Virginia Melarang Penjualan Data Informasi Lokasi
(hunton.com)- Virginia memperkuat pembatasan perdagangan data lokasi dalam undang-undang privasi tingkat negara bagian dengan melarang penjualan data informasi lokasi melalui amandemen VCDPA
- Amandemen ini ditegaskan melalui penandatanganan S.B. 388, dan larangan tersebut akan berlaku mulai 1 Juli 2026
- Definisi penjualan (sale) dalam VCDPA dibatasi pada penyerahan data pribadi kepada pihak ketiga dengan imbalan uang, sehingga cakupannya lebih sempit dibanding negara bagian lain
- Maryland dan Oregon juga melarang penjualan data informasi lokasi, tetapi kedua negara bagian itu memasukkan imbalan berharga lainnya selain uang ke dalam definisi penjualan
- RUU serupa di California, Massachusetts, Vermont, dan Washington State, ditambah penyelidikan California Attorney General dan penyelesaian dengan FTC, membuat penjualan data informasi lokasi muncul sebagai fokus regulasi
Amandemen VCDPA di Virginia
- Gubernur Virginia Abigail Spanberger menandatangani S.B. 388 pada 13 April 2026
- Undang-undang ini mengamendemen Virginia Consumer Data Protection Act (VCDPA) untuk melarang penjualan data informasi lokasi
- Dalam VCDPA, penjualan didefinisikan sebagai “tindakan controller menukar data pribadi kepada pihak ketiga dengan imbalan uang”
- Karena itu, definisi penjualan di Virginia tetap berada dalam cakupan yang lebih sempit dibanding undang-undang privasi komprehensif di negara bagian lain
Tanggal Berlaku dan Perbedaan dengan Hukum Negara Bagian Lain
- Larangan penjualan data informasi lokasi mulai berlaku pada 1 Juli 2026
- Virginia mengikuti Maryland dan Oregon, yang telah melarang penjualan data informasi lokasi
- Maryland dan Oregon mendefinisikan penjualan secara lebih luas sebagai pertukaran data pribadi dengan “imbalan uang atau imbalan berharga lainnya”
RUU Serupa dan Penyelidikan Regulasi
- Di sejumlah negara bagian lain juga diajukan RUU yang serupa dengan larangan penjualan data informasi lokasi
- Pergerakan legislasi ini sejalan dengan arus penyelidikan regulasi terhadap penjualan data informasi lokasi
- California Attorney General melakukan penyelidikan terhadap industri data lokasi pada Maret 2025
- Penyelesaian FTC pada 2024 melarang broker data menjual data informasi lokasi
1 komentar
Pendapat di Hacker News
Jika orang benar-benar diberi pilihan yang cukup terinformasi dan tanpa paksaan, mereka akan menolak pengumpulan data semacam ini, terutama penjualannya.
Begitu juga penggunaan untuk tujuan di luar layanan yang mereka kira telah mereka izinkan secara eksplisit, seperti navigasi atau pengaturan waktu. Senang melihat ada sedikit bahasa perlindungan, tetapi harus ada daya paksa nyata. Jika data dikumpulkan dengan dalih palsu atau cara koersif, pelakunya seharusnya tidak hanya didenda, tetapi juga menghadapi penuntutan pidana
Edit: baru sekarang otak saya memproses informasinya; kalau penuntutan pidana, itu memang mungkin sedikit lebih memberi efek jera. Tentu saja tidak ada orang yang melakukan hal ilegal ;)
Apakah mungkin ada produk yang menampilkan besar-besar di layar pembayaran, “Kami akan menjual data lokasi Anda”? Apakah fakta bahwa seseorang menginginkan produk itu saja sudah termasuk paksaan?
Ini awal yang baik. Pada 2024, ada laporan bahwa “sebuah perusahaan melacak kunjungan ke sekitar 600 Planned Parenthood di 48 negara bagian dan memberikan data itu ke salah satu kampanye iklan anti-aborsi terbesar di AS” - https://www.politico.com/news/2024/02/13/planned-parenthood-...
Misalnya perusahaan yang didirikan di Delaware menjual data lokasi yang dikumpulkan di Virginia, tetapi perusahaan itu tidak beroperasi di Virginia, apa yang terjadi?
Sebaliknya, us-east-1 berada di Virginia, dan kita tidak tahu berapa banyak server pemrosesan pembayaran yang berjalan di sana
Namun fakta bahwa us-east-1 berada di Virginia kemungkinan besar membuat perkaranya cukup rumit, dan tampaknya menjadi masalah yang harus dibereskan pengadilan
Beberapa tahun lalu NYTimes pernah membahas bagaimana perusahaan asuransi mobil menggunakan data seperti ini. Isinya tentang pelacakan pengereman mendadak, berkendara malam hari, mengemudi di atas 80 mil per jam, dan sebagainya
Di wilayah pedesaan Utah ada ruas dengan batas kecepatan 80 mil per jam, dan ada juga aturan kecepatan yang pada awalnya dianggap melanggar. Banyak pengemudi Utah secara rutin melewati 80 mil per jam, dan saya rasa sebagian melakukannya secara legal. Angka itu terasa aneh untuk dijadikan patokan
Sebagai orang yang bekerja di bidang pembelian iklan, saya sangat menyukai undang-undang seperti ini. Titik data seperti ini memang seharusnya sejak awal tidak boleh dijual.
Ini membuat perlindungan orang tidak diserahkan hanya pada itikad baik. Satu langkah ke arah yang benar
Artikel ini terbit pada April, dan larangan tersebut mulai berlaku pada 1 Juli
Jika ini benar-benar menargetkan “penjualan” data dan memberlakukan batasan ketat pada broker data serta berbagai aktor jahat, saya sepenuhnya mendukung.
Sebaliknya, kalau seperti hukum California yang menyebut semua penggunaan data sebagai “penjualan data”, tetapi gagal memberlakukan regulasi yang benar-benar bernilai terhadap pelaku buruk di industri dan malah membuat air menjadi keruh, itu akan disayangkan. Ada juga nilai dalam menjaga makna kata tetap jelas dan konsisten. Tidak masalah jika Google memanfaatkan data Google Maps miliknya untuk memberikan rekomendasi yang lebih baik, tetapi sangat bermasalah jika AT&T menjual data lokasi agregat yang mudah mengidentifikasi individu kepada pihak ketiga. Saya berharap ini menjadi jalur yang jelas untuk melarang yang terakhir tanpa menyentuh yang pertama
Saya penasaran, setelah repot-repot membuat hukum seperti ini, kenapa yang dilarang hanya penjualan, bukan semua bentuk berbagi
Mungkin logikanya adalah entitas komersial pihak ketiga seperti operator telekomunikasi mengumpulkan dan membagikan data karena kebutuhan, tetapi mungkin tidak menjualnya. Namun ini juga menciptakan celah menarik. Setelah membuat perjanjian berbagi, biaya yang semula akan dikenakan bisa dipulihkan lewat mekanisme lain. Jika Provider A ingin menjual data ke Provider B dan B juga ingin membelinya tetapi secara hukum tidak boleh, A tinggal menyelipkan biayanya ke kontrak lain yang tidak terkait dengan B, lalu dengan kedipan mata, jabat tangan, dan anggukan, membagikan data lokasi secara “gratis” atas dasar “hubungan”. Kedua pihak tahu biayanya ada di kontrak lain, tetapi hanya A yang tahu rincian biayanya, sementara B hanya menghitung apakah harga paket lain plus berbagi data lokasi yang bersahabat itu sepadan dengan biaya keseluruhan. Agar adil, sebelum uang terlibat, orang memang cenderung kurang jahat dalam penggunaan informasi dan niatnya. Tidak selalu, tetapi rata-rata begitu
Fakta bahwa penjualan data lokasi presisi orang pernah diperlakukan seperti model bisnis normal itu sendiri sejujurnya tidak masuk akal.
Kita tahu panen data berskala besar sudah terjadi. Hukum seperti ini hanyalah langkah minimum untuk mengejar ketertinggalan. Andai saja bisa dibuat hukum yang menghukum perusahaan-perusahaan seperti ini sampai keberadaannya tidak mungkin lagi, tetapi sulit berharap banyak
Saya sempat tertarik karena lokasi kasar dari alamat IP juga merupakan “data lokasi”, tetapi undang-undang ini menyebut data lokasi presisi, jadi tampaknya dibatasi pada data yang dilaporkan dari perangkat