- Virginia eyaleti, VCDPA değişikliği ile konum verilerinin satışını yasaklayarak eyalet düzeyindeki gizlilik yasalarında konum verisi ticaretine yönelik kısıtlamaları güçlendirdi
- Bu değişiklik S.B. 388’in imzalanmasıyla kesinleşti; yasak 1 Temmuz 2026’dan itibaren uygulanacak
- VCDPA’daki satış (sale) tanımı, kişisel verilerin parasal karşılık karşılığında üçüncü taraflara aktarılmasıyla sınırlı olduğu için diğer eyaletlere göre daha dar kapsamlı
- Maryland ve Oregon da konum verilerinin satışını yasakladı; ancak bu iki eyalet, parasal olmayan diğer değerli karşılıkları da satış kapsamına dahil ediyor
- California, Massachusetts, Vermont ve Washington State’teki benzer yasa tasarıları ile California Attorney General soruşturması ve FTC uzlaşmaları, konum verisi satışını düzenleyici odağın merkezine taşıyor
Virginia’nın VCDPA değişikliği
- Virginia Valisi Abigail Spanberger, 13 Nisan 2026’da S.B. 388’i imzaladı
- Bu yasa, Virginia Consumer Data Protection Act (VCDPA)’yi değiştirerek konum verilerinin satışını yasaklıyor
- VCDPA’da satış, “bir denetleyicinin kişisel verileri parasal karşılık karşılığında üçüncü taraflara aktarması” olarak tanımlanıyor
- Bu nedenle Virginia’daki satış tanımı, diğer eyaletlerin kapsamlı gizlilik yasalarına kıyasla daha dar kapsamda kalıyor
Yürürlük tarihi ve diğer eyalet yasalarından farkı
- Konum verilerinin satışı yasağı 1 Temmuz 2026 itibarıyla yürürlüğe girecek
- Virginia, konum verilerinin satışını yasaklayan Maryland ve Oregon’ı takip ediyor
- Maryland ve Oregon, satışı kişisel verilerin “parasal karşılık veya diğer değerli karşılıklar” karşılığında aktarılması olarak daha geniş tanımlıyor
Benzer yasa tasarıları ve düzenleyici incelemeler
- Birçok eyalette konum verilerinin satışını yasaklamaya benzer yasa tasarıları önerildi
- Bu yasama hareketleri, konum verisi satışına yönelik düzenleyici inceleme eğilimiyle örtüşüyor
- California Attorney General, Mart 2025’te konum verisi sektörüne yönelik bir soruşturma yürüttü
- 2024 tarihli FTC uzlaşması, veri brokerlarının konum verisi satışını yasakladı
1 yorum
Hacker News yorumları
İnsanlara gerçekten yeterince bilgi verilmiş ve baskıdan uzak bir seçim hakkı tanınmışsa, bu tür veri toplamayı ve özellikle de satışını reddederler.
Navigasyon ya da saat ayarı gibi açıkça izin verdiklerini düşündükleri hizmetlerin dışındaki amaçlar için kullanılması da buna dahil. Bir miktar koruyucu ifade eklenmiş olması sevindirici, ama bunun gerçek yaptırım gücü olmalı. Veriler sahte gerekçelerle ya da zorlayıcı yöntemlerle toplandıysa yalnızca para cezası değil, ceza davası da söz konusu olmalı.
Düzenleme: Bilgi ancak şimdi kafamda oturdu; ceza davası olursa biraz daha caydırıcı olur. Tabii yasa dışı şeyler yapan kimse yoktur ;)
Ödeme ekranında kocaman “Konum verilerinizi satacağız” yazan bir ürün mümkün olur mu? Sırf o ürünü istemek bile zorlama sayılır mı?
İyi bir başlangıç. 2024’te, “bir şirketin 48 eyalette yaklaşık 600 Planned Parenthood ziyaretini takip ettiği ve bu verileri ABD’deki en büyük kürtaj karşıtı reklam kampanyalarından birine sağladığına dair bir soruşturmanın ortaya çıktığı” haber yapılmıştı - https://www.politico.com/news/2024/02/13/planned-parenthood-...
Örneğin Delaware’de kurulmuş bir şirket Virginia’da toplanan konum verilerini satıyorsa, ama şirket Virginia’da faaliyet göstermiyorsa ne olur?
Öte yandan us-east-1 Virginia’da ve orada kaç ödeme işleme sunucusunun çalıştığını da bilemeyiz.
Ancak us-east-1’in Virginia’da olması konuyu epey karmaşık hâle getirebilir ve mahkemenin çözmesi gereken bir mesele gibi görünüyor.
Birkaç yıl önce NYTimes, otomobil sigortacılarının bu verileri nasıl kullandığını ele almıştı. Ani frenleme, gece araç kullanma, saatte 80 milin üzerinde sürme gibi şeylerin izlendiği yazıyordu.
Utah’ın kırsal bölgelerinde hız sınırının 80 mil olduğu kesimler var ve ilk bakışta ihlal sayıldığı varsayılan hız kuralları da mevcut. Birçok Utah sürücüsü düzenli olarak 80 milin üzerine çıkıyor; bazıları bunu yasal şekilde yapıyor da olabilir. Eşik olarak garip bir sayı.
Reklam satın alma alanında çalışan biri olarak böyle yasaları gerçekten iyi buluyorum. Bu tür veri noktaları en başta satış konusu olmamalı.
İnsanları koruma işini iyi niyete bırakmamayı sağlıyor. Doğru yönde atılmış bir adım.
Bu makale nisandandı ve yasak 1 Temmuz’da yürürlüğe girdi.
Eğer bu gerçekten verinin “satışını” hedef alıyor ve veri brokerlarına ve çeşitli kötü niyetli aktörlere sıkı kısıtlamalar getiriyorsa tamamen destekliyorum.
Tersine, California yasası gibi tüm veri kullanımını “veri satışı” diye adlandırıp sektördeki kötü aktörlere gerçekten değerli bir düzenleme getiremiyor ve ortalığı bulandırıyorsa yazık olur. Kelimelerin anlamını açık ve tutarlı tutmanın da değeri var. Google’ın kendi Google Maps verilerini daha iyi öneriler sunmak için kullanmasında sorun yok; ama AT&T’nin kişilerin kimliğini belirlemeyi kolaylaştıran toplu konum verilerini üçüncü taraflara satması büyük sorun. Umarım ikincisini yasaklayıp birincisine dokunmayan net bir yol olur.
Böyle bir yasayı çıkarma zahmetine girerken neden tüm paylaşımı değil de yalnızca satışı yasakladıklarını merak ediyorum.
Telekom operatörleri gibi üçüncü taraf ticari aktörlerin ihtiyaç gereği veri topladığı ve paylaştığı, ama muhtemelen satmadığı mantığı olabilir. Ancak ilginç açıklar da doğuyor. Bir paylaşım anlaşması yapıp sonra normalde alınacak ücreti başka bir mekanizmayla geri alabilirsiniz. Sağlayıcı A, Sağlayıcı B’ye veri satmak istiyor ve B de almak istiyor ama yasal olarak satamıyorsa, A, B ile yaptığı alakasız başka bir sözleşmeye maliyeti gizlice ekler; göz kırpma, el sıkışma ve baş sallamayla “ilişki” kapsamında konum verilerini “ücretsiz” paylaşır. İki taraf da maliyetin diğer sözleşmeye dahil olduğunu bilir, ama kalem kalem maliyeti yalnızca A bilir; B ise diğer paket fiyatıyla dostane konum verisi paylaşımının toplam maliyete değip değmediğini hesaplar. Adil olmak gerekirse, işin içine para girmeden önce insanlar bilgi kullanımı ve niyet konusunda daha az kötü niyetli olma eğilimindedir. Her zaman değil, ama ortalamada böyledir.
İnsanların kesin konum verilerinin satışının bir zamanlar normal bir iş modeli gibi görülmüş olması açıkçası akıl almaz.
Zaten büyük ölçekli veri hasadının yapıldığını biliyoruz. Bu tür yasalar, ancak geriden yetişmek için atılan asgari adımlar. Keşke bu şirketleri var olamayacakları kadar cezalandıran yasalar da çıkarılabilse, ama bunu beklemek zor.
IP adresinin yaklaşık konumunun da “konum verisi” sayılması ilginçti; ama yasa kesin konum verisi dediği için bunu cihazdan bildirilen verilerle sınırlıyor gibi.