第52章 消費者數據保護法

§59.1-571.定義

除文義另有所指，本章中使用的術語具有下列含義：

“關聯公司”，是指控制、受控于另一法律實體，或與另一法律實體受共同控制，或與另一法律實體有共同品牌的法律實體。就本定義而言，“控制”或“受控”是指： （1）擁有公司50%以上任何有表決權證券的流通股，或有投票權；（2）以任何方式控制大多數董事或行使類似職能的個人的選舉；或（3）有權對公司的管理施加控制性影響。

“認證”，是指通過合理手段核實有權行使第59.1-573節規定的消費者權利的消費者與就有關個人數據行使這種消費者權利的消費者是同一個人。

“生物特征數據”，是指通過自動測量個人生物特征，如指紋、聲紋、眼睛視網膜、虹膜或其他用于識別特定個人的獨特生物模式或特征而產生的數據。生物特征數據不包括實物或數字照片、錄像或錄音或由此產生的數據，也不包括根據HIPAA規定為保健治療、支付或操作而收集、使用或儲存的信息。

“商業伙伴”，具有與HIPAA規定相同含義。

“兒童”，是指13歲以下的任何自然人。

“同意”，是指表明消費者自由給予、具體、知情和毫不含糊地同意處理與該消費者有關的個人數據的明確肯定行為。同意包括書面聲明，以電子方式書寫的聲明，或任何其他明確的肯定行動。

“消費者”，是指僅以個人或家庭名義行事的弗吉尼亞聯邦居民的自然人。它不包括在商業或雇傭場景下行事的自然人。

“控制者”，是指單獨或與他人共同決定處理個人數據的目的和手段的自然人或法人。

“承保實體”，具有與HIPAA規定相同含義。

“對消費者產生法律或類似重大影響的決定”，是指控制者作出的，促成控制者提供或拒絕提供金融和借貸服務、住房、保險、教育入學、刑事司法、就業機會、保健服務或獲得食物和水等基本必需品的決定。

“去識別數據”，是指不能合理地與已識別或可識別的自然人或與這種人有聯系的裝置產生聯系的數據。擁有“去識別數據”的控制者應遵守第59.1-577節A小節的要求。

“基金”，是指根據第59.1-581節設立的消費者隱私基金。

“健康記錄”，與第32.1-127.1：03節對該術語的定義相同。

“保健提供者”，與第32.1-276.3節對該術語的定義相同。

“HIPAA”，是指1996年聯邦《健康保險便攜和責任法》（《美國法典》第42卷第1320d條及其后各條）。

“已識別或可識別的自然人”，是指可以直接或間接地輕易識別的人。

“高等教育機構”，是指第23.1-100節中定義的公立機構和私立高等教育機構。

“非營利組織”，是指根據《弗吉尼亞州非股份有限公司法》 （第13.1-801節等）組織的任何公司或根據《國內稅收法》第501（c）（3）、501（c）（6）或501（c）（12）節免于納稅的任何組織。

“個人數據”，是指與已識別或可識別的自然人聯系或可產生合理聯系的任何信息。“個人數據”不包括去標識化數據或公開信息。

“精確地理位置數據”，是指從技術中獲得的信息，包括但不限于全球定位系統一級的經緯度坐標或其他能在1750英尺半徑范圍內以精確和準確的方式直接確定自然人的具體位置的機制。“精確地理位置數據”不包括通信內容或由公用事業計量基礎設施系統或設備產生的或與之相連的供公用事業使用的任何數據。

“處理”，是指以人工或自動方式對個人數據或個人數據集進行的任何操作或一組操作，如收集、使用、存儲、披露、分析、刪除或修改個人數據。

“處理者”，是指代表控制者處理個人數據的自然人或法律實體。

“用戶畫像”，是指對個人數據進行的任何形式的自動處理，以評估、分析或預測與已識別或可識別的自然人的經濟狀況、健康、個人偏好、興趣、可靠性、行為、位置或動作有關的個人特征。

“受保護的健康信息”具有與HIPAA規定相同含義。

“匿名化數據”，是指如不使用附加信息就無法確定特定自然人的個人數據，但這種附加信息須單獨保存，并須采取適當的技術和組織措施，以確保個人數據不能確定到已識別或可識別的自然人。

“可公開獲得的信息”，是指通過聯邦、州或地方政府記錄合法獲得的信息，或企業有合理理由認為通過廣泛傳播的媒體，可以由消費者或由消費者向其披露信息的人提供給公眾的信息，除非消費者已將信息限制給特定的受眾。

“出售個人數據”，是指控制者為變現考慮與第三方交換個人數據。“出售個人數據”不包括：

1.將個人數據披露給代表控制者處理個人數據的處理者；

2.為了提供消費者所要求的產品或服務而向第三方披露個人數據；

3.向控制者的附屬機構披露或轉移個人數據；

4.消費者：（1）有意通過大眾媒體渠道向公眾提供的信息，以及（2）不限于特定受眾；或

5.作為合并、收購、破產或其他交易的一部分，向第三方披露或轉讓個人數據，使第三方獲得對控制者全部或部分資產的控制權。

“敏感數據”，是指包括下列數據的一類個人數據：

1.揭示種族或族裔出身、宗教信仰、精神或身體健康診斷、性取向或公民或移民身份的個人數據；

2.為識別自然人的獨特身份而處理基因或生物特征數據；

3.從已知兒童處收集的個人數據；或

4.精確的地理位置數據。

“國家機構”的含義與第2.2-307節中對該詞的定義相同。

“定向廣告”，是指基于從消費者即時行為和跨非關聯網站或在線應用程序中獲得的消費者個人數據并預測消費者愛好或者興趣選取廣告并向消費者展示。

“定向廣告”不包括：

1.基于控制者自身網站或在線應用內活動的廣告；

2.根據消費者當前的搜索查詢、訪問網站或在線應用程序場景下的廣告；

3.應消費者要求提供信息或反饋而向其發出的廣告；或

4.僅為衡量或報告廣告效果、覆蓋范圍或頻率而處理個人數據。

“第三方”，是指除消費者、控制者、處理者或者處理者、控制者的關聯公司以外的自然人或法人、公共機關、代理機構或組織。

§59.1-572.范圍；豁免

A.本章適用于在本州開展業務或生產以本州居民為對象的產品或服務的主體，包括：（1）在一年內，控制或處理至少100000名消費者的個人數據，或（2）控制或處理至少25000名消費者的個人數據，并從銷售個人數據中獲得50%以上的總收入的人。

B.本章不適用于：（1）本州或本州政治分支機構的任何主體、機關、理事會、局、委員會、地區或機構；（2）受聯邦《格萊姆-利奇-布萊利法》（《美國法典》第15卷第6801條及其后條款）第五章管轄的金融機構或數據；（3）受美國衛生和公眾服務部頒布的隱私、安全和違規通知規則、45C.F.R.第160和164部分（根據HIPAA制定），以及《衛生信息技術促進經濟和臨床健康法》 （公法111-5）監管的涵蓋實體或商業伙伴； （4）非營利組織；或（5）高等教育機構。

C.下列信息和數據不受本章規定約束：

1.受HIPAA保護的健康信息。

2.第32.1編規定的健康記錄。

3.《美國法典》第42卷第290dd-2條規定的患者身份信息。

4.45C.F.R.第46部分規定的保護受試者的聯邦政策規定的可識別個人信息；為符合人用藥品注冊技術要求，國際協調理事會根據良好臨床實踐指南在人體試驗中收集的個人信息；保護21C.F.R.第6、50和56部分規定的受試者，或根據本章規定或其他法律規定進行的研究中使用或分享的個人數據。

5.為《1986年聯邦保健質量改進法》（美國法典第42卷第11101條及其后條款）目的而創建的信息和文件。

6.為聯邦《患者安全和質量改進法》目的而生產的患者安全工作產品。

7.根據HIPAA去識別化要求，從本小節所列的任何與保健有關的信息中衍生出來的信息。

8.來自HIPAA定義的涵蓋實體或商業伙伴或《美國法典》第42編第290dd-2條定義的方案或合格服務組織所維護的、與本小節規定的豁免信息無法區分的信息或以相同方式處理的信息。

9.HIPAA授權僅用于公共衛生活動和目的的信息。

10.消費者報告機構、提供信息供消費者報告使用的提供人或用戶以及消費者報告的用戶收集、保存、披露、出售、交流或使用與消費者的信用價值、信用狀況、信用能力、性格、一般聲譽、個人特征或生活方式有關的任何個人信息，但僅限于根據聯邦公平信用報告法（《美國法典》第15篇第1681節及其后各篇）對這種活動進行管理和授權的范圍。

11.根據《1994年聯邦駕駛員隱私保護法》（美國法典第18卷第2721條及其后條款）收集、處理、出售或披露的個人數據。

12.聯邦《家庭教育權利和隱私法》（美國法典第20卷第1232條及其后條款）規定的個人數據。

13.根據《聯邦農業信貸法》（美國法典第12卷第2001條及其后條款）收集、處理、出售或披露的個人數據；以及

14.在下列過程中處理或維護的數據：（1）個人申請、受雇于控制者、處理者或第三方代理人或獨立承包人的過程中，以該身份范圍為限收集和使用的數據；（2）作為本章規定的個人緊急聯絡信息，為緊急聯絡之目的；或（3）為管理與第（1）款規定的個人有關的其他人的利益而有必要保留的數據，為管理這些利益之目的。

D.符合《聯邦兒童在線隱私保護法》（美國法典第15卷第6501條及其后條款）中可核實的父母同意要求的控制者和處理者，應被視為遵守本章規定的任何獲得父母同意的義務。

§59.1-573.個人數據權利；消費者

A.消費者可在任何時候根據本小節授權向控制者提交請求，說明其希望行使的消費者權利。兒童的父母或法定監護人可代表該兒童處理屬于該兒童的個人數據。控制者應遵守經認證的消費者行使下列權利的請求：

1.確認是否由控制者處理消費者的個人數據或訪問相關個人數據；

2.考慮到個人數據的性質和處理消費者個人數據的目的，糾正消費者個人數據的不準確之處；

3.刪除消費者提供的或獲得的有關個人數據；

4.獲得消費者以前向控制者提供的個人數據的副本，該數據的格式是可移植的，并且在技術上可行的情況下，是隨時可用的，可以使消費者能夠不受阻礙地將數據傳送給另一個控制者，該處理是通過自動手段進行的；以及

5.選擇退出為下列目的處理個人數據：（1）定向廣告； （2）出售個人數據；或（3）做對消費者產生法律或類似重大影響的決策而進行的用戶畫像。

B.除本章另有規定外，控制者應按消費者的請求行使根據A小節授權的消費者權利，具體如下：

1.控制者應在收到根據第59.1-573節A小節所述方法提交的請求后45日內對消費者作出答復，不得無故拖延。考慮到消費者請求的復雜性和數量，在合理必要的情況下，只要控制者在最初的45日答復期內將任何此類延長通知消費者，并說明延長的理由，答復期可再延長45日。

2.如果控制者拒絕對消費者的請求采取行動，控制者應在不無故拖延的情況下通知消費者，但在任何情況下，最遲應在收到請求后45日內通知消費者拒絕采取行動的理由，并說明如何根據C小節對該決定提出上訴。

3.應消費者請求提供的信息應由控制者免費提供，每個消費者每年最多可提供兩次。如果消費者提出的請求明顯沒有根據、過多或重復，控制者可向消費者收取合理費用，以支付滿足請求的行政費用，或拒絕對請求采取行動。控制者有責任證明該請求明顯沒有根據、過分或重復。

4.如果控制者無法通過商業上合理的努力來驗證請求的真實性，不應要求控制者采取A小節規定的行動以遵守請求，并可要求消費者提供驗證消費者和消費者請求的合理必要的補充信息。

C.根據B小節第2項內容，控制者應建立一種程序，使消費者能夠在收到控制者拒絕采取措施或拒絕請求后的一段合理時間內，對控制者提出申訴。在收到申訴后60日內，控制者應以書面形式通知消費者針對上訴采取或未采取的任何行動，包括對決定理由的書面解釋。如果申訴被駁回，控制者還應向消費者提供一個在線機制（如果有的話）或其他方法，消費者可通過這些方法與總檢察長聯系，以提交投訴。

§59.1-574.數據控制者的責任；透明度

A.控制者應：

1.將個人數據的收集限制在與處理這些數據的目的有關的充分、相關和合理必要的范圍內，并向消費者披露。

2.除本章另有規定外，除非控制者獲得消費者的同意，否則不為非合理必要之目的或與向消費者披露的處理此類個人數據的目的不兼容的其他目的，處理個人數據。

3.制定、實施和維持合理的行政、技術和物理數據安全做法，以保護個人數據的保密性、完整性和可獲取性。這種數據安全做法應與所涉個人數據的數量和性質相適應。

4.不在違反禁止非法歧視消費者的州和聯邦法律的情況下處理個人數據。控制者不得因消費者行使本章所載的任何消費者權利而對其進行歧視，包括拒絕提供商品或服務，對商品或服務收取不同的價格或費率，或向消費者提供不同質量水平的商品和服務。然而，本分則中的任何內容都不得解釋為要求控制者提供需要消費者個人數據的產品或服務（且控制者并未收集或維護這些數據），也不得解釋為禁止控制者向消費者提供不同的價格、費率、水平、質量或商品或服務的選擇，包括免費提供商品或服務，如果消費者已根據第59.1-573節行使選擇退出權利，或該給付與消費者自愿參加真正的版權費、獎勵、高級功能、折扣或俱樂部卡計劃有關。以及

5.在未獲得消費者同意的情況下，不處理有關消費者的敏感數據，或在處理有關已知兒童的敏感數據時，應根據《聯邦兒童在線隱私保護法》（美國法典第15卷第6501條及其后條款）處理此類數據。

B.任何種類的合同或協議的任何規定，凡是旨在以任何方式放棄或限制消費者根據第59.1-573節享有的權利的，均應被視為違反公共政策，應是無效和不可執行的。

C.控制者應向消費者提供可合理訪問、清晰和有意義的隱私政策，包括：

1.控制者處理的個人數據類別；

2.處理個人數據的目的；

3.消費者如何根據第59.1-573節行使其消費者權利，包括消費者如何對控制者關于消費者請求所提出的決定提出申訴；

4.控制者與第三方共享的個人數據類別（如果有的話）；以及

5.控制者與之共享個人數據的第三方類別（如果有的話）。

D.如果控制者將個人數據出售給第三方或為定向廣告處理個人數據，控制者應明確和顯眼地披露這種處理方式，以及消費者行使選擇退出這種處理的權利的方式。

E.控制者應當為消費者提交行使本章規定的消費者權利的請求建立一種或多種安全可靠的手段，并應當在隱私通知中加以說明。這種手段應當考慮到消費者通常與控制者互動的方式、對這種請求進行安全可靠通信的需要，以及控制者驗證提出請求的消費者身份的能力。控制者不得要求消費者為行使第59.1-573節規定的消費者權利而創建新的賬戶，但可要求消費者使用現有賬戶。

§59.1-575.不同身份的責任；控制者和處理者

A.處理者應遵守控制者的指示，并應協助控制者履行本章規定的義務。這種協助應包括：

1.考慮到處理的性質和處理者可獲得的信息，通過適當的技術和組織措施，在合理可行的范圍內，履行控制者根據第59.1-573節規定的消費者權利請求的響應義務。

2.考慮到處理的性質和處理者可獲得的信息，根據第18.2-186.6節，協助控制者履行控制者在處理個人數據安全相關義務，并協助控制者履行處理者系統安全受到破壞的通報義務。

3.提供必要的信息，使控制者能夠根據第59.1-576節進行數據保護評估并將其記錄在案。

B.控制者和處理者之間的合同應規范處理者代表控制者進行的數據處理程序。合同應具有約束力，并明確規定處理數據的指示、處理的性質和目的、處理對象的數據類型、處理期限以及雙方的權利和義務。合同中還應包括要求處理者應：

1.確保每個處理個人數據的人對數據負有保密義務。

2.根據控制者的指示，在服務結束時，按要求將所有個人數據刪除或返還給控制者，除非法律要求保留個人數據。

3.應控制者的合理要求，向控制者提供其掌握的所有必要信息，以證明處理者遵守本章義務的情況。

4.允許控制者或控制者指定的評估員進行合理的評估，并予以合作；或者，處理員可安排一名合格的獨立評估員，利用適當和公認的管制標準或框架以及評估程序，對處理員履行本章規定的義務的政策以及技術和組織措施進行評估。處理者應根據請求向控制者提供這種評估報告。以及

5.根據C小節規定的書面合同聘用任何分包商，該合同要求分包商履行處理者對個人數據的義務。

C.本節的任何內容均不得解釋為免除控制者或處理者因其在本章所界定的處理關系中的身份而承擔的責任。

D.基于個人數據處理場景和事實判斷，確定一個人在具體的數據處理中是作為控制者還是處理者。在特定的個人數據處理過程中繼續遵守控制者指示的處理者仍然是處理者。

§59.1-576.數據保護評估

A.控制者應當對下列涉及個人數據的每項處理活動進行數據保護評估并記錄在案。

1.為定向廣告的目的處理個人數據。

2.出售個人數據。

3.以用戶畫像為目的處理個人數據，如果該畫像會帶來以下可預見的風險：（1）對消費者造成不公平或欺騙性待遇，或對消費者造成非法差別待遇； （2）對消費者的經濟、身體或名譽造成傷害；（3）對消費者的獨處或隱居或對其私人事務或關切造成身體或其他方面的侵犯，而這種侵犯會使一個有理智的人感到不快；或（4）對消費者造成其他實質性傷害。

4.處理敏感數據。以及

5.任何涉及對消費者造成高度傷害風險的個人數據的處理活動。

B.根據A小節進行的數據保護評估應確定和權衡處理對控制者、消費者、其他利益攸關方和公眾可能產生的直接和間接利益，以及與這種處理相關的對消費者權利的潛在風險，并通過控制者為減少這種風險可采用的保障措施加以緩解。控制者應將去識別數據的使用和消費者的合理期望，以及處理的場景和控制者與個人數據將被處理的消費者之間的關系納入這一評估。

C.總檢察長可基于民事調查需求，要求控制者披露與總檢察長進行的調查有關的任何數據保護評估，控制者應向檢察長提供數據保護評估。總檢察長可以評估數據保護評估是否符合§59.1-574節中規定的責任。根據《弗吉尼亞信息自由法》（美國法典第2.2-3700條及其后續條文），數據保護評估應是保密的，免于公開檢查和復制。根據總檢察長的請求披露數據保護評估的，不應構成對律師和當事人特權的放棄，或對評估及評估中所載任何工作成果的放棄。

D.單一的數據保護評估可適用于包含類似活動的一系列相似處理操作。

E.控制者為遵守其他法律或法規而進行的數據保護評估，如果評估的范圍和效果具有合理的可比性，則可能符合本節規定。

F.數據保護評估要求應適用于2023年1月1日之后創建或產生的處理活動，且不具有追溯性。

§59.1-577.處理去識別化的數據；豁免

A.擁有去識別化數據的控制者應：

1.采取合理措施，確保不能將數據與自然人聯系起來；

2.公開承諾維護和使用去識別化的數據，而不試圖重新識別該數據；以及

3.在合同中約定，任何接收者應當遵守本章對于去標識化數據所規定的義務。

B.本章的任何內容均不得解釋為： （i）要求控制者或處理者重新識別未識別的數據或匿名化數據，或（ii）以可識別的形式維護數據，或收集、獲取、保留或訪問任何數據或技術，以便能夠將經認證的消費者請求與個人數據聯系起來。

C.本章的任何內容都不得解釋為要求控制者或處理者根據第59.1-573節的規定遵守經認證的消費者權利請求，如果是以下所有情況都屬實：

1.控制者無法合理地將請求與個人數據相關聯，或者將請求與個人數據相關聯對控制者來說是不合理的負擔；

2.控制者不使用個人數據來識別或回應作為個人數據主體的特定消費者，或將個人數據與關于同一特定消費者的其他個人數據聯系起來；以及

3.除本條允許的情況外，控制者不會將個人數據出售給任何第三方或其他方式自愿將個人數據披露給除處理者外的任何第三方。

D.第59.1-573節A小節第1至4項和第59.1-574節中包含的消費者權利不適用于匿名化數據，如果控制者能夠證明識別消費者身份所需的任何信息是單獨保存的，并且受到有效的技術和組織控制，可防止控制者獲取這種信息。

E.披露匿名化數據或去識別化數據的控制者應進行合理的監督，以監測匿名化數據或去識別化數據須遵守的任何合同承諾的遵守情況，并應采取適當步驟處理任何違反這些合同承諾的行為。

§59.1-578.限制

A.本章的任何內容均不得解釋為限制控制者或處理者的以下能力：

1.遵守聯邦、州或地方法律、規則或條例。

2.遵守聯邦、州、地方或其他政府當局的民事、刑事或監管查詢、調查、傳票或傳喚。

3.就控制者或處理者合理和善意地認為可能違反聯邦、州或地方法律、規則或條例的行為或活動與執法機構合作。

4.調查、確立、行使、準備或維護法律主張。

5.提供消費者特別要求的產品或服務，履行消費者為一方當事人的合同，包括履行書面保證的條款，或在訂立合同前應消費者的要求采取措施。

6.立即采取步驟保護對消費者或其他自然人的生命或人身安全至關重要的利益，且該處理無法尋求其他合法性基礎的支持。

7.防止、檢測、防范或應對安全事件、身份竊取、欺詐、騷擾、惡意或欺騙活動或任何非法活動；維護系統的完整性或安全性；或調查、報告或起訴任何此類行為的責任人。

8.從事符合公共利益的公共或同行審查的科學或統計研究，這些研究應遵守所有其他適用的道德和隱私法，并由機構審查委員會或類似的獨立監督實體批準、監測和管理，這些機構審查委員會或實體應確定：（i）刪除信息很可能提供實質性的利好，且這些利好并不完全由控制者獲得；（ii）研究的預期利好大于隱私風險；以及（iii）控制者是否實施了合理的保障措施，以減輕與研究相關的隱私風險，包括與重新識別相關的任何風險。或

9.協助另一控制者、處理者或第三方履行本小節規定的任何義務。

B.根據本章對控制者或處理者施加的義務不應限制控制者或處理者收集、使用或保留數據以從事下列行為的能力：

1.開展內部研究以開發、改進或維修產品、服務或技術；

2.實施產品召回；

3.查明并修復損害現有或預期功能的技術錯誤；或

4.執行符合消費者期望或基于消費者與控制者現有關系符合合理預期的內部操作，或執行與為向消費者提供其特別要求的產品或服務或履行消費者作為締約方的合同而進行的數據處理相兼容的內部操作。

C.如果控制者或處理者遵守本章的規定將違反聯邦法律規定的證據特權，則本章規定的控制者或處理者的義務不適用。本章的任何規定都不得解釋為阻止控制者或處理者將有關消費者的個人數據作為保密通信的一部分提供給根據弗吉尼亞聯邦法律享有證據特權的人。

D.遵照本章要求向第三方控制者或處理者披露個人數據的控制者或處理者，如果接收和處理這些個人數據的第三方控制者或處理者違反了本章規定，只要在披露個人數據時，披露的控制者或處理者并不實際知道接收者有意實施違法行為，則不構成違反本章規定。第三方控制者或處理者按照本章要求從控制者或處理者處接收個人數據，同樣不因向其披露此類個人數據的控制者或處理者存在違法行為而構成本章規定的違法行為。

E.本章的任何內容均不得解釋為對控制者和處理者施加的對任何人的權利或自由（如根據《美國憲法》第一修正案行使言論自由權）產生不利影響的義務，也不得解釋為適用于個人在純粹的個人或家庭活動過程中對個人數據的處理。

F.除非本章另有規定，否則控制者根據本節處理的個人數據不得用于本節明確列出的目的以外的任何其他目的。控制者根據本節處理的個人數據可在以下范圍內進行處理：

1.與本節的目的是合理必要且相稱的；以及

2.充分、相關，并僅限于與本節所列的特定目的有關的必要內容。根據B小節規定收集、使用或保留的個人數據，在適用的情況下，應考慮到此類收集、使用或保留的性質和目的。此類數據應遵循合理的管理、技術和物理措施，以保護個人數據的機密性、完整性和可訪問性，并減少與此類收集、使用或保留個人數據有關的對消費者造成損害的合理可預見風險。

G.如果控制者根據本節中的豁免處理個人數據，控制者有責任證明此類處理符合豁免條件，并符合F小節的要求。

H.為A小節第1至9項中明確規定的目的處理個人數據的，不得僅據此將該實體認定為此類處理的控制者。

§59.1-579.調查權限

只要總檢察長有合理的理由相信任何人從事、正在從事或將要從事任何違反本章的行為，總檢察長都有權發出民事調查要求。第59.1-9.10節的規定比照適用于根據本節發布的民事調查要求。

§59.1-580.執行；民事處罰；費用

A.總檢察長保留執行本章規定的專屬權力。

B.在根據本章提起任何訴訟之前，總檢察長應提前30日向控制者或處理者發出書面通知，指明總檢察長主張的已經或正在被違反的本章的具體規定。如果在30日期限內，控制者或處理者糾正了提請注意的違規行為，并向總檢察長提供一份明確的書面聲明，說明被指控的違規行為已經得到糾正，且不再發生違規行為，則總檢察長不得對控制者或處理者提起訴訟。

C.如果控制者或處理者在B小節的補救期后繼續違反本章，或違反根據該小節向總檢察長提供的明確書面聲明，總檢察長可以弗吉尼亞聯邦的名義提起訴訟，并可尋求禁令，要求限制任何違反本章規定的行為，并對違反本章規定的行為處以最高7500美元的民事處罰。

D.在根據本章提起的任何訴訟中，總檢察長可以獲得因調查和準備案件所產生的合理費用的補償，包括律師費。

E.本章的任何規定均不得解釋為對違反本章或任何其他法律的行為提供依據或受其約束。

§59.1-581.消費者隱私基金

現在國庫中設立消費者隱私基金，該基金屬于不可撤銷的特別基金。應在審計長的賬簿上創建該基金。依照本章規定收取的一切民事罰款、費用和律師費，應當上繳國庫，并計入該基金。基金內款項所賺取的利息須留在基金內，并計入基金貸方。在每個財政年度結束時，基金內包括利息在內的任何剩余款項均不得回撤到普通基金，而必須留在基金內。基金中的款項應用于支持總檢察長辦公室執行本章規定的工作，但須經批準。

2.科技聯合委員會主席應成立一個工作組，由商務部長、行政部長、總檢察長、參議院交通委員會主席、控制或處理至少100000人個人數據的企業代表以及消費者權益倡導者組成。工作組應審查本法的規定及其實施方面的問題。技術和科學聯合委員會主席應在2021年11月1日之前將工作組的調查結果、最佳實踐和關于實施本法案的建議提交參議院一般法律和技術委員會主席和眾議院通信、技術和創新委員會主席。

3.本法案中提及的任何聯邦法律或法規應視為包括任何附帶的規則或條例或豁免。此外，該法是對現行法律的陳述。

4.第一和第三部分的規定將于2023年1月1日生效。

（翻譯：胡俊良

審校：曹苓、姜文、唐艷艷、丁道勤）

---

[1] 本法將于2023年1月1日生效。