您的浏览器不支持JavaScript!

特别公告

弗吉尼亚数据隐私法变更 (GDCDPA)

Virginia's《政府数据收集和传播惯例法》 (GDCDPA) 已通过HB1161 进行了更新,州长斯潘伯格 在 /4 13/2026 签署了 该 法。这些变化加强了对Virginia居民的隐私保护,并增加了对州和地方机构何时可以共享个人信息的新限制。

什么是《政府数据收集与传播实务法》? 

自 1976 以来,**Virginia** 的《政府数据收集和传播惯例法》一直是管理州和地方机构如何收集、维护、使用和共享个人信息的法律框架。该法律为任何处理Virginia居民个人数据的机构规定了基本的隐私保护和运营要求。 

该法案对个人信息的定义非常宽泛,包括任何可以识别个人身份的数据:社会安全号码、驾照、州身份证、医疗记录、工作经历、财务信息、教育记录,甚至政治或宗教信仰。  

该法的核心要求包括:只收集法律允许或机构正常职能所必需的信息;保持信息的准确性 和及时性;实施适当的安全措施和访问控制;建立个人审查和更正其信息的程序;记录传播 做法和保存定期访问者名单;防止为某一目的收集的信息在未经法律授权的情况下被用于另一 目的。 

HB1161 发生了什么变化? 

HB1161 做出了几处重大修改,以加强隐私保护并增加问责制。最显著的变化是 

  1. 扩大个人信息的定义 更新后的法律现在明确将以下内容列为个人信息:美国公民与移民服务局(USCIS)的外国人登记号、纳税识别号、国籍、投票历史、移民身份、生物特征数据(如脸部指纹、眼睛视网膜和虹膜扫描)以及实物或数码照片、视频和录音。 
  2. 不出售个人信息 (§2.2-3800(a)(11))  - 现在明确禁止各机构在任何情况下出售个人信息。 
  3. 传播有限 -(§2.2-3803.11(a)-(f)) - 该法对各机构何时可以共享个人信息规定了明确的界限,从一般原则到具体的列举条件。 各机构只能在这六种情况下传播个人信息: 
    • 遵守法律 - 在遵守州或联邦法律(包括 HIPAA 和其他监管要求)的必要范围内 
    • 计划管理 - 根据州法或联邦法执行州或联邦计划所需的范围 
    • 法律程序 - 遵守传票、法院命令或行政程序 
    • 采购和教育协议 -在确保履行根据《Virginia Public Procurement Act》签订的合同或根据《重组后的高等教育财务和行政运营法》签订的谅解备忘录或管理协议所规定的义务所必需的范围内 
    • 个人同意 - 当数据主体表示同意时(现在的定义是:"表示数据主体自由、具体、知情和明确同意的明确肯定行为")
    • 适当的机构目的 - 为实现机构的正当目的(包括简化服务、防止欺诈、开展研究和进行数据分析等具体活动)所必需的范围内 
  4. 更严格的个人授权标准 HB1161 在整个法规中对术语进行了重要修改,将"permission" 一词替换为"consent" ,并确定了正式定义。根据以前的法律,机构可以在获得"资料当事人书面许可的情况下传播信息。"新法律要求"同意," ,现在的定义是:"一个明确的肯定行为,表示数据主体自由、具体、知情和毫不含糊地同意传播个人信息。" 

该法还加强了执法力度。法院现在可以对故意违反传播限制的特定公职人员、被任命者或雇员进行民事处罚。对于违反传播规定的行为,初犯的个人处罚从500 美元到2,500 美元不等,再次违反的处罚从2,500 美元到10,000 美元不等。这就产生了超越机构层面合规性的直接个人责任。 

重要 数据共享 例外:Commonwealth Data Trust

第 2 节。2-203。《Virginia州法典》2: 4 (E) 规定,ODGA被视为任何与该办公室共享信息的行政部门机构的代理人,根据管理数据的成文或行政法,通过该机制共享的机构间数据不构成披露或发布。 

这意味着各机构可以继续参与 Commonwealth Data Trust 计划,以进行跨机构合作、分析和数据驱动的决策,而不会触发HB 1161 中的传播限制。  

这对您的机构意味着什么 

这些变化要求各机构认真评估当前的数据共享做法和政策。根据以前的解释,数据共享可能是例行公事,但现在必须符合所列的六个类别之一,各机构必须准备好记录任何传播的法律依据。 

主要业务考虑因素: 

  • 审查现有的数据共享协议和做法 以确保它们符合六种允许的传播类别之一 
  • 记录法律依据 任何传播,特别是日常共享安排 
  • 了解 Commonwealth Data Trust 的例外情况 -通过ODGA进行共享不被视为传播,仍然是机构间合作的宝贵工具 
  • 更新同意书和通知 以反映新的同意定义和强化的通知要求 
  • 修订隐私政策 在机构网站上反映禁止出售个人信息和有限传播的框架 
  • 更新培训材料 确保工作人员了解新的限制规定以及故意违反规定的个人责任影响 
  • 咨询法律顾问 在建立新的数据共享安排之前,特别是与联邦机构或私营实体建立新的数据共享安排之前,或在回应六类数据之外的数据请求时 

法律并没有取消出于合法政府目的的必要数据共享--它只是要求数据共享必须在规定的参数范围内进行,并且各机构能够说明六种条件中哪一种适用。"适当目的" 类别(条件6 )保留了机构间合作的灵活性,以改善服务、防止欺诈和开展研究,但各机构应记录具体的共享安排是如何实现这些目的的。 

有问题吗? 

我们的办公室可帮助各机构了解这些变化对其特定数据管理实践和信息系统的影响。有关 HB1161 在贵机构运营中的应用问题,请联系 odga@odga.virginia.gov