1 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Virginia memperkuat pembatasan perdagangan data lokasi dalam undang-undang privasi tingkat negara bagian dengan melarang penjualan data informasi lokasi melalui amandemen VCDPA
  • Amandemen ini ditegaskan melalui penandatanganan S.B. 388, dan larangan tersebut akan berlaku mulai 1 Juli 2026
  • Definisi penjualan (sale) dalam VCDPA dibatasi pada penyerahan data pribadi kepada pihak ketiga dengan imbalan uang, sehingga cakupannya lebih sempit dibanding negara bagian lain
  • Maryland dan Oregon juga melarang penjualan data informasi lokasi, tetapi kedua negara bagian itu memasukkan imbalan berharga lainnya selain uang ke dalam definisi penjualan
  • RUU serupa di California, Massachusetts, Vermont, dan Washington State, ditambah penyelidikan California Attorney General dan penyelesaian dengan FTC, membuat penjualan data informasi lokasi muncul sebagai fokus regulasi

Amandemen VCDPA di Virginia

  • Gubernur Virginia Abigail Spanberger menandatangani S.B. 388 pada 13 April 2026
  • Undang-undang ini mengamendemen Virginia Consumer Data Protection Act (VCDPA) untuk melarang penjualan data informasi lokasi
  • Dalam VCDPA, penjualan didefinisikan sebagai “tindakan controller menukar data pribadi kepada pihak ketiga dengan imbalan uang”
  • Karena itu, definisi penjualan di Virginia tetap berada dalam cakupan yang lebih sempit dibanding undang-undang privasi komprehensif di negara bagian lain

Tanggal Berlaku dan Perbedaan dengan Hukum Negara Bagian Lain

  • Larangan penjualan data informasi lokasi mulai berlaku pada 1 Juli 2026
  • Virginia mengikuti Maryland dan Oregon, yang telah melarang penjualan data informasi lokasi
  • Maryland dan Oregon mendefinisikan penjualan secara lebih luas sebagai pertukaran data pribadi dengan “imbalan uang atau imbalan berharga lainnya”

RUU Serupa dan Penyelidikan Regulasi

  • Di sejumlah negara bagian lain juga diajukan RUU yang serupa dengan larangan penjualan data informasi lokasi
  • Pergerakan legislasi ini sejalan dengan arus penyelidikan regulasi terhadap penjualan data informasi lokasi
    • California Attorney General melakukan penyelidikan terhadap industri data lokasi pada Maret 2025
    • Penyelesaian FTC pada 2024 melarang broker data menjual data informasi lokasi

1 komentar

 
GN⁺ 4 jam lalu
Pendapat di Hacker News
  • Jika orang benar-benar diberi pilihan yang cukup terinformasi dan tanpa paksaan, mereka akan menolak pengumpulan data semacam ini, terutama penjualannya.
    Begitu juga penggunaan untuk tujuan di luar layanan yang mereka kira telah mereka izinkan secara eksplisit, seperti navigasi atau pengaturan waktu. Senang melihat ada sedikit bahasa perlindungan, tetapi harus ada daya paksa nyata. Jika data dikumpulkan dengan dalih palsu atau cara koersif, pelakunya seharusnya tidak hanya didenda, tetapi juga menghadapi penuntutan pidana

    • Sepenuhnya setuju. Orang-orang yang bilang “saya tidak punya apa-apa untuk disembunyikan” sepertinya tidak paham seberapa besar kerugian yang bisa menimpa mereka jika tidak ada perlindungan privasi dan hukum yang menjaminnya. Atau mungkin mereka memang tidak punya naluri mempertahankan diri
    • Kalau kaya, bukankah tinggal bayar denda saja? Kita sering dengar perusahaan besar tiap tahun didenda miliaran dolar karena hal seperti ini dan sama sekali tidak peduli.
      Edit: baru sekarang otak saya memproses informasinya; kalau penuntutan pidana, itu memang mungkin sedikit lebih memberi efek jera. Tentu saja tidak ada orang yang melakukan hal ilegal ;)
    • Saya penasaran di mana batas paksaan itu
      Apakah mungkin ada produk yang menampilkan besar-besar di layar pembayaran, “Kami akan menjual data lokasi Anda”? Apakah fakta bahwa seseorang menginginkan produk itu saja sudah termasuk paksaan?
  • Ini awal yang baik. Pada 2024, ada laporan bahwa “sebuah perusahaan melacak kunjungan ke sekitar 600 Planned Parenthood di 48 negara bagian dan memberikan data itu ke salah satu kampanye iklan anti-aborsi terbesar di AS” - https://www.politico.com/news/2024/02/13/planned-parenthood-...

  • Misalnya perusahaan yang didirikan di Delaware menjual data lokasi yang dikumpulkan di Virginia, tetapi perusahaan itu tidak beroperasi di Virginia, apa yang terjadi?
    Sebaliknya, us-east-1 berada di Virginia, dan kita tidak tahu berapa banyak server pemrosesan pembayaran yang berjalan di sana

    • Sama seperti yang selalu terjadi dalam gugatan lintas batas negara bagian. Gugatan akan masuk ke salah satu yurisdiksi, atau ke pengadilan federal jika memenuhi syarat yurisdiksi keberagaman
    • Jika perusahaan Delaware sama sekali tidak punya kehadiran di Virginia, negara bagian Virginia tidak bisa berbuat banyak.
      Namun fakta bahwa us-east-1 berada di Virginia kemungkinan besar membuat perkaranya cukup rumit, dan tampaknya menjadi masalah yang harus dibereskan pengadilan
    • Penjual biasanya kemungkinan besar akan memutuskan apakah akan mematuhi atau tidak. Jika ingin patuh, mereka akan mengecualikan semua data Virginia dari dataset yang dikumpulkan, dan mewajibkan pengguna hilir lewat kontrak untuk memberi ganti rugi jika dataset itu berdampak pada penduduk Virginia
  • Beberapa tahun lalu NYTimes pernah membahas bagaimana perusahaan asuransi mobil menggunakan data seperti ini. Isinya tentang pelacakan pengereman mendadak, berkendara malam hari, mengemudi di atas 80 mil per jam, dan sebagainya

    • Sedikit melenceng, saya penasaran kenapa 80 mil per jam dipilih sebagai ambang sewenang-wenang.
      Di wilayah pedesaan Utah ada ruas dengan batas kecepatan 80 mil per jam, dan ada juga aturan kecepatan yang pada awalnya dianggap melanggar. Banyak pengemudi Utah secara rutin melewati 80 mil per jam, dan saya rasa sebagian melakukannya secara legal. Angka itu terasa aneh untuk dijadikan patokan
    • Benar. Ini pertukaran data privat dan pribadi demi keuntungan tanpa persetujuan maupun kesadaran pengguna
    • Bukankah data seperti itu dikumpulkan dengan persetujuan sebagai bagian dari program asuransi, dan cukup eksplisit pula?
  • Sebagai orang yang bekerja di bidang pembelian iklan, saya sangat menyukai undang-undang seperti ini. Titik data seperti ini memang seharusnya sejak awal tidak boleh dijual.
    Ini membuat perlindungan orang tidak diserahkan hanya pada itikad baik. Satu langkah ke arah yang benar

  • Artikel ini terbit pada April, dan larangan tersebut mulai berlaku pada 1 Juli

  • Jika ini benar-benar menargetkan “penjualan” data dan memberlakukan batasan ketat pada broker data serta berbagai aktor jahat, saya sepenuhnya mendukung.
    Sebaliknya, kalau seperti hukum California yang menyebut semua penggunaan data sebagai “penjualan data”, tetapi gagal memberlakukan regulasi yang benar-benar bernilai terhadap pelaku buruk di industri dan malah membuat air menjadi keruh, itu akan disayangkan. Ada juga nilai dalam menjaga makna kata tetap jelas dan konsisten. Tidak masalah jika Google memanfaatkan data Google Maps miliknya untuk memberikan rekomendasi yang lebih baik, tetapi sangat bermasalah jika AT&T menjual data lokasi agregat yang mudah mengidentifikasi individu kepada pihak ketiga. Saya berharap ini menjadi jalur yang jelas untuk melarang yang terakhir tanpa menyentuh yang pertama

  • Saya penasaran, setelah repot-repot membuat hukum seperti ini, kenapa yang dilarang hanya penjualan, bukan semua bentuk berbagi

    • Pertanyaan bagus, saya juga penasaran. Yang terlintas adalah layanan 911, operator telekomunikasi, dan data yang diminta lewat subpoena oleh aparat penegak hukum.
      Mungkin logikanya adalah entitas komersial pihak ketiga seperti operator telekomunikasi mengumpulkan dan membagikan data karena kebutuhan, tetapi mungkin tidak menjualnya. Namun ini juga menciptakan celah menarik. Setelah membuat perjanjian berbagi, biaya yang semula akan dikenakan bisa dipulihkan lewat mekanisme lain. Jika Provider A ingin menjual data ke Provider B dan B juga ingin membelinya tetapi secara hukum tidak boleh, A tinggal menyelipkan biayanya ke kontrak lain yang tidak terkait dengan B, lalu dengan kedipan mata, jabat tangan, dan anggukan, membagikan data lokasi secara “gratis” atas dasar “hubungan”. Kedua pihak tahu biayanya ada di kontrak lain, tetapi hanya A yang tahu rincian biayanya, sementara B hanya menghitung apakah harga paket lain plus berbagi data lokasi yang bersahabat itu sepadan dengan biaya keseluruhan. Agar adil, sebelum uang terlibat, orang memang cenderung kurang jahat dalam penggunaan informasi dan niatnya. Tidak selalu, tetapi rata-rata begitu
    • Karena data itu sangat berguna untuk mencerminkan tingkat risiko pengemudi dalam premi asuransi. Tentu saja pengemudi berbahaya harus membayar tarif lebih tinggi
  • Fakta bahwa penjualan data lokasi presisi orang pernah diperlakukan seperti model bisnis normal itu sendiri sejujurnya tidak masuk akal.
    Kita tahu panen data berskala besar sudah terjadi. Hukum seperti ini hanyalah langkah minimum untuk mengejar ketertinggalan. Andai saja bisa dibuat hukum yang menghukum perusahaan-perusahaan seperti ini sampai keberadaannya tidak mungkin lagi, tetapi sulit berharap banyak

  • Saya sempat tertarik karena lokasi kasar dari alamat IP juga merupakan “data lokasi”, tetapi undang-undang ini menyebut data lokasi presisi, jadi tampaknya dibatasi pada data yang dilaporkan dari perangkat

    • Kemungkinan masuk dalam definisi data lokasi presisi yang bisa dikonfigurasi di pengaturan seluler. Itu opsi yang lebih granular yang bisa diaktifkan saat berbagi lokasi
    • Sepertinya koordinat apa pun termasuk. Selama bukan sesuatu seperti “di balik pohon maple di seberang jalan dari Ross Dress for Less”