Virginia cấm bán dữ liệu vị trí địa lý
(hunton.com)- Virginia đã sửa đổi VCDPA để cấm bán dữ liệu vị trí địa lý, qua đó siết chặt hạn chế đối với giao dịch dữ liệu vị trí trong luật bảo vệ quyền riêng tư cấp bang
- Bản sửa đổi này được xác nhận bằng việc ký S.B. 388, và lệnh cấm sẽ có hiệu lực từ ngày 1 tháng 7 năm 2026
- Định nghĩa mua bán (sale) trong VCDPA chỉ giới hạn ở việc chuyển giao dữ liệu cá nhân cho bên thứ ba để đổi lấy tiền, nên phạm vi hẹp hơn các bang khác
- Maryland và Oregon cũng đã cấm bán dữ liệu vị trí địa lý, nhưng hai bang này coi việc đổi lấy các lợi ích có giá trị khác ngoài tiền cũng là mua bán
- Các dự luật tương tự tại California, Massachusetts, Vermont và Washington State, cùng với cuộc điều tra của California Attorney General và thỏa thuận dàn xếp với FTC, cho thấy việc bán dữ liệu vị trí địa lý đang nổi lên như một trọng tâm quản lý
Sửa đổi VCDPA của Virginia
- Thống đốc Virginia Abigail Spanberger đã ký S.B. 388 vào ngày 13 tháng 4 năm 2026
- Luật này sửa đổi Virginia Consumer Data Protection Act (VCDPA) để cấm bán dữ liệu vị trí địa lý
- Trong VCDPA, mua bán được định nghĩa là “hành vi bên kiểm soát trao đổi dữ liệu cá nhân với bên thứ ba để đổi lấy khoản thanh toán bằng tiền”
- Vì vậy, định nghĩa về mua bán của Virginia vẫn có phạm vi hẹp hơn so với các luật bảo vệ quyền riêng tư toàn diện của những bang khác
Ngày có hiệu lực và khác biệt với luật của các bang khác
- Lệnh cấm bán dữ liệu vị trí địa lý sẽ có hiệu lực từ ngày 1 tháng 7 năm 2026
- Virginia đi sau Maryland và Oregon, hai bang đã cấm bán dữ liệu vị trí địa lý
- Maryland và Oregon định nghĩa mua bán rộng hơn là hành vi trao đổi dữ liệu cá nhân để lấy “khoản thanh toán bằng tiền hoặc lợi ích có giá trị khác”
Các dự luật tương tự và điều tra quản lý
- Nhiều bang khác cũng đã đề xuất các dự luật tương tự nhằm cấm bán dữ liệu vị trí địa lý
- Những động thái lập pháp này gắn liền với xu hướng điều tra quản lý đối với việc bán dữ liệu vị trí địa lý
- California Attorney General đã mở cuộc điều tra đối với ngành dữ liệu vị trí vào tháng 3 năm 2025
- Thỏa thuận với FTC năm 2024 đã cấm một nhà môi giới dữ liệu bán dữ liệu vị trí địa lý chính xác của người tiêu dùng
1 bình luận
Ý kiến trên Hacker News
Nếu thực sự được cung cấp lựa chọn đầy đủ, có hiểu biết và không bị ép buộc, mọi người sẽ từ chối kiểu thu thập dữ liệu này, đặc biệt là việc bán nó
Điều này cũng đúng với việc dùng dữ liệu cho các mục đích ngoài những dịch vụ mà họ nghĩ rằng mình đã cho phép rõ ràng, như điều hướng hay cài đặt thời gian. Thật đáng mừng khi có thêm một chút ngôn ngữ bảo vệ, nhưng phải có khả năng thực thi thực chất. Nếu dữ liệu bị thu thập bằng lý do giả tạo hay bằng cách cưỡng ép, thì không chỉ nên bị phạt tiền mà còn phải chịu cả truy tố hình sự
Sửa: Giờ đầu óc tôi mới xử lý xong thông tin, nếu là truy tố hình sự thì đúng là có tác dụng răn đe hơn một chút. Dĩ nhiên sẽ chẳng ai làm điều bất hợp pháp đâu ;)
Liệu có thể tồn tại một sản phẩm hiển thị thật to ở màn hình thanh toán rằng “chúng tôi sẽ bán dữ liệu vị trí của bạn” không? Chỉ riêng việc người ta muốn sản phẩm đó thôi đã bị xem là ép buộc chưa?
Đây là một khởi đầu tốt. Năm 2024 có tin rằng “một cuộc điều tra phát hiện một công ty đã theo dõi khoảng 600 địa điểm Planned Parenthood tại 48 bang và cung cấp dữ liệu đó cho một trong những chiến dịch quảng cáo chống phá thai lớn nhất nước Mỹ” - https://www.politico.com/news/2024/02/13/planned-parenthood-...
Ví dụ, nếu một công ty đăng ký tại Delaware bán dữ liệu vị trí được thu thập ở Virginia, nhưng công ty đó không kinh doanh tại Virginia, thì sẽ thế nào?
Mặt khác, us-east-1 nằm ở Virginia, và không ai biết có bao nhiêu máy chủ xử lý thanh toán đang chạy ở đó
Tuy vậy, việc us-east-1 ở Virginia rất có thể sẽ khiến vụ việc phức tạp hơn đáng kể, và có vẻ là vấn đề tòa án sẽ phải làm rõ
Vài năm trước NYTimes từng viết về cách các công ty bảo hiểm ô tô dùng loại dữ liệu này. Họ theo dõi phanh gấp, lái xe ban đêm, và chạy quá 80 dặm/giờ cùng những thứ tương tự
Ở vùng nông thôn Utah có những đoạn giới hạn tốc độ 80 dặm/giờ, và cũng có các quy định tốc độ suy đoán là vi phạm. Nhiều tài xế ở Utah thường xuyên vượt 80 dặm/giờ, và tôi cho rằng trong một số trường hợp điều đó vẫn hợp pháp. Đây là một con số khá lạ để lấy làm chuẩn
Với tư cách là người làm trong lĩnh vực mua quảng cáo, tôi thấy những đạo luật như thế này thực sự rất tốt. Những điểm dữ liệu kiểu này ngay từ đầu đã không nên là thứ được đem bán
Nó giúp việc bảo vệ con người không còn chỉ phụ thuộc vào thiện chí. Đây là một bước đi đúng hướng
Bài này là bài từ tháng 4, và lệnh cấm đã có hiệu lực từ ngày 1 tháng 7
Nếu điều này thực sự nhắm vào việc “bán” dữ liệu, đồng thời áp đặt giới hạn nghiêm ngặt lên data broker và nhiều tác nhân xấu khác, thì tôi hoàn toàn ủng hộ
Ngược lại, nếu nó giống luật California, gọi mọi cách dùng dữ liệu là “bán dữ liệu” nhưng lại không áp được quy định nào thực sự có giá trị với các thành phần xấu trong ngành, khiến mọi thứ chỉ thêm mù mờ, thì sẽ rất đáng tiếc. Việc giữ cho ý nghĩa của từ ngữ rõ ràng và nhất quán cũng có giá trị riêng. Việc Google tận dụng dữ liệu Google Maps của chính họ để đưa ra gợi ý tốt hơn thì không sao, nhưng việc AT&T bán dữ liệu vị trí đã được tổng hợp nhưng vẫn dễ nhận diện cá nhân cho bên thứ ba thì là vấn đề lớn. Hy vọng sẽ có một ranh giới rõ ràng: cấm vế sau mà không đụng tới vế trước
Tôi thắc mắc tại sao đã tốn công làm luật này mà lại chỉ cấm bán thay vì cấm mọi hình thức chia sẻ
Có thể logic ở đây là các bên thương mại thứ ba như nhà mạng thu thập và chia sẻ dữ liệu vì nhu cầu cần thiết, nhưng có lẽ không bán nó. Tuy vậy, điều này cũng tạo ra lỗ hổng thú vị. Người ta có thể ký thỏa thuận chia sẻ rồi thu lại khoản phí đáng lẽ phải nhận bằng cơ chế khác. Nếu Nhà cung cấp A muốn bán dữ liệu cho Nhà cung cấp B và B cũng muốn mua nhưng pháp luật không cho phép, thì A chỉ cần lén đưa chi phí đó vào một hợp đồng khác không liên quan với B, rồi bằng một cái nháy mắt, bắt tay và gật đầu, “miễn phí” chia sẻ dữ liệu vị trí như một phần của “mối quan hệ”. Cả hai bên đều biết chi phí nằm trong hợp đồng kia, nhưng chỉ A biết mức giá theo từng hạng mục; còn B chỉ tính xem mức giá gói khác cộng với việc chia sẻ dữ liệu vị trí kiểu thân tình có đáng với tổng chi phí hay không. Nói công bằng thì trước khi có tiền can dự, con người thường bớt ác ý hơn trong cách dùng thông tin và mục đích của họ. Không phải lúc nào cũng vậy, nhưng trung bình là thế
Việc bán dữ liệu vị trí chính xác của con người từng được xem như một mô hình kinh doanh bình thường tự thân nó đã quá vô lý
Chúng ta đều biết việc thu hoạch dữ liệu trên quy mô lớn đã diễn ra rồi. Những đạo luật kiểu này chỉ là biện pháp tối thiểu để đuổi theo thực tế. Giá mà còn có thể ban hành luật trừng phạt những công ty đó đến mức không thể tiếp tục tồn tại, nhưng tôi không kỳ vọng nhiều
Tôi thấy thú vị khi vị trí gần đúng của địa chỉ IP cũng là “dữ liệu vị trí”, nhưng luật này dường như chỉ nói đến dữ liệu vị trí chính xác, tức giới hạn ở dữ liệu được báo về từ thiết bị