Virginia ने लोकेशन डेटा की बिक्री पर प्रतिबंध लगाया
(hunton.com)- Virginia ने VCDPA संशोधन के जरिए लोकेशन डेटा की बिक्री पर प्रतिबंध लगाया है, जिससे राज्य-स्तरीय privacy कानूनों में लोकेशन डेटा transactions पर पाबंदियां मजबूत हुई हैं
- यह संशोधन S.B. 388 पर हस्ताक्षर के साथ अंतिम रूप से मंजूर हुआ, और प्रतिबंध 1 जुलाई 2026 से लागू होगा
- VCDPA में sale की परिभाषा केवल उस स्थिति तक सीमित है जहां personal information को मौद्रिक प्रतिफल के बदले किसी third party को दिया जाता है, इसलिए इसका दायरा अन्य राज्यों की तुलना में संकरा है
- Maryland और Oregon ने भी लोकेशन डेटा की बिक्री पर प्रतिबंध लगाया है, लेकिन दोनों राज्य बिक्री में मौद्रिक प्रतिफल के अलावा अन्य मूल्यवान प्रतिफल को भी शामिल करते हैं
- California, Massachusetts, Vermont, Washington State में समान bills, California Attorney General की जांच और FTC settlement तक के घटनाक्रमों के बीच लोकेशन डेटा की बिक्री regulation का प्रमुख फोकस बन रही है
Virginia का VCDPA संशोधन
- Virginia की Governor Abigail Spanberger ने 13 अप्रैल 2026 को S.B. 388 पर हस्ताक्षर किए
- यह कानून Virginia Consumer Data Protection Act(VCDPA) में संशोधन कर लोकेशन डेटा की बिक्री पर प्रतिबंध लगाता है
- VCDPA में बिक्री को “controller द्वारा किसी third party को personal information का मौद्रिक प्रतिफल के बदले आदान-प्रदान” के रूप में परिभाषित किया गया है
- इसी वजह से Virginia की sale की परिभाषा अन्य राज्यों के व्यापक privacy कानूनों की तुलना में संकरे दायरे में रहती है
प्रभावी तारीख और अन्य राज्यों के कानूनों से अंतर
- लोकेशन डेटा की बिक्री पर प्रतिबंध 1 जुलाई 2026 से प्रभावी होगा
- Virginia ने लोकेशन डेटा की बिक्री पर प्रतिबंध लगाने वाले Maryland और Oregon का अनुसरण किया है
- Maryland और Oregon बिक्री को personal information का “मौद्रिक प्रतिफल या अन्य मूल्यवान प्रतिफल” के बदले आदान-प्रदान के रूप में अधिक व्यापक रूप से परिभाषित करते हैं
समान bills और regulatory जांच
- कई राज्यों में भी लोकेशन डेटा की बिक्री पर प्रतिबंध जैसे समान bills प्रस्तावित किए गए हैं
- ये legislative गतिविधियां लोकेशन डेटा की बिक्री पर regulatory जांच की प्रवृत्ति से जुड़ी हुई हैं
- California Attorney General ने मार्च 2025 में लोकेशन डेटा industry पर जांच की
- 2024 के FTC settlement ने data broker द्वारा लोकेशन डेटा की बिक्री पर प्रतिबंध लगाया
1 टिप्पणियां
Hacker News की राय
जब लोगों को सच में पर्याप्त जानकारी और बिना दबाव के विकल्प दिया जाता है, तो वे इस तरह के डेटा कलेक्शन, और खासकर उसकी बिक्री, को मना कर देते हैं।
यही बात उन उद्देश्यों पर भी लागू होती है जो उन सेवाओं से अलग हैं जिन्हें उन्होंने साफ़ तौर पर अनुमति दी समझा था, जैसे navigation या time settings. थोड़ी protective language शामिल होना अच्छा है, लेकिन इसमें वास्तविक enforcement होनी चाहिए। अगर डेटा झूठे बहानों या coercive तरीकों से इकट्ठा किया गया है, तो सिर्फ़ जुर्माना नहीं बल्कि criminal prosecution भी होना चाहिए।
एडिट: अब जाकर दिमाग ने बात process की—criminal prosecution हो तो deterrence थोड़ा ज़्यादा हो सकता है। बेशक, illegal काम तो कोई करता ही नहीं होगा ;)
क्या ऐसा product संभव है जिसके checkout screen पर बड़े अक्षरों में लिखा हो, “हम आपका location data बेचेंगे”? क्या केवल उस product को चाहने की वजह से ही यह coercion बन जाएगा?
अच्छी शुरुआत है। 2024 में रिपोर्ट आई थी कि “एक कंपनी ने 48 राज्यों में Planned Parenthood के लगभग 600 locations पर visits track किए, और वह data अमेरिका की सबसे बड़ी anti-abortion ad campaigns में से एक को दिया” - https://www.politico.com/news/2024/02/13/planned-parenthood-...
उदाहरण के लिए, अगर Delaware में incorporated कोई कंपनी Virginia में इकट्ठा किए गए location data को बेचती है, लेकिन वह कंपनी Virginia में business नहीं करती, तो क्या होगा?
दूसरी तरफ us-east-1 Virginia में है, और पता नहीं कितने payment processing servers वहां चल रहे हैं।
हालांकि us-east-1 का Virginia में होना मामले को काफ़ी जटिल बना सकता है, और यह courts को सुलझाना पड़ेगा।
कुछ साल पहले NYTimes ने लिखा था कि auto insurers ऐसे data का इस्तेमाल कैसे करते हैं। उसमें hard braking, रात में driving, 80 mph से ज़्यादा driving आदि track करने की बात थी।
ग्रामीण Utah में 80 mph speed limit वाले sections हैं, और prima facie speed laws भी हैं। Utah के बहुत से drivers नियमित रूप से 80 mph से ऊपर जाते हैं, और मेरे हिसाब से कई cases में legal तरीके से ऐसा करते हैं। Benchmark के तौर पर यह अजीब number है।
ads खरीदने वाले क्षेत्र में काम करने के नाते, मुझे ऐसे कानून वाकई अच्छे लगते हैं। ऐसे data points शुरू से ही sale के लिए उपलब्ध नहीं होने चाहिए।
यह लोगों की protection को सिर्फ़ good faith पर निर्भर नहीं रहने देता। सही दिशा में एक कदम है।
यह article अप्रैल का है, और ban 1 जुलाई से लागू हो चुका है।
अगर यह सच में data की “sale” को target करता है, और data brokers तथा कई malicious actors पर strict limits लगाता है, तो मैं पूरी तरह इसके पक्ष में हूं।
इसके उलट, अगर यह California law की तरह सभी data use को “data sale” कहकर industry के bad actors पर सच में meaningful regulation लागू नहीं कर पाता और बात को धुंधला कर देता है, तो निराशा होगी। शब्दों के अर्थ को clear और consistent बनाए रखने में भी value है। Google अपने Google Maps data का उपयोग करके बेहतर recommendations दे, इसमें दिक्कत नहीं है, लेकिन AT&T द्वारा personally identifiable aggregated location data को third parties को बेचना बड़ी समस्या है। उम्मीद है कि यह ऐसा साफ़ रास्ता बने जिसमें बाद वाले को ban किया जाए और पहले वाले को न छुआ जाए।
सोचता हूं कि ऐसा कानून बनाने की मेहनत करते हुए सिर्फ़ sale ban क्यों, सभी sharing क्यों नहीं ban करते।
carriers जैसे third-party commercial entities जरूरत के कारण data collect और share करते हैं, लेकिन शायद बेचते नहीं—ऐसा तर्क हो सकता है। मगर इससे interesting loopholes भी बनते हैं। कोई sharing agreement करके फिर किसी दूसरे mechanism से असल में लेने वाली fees recover कर सकता है। Provider A अगर Provider B को data बेचना चाहता है और B भी खरीदना चाहता है, लेकिन कानूनन बेच नहीं सकता, तो A, B के साथ किसी दूसरे unrelated contract में cost चुपचाप डाल सकता है, और wink, handshake और nod के साथ “relationship” के तहत location data “free” में share कर सकता है। दोनों पक्ष जानते हैं कि cost दूसरे contract में है, लेकिन itemized cost सिर्फ़ A जानता है और B बस यह calculate करता है कि दूसरा package price और दोस्ताना location data sharing कुल cost के लायक है या नहीं। निष्पक्ष रूप से कहें तो पैसा शामिल होने से पहले लोग information use और intent में कम malicious होते हैं। हमेशा नहीं, लेकिन average में ऐसा है।
लोगों के precise location data की बिक्री को कभी normal business model जैसा माना जाता था—यह अपने आप में सचमुच बेतुका है।
हमें पता है कि large-scale data harvesting पहले ही हो चुकी है। ऐसे कानून बस देर से पकड़ बनाने के लिए minimum कदम हैं। काश ऐसे कानून भी बन सकें जो इन कंपनियों को अस्तित्व में रहना ही असंभव बना दें, लेकिन इसकी उम्मीद करना मुश्किल है।
IP address की approximate location भी “location data” है, यह interesting लगा, लेकिन कानून precise location data कहता है, इसलिए लगता है कि यह device-reported data तक सीमित है।