1 puan yazan GN⁺ 4 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Virginia eyaleti, VCDPA değişikliği ile konum verilerinin satışını yasaklayarak eyalet düzeyindeki gizlilik yasalarında konum verisi ticaretine yönelik kısıtlamaları güçlendirdi
  • Bu değişiklik S.B. 388’in imzalanmasıyla kesinleşti; yasak 1 Temmuz 2026’dan itibaren uygulanacak
  • VCDPA’daki satış (sale) tanımı, kişisel verilerin parasal karşılık karşılığında üçüncü taraflara aktarılmasıyla sınırlı olduğu için diğer eyaletlere göre daha dar kapsamlı
  • Maryland ve Oregon da konum verilerinin satışını yasakladı; ancak bu iki eyalet, parasal olmayan diğer değerli karşılıkları da satış kapsamına dahil ediyor
  • California, Massachusetts, Vermont ve Washington State’teki benzer yasa tasarıları ile California Attorney General soruşturması ve FTC uzlaşmaları, konum verisi satışını düzenleyici odağın merkezine taşıyor

Virginia’nın VCDPA değişikliği

  • Virginia Valisi Abigail Spanberger, 13 Nisan 2026’da S.B. 388’i imzaladı
  • Bu yasa, Virginia Consumer Data Protection Act (VCDPA)’yi değiştirerek konum verilerinin satışını yasaklıyor
  • VCDPA’da satış, “bir denetleyicinin kişisel verileri parasal karşılık karşılığında üçüncü taraflara aktarması” olarak tanımlanıyor
  • Bu nedenle Virginia’daki satış tanımı, diğer eyaletlerin kapsamlı gizlilik yasalarına kıyasla daha dar kapsamda kalıyor

Yürürlük tarihi ve diğer eyalet yasalarından farkı

  • Konum verilerinin satışı yasağı 1 Temmuz 2026 itibarıyla yürürlüğe girecek
  • Virginia, konum verilerinin satışını yasaklayan Maryland ve Oregon’ı takip ediyor
  • Maryland ve Oregon, satışı kişisel verilerin “parasal karşılık veya diğer değerli karşılıklar” karşılığında aktarılması olarak daha geniş tanımlıyor

Benzer yasa tasarıları ve düzenleyici incelemeler

  • Birçok eyalette konum verilerinin satışını yasaklamaya benzer yasa tasarıları önerildi
  • Bu yasama hareketleri, konum verisi satışına yönelik düzenleyici inceleme eğilimiyle örtüşüyor
    • California Attorney General, Mart 2025’te konum verisi sektörüne yönelik bir soruşturma yürüttü
    • 2024 tarihli FTC uzlaşması, veri brokerlarının konum verisi satışını yasakladı

1 yorum

 
GN⁺ 4 시간 전
Hacker News yorumları
  • İnsanlara gerçekten yeterince bilgi verilmiş ve baskıdan uzak bir seçim hakkı tanınmışsa, bu tür veri toplamayı ve özellikle de satışını reddederler.
    Navigasyon ya da saat ayarı gibi açıkça izin verdiklerini düşündükleri hizmetlerin dışındaki amaçlar için kullanılması da buna dahil. Bir miktar koruyucu ifade eklenmiş olması sevindirici, ama bunun gerçek yaptırım gücü olmalı. Veriler sahte gerekçelerle ya da zorlayıcı yöntemlerle toplandıysa yalnızca para cezası değil, ceza davası da söz konusu olmalı.

    • Tamamen katılıyorum. “Saklayacak bir şeyim yok” diyenler, mahremiyet koruması ve bunu güvence altına alan yasalar olmadığında bunun kendilerine ne kadar büyük zarar verebileceğini bilmiyor gibi. Ya da belki de kendini koruma içgüdüleri yoktur.
    • Zenginseniz cezayı ödeyip geçmez misiniz diye düşünüyorum. Büyük şirketlerin bu tür şeyler yüzünden her yıl milyarlarca dolar ceza yediği ama hiç umursamadığı sık sık söyleniyor.
      Düzenleme: Bilgi ancak şimdi kafamda oturdu; ceza davası olursa biraz daha caydırıcı olur. Tabii yasa dışı şeyler yapan kimse yoktur ;)
    • Zorlamanın sınırının nerede olduğunu merak ediyorum.
      Ödeme ekranında kocaman “Konum verilerinizi satacağız” yazan bir ürün mümkün olur mu? Sırf o ürünü istemek bile zorlama sayılır mı?
  • İyi bir başlangıç. 2024’te, “bir şirketin 48 eyalette yaklaşık 600 Planned Parenthood ziyaretini takip ettiği ve bu verileri ABD’deki en büyük kürtaj karşıtı reklam kampanyalarından birine sağladığına dair bir soruşturmanın ortaya çıktığı” haber yapılmıştı - https://www.politico.com/news/2024/02/13/planned-parenthood-...

  • Örneğin Delaware’de kurulmuş bir şirket Virginia’da toplanan konum verilerini satıyorsa, ama şirket Virginia’da faaliyet göstermiyorsa ne olur?
    Öte yandan us-east-1 Virginia’da ve orada kaç ödeme işleme sunucusunun çalıştığını da bilemeyiz.

    • Eyalet sınırlarını aşan davalarda her zaman olan şey olur. Dava bir yargı alanına gider ya da çeşitlilik yargı yetkisi şartları sağlanıyorsa federal mahkemeye gider.
    • Delaware şirketinin Virginia’da hiçbir varlığı yoksa Virginia eyaletinin yapabileceği bir şey yok.
      Ancak us-east-1’in Virginia’da olması konuyu epey karmaşık hâle getirebilir ve mahkemenin çözmesi gereken bir mesele gibi görünüyor.
    • Satıcı büyük olasılıkla uyup uymayacağına karar verir. Uymaya çalışırsa topladığı veri setinden tüm Virginia verilerini çıkarır ve alt kullanıcıların veri seti nedeniyle Virginia sakinlerini etkilemesi durumunda sözleşmeyle kendisini sorumluluktan muaf tutmalarını ister.
  • Birkaç yıl önce NYTimes, otomobil sigortacılarının bu verileri nasıl kullandığını ele almıştı. Ani frenleme, gece araç kullanma, saatte 80 milin üzerinde sürme gibi şeylerin izlendiği yazıyordu.

    • Konu dışı ama saatte 80 milin neden keyfi eşik olarak seçildiğini merak ediyorum.
      Utah’ın kırsal bölgelerinde hız sınırının 80 mil olduğu kesimler var ve ilk bakışta ihlal sayıldığı varsayılan hız kuralları da mevcut. Birçok Utah sürücüsü düzenli olarak 80 milin üzerine çıkıyor; bazıları bunu yasal şekilde yapıyor da olabilir. Eşik olarak garip bir sayı.
    • Evet. Kullanıcının rızası ya da farkındalığı olmadan özel ve kişisel verilerin kâr amacıyla el değiştirmesi bu.
    • Bu tür veriler sigorta programının bir parçası olarak rızayla, hem de oldukça açık biçimde toplanmıyor mu?
  • Reklam satın alma alanında çalışan biri olarak böyle yasaları gerçekten iyi buluyorum. Bu tür veri noktaları en başta satış konusu olmamalı.
    İnsanları koruma işini iyi niyete bırakmamayı sağlıyor. Doğru yönde atılmış bir adım.

  • Bu makale nisandandı ve yasak 1 Temmuz’da yürürlüğe girdi.

  • Eğer bu gerçekten verinin “satışını” hedef alıyor ve veri brokerlarına ve çeşitli kötü niyetli aktörlere sıkı kısıtlamalar getiriyorsa tamamen destekliyorum.
    Tersine, California yasası gibi tüm veri kullanımını “veri satışı” diye adlandırıp sektördeki kötü aktörlere gerçekten değerli bir düzenleme getiremiyor ve ortalığı bulandırıyorsa yazık olur. Kelimelerin anlamını açık ve tutarlı tutmanın da değeri var. Google’ın kendi Google Maps verilerini daha iyi öneriler sunmak için kullanmasında sorun yok; ama AT&T’nin kişilerin kimliğini belirlemeyi kolaylaştıran toplu konum verilerini üçüncü taraflara satması büyük sorun. Umarım ikincisini yasaklayıp birincisine dokunmayan net bir yol olur.

  • Böyle bir yasayı çıkarma zahmetine girerken neden tüm paylaşımı değil de yalnızca satışı yasakladıklarını merak ediyorum.

    • İyi soru, ben de merak ediyorum. 911 hizmetleriyle telekom operatörleri ve kolluk kuvvetlerinin celple talep ettiği veriler aklıma geliyor.
      Telekom operatörleri gibi üçüncü taraf ticari aktörlerin ihtiyaç gereği veri topladığı ve paylaştığı, ama muhtemelen satmadığı mantığı olabilir. Ancak ilginç açıklar da doğuyor. Bir paylaşım anlaşması yapıp sonra normalde alınacak ücreti başka bir mekanizmayla geri alabilirsiniz. Sağlayıcı A, Sağlayıcı B’ye veri satmak istiyor ve B de almak istiyor ama yasal olarak satamıyorsa, A, B ile yaptığı alakasız başka bir sözleşmeye maliyeti gizlice ekler; göz kırpma, el sıkışma ve baş sallamayla “ilişki” kapsamında konum verilerini “ücretsiz” paylaşır. İki taraf da maliyetin diğer sözleşmeye dahil olduğunu bilir, ama kalem kalem maliyeti yalnızca A bilir; B ise diğer paket fiyatıyla dostane konum verisi paylaşımının toplam maliyete değip değmediğini hesaplar. Adil olmak gerekirse, işin içine para girmeden önce insanlar bilgi kullanımı ve niyet konusunda daha az kötü niyetli olma eğilimindedir. Her zaman değil, ama ortalamada böyledir.
    • Çünkü veriler, sürücülerin risk düzeyini sigorta primlerine yansıtmakta çok işe yarıyor. Elbette tehlikeli sürücüler daha yüksek tarife ödemeli.
  • İnsanların kesin konum verilerinin satışının bir zamanlar normal bir iş modeli gibi görülmüş olması açıkçası akıl almaz.
    Zaten büyük ölçekli veri hasadının yapıldığını biliyoruz. Bu tür yasalar, ancak geriden yetişmek için atılan asgari adımlar. Keşke bu şirketleri var olamayacakları kadar cezalandıran yasalar da çıkarılabilse, ama bunu beklemek zor.

  • IP adresinin yaklaşık konumunun da “konum verisi” sayılması ilginçti; ama yasa kesin konum verisi dediği için bunu cihazdan bildirilen verilerle sınırlıyor gibi.

    • Mobil ayarlarda yapılandırılabilen kesin konum verisi tanımına girmesi muhtemel. Konum paylaşırken açılabilen daha ayrıntılı seçenek bu.
    • Koordinat olan her şey buna girer gibi. “Ross Dress for Less’in karşısında, yolun öbür tarafındaki akçaağacın arkası” gibi bir şey olmadığı sürece.