รัฐเวอร์จิเนียสั่งห้ามการขายข้อมูลตำแหน่งที่ตั้ง
(hunton.com)- รัฐเวอร์จิเนียแก้ไข VCDPA เพื่อห้ามการขายข้อมูลตำแหน่งที่ตั้ง ทำให้ข้อจำกัดต่อการซื้อขายข้อมูลตำแหน่งในกฎหมายคุ้มครองข้อมูลส่วนบุคคลระดับรัฐเข้มงวดยิ่งขึ้น
- การแก้ไขครั้งนี้มีผลหลังการลงนาม S.B. 388 และคำสั่งห้ามจะเริ่มมีผลในวันที่ 1 กรกฎาคม 2026
- คำนิยามของ การขาย (sale) ใน VCDPA จำกัดเฉพาะกรณีที่โอนข้อมูลส่วนบุคคลให้บุคคลที่สามเพื่อแลกกับค่าตอบแทนเป็นตัวเงิน ทำให้มีขอบเขตแคบกว่ารัฐอื่น
- Maryland และ Oregon ก็ห้ามการขายข้อมูลตำแหน่งที่ตั้งเช่นกัน แต่ทั้งสองรัฐนับรวม สิ่งตอบแทนที่มีมูลค่าอื่น ๆ นอกเหนือจากเงินไว้ในนิยามการขายด้วย
- กฎหมายลักษณะคล้ายกันใน California, Massachusetts, Vermont และ Washington State รวมถึงการสอบสวนของ California Attorney General และข้อตกลงยอมความของ FTC กำลังทำให้การขายข้อมูลตำแหน่งที่ตั้งกลายเป็นจุดสนใจด้านการกำกับดูแล
การแก้ไข VCDPA ของรัฐเวอร์จิเนีย
- ผู้ว่าการรัฐเวอร์จิเนีย Abigail Spanberger ลงนาม S.B. 388 เมื่อวันที่ 13 เมษายน 2026
- กฎหมายนี้แก้ไข Virginia Consumer Data Protection Act(VCDPA) เพื่อห้าม การขายข้อมูลตำแหน่งที่ตั้ง
- ใน VCDPA การขายถูกนิยามว่าเป็น “การที่ผู้ควบคุมข้อมูลแลกเปลี่ยนข้อมูลส่วนบุคคลกับบุคคลที่สามเพื่อแลกกับค่าตอบแทนเป็นตัวเงิน”
- ด้วยเหตุนี้ คำนิยามการขายของรัฐเวอร์จิเนียจึงยังคงมี ขอบเขตที่แคบกว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลแบบครอบคลุมของรัฐอื่น
วันมีผลบังคับใช้และความแตกต่างจากกฎหมายของรัฐอื่น
- คำสั่งห้ามการขายข้อมูลตำแหน่งที่ตั้งจะมีผลบังคับใช้ตั้งแต่ 1 กรกฎาคม 2026
- รัฐเวอร์จิเนียเดินตาม Maryland และ Oregon ที่ห้ามการขายข้อมูลตำแหน่งที่ตั้งไปก่อนแล้ว
- Maryland และ Oregon ให้นิยามการขายกว้างกว่า โดยหมายถึงการแลกเปลี่ยนข้อมูลส่วนบุคคลกับ “ค่าตอบแทนเป็นตัวเงินหรือสิ่งตอบแทนที่มีมูลค่าอื่น ๆ”
ร่างกฎหมายที่คล้ายกันและการสอบสวนด้านกำกับดูแล
- หลายรัฐได้เสนอร่างกฎหมายที่คล้ายกับการห้ามขายข้อมูลตำแหน่งที่ตั้ง
- ความเคลื่อนไหวทางกฎหมายเหล่านี้สอดคล้องกับกระแส การสอบสวนด้านกำกับดูแล เกี่ยวกับการขายข้อมูลตำแหน่งที่ตั้ง
- California Attorney General ได้เริ่ม การสอบสวน ต่ออุตสาหกรรมข้อมูลตำแหน่งในเดือนมีนาคม 2025
- ข้อตกลงยอมความของ FTC ในปี 2024 สั่งห้ามนายหน้าข้อมูลขายข้อมูลตำแหน่งที่ตั้งของผู้บริโภค
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ในทางปฏิบัติ ถ้าผู้คนได้รับทางเลือกที่เข้าใจเพียงพอและไม่ถูกบีบบังคับ พวกเขาจะปฏิเสธการเก็บข้อมูลแบบนี้ โดยเฉพาะการนำไปขาย
เช่นเดียวกับการนำไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากบริการที่พวกเขาคิดว่าตนอนุญาตไว้อย่างชัดเจน เช่น การนำทางหรือการตั้งเวลา การมีข้อความคุ้มครองเล็กน้อยก็ถือว่าน่ายินดี แต่ต้องมีการบังคับใช้จริงด้วย หากเก็บข้อมูลด้วยข้ออ้างเท็จหรือวิธีการบีบบังคับ ก็ควรโดนไม่ใช่แค่ค่าปรับ แต่รวมถึงการดำเนินคดีอาญาด้วย
แก้ไข: เพิ่งนึกได้ว่าถ้าเป็นการดำเนินคดีอาญา มันก็น่าจะมีแรงยับยั้งมากขึ้นหน่อย แน่นอนว่าไม่มีใครทำเรื่องผิดกฎหมายหรอก ;)
จะมีผลิตภัณฑ์ที่ขึ้นข้อความใหญ่ ๆ หน้าเช็กเอาต์ว่า “เราจะขายข้อมูลตำแหน่งของคุณ” ได้ไหม? แค่ผู้ใช้ต้องการสินค้านั้นเองถือเป็นการบีบบังคับแล้วหรือเปล่า?
นี่เป็นจุดเริ่มต้นที่ดี ในปี 2024 มีรายงานว่า “จากผลการสืบสวนพบว่าบริษัทแห่งหนึ่งติดตามการเยี่ยมชม Planned Parenthood ราว 600 แห่งใน 48 รัฐ และส่งต่อข้อมูลนั้นให้หนึ่งในแคมเปญโฆษณาต่อต้านการทำแท้งที่ใหญ่ที่สุดในสหรัฐฯ” - https://www.politico.com/news/2024/02/13/planned-parenthood-...
สมมติว่าบริษัทที่จัดตั้งใน Delaware ขายข้อมูลตำแหน่งที่เก็บจาก Virginia แต่บริษัทนั้นไม่ได้ทำธุรกิจใน Virginia จะเกิดอะไรขึ้น?
ในทางกลับกัน us-east-1 ก็อยู่ใน Virginia และก็ไม่รู้ว่ามีเซิร์ฟเวอร์ประมวลผลการชำระเงินรันอยู่มากแค่ไหน
แต่การที่ us-east-1 อยู่ใน Virginia น่าจะทำให้เรื่องนี้ซับซ้อนขึ้นมาก และดูเป็นเรื่องที่ศาลต้องตีความจัดการ
เมื่อหลายปีก่อน NYTimes เคยพูดถึงวิธีที่บริษัทประกันรถยนต์ใช้ข้อมูลแบบนี้ มีเนื้อหาเกี่ยวกับการติดตามการเบรกกะทันหัน การขับกลางคืน และการขับเกิน 80 ไมล์ต่อชั่วโมง
ในพื้นที่ชนบทของ Utah มีถนนที่จำกัดความเร็วไว้ที่ 80 ไมล์ต่อชั่วโมง และก็มีกฎหมายเรื่องความเร็วที่สันนิษฐานว่าเกินควรอยู่ด้วย คนขับใน Utah หลายคนขับเกิน 80 ไมล์ต่อชั่วโมงเป็นประจำ และบางครั้งก็ถูกกฎหมายด้วย ดูเป็นตัวเลขที่แปลกถ้าจะใช้เป็นเกณฑ์
ในฐานะคนที่ทำงานในสายซื้อโฆษณา ผมว่ากฎหมายแบบนี้ดีมาก จุดข้อมูลพวกนี้ไม่ควรถูกนำมาซื้อขายตั้งแต่แรก
มันช่วยไม่ให้การปกป้องผู้คนต้องพึ่งแค่ความหวังดี เป็นอีกก้าวที่ไปในทิศทางที่ถูกต้อง
บทความนี้เป็นข่าวตั้งแต่เดือนเมษายน และคำสั่งห้ามมีผลบังคับใช้เมื่อ1 กรกฎาคม
ถ้านี่มุ่งเป้าไปที่ “การขาย” ข้อมูลจริง ๆ และกำหนดข้อจำกัดเข้มงวดกับdata brokerรวมถึงผู้ไม่หวังดีประเภทต่าง ๆ ผมก็เห็นด้วยเต็มที่
แต่ถ้ามันเป็นแบบกฎหมายของ California ที่เรียกการใช้ข้อมูลทุกอย่างว่า “การขายข้อมูล” จนทำให้น้ำขุ่นและไม่ได้ออกกฎที่มีคุณค่าจริงกับพวกตัวร้ายในอุตสาหกรรม ก็น่าเสียดาย การรักษาความหมายของคำให้ชัดเจนและสม่ำเสมอก็มีคุณค่าเหมือนกัน Google ใช้ข้อมูล Google Maps ของตัวเองเพื่อแนะนำสิ่งที่ดีขึ้นนั้นไม่ใช่ปัญหา แต่ AT&T ขายข้อมูลตำแหน่งแบบสรุปรวมที่ยังระบุตัวบุคคลได้ง่ายให้บุคคลที่สามนั้นเป็นปัญหาใหญ่ หวังว่าจะมีกลไกที่ชัดเจนในการห้ามอย่างหลังโดยไม่ไปแตะอย่างแรก
ถ้าจะลงทุนออกกฎหมายแบบนี้แล้ว ทำไมถึงห้ามแค่การขายแทนที่จะห้ามการแชร์ทุกแบบ?
ผู้เล่นเชิงพาณิชย์ที่เป็นบุคคลที่สามอย่างผู้ให้บริการโทรคมนาคมอาจจำเป็นต้องเก็บและแชร์ข้อมูล แต่ไม่ถึงกับขาย นี่อาจเป็นตรรกะของกฎหมายก็ได้ แต่ก็เปิดช่องโหว่ที่น่าสนใจเหมือนกัน คือทำสัญญาแชร์ข้อมูลไว้ แล้วไปเก็บค่าตอบแทนผ่านกลไกอื่นแทน Provider A อยากขายข้อมูลให้ Provider B และ B ก็อยากซื้อ แต่ตามกฎหมายซื้อขายกันไม่ได้ A ก็แค่แอบบวกราคาไว้ในสัญญาอื่นที่ไม่เกี่ยวข้องกับ B แล้วใช้การขยิบตา จับมือ พยักหน้า แชร์ข้อมูลตำแหน่งกันแบบ “ฟรี” ในฐานะส่วนหนึ่งของ “ความสัมพันธ์” ทั้งสองฝ่ายรู้ว่าต้นทุนถูกย้ายไปอยู่ในสัญญาอื่นแล้ว แต่ค่าใช้จ่ายแยกรายการมีแค่ A ที่รู้ ส่วน B ก็แค่คำนวณว่าราคาของแพ็กเกจอื่นรวมกับการแชร์ข้อมูลตำแหน่งแบบมิตรภาพนั้นคุ้มกับต้นทุนรวมไหม พูดอย่างเป็นธรรมคือ ก่อนที่เงินจะเข้ามาเกี่ยว คนเรามักมีเจตนาและการใช้ข้อมูลที่ไม่ร้ายเท่าไหร่ อย่างน้อยโดยเฉลี่ยก็เป็นแบบนั้น แม้จะไม่เสมอไปก็ตาม
การที่การขายข้อมูลตำแหน่งที่แม่นยำของผู้คนเคยถูกมองเป็นโมเดลธุรกิจปกตินั้น พูดตรง ๆ ว่าไร้สาระมาก
เรารู้อยู่แล้วว่ามีการกวาดเก็บข้อมูลขนานใหญ่เกิดขึ้นไปแล้ว กฎหมายพวกนี้ก็เป็นเพียงมาตรการขั้นต่ำที่ออกมาชดเชยย้อนหลังเท่านั้น ถ้ามีกฎหมายที่ลงโทษบริษัทพวกนี้หนักจนอยู่ต่อไม่ได้ก็คงดี แต่คงหวังยาก
น่าสนใจที่ตำแหน่งโดยประมาณจาก IP address ก็อาจนับเป็น “ข้อมูลตำแหน่ง” ได้ แต่ดูเหมือนว่ากฎหมายจะจำกัดไว้ที่ข้อมูลตำแหน่งที่แม่นยำ คือข้อมูลที่รายงานจากอุปกรณ์