Khi nào Đạo luật Bảo mật Dữ liệu và Giám sát Vermont có hiệu lực?

Luật có hiệu lực vào ngày 1 tháng 1 năm 2028, sau khi được ký thành luật vào ngày 16 tháng 6 năm 2026.

Điều gì khiến luật Vermont này nghiêm ngặt hơn các luật bảo mật của tiểu bang khác?

Luật yêu cầu sự đồng ý chủ động để xử lý dữ liệu nhạy cảm, trao cho người tiêu dùng quyền khởi kiện tư nhân, và hạn chế quảng cáo nhắm mục tiêu và lập hồ sơ hành vi mà không có sự đồng ý rõ ràng.

Những doanh nghiệp nào phải tuân theo Đạo luật Bảo mật Dữ liệu và Giám sát Vermont?

Các doanh nghiệp kiểm soát hoặc xử lý dữ liệu cá nhân của 25.000 người tiêu dùng Vermont trở lên hàng năm, hoặc những doanh nghiệp thu được 25% tổng doanh thu trở lên từ việc bán dữ liệu cá nhân và xử lý dữ liệu của ít nhất 12.500 người tiêu dùng.

Những loại dữ liệu nào yêu cầu sự đồng ý chủ động theo luật này?

Vị trí địa lý chính xác, dữ liệu sức khỏe, dữ liệu tài chính và dữ liệu về trẻ vị thành niên đều yêu cầu sự đồng ý chủ động trước khi xử lý.

Người tiêu dùng cá nhân có thể khởi kiện cho các vi phạm của luật này không?

Có, luật bao gồm quyền khởi kiện tư nhân cho phép từng người tiêu dùng có tư cách pháp lý để khởi kiện đối với một số vi phạm nhất định, thay vì chỉ để việc thực thi hoàn toàn cho các cơ quan quản lý nhà nước.

Đạo luật Bảo mật Dữ liệu và Giám sát Vermont: Ý nghĩa của nó vào năm 2028

Thống đốc Vermont đã ký dự luật S.71, Đạo luật Bảo mật Dữ liệu và Giám sát Trực tuyến Vermont, thành luật vào ngày 16 tháng 6 năm 2026, đưa Vermont trở thành một trong những tiểu bang nghiêm ngặt nhất cả nước về bảo vệ dữ liệu người tiêu dùng. Luật sẽ không có hiệu lực cho đến ngày 1 tháng 1 năm 2028, nhưng đồng hồ đếm ngược đã bắt đầu để các công ty sắp xếp lại hoạt động của mình. Đối với người tiêu dùng, các điều khoản giám sát trong luật bảo mật dữ liệu Vermont đại diện cho một trong những nỗ lực tham vọng nhất từ trước đến nay của một tiểu bang Hoa Kỳ nhằm kiểm soát cách doanh nghiệp thu thập, sử dụng và chia sẻ thông tin cá nhân.

Những yêu cầu thực tế của Đạo luật Bảo mật Dữ liệu và Giám sát Trực tuyến Vermont

Về cốt lõi, luật trao cho cư dân Vermont quyền kiểm soát có ý nghĩa đối với dữ liệu cá nhân của họ. Luật yêu cầu doanh nghiệp phải có được sự đồng ý chủ động (opt-in) trước khi xử lý các loại thông tin nhạy cảm, bao gồm vị trí địa lý chính xác, dữ liệu sức khỏe, dữ liệu tài chính và dữ liệu về trẻ vị thành niên. Tiêu chuẩn đồng ý chủ động đó nghiêm ngặt hơn đáng kể so với các khuôn khổ từ chối (opt-out) được tìm thấy trong nhiều luật của tiểu bang khác.

Doanh nghiệp cũng phải cung cấp thông báo bảo mật rõ ràng, dễ tiếp cận, tiến hành đánh giá bảo vệ dữ liệu cho các hoạt động xử lý có rủi ro cao hơn, và tôn trọng các yêu cầu của người tiêu dùng về việc truy cập, chỉnh sửa, xóa và chuyển đổi dữ liệu của họ. Luật bao gồm quyền khởi kiện tư nhân đối với một số vi phạm, cho phép từng người tiêu dùng có tư cách pháp lý để khởi kiện, chứ không chỉ các cơ quan quản lý nhà nước. Chỉ riêng đặc điểm này đã khiến Vermont khác biệt so với phần lớn các khuôn khổ bảo mật của tiểu bang Hoa Kỳ, nơi việc thực thi hoàn toàn được giao cho các tổng chưởng lý.

Phần "giám sát trực tuyến" của luật đặc biệt đáng chú ý. Nó đặt ra các hạn chế cụ thể đối với việc sử dụng dữ liệu cá nhân cho quảng cáo nhắm mục tiêu đến người tiêu dùng và giới hạn cách các công ty có thể xây dựng hồ sơ hành vi mà không có sự đồng ý rõ ràng.

Đối tượng được điều chỉnh, và tấm lưới rộng bắt được nhiều công ty hơn bạn nghĩ

Nhiều luật bảo mật của tiểu bang bao gồm các ngưỡng về doanh thu hoặc khối lượng dữ liệu khiến các công ty nhỏ hơn không bị ràng buộc. Ngưỡng của Vermont tương đối thấp. Luật áp dụng cho các doanh nghiệp kiểm soát hoặc xử lý dữ liệu cá nhân của 25.000 người tiêu dùng Vermont trở lên hàng năm, hoặc những doanh nghiệp thu được 25 phần trăm tổng doanh thu trở lên từ việc bán dữ liệu cá nhân và xử lý dữ liệu của ít nhất 12.500 người tiêu dùng.

Vermont có dân số khoảng 650.000 người. Điều đó có nghĩa là ngưỡng 25.000 người tiêu dùng chỉ chiếm khoảng bốn phần trăm cư dân của tiểu bang. Các công ty hoạt động trên toàn quốc và có lượng người dùng Vermont dù khiêm tốn cũng có thể dễ dàng vượt qua ranh giới đó. Các nhà môi giới dữ liệu nói riêng phải đối mặt với các nghĩa vụ tăng cường theo luật, bao gồm các giới hạn chặt chẽ hơn về việc bán dữ liệu nhạy cảm và yêu cầu đăng ký với tiểu bang.

Cách định khung "giám sát trực tuyến" trong tiêu đề của luật báo hiệu tham vọng rõ ràng của nó. Các nền tảng và công ty công nghệ quảng cáo dựa vào theo dõi lan tỏa để xây dựng hồ sơ người tiêu dùng nằm trọn trong phạm vi điều chỉnh.

Luật của Vermont so với các luật bảo mật tiểu bang khác của Hoa Kỳ như thế nào

Vermont hiện là một trong khoảng hai chục tiểu bang có luật bảo mật người tiêu dùng toàn diện, nhưng luật của họ nằm ở đầu nghiêm ngặt hơn của quang phổ. Đạo luật CPRA của California thường được coi là tiêu chuẩn vàng của Hoa Kỳ, nhưng yêu cầu đồng ý chủ động để xử lý dữ liệu nhạy cảm và quyền khởi kiện tư nhân của Vermont còn đi xa hơn những gì California hiện yêu cầu.

Các tiểu bang như Texas và Florida đã ban hành luật với các miễn trừ kinh doanh rộng hơn và không có quyền khởi kiện tư nhân, khiến việc thực thi phần lớn trở nên vô hiệu trong thực tế. Cách tiếp cận của Vermont gần gũi hơn về tinh thần với các nguyên tắc bảo vệ dữ liệu châu Âu, mà không sao chép trực tiếp GDPR. Sự kết hợp giữa các ngưỡng áp dụng thấp, mặc định đồng ý chủ động cho dữ liệu nhạy cảm và quyền khởi kiện cá nhân tạo ra áp lực trách nhiệm giải trình thực sự lên các doanh nghiệp.

Luật cũng vẽ một vòng tròn chặt chẽ hơn xung quanh hoạt động của các nhà môi giới dữ liệu so với hầu hết các khuôn khổ tiểu bang, điều này đáng kể khi mà phần lớn nền kinh tế giám sát thương mại vận hành thông qua các nhà môi giới dữ liệu thay vì các công ty mà người tiêu dùng tương tác trực tiếp.

Điều này có ý nghĩa gì đối với quyền dữ liệu của bạn ngay cả khi bạn không sống ở Vermont

Các luật bảo mật tiểu bang có xu hướng được ghi nhận là tạo ra những thay đổi chính sách trên toàn quốc. Khi các công ty cập nhật hoạt động dữ liệu của mình để tuân thủ một luật tiểu bang nghiêm ngặt, họ thường áp dụng những thay đổi đó một cách rộng rãi thay vì duy trì các hệ thống riêng biệt cho các tiểu bang khác nhau. Luật bảo mật của California đã tạo ra chính xác hiệu ứng này, với việc các công ty triển khai các luồng đồng ý và công cụ xóa dữ liệu mới cho tất cả người dùng Hoa Kỳ, không chỉ người dân California.

Luật của Vermont có thể kích hoạt một động lực tương tự, đặc biệt xung quanh các nhà môi giới dữ liệu. Nếu các doanh nghiệp phải cung cấp cho cư dân Vermont quyền từ chối việc dữ liệu của họ bị bán, nhiều người sẽ thấy đơn giản hơn về mặt vận hành nếu mở rộng lựa chọn đó ra mọi nơi. Đối với người tiêu dùng bên ngoài Vermont, điều đó thể hiện một sự gia tăng có ý nghĩa về quyền dữ liệu mà nếu không họ sẽ không có.

Các điều khoản cụ thể về giám sát cũng đáng được theo dõi trong bối cảnh rộng hơn. Luật nhắm mục tiêu vào theo dõi hành vi và giám sát trực tuyến ngày càng trở thành một phần của cuộc thảo luận chính sách ở cấp liên bang. Cách tiếp cận của Vermont có thể cung cấp thông tin cho cách các nhà lập pháp liên bang định hình các đề xuất trong tương lai.

Tất nhiên, các biện pháp bảo vệ pháp lý chỉ đi được đến một mức độ nhất định. Luật đặt ra sàn, không phải trần, và việc thực thi cần có thời gian. Sử dụng các công cụ bảo mật kỹ thuật cùng với các quyền pháp lý mang lại cho người tiêu dùng một bức tranh đầy đủ hơn. Ví dụ, VPN giới hạn những gì các bên thứ ba có thể quan sát về hoạt động duyệt web của bạn ở cấp độ mạng, bổ sung cho bất kỳ quyền nào mà luật tiểu bang cung cấp ở phía lưu trữ và chia sẻ dữ liệu.

Những điểm hành động cụ thể

Nếu bạn điều hành một doanh nghiệp: Hãy bắt đầu xem xét kho dữ liệu của bạn ngay bây giờ. Tháng 1 năm 2028 có vẻ còn xa, nhưng việc xây dựng các luồng đồng ý tuân thủ, quy trình đánh giá, và đường ống yêu cầu chủ thể dữ liệu cần có thời gian.
Nếu bạn là cư dân Vermont: Các quyền của bạn theo luật này sẽ có hiệu lực thực thi bắt đầu từ ngày 1 tháng 1 năm 2028. Hãy lưu giữ hồ sơ về các yêu cầu dữ liệu bạn gửi đi và phản hồi bạn nhận được.
Nếu bạn sống bên ngoài Vermont: Hãy theo dõi cách các công ty toàn quốc phản ứng với luật này. Các công cụ từ chối hoặc tùy chọn đồng ý mới được triển khai cho người dùng Vermont có thể cũng sẽ khả dụng cho bạn.
Dành cho tất cả mọi người: Các biện pháp bảo vệ pháp lý và thực hành bảo mật kỹ thuật hoạt động tốt nhất khi kết hợp với nhau. Cập nhật thông tin về luật giám sát của tiểu bang và liên bang là bước đầu tiên để hiểu những quyền bạn thực sự nắm giữ.

Luật của Vermont là một dấu mốc quan trọng trong nỗ lực liên tục nhằm đưa các tiêu chuẩn bảo mật của Hoa Kỳ tiến gần hơn đến những gì người tiêu dùng ở các nơi khác trên thế giới vốn đã mong đợi. Liệu nó có tạo ra hiệu ứng lan tỏa toàn quốc hay không sẽ phụ thuộc vào mức độ quyết liệt mà nó được thực thi và mức độ sẵn sàng của các công ty trong việc xây dựng các hoạt động dữ liệu thực sự tuân thủ thay vì các giải pháp đối phó tối thiểu.