弗吉尼亚州禁止出售精确地理位置数据

弗吉尼亚州法律的范围

  • 禁止出售“精确地理位置数据”,其定义为精度在 1,750 英尺以内的位置资讯。
  • 不包括公用事业智能电表数据和通信内容。
  • 于 7 月 1 日生效,紧随马里兰州和俄勒冈州的类似举措之后;其他几个州也在考虑相关法律。
  • 有人指出,执法仅限州总检察长;个人不能直接起诉。

出售 vs 共享,以及可能的规避方式

  • 许多人指出,该法律针对的是“出售”,而不是所有“共享”,这为以下做法留下了空间:
    • “免费数据 + 付费硬件/服务”模式。
    • 交叉签约,即数据名义上是“共享”的,但成本被隐藏在其他协议中。
    • “匿名化”或“模糊化”的地理位置数据,仍然可以重新识别。
  • 评论者预计公司会重新定义关系(例如“合作伙伴”“服务”)来避免触发“出售”的定义。

1,750 英尺阈值的有效性

  • 批评者认为,即使是粗粒度数据,随着时间累积也仍然极具识别性(住址、工作地点、日常路线)。
  • 讨论提到了 k-匿名性,以及移动模式去匿名化的容易程度。
  • 有些人称这部法律只是政治姿态,并不能真正阻止基于追踪的伤害。

管辖权与州际问题

  • 弗吉尼亚将如何处理州外公司(例如在特拉华注册的数据经纪商)出售从弗吉尼亚居民收集的数据,目前并不清楚。
  • 有人推测,跨州执法将依赖法院、公司在该州的存在,或位于弗吉尼亚的基础设施(例如数据中心)。

隐私、同意与胁迫

  • 一个强烈主题是:地理位置数据高度敏感,而此前毫无限制地出售这些数据是“离谱”的。
  • 关于数据应被视为由收集者“拥有”还是由个人“拥有”,存在争论。
  • 令人担忧的包括:
    • 用于保险定价、放贷、医疗保健,以及潜在的红线歧视。
    • 与交出数据绑定的、带有“胁迫性”的同意。
  • 有些人希望全国范围内更全面地禁止个人数据出售,并对滥用行为施加有意义的刑事责任。

更广泛的背景与反应

  • 许多人认为这是一个积极且姗姗来迟的步骤,并希望它“像野火一样蔓延”。
  • 另一些人则认为它太弱了,因为现有监控已经非常广泛(运营商、车牌自动识别系统、数据经纪商),而且这部法律存在漏洞并且执法有限。