1 पॉइंट द्वारा GN⁺ 4 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Virginia ने VCDPA संशोधन के जरिए लोकेशन डेटा की बिक्री पर प्रतिबंध लगाया है, जिससे राज्य-स्तरीय privacy कानूनों में लोकेशन डेटा transactions पर पाबंदियां मजबूत हुई हैं
  • यह संशोधन S.B. 388 पर हस्ताक्षर के साथ अंतिम रूप से मंजूर हुआ, और प्रतिबंध 1 जुलाई 2026 से लागू होगा
  • VCDPA में sale की परिभाषा केवल उस स्थिति तक सीमित है जहां personal information को मौद्रिक प्रतिफल के बदले किसी third party को दिया जाता है, इसलिए इसका दायरा अन्य राज्यों की तुलना में संकरा है
  • Maryland और Oregon ने भी लोकेशन डेटा की बिक्री पर प्रतिबंध लगाया है, लेकिन दोनों राज्य बिक्री में मौद्रिक प्रतिफल के अलावा अन्य मूल्यवान प्रतिफल को भी शामिल करते हैं
  • California, Massachusetts, Vermont, Washington State में समान bills, California Attorney General की जांच और FTC settlement तक के घटनाक्रमों के बीच लोकेशन डेटा की बिक्री regulation का प्रमुख फोकस बन रही है

Virginia का VCDPA संशोधन

  • Virginia की Governor Abigail Spanberger ने 13 अप्रैल 2026 को S.B. 388 पर हस्ताक्षर किए
  • यह कानून Virginia Consumer Data Protection Act(VCDPA) में संशोधन कर लोकेशन डेटा की बिक्री पर प्रतिबंध लगाता है
  • VCDPA में बिक्री को “controller द्वारा किसी third party को personal information का मौद्रिक प्रतिफल के बदले आदान-प्रदान” के रूप में परिभाषित किया गया है
  • इसी वजह से Virginia की sale की परिभाषा अन्य राज्यों के व्यापक privacy कानूनों की तुलना में संकरे दायरे में रहती है

प्रभावी तारीख और अन्य राज्यों के कानूनों से अंतर

  • लोकेशन डेटा की बिक्री पर प्रतिबंध 1 जुलाई 2026 से प्रभावी होगा
  • Virginia ने लोकेशन डेटा की बिक्री पर प्रतिबंध लगाने वाले Maryland और Oregon का अनुसरण किया है
  • Maryland और Oregon बिक्री को personal information का “मौद्रिक प्रतिफल या अन्य मूल्यवान प्रतिफल” के बदले आदान-प्रदान के रूप में अधिक व्यापक रूप से परिभाषित करते हैं

समान bills और regulatory जांच

  • कई राज्यों में भी लोकेशन डेटा की बिक्री पर प्रतिबंध जैसे समान bills प्रस्तावित किए गए हैं
  • ये legislative गतिविधियां लोकेशन डेटा की बिक्री पर regulatory जांच की प्रवृत्ति से जुड़ी हुई हैं
    • California Attorney General ने मार्च 2025 में लोकेशन डेटा industry पर जांच की
    • 2024 के FTC settlement ने data broker द्वारा लोकेशन डेटा की बिक्री पर प्रतिबंध लगाया

1 टिप्पणियां

 
GN⁺ 4 시간 전
Hacker News की राय
  • जब लोगों को सच में पर्याप्त जानकारी और बिना दबाव के विकल्प दिया जाता है, तो वे इस तरह के डेटा कलेक्शन, और खासकर उसकी बिक्री, को मना कर देते हैं।
    यही बात उन उद्देश्यों पर भी लागू होती है जो उन सेवाओं से अलग हैं जिन्हें उन्होंने साफ़ तौर पर अनुमति दी समझा था, जैसे navigation या time settings. थोड़ी protective language शामिल होना अच्छा है, लेकिन इसमें वास्तविक enforcement होनी चाहिए। अगर डेटा झूठे बहानों या coercive तरीकों से इकट्ठा किया गया है, तो सिर्फ़ जुर्माना नहीं बल्कि criminal prosecution भी होना चाहिए।

    • पूरी तरह सहमत। “मेरे पास छिपाने को कुछ नहीं” कहने वाले लोग शायद नहीं समझते कि privacy protection और उसे सुनिश्चित करने वाले कानून न होने पर उन्हें कितना बड़ा नुकसान हो सकता है। या शायद उनमें self-preservation instinct ही नहीं है।
    • अगर कोई अमीर है, तो शायद बस जुर्माना भरकर आगे बढ़ जाएगा। हम अक्सर सुनते हैं कि बड़ी कंपनियों पर हर साल ऐसी हरकतों के लिए अरबों डॉलर के जुर्माने लगते हैं, और उन्हें कोई फर्क नहीं पड़ता।
      एडिट: अब जाकर दिमाग ने बात process की—criminal prosecution हो तो deterrence थोड़ा ज़्यादा हो सकता है। बेशक, illegal काम तो कोई करता ही नहीं होगा ;)
    • सोच रहा हूं कि coercion की सीमा कहां है।
      क्या ऐसा product संभव है जिसके checkout screen पर बड़े अक्षरों में लिखा हो, “हम आपका location data बेचेंगे”? क्या केवल उस product को चाहने की वजह से ही यह coercion बन जाएगा?
  • अच्छी शुरुआत है। 2024 में रिपोर्ट आई थी कि “एक कंपनी ने 48 राज्यों में Planned Parenthood के लगभग 600 locations पर visits track किए, और वह data अमेरिका की सबसे बड़ी anti-abortion ad campaigns में से एक को दिया” - https://www.politico.com/news/2024/02/13/planned-parenthood-...

    • यह वाकई भयावह हो रहा है। मुझे याद आने वाले सबसे बुरे उदाहरणों में से एक 2019 का यह मामला है: https://www.nbcnews.com/news/us-news/missouri-health-directo...
    • और इससे भी बड़ी समस्या यह है कि वह इस्तेमाल तो लगभग सबसे mild use cases में से एक है।
  • उदाहरण के लिए, अगर Delaware में incorporated कोई कंपनी Virginia में इकट्ठा किए गए location data को बेचती है, लेकिन वह कंपनी Virginia में business नहीं करती, तो क्या होगा?
    दूसरी तरफ us-east-1 Virginia में है, और पता नहीं कितने payment processing servers वहां चल रहे हैं।

    • यह वैसा ही है जैसा state borders पार करने वाले lawsuits में हमेशा होता है। केस किसी एक jurisdiction में जाता है, या diversity jurisdiction की शर्तें पूरी हों तो federal court में जाता है।
    • अगर Delaware कंपनी की Virginia में कोई presence नहीं है, तो Virginia राज्य के पास करने को कुछ नहीं है।
      हालांकि us-east-1 का Virginia में होना मामले को काफ़ी जटिल बना सकता है, और यह courts को सुलझाना पड़ेगा।
    • seller आमतौर पर तय करेगा कि comply करना है या नहीं। अगर वह comply करना चाहता है, तो collected dataset से सभी Virginia data हटा देगा, और contracts में downstream users से यह require करेगा कि dataset की वजह से Virginia residents पर कोई असर पड़े तो वे उसे indemnify करें।
  • कुछ साल पहले NYTimes ने लिखा था कि auto insurers ऐसे data का इस्तेमाल कैसे करते हैं। उसमें hard braking, रात में driving, 80 mph से ज़्यादा driving आदि track करने की बात थी।

    • एक side note के तौर पर, सोचता हूं कि 80 mph को arbitrary threshold क्यों चुना गया।
      ग्रामीण Utah में 80 mph speed limit वाले sections हैं, और prima facie speed laws भी हैं। Utah के बहुत से drivers नियमित रूप से 80 mph से ऊपर जाते हैं, और मेरे हिसाब से कई cases में legal तरीके से ऐसा करते हैं। Benchmark के तौर पर यह अजीब number है।
    • सही। user consent या awareness के बिना private और personal data को profit के लिए exchange किया जा रहा है।
    • क्या ऐसा data insurance program के हिस्से के रूप में consent के साथ, और वह भी काफ़ी explicit तरीके से, collect नहीं किया जाता?
  • ads खरीदने वाले क्षेत्र में काम करने के नाते, मुझे ऐसे कानून वाकई अच्छे लगते हैं। ऐसे data points शुरू से ही sale के लिए उपलब्ध नहीं होने चाहिए।
    यह लोगों की protection को सिर्फ़ good faith पर निर्भर नहीं रहने देता। सही दिशा में एक कदम है।

  • यह article अप्रैल का है, और ban 1 जुलाई से लागू हो चुका है।

  • अगर यह सच में data की “sale” को target करता है, और data brokers तथा कई malicious actors पर strict limits लगाता है, तो मैं पूरी तरह इसके पक्ष में हूं।
    इसके उलट, अगर यह California law की तरह सभी data use को “data sale” कहकर industry के bad actors पर सच में meaningful regulation लागू नहीं कर पाता और बात को धुंधला कर देता है, तो निराशा होगी। शब्दों के अर्थ को clear और consistent बनाए रखने में भी value है। Google अपने Google Maps data का उपयोग करके बेहतर recommendations दे, इसमें दिक्कत नहीं है, लेकिन AT&T द्वारा personally identifiable aggregated location data को third parties को बेचना बड़ी समस्या है। उम्मीद है कि यह ऐसा साफ़ रास्ता बने जिसमें बाद वाले को ban किया जाए और पहले वाले को न छुआ जाए।

  • सोचता हूं कि ऐसा कानून बनाने की मेहनत करते हुए सिर्फ़ sale ban क्यों, सभी sharing क्यों नहीं ban करते।

    • अच्छा सवाल है, और मुझे भी जिज्ञासा है। 911 services और carriers, और law enforcement subpoenas से मांगा गया data याद आता है।
      carriers जैसे third-party commercial entities जरूरत के कारण data collect और share करते हैं, लेकिन शायद बेचते नहीं—ऐसा तर्क हो सकता है। मगर इससे interesting loopholes भी बनते हैं। कोई sharing agreement करके फिर किसी दूसरे mechanism से असल में लेने वाली fees recover कर सकता है। Provider A अगर Provider B को data बेचना चाहता है और B भी खरीदना चाहता है, लेकिन कानूनन बेच नहीं सकता, तो A, B के साथ किसी दूसरे unrelated contract में cost चुपचाप डाल सकता है, और wink, handshake और nod के साथ “relationship” के तहत location data “free” में share कर सकता है। दोनों पक्ष जानते हैं कि cost दूसरे contract में है, लेकिन itemized cost सिर्फ़ A जानता है और B बस यह calculate करता है कि दूसरा package price और दोस्ताना location data sharing कुल cost के लायक है या नहीं। निष्पक्ष रूप से कहें तो पैसा शामिल होने से पहले लोग information use और intent में कम malicious होते हैं। हमेशा नहीं, लेकिन average में ऐसा है।
    • क्योंकि drivers के risk को insurance premiums में reflect करने के लिए data बहुत उपयोगी है। जाहिर है, dangerous drivers को higher rates देने चाहिए।
  • लोगों के precise location data की बिक्री को कभी normal business model जैसा माना जाता था—यह अपने आप में सचमुच बेतुका है।
    हमें पता है कि large-scale data harvesting पहले ही हो चुकी है। ऐसे कानून बस देर से पकड़ बनाने के लिए minimum कदम हैं। काश ऐसे कानून भी बन सकें जो इन कंपनियों को अस्तित्व में रहना ही असंभव बना दें, लेकिन इसकी उम्मीद करना मुश्किल है।

  • IP address की approximate location भी “location data” है, यह interesting लगा, लेकिन कानून precise location data कहता है, इसलिए लगता है कि यह device-reported data तक सीमित है।

    • यह संभवतः mobile settings में configure किए जा सकने वाले precise location data की definition में आएगा। location sharing करते समय on किया जा सकने वाला अधिक granular option है।
    • अगर coordinates हैं तो शायद कुछ भी इसमें आएगा। बस “Ross Dress for Less के सामने सड़क पार maple tree के पीछे” जैसी बात न हो।