 1. Advertisements based on activities within a controller's own websites or online applications; 2. Advertisements based on the context of a consumer's current search query, visit to a website, or online application; 3. Advertisements directed to a consumer in response to the consumer's request for information or feedback; or 4. Processing personal data processed solely for measuring or reporting advertising performance, reach, or frequency.	「ターゲット広告」とは、消費者に広告を表示することを意味し、消費者の嗜好または興味を予測するために、消費者の活動から得られた個人データに基づいて広告が選択され、かつ、非関連のウェブサイトまたはオンライン・アプリケーションを介して消費者に表示されることを意味する。「ターゲット広告」には以下のものは含まない。 1. コントローラー自身のウェブサイトまたはオンラインアプリケーション内での活動に基づく広告。 2. 消費者の現在の検索クエリ、ウェブサイトへの訪問、またはオンラインアプリケーションのコンテキストに基づく広告。 3. 消費者からの情報やフィードバックの要求に応じて、消費者に向けられた広告。 4. 広告のパフォーマンス、リーチ、または頻度を測定または報告するためだけに処理された個人データを処理すること。