1 điểm bởi GN⁺ 4 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Virginia đã sửa đổi VCDPA để cấm bán dữ liệu vị trí địa lý, qua đó siết chặt hạn chế đối với giao dịch dữ liệu vị trí trong luật bảo vệ quyền riêng tư cấp bang
  • Bản sửa đổi này được xác nhận bằng việc ký S.B. 388, và lệnh cấm sẽ có hiệu lực từ ngày 1 tháng 7 năm 2026
  • Định nghĩa mua bán (sale) trong VCDPA chỉ giới hạn ở việc chuyển giao dữ liệu cá nhân cho bên thứ ba để đổi lấy tiền, nên phạm vi hẹp hơn các bang khác
  • Maryland và Oregon cũng đã cấm bán dữ liệu vị trí địa lý, nhưng hai bang này coi việc đổi lấy các lợi ích có giá trị khác ngoài tiền cũng là mua bán
  • Các dự luật tương tự tại California, Massachusetts, Vermont và Washington State, cùng với cuộc điều tra của California Attorney General và thỏa thuận dàn xếp với FTC, cho thấy việc bán dữ liệu vị trí địa lý đang nổi lên như một trọng tâm quản lý

Sửa đổi VCDPA của Virginia

  • Thống đốc Virginia Abigail Spanberger đã ký S.B. 388 vào ngày 13 tháng 4 năm 2026
  • Luật này sửa đổi Virginia Consumer Data Protection Act (VCDPA) để cấm bán dữ liệu vị trí địa lý
  • Trong VCDPA, mua bán được định nghĩa là “hành vi bên kiểm soát trao đổi dữ liệu cá nhân với bên thứ ba để đổi lấy khoản thanh toán bằng tiền”
  • Vì vậy, định nghĩa về mua bán của Virginia vẫn có phạm vi hẹp hơn so với các luật bảo vệ quyền riêng tư toàn diện của những bang khác

Ngày có hiệu lực và khác biệt với luật của các bang khác

  • Lệnh cấm bán dữ liệu vị trí địa lý sẽ có hiệu lực từ ngày 1 tháng 7 năm 2026
  • Virginia đi sau MarylandOregon, hai bang đã cấm bán dữ liệu vị trí địa lý
  • Maryland và Oregon định nghĩa mua bán rộng hơn là hành vi trao đổi dữ liệu cá nhân để lấy “khoản thanh toán bằng tiền hoặc lợi ích có giá trị khác”

Các dự luật tương tự và điều tra quản lý

  • Nhiều bang khác cũng đã đề xuất các dự luật tương tự nhằm cấm bán dữ liệu vị trí địa lý
  • Những động thái lập pháp này gắn liền với xu hướng điều tra quản lý đối với việc bán dữ liệu vị trí địa lý
    • California Attorney General đã mở cuộc điều tra đối với ngành dữ liệu vị trí vào tháng 3 năm 2025
    • Thỏa thuận với FTC năm 2024 đã cấm một nhà môi giới dữ liệu bán dữ liệu vị trí địa lý chính xác của người tiêu dùng

1 bình luận

 
Ý kiến trên Hacker News
  • Nếu thực sự được cung cấp lựa chọn đầy đủ, có hiểu biết và không bị ép buộc, mọi người sẽ từ chối kiểu thu thập dữ liệu này, đặc biệt là việc bán nó
    Điều này cũng đúng với việc dùng dữ liệu cho các mục đích ngoài những dịch vụ mà họ nghĩ rằng mình đã cho phép rõ ràng, như điều hướng hay cài đặt thời gian. Thật đáng mừng khi có thêm một chút ngôn ngữ bảo vệ, nhưng phải có khả năng thực thi thực chất. Nếu dữ liệu bị thu thập bằng lý do giả tạo hay bằng cách cưỡng ép, thì không chỉ nên bị phạt tiền mà còn phải chịu cả truy tố hình sự

    • Hoàn toàn đồng ý. Những người nói “không có gì để che giấu” dường như không hiểu việc thiếu quyền riêng tư và các đạo luật bảo vệ nó có thể gây hại cho chính họ đến mức nào. Hoặc có lẽ họ không có bản năng tự bảo vệ
    • Nếu là người giàu thì chẳng phải cứ nộp phạt rồi thôi sao. Tôi thường nghe rằng các tập đoàn lớn mỗi năm bị phạt hàng chục tỷ đô vì những chuyện như thế này mà vẫn chẳng hề bận tâm
      Sửa: Giờ đầu óc tôi mới xử lý xong thông tin, nếu là truy tố hình sự thì đúng là có tác dụng răn đe hơn một chút. Dĩ nhiên sẽ chẳng ai làm điều bất hợp pháp đâu ;)
    • Tôi tự hỏi giới hạn của sự ép buộc nằm ở đâu
      Liệu có thể tồn tại một sản phẩm hiển thị thật to ở màn hình thanh toán rằng “chúng tôi sẽ bán dữ liệu vị trí của bạn” không? Chỉ riêng việc người ta muốn sản phẩm đó thôi đã bị xem là ép buộc chưa?
  • Đây là một khởi đầu tốt. Năm 2024 có tin rằng “một cuộc điều tra phát hiện một công ty đã theo dõi khoảng 600 địa điểm Planned Parenthood tại 48 bang và cung cấp dữ liệu đó cho một trong những chiến dịch quảng cáo chống phá thai lớn nhất nước Mỹ” - https://www.politico.com/news/2024/02/13/planned-parenthood-...

    • Mọi thứ thực sự đang trở nên kinh khủng. Một trong những trường hợp tệ nhất mà tôi nhớ là vụ này năm 2019: https://www.nbcnews.com/news/us-news/missouri-health-directo...
    • Và điều còn tệ hơn là mức đó gần như vẫn thuộc loại cách dùng ôn hòa nhất rồi
  • Ví dụ, nếu một công ty đăng ký tại Delaware bán dữ liệu vị trí được thu thập ở Virginia, nhưng công ty đó không kinh doanh tại Virginia, thì sẽ thế nào?
    Mặt khác, us-east-1 nằm ở Virginia, và không ai biết có bao nhiêu máy chủ xử lý thanh toán đang chạy ở đó

    • Chuyện này cũng giống những gì luôn xảy ra trong các vụ kiện vượt qua ranh giới bang. Vụ kiện sẽ được đưa tới một thẩm quyền tài phán nào đó, hoặc nếu đáp ứng điều kiện về diversity jurisdiction thì sẽ lên tòa liên bang
    • Nếu công ty Delaware không có bất kỳ hiện diện nào ở Virginia thì bang Virginia không làm được gì cả
      Tuy vậy, việc us-east-1 ở Virginia rất có thể sẽ khiến vụ việc phức tạp hơn đáng kể, và có vẻ là vấn đề tòa án sẽ phải làm rõ
    • Người bán nhiều khả năng sẽ tự quyết định có tuân thủ hay không. Nếu muốn tuân thủ, họ sẽ loại toàn bộ dữ liệu Virginia khỏi tập dữ liệu thu thập, và yêu cầu bằng hợp đồng rằng người dùng hạ nguồn phải miễn trừ trách nhiệm cho họ nếu tập dữ liệu đó gây ảnh hưởng tới cư dân Virginia
  • Vài năm trước NYTimes từng viết về cách các công ty bảo hiểm ô tô dùng loại dữ liệu này. Họ theo dõi phanh gấp, lái xe ban đêm, và chạy quá 80 dặm/giờ cùng những thứ tương tự

    • Nói ngoài lề, tôi thắc mắc vì sao 80 dặm/giờ lại được chọn làm ngưỡng tùy ý
      Ở vùng nông thôn Utah có những đoạn giới hạn tốc độ 80 dặm/giờ, và cũng có các quy định tốc độ suy đoán là vi phạm. Nhiều tài xế ở Utah thường xuyên vượt 80 dặm/giờ, và tôi cho rằng trong một số trường hợp điều đó vẫn hợp pháp. Đây là một con số khá lạ để lấy làm chuẩn
    • Đúng vậy. Đó là việc trao đổi dữ liệu riêng tư và cá nhân để kiếm lời mà không hề có sự đồng ý hay nhận thức của người dùng
    • Chẳng phải loại dữ liệu đó được thu thập có sự đồng ý, như một phần của chương trình bảo hiểm, và còn khá rõ ràng nữa sao?
  • Với tư cách là người làm trong lĩnh vực mua quảng cáo, tôi thấy những đạo luật như thế này thực sự rất tốt. Những điểm dữ liệu kiểu này ngay từ đầu đã không nên là thứ được đem bán
    Nó giúp việc bảo vệ con người không còn chỉ phụ thuộc vào thiện chí. Đây là một bước đi đúng hướng

  • Bài này là bài từ tháng 4, và lệnh cấm đã có hiệu lực từ ngày 1 tháng 7

  • Nếu điều này thực sự nhắm vào việc “bán” dữ liệu, đồng thời áp đặt giới hạn nghiêm ngặt lên data broker và nhiều tác nhân xấu khác, thì tôi hoàn toàn ủng hộ
    Ngược lại, nếu nó giống luật California, gọi mọi cách dùng dữ liệu là “bán dữ liệu” nhưng lại không áp được quy định nào thực sự có giá trị với các thành phần xấu trong ngành, khiến mọi thứ chỉ thêm mù mờ, thì sẽ rất đáng tiếc. Việc giữ cho ý nghĩa của từ ngữ rõ ràng và nhất quán cũng có giá trị riêng. Việc Google tận dụng dữ liệu Google Maps của chính họ để đưa ra gợi ý tốt hơn thì không sao, nhưng việc AT&T bán dữ liệu vị trí đã được tổng hợp nhưng vẫn dễ nhận diện cá nhân cho bên thứ ba thì là vấn đề lớn. Hy vọng sẽ có một ranh giới rõ ràng: cấm vế sau mà không đụng tới vế trước

  • Tôi thắc mắc tại sao đã tốn công làm luật này mà lại chỉ cấm bán thay vì cấm mọi hình thức chia sẻ

    • Câu hỏi hay, tôi cũng thắc mắc vậy. Tôi nghĩ đến dịch vụ 911, các nhà mạng, và dữ liệu bị yêu cầu bởi trát đòi của cơ quan thực thi pháp luật
      Có thể logic ở đây là các bên thương mại thứ ba như nhà mạng thu thập và chia sẻ dữ liệu vì nhu cầu cần thiết, nhưng có lẽ không bán nó. Tuy vậy, điều này cũng tạo ra lỗ hổng thú vị. Người ta có thể ký thỏa thuận chia sẻ rồi thu lại khoản phí đáng lẽ phải nhận bằng cơ chế khác. Nếu Nhà cung cấp A muốn bán dữ liệu cho Nhà cung cấp B và B cũng muốn mua nhưng pháp luật không cho phép, thì A chỉ cần lén đưa chi phí đó vào một hợp đồng khác không liên quan với B, rồi bằng một cái nháy mắt, bắt tay và gật đầu, “miễn phí” chia sẻ dữ liệu vị trí như một phần của “mối quan hệ”. Cả hai bên đều biết chi phí nằm trong hợp đồng kia, nhưng chỉ A biết mức giá theo từng hạng mục; còn B chỉ tính xem mức giá gói khác cộng với việc chia sẻ dữ liệu vị trí kiểu thân tình có đáng với tổng chi phí hay không. Nói công bằng thì trước khi có tiền can dự, con người thường bớt ác ý hơn trong cách dùng thông tin và mục đích của họ. Không phải lúc nào cũng vậy, nhưng trung bình là thế
    • Bởi vì dữ liệu cực kỳ hữu ích trong việc phản ánh mức độ rủi ro của tài xế vào phí bảo hiểm. Tất nhiên, tài xế rủi ro cao thì phải trả mức phí cao hơn
  • Việc bán dữ liệu vị trí chính xác của con người từng được xem như một mô hình kinh doanh bình thường tự thân nó đã quá vô lý
    Chúng ta đều biết việc thu hoạch dữ liệu trên quy mô lớn đã diễn ra rồi. Những đạo luật kiểu này chỉ là biện pháp tối thiểu để đuổi theo thực tế. Giá mà còn có thể ban hành luật trừng phạt những công ty đó đến mức không thể tiếp tục tồn tại, nhưng tôi không kỳ vọng nhiều

  • Tôi thấy thú vị khi vị trí gần đúng của địa chỉ IP cũng là “dữ liệu vị trí”, nhưng luật này dường như chỉ nói đến dữ liệu vị trí chính xác, tức giới hạn ở dữ liệu được báo về từ thiết bị

    • Rất có thể nó nằm trong định nghĩa dữ liệu vị trí chính xác mà bạn có thể cấu hình trong cài đặt di động. Đó là tùy chọn chi tiết hơn mà bạn có thể bật khi chia sẻ vị trí
    • Nếu là tọa độ thì có lẽ đều tính. Miễn là không phải kiểu “đằng sau cây phong ở bên kia đường đối diện Ross Dress for Less”