弗吉尼亚州禁止出售精确地理位置数据
弗吉尼亚州法律的范围
- 禁止出售“精确地理位置数据”,其定义为精度在 1,750 英尺以内的位置资讯。
- 不包括公用事业智能电表数据和通信内容。
- 于 7 月 1 日生效,紧随马里兰州和俄勒冈州的类似举措之后;其他几个州也在考虑相关法律。
- 有人指出,执法仅限州总检察长;个人不能直接起诉。
出售 vs 共享,以及可能的规避方式
- 许多人指出,该法律针对的是“出售”,而不是所有“共享”,这为以下做法留下了空间:
- “免费数据 + 付费硬件/服务”模式。
- 交叉签约,即数据名义上是“共享”的,但成本被隐藏在其他协议中。
- “匿名化”或“模糊化”的地理位置数据,仍然可以重新识别。
- 评论者预计公司会重新定义关系(例如“合作伙伴”“服务”)来避免触发“出售”的定义。
1,750 英尺阈值的有效性
- 批评者认为,即使是粗粒度数据,随着时间累积也仍然极具识别性(住址、工作地点、日常路线)。
- 讨论提到了 k-匿名性,以及移动模式去匿名化的容易程度。
- 有些人称这部法律只是政治姿态,并不能真正阻止基于追踪的伤害。
管辖权与州际问题
- 弗吉尼亚将如何处理州外公司(例如在特拉华注册的数据经纪商)出售从弗吉尼亚居民收集的数据,目前并不清楚。
- 有人推测,跨州执法将依赖法院、公司在该州的存在,或位于弗吉尼亚的基础设施(例如数据中心)。
隐私、同意与胁迫
- 一个强烈主题是:地理位置数据高度敏感,而此前毫无限制地出售这些数据是“离谱”的。
- 关于数据应被视为由收集者“拥有”还是由个人“拥有”,存在争论。
- 令人担忧的包括:
- 用于保险定价、放贷、医疗保健,以及潜在的红线歧视。
- 与交出数据绑定的、带有“胁迫性”的同意。
- 有些人希望全国范围内更全面地禁止个人数据出售,并对滥用行为施加有意义的刑事责任。
更广泛的背景与反应
- 许多人认为这是一个积极且姗姗来迟的步骤,并希望它“像野火一样蔓延”。
- 另一些人则认为它太弱了,因为现有监控已经非常广泛(运营商、车牌自动识别系统、数据经纪商),而且这部法律存在漏洞并且执法有限。