Закон Вермонта о конфиденциальности данных и наблюдении: что он означает в 2028 году

Закон Вермонта о конфиденциальности данных и наблюдении: что он означает в 2028 году

Губернатор Вермонта подписал закон S.71, Закон Вермонта о конфиденциальности данных и онлайн-наблюдении, 16 июня 2026 года, что сделало Вермонт одним из самых строгих штатов в стране по защите данных потребителей. Закон вступает в силу только 1 января 2028 года, но обратный отсчет для компаний, чтобы привести свою практику в порядок, уже начался. Для потребителей положения закона Вермонта о конфиденциальности данных и наблюдении представляют собой одну из самых амбициозных на сегодня попыток штата США ограничить то, как компании собирают, используют и передают личную информацию.

Что на самом деле требует Закон Вермонта о конфиденциальности данных и онлайн-наблюдении

По своей сути, закон дает жителям Вермонта значимый контроль над их личными данными. Он требует от компаний получать явное согласие (opt-in) перед обработкой чувствительных категорий информации, включая точные геолокационные данные, данные о здоровье, финансовые данные и данные о несовершеннолетних. Этот стандарт явного согласия заметно строже, чем схемы отказа (opt-out), предусмотренные во многих законах других штатов.

Компании также обязаны предоставлять четкие и доступные уведомления о конфиденциальности, проводить оценку воздействия на защиту данных для видов обработки с повышенным риском, выполнять запросы потребителей на доступ, исправление, удаление и перенос их данных. Закон включает право частного иска за определенные нарушения, что дает отдельным потребителям законное право подавать в суд, а не только государственным регуляторам. Одна эта особенность выделяет Вермонт из большинства систем конфиденциальности штатов США, где правоприменение полностью возложено на генеральных прокуроров.

Часть закона, касающаяся «онлайн-наблюдения», особенно примечательна. Она устанавливает конкретные ограничения на использование личных данных для целевой рекламы и ограничивает возможности компаний создавать поведенческие профили без явного согласия.

На кого распространяется закон и широкая сеть, которая охватывает больше компаний, чем можно ожидать

Многие законы штатов о конфиденциальности включают пороговые значения по выручке или объему данных, которые оставляют малые компании за бортом. Пороги в Вермонте сравнительно низкие. Закон применяется к компаниям, которые контролируют или обрабатывают персональные данные 25 000 или более потребителей Вермонта ежегодно, или к тем, кто получает 25 или более процентов валового дохода от продажи персональных данных и обрабатывает данные как минимум 12 500 потребителей.

Население Вермонта составляет около 650 000 человек. Это означает, что порог в 25 000 потребителей представляет собой лишь около четырех процентов жителей штата. Компании, работающие по всей стране и имеющие даже скромную пользовательскую базу в Вермонте, легко могут пересечь эту черту. К брокерам данных, в частности, закон предъявляет повышенные требования, включая более строгие ограничения на продажу чувствительных данных и обязательную регистрацию в штате.

Формулировка «онлайн-наблюдение» в названии закона четко сигнализирует о его амбициях. Платформы и рекламно-технологические компании, полагающиеся на всепроникающее отслеживание для создания потребительских профилей, прямо попадают в сферу действия закона.

Как закон Вермонта сопоставим с другими законами штатов США о конфиденциальности

Вермонт теперь входит в число примерно двух десятков штатов с всеобъемлющим законодательством о конфиденциальности потребителей, но его закон находится на более строгом конце спектра. Калифорнийский CPRA часто называют золотым стандартом США, но требование Вермонта о явном согласии на обработку чувствительных данных и право частного иска идут дальше того, что в настоящее время требует Калифорния.

Такие штаты, как Техас и Флорида, приняли законы с более широкими исключениями для бизнеса и без права частного иска, что делает правоприменение практически беззубым. Подход Вермонта ближе по духу к европейским принципам защиты данных, без прямого копирования GDPR. Сочетание низких порогов применимости, режима явного согласия по умолчанию для чувствительных данных и права на индивидуальные иски создает реальное давление ответственности на бизнес.

Закон также очерчивает более узкий круг вокруг деятельности брокеров данных, чем большинство систем штатов, что существенно, учитывая, насколько большая часть экономики коммерческого наблюдения работает через брокеров данных, а не через компании, с которыми потребители взаимодействуют напрямую.

Что это означает для ваших прав на данные, даже если вы не живете в Вермонте

Законы штатов о конфиденциальности имеют хорошо задокументированную тенденцию вызывать сдвиги в национальной политике. Когда компании обновляют свою практику обработки данных, чтобы соответствовать строгому закону штата, они часто применяют эти изменения повсеместно, а не поддерживают отдельные системы для разных штатов. Закон Калифорнии о конфиденциальности дал именно такой эффект: компании внедряли новые потоки согласий и инструменты удаления данных для всех пользователей США, а не только для калифорнийцев.

Вермонтский закон может вызвать аналогичную динамику, особенно в отношении брокеров данных. Если компании должны предоставить жителям Вермонта право отказаться от продажи их данных, многие сочтут операционно проще распространить эту опцию повсюду. Для потребителей за пределами Вермонта это представляет собой значимое расширение прав на данные, которых у них иначе не было бы.

Положения, касающиеся непосредственно наблюдения, также заслуживают внимания в более широком контексте. Законодательство, направленное против поведенческого отслеживания и онлайн-наблюдения, все чаще становится частью политических дискуссий и на федеральном уровне. Подход Вермонта может повлиять на то, как федеральные законодатели сформулируют будущие предложения.

Конечно, правовая защита имеет свои пределы. Законы устанавливают минимальный уровень, а не потолок, а правоприменение требует времени. Использование технических инструментов приватности наряду с юридическими правами дает потребителям более полную картину. VPN, например, ограничивает то, что третьи стороны могут наблюдать о вашей активности в сети на уровне сети, дополняя любые права, предоставляемые законом штата в области хранения и обмена данными.

Практические выводы

• Если вы управляете бизнесом: Начните анализ своего реестра данных уже сейчас. Январь 2028 года может казаться далеким, но построение совместимых потоков согласий, процессов оценки и конвейеров запросов субъектов данных требует времени.
• Если вы житель Вермонта: Ваши права по этому закону станут подлежащими принудительному исполнению с 1 января 2028 года. Сохраняйте записи о запросах данных, которые вы подаете, и ответах, которые получаете.
• Если вы живете за пределами Вермонта: Следите за тем, как национальные компании реагируют на этот закон. Новые инструменты отказа или опции согласия, внедренные для пользователей Вермонта, могут стать доступными и для вас.
• Для всех: Правовая защита и технические практики приватности лучше всего работают вместе. Быть в курсе законодательства о наблюдении на уровне штата и на федеральном уровне — это первый шаг к пониманию того, какими правами вы на самом деле обладаете.

Закон Вермонта является важной вехой в продолжающихся усилиях по приближению стандартов конфиденциальности в США к тем, которые потребители в других частях мира уже ожидают. Вызовет ли он общенациональный волновой эффект, будет зависеть от того, насколько агрессивно он будет применяться и насколько компании будут готовы выстраивать по-настоящему совместимые практики обработки данных, а не минимальные обходные пути.