# 버지니아주, 위치정보 데이터 판매 금지

> Clean Markdown view of GeekNews topic #31077. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=31077](https://news.hada.io/topic?id=31077)
- GeekNews Markdown: [https://news.hada.io/topic/31077.md](https://news.hada.io/topic/31077.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-07-03T10:34:39+09:00
- Updated: 2026-07-03T10:34:39+09:00
- Original source: [hunton.com](https://www.hunton.com/privacy-and-cybersecurity-law-blog/virginia-bans-sale-of-geolocation-data)
- Points: 1
- Comments: 1

## Topic Body

- 버지니아주는 **VCDPA 개정**으로 위치정보 데이터 판매를 금지해, 주 단위 개인정보보호법에서 위치 데이터 거래 제한을 강화함
- 이번 개정은 **S.B. 388** 서명으로 확정됐으며, 금지는 2026년 7월 1일부터 적용됨
- VCDPA의 **판매(sale)** 정의는 개인정보를 금전적 대가로 제3자에게 넘기는 경우에 한정돼, 다른 주보다 범위가 좁음
- Maryland와 Oregon도 위치정보 데이터 판매를 금지했지만, 두 주는 금전 외의 **기타 가치 있는 대가**까지 판매에 포함함
- California, Massachusetts, Vermont, Washington State의 유사 법안과 California Attorney General 조사, FTC 합의까지 이어지며 위치정보 데이터 판매가 규제 초점으로 부상함

---

### 버지니아주의 VCDPA 개정
- Abigail Spanberger 버지니아주지사는 2026년 4월 13일 [S.B. 388](https://lis.virginia.gov/bill-details/20261/SB338/text/SB338)에 서명함
- 이 법은 **Virginia Consumer Data Protection Act(VCDPA)** 를 개정해 **위치정보 데이터 판매**를 금지함
- VCDPA에서 판매는 “컨트롤러가 제3자에게 개인정보를 금전적 대가로 교환하는 행위”로 정의됨
- 이 때문에 버지니아주의 판매 정의는 다른 주의 포괄적 개인정보보호법보다 **좁은 범위**에 머무름

### 발효일과 다른 주 법제와의 차이
- 위치정보 데이터 판매 금지는 **2026년 7월 1일**부터 효력이 발생함
- 버지니아주는 위치정보 데이터 판매를 금지한 [Maryland](https://www.hunton.com/privacy-and-cybersecurity-law-blog/maryland-legislature-passes-state-privacy-bill-with-robust-requirements-and-broad-threshold-for-application)와 [Oregon](https://www.hunton.com/privacy-and-cybersecurity-law-blog/oregon-amends-consumer-privacy-act)을 뒤따름
- Maryland와 Oregon은 판매를 개인정보를 “금전적 대가 또는 기타 가치 있는 대가”로 교환하는 행위로 더 넓게 정의함

### 유사 법안과 규제 조사
- 여러 주에서도 위치정보 데이터 판매 금지와 유사한 법안이 제안됨
  - [California](https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=202520260AB322)
  - [Massachusetts](https://malegislature.gov/Bills/194/S197)
  - [Vermont](https://legislature.vermont.gov/bill/status/2026/S.71)
  - [Washington State](https://app.leg.wa.gov/billsummary?BillNumber=1671&Year=2025&Initiative=false)
- 이러한 입법 움직임은 위치정보 데이터 판매에 대한 **규제 조사** 흐름과 맞물려 있음
  - California Attorney General은 2025년 3월 위치 데이터 산업에 대한 [조사](https://www.hunton.com/privacy-and-cybersecurity-law-blog/california-ag-announces-new-ccpa-enforcement-sweep-targeting-location-data-industry)를 진행함
  - 2024년 [FTC 합의](https://www.hunton.com/privacy-and-cybersecurity-law-blog/ftc-bans-data-broker-from-selling-precise-consumer-location-data)는 데이터 브로커의 위치정보 데이터 판매를 금지함

## Comments



### Comment 61172

- Author: neo
- Created: 2026-07-03T10:34:40+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48767347) 
- 실제로 충분히 알고 강요 없는 선택권이 주어지면, 사람들은 이런 종류의 **데이터 수집**과 특히 판매를 거부함  
  내비게이션이나 시간 설정처럼 명시적으로 허용했다고 생각한 서비스 외 목적에 쓰는 것도 마찬가지임. 약간의 보호 문구가 들어간 건 반갑지만, 실질적 강제력이 있어야 함. 거짓 명분이나 강압적 방식으로 데이터를 수집했다면 벌금뿐 아니라 **형사 기소**까지 받아야 함
  - 완전히 동의함. “숨길 게 없다”는 사람들은 사생활 보호와 이를 보장하는 법이 없을 때 자신에게 얼마나 큰 피해가 올 수 있는지 모르는 것 같음. 아니면 자기보존 본능이 없는 건지도 모르겠음
  - 부자라면 그냥 벌금 내고 말지 않나 싶음. 대기업들이 매년 이런 짓으로 수십억 달러 벌금을 맞아도 전혀 신경 안 쓴다는 얘기를 자주 들음  
    수정: 이제야 머리가 정보를 처리했는데, 형사 기소라면 억지력이 조금 더 있긴 하겠음. 물론 불법인 일을 하는 사람은 아무도 없겠지만 ;)
  - **강압**의 한계가 어디인지 궁금함  
    결제 화면에서 “우리는 당신의 위치 데이터를 팔겠다”고 크게 표시하는 제품이 가능할까? 단순히 그 제품을 원한다는 이유만으로도 강압이 되는 걸까?

- 좋은 출발임. 2024년에 “한 회사가 48개 주의 Planned Parenthood 약 600곳 방문을 추적하고, 미국 최대 규모의 **낙태 반대 광고 캠페인** 중 하나에 그 데이터를 제공했다는 조사 결과가 나왔다”는 보도가 있었음 - [https://www.politico.com/news/2024/02/13/planned-parenthood-...](<https://www.politico.com/news/2024/02/13/planned-parenthood-location-track-abortion-ads-00141172>)
  - 정말 끔찍해짐. 기억나는 최악의 사례 중 하나는 2019년의 이 건임: [https://www.nbcnews.com/news/us-news/missouri-health-directo...](<https://www.nbcnews.com/news/us-news/missouri-health-director-tracked-menstrual-periods-planned-parenthood-patients-n1073701>)
  - 그리고 그 정도면 거의 가장 온건한 사용처에 가깝다는 게 더 문제임

- 예를 들어 Delaware에 설립된 회사가 Virginia에서 수집된 **위치 데이터**를 팔지만, 그 회사가 Virginia에서 영업하지 않는다면 어떻게 될까?  
  반대로 us-east-1은 Virginia에 있고, 결제 처리 서버가 얼마나 많이 돌아가는지도 알 수 없음
  - 주 경계를 넘는 소송에서 늘 일어나는 일과 같음. 어느 한 관할권으로 소송이 가거나, 다양성 관할 요건을 충족하면 연방법원으로 감
  - Delaware 회사가 Virginia에 아무런 존재가 없다면 Virginia 주는 할 수 있는 게 없음  
    다만 us-east-1이 Virginia에 있다는 점은 사안을 꽤 복잡하게 만들 가능성이 크고, 법원이 정리해야 할 문제로 보임
  - 판매자는 대개 준수할지 말지 판단할 가능성이 큼. 준수하려 한다면 수집 데이터셋에서 **Virginia 데이터**를 모두 제외하고, 하위 사용자가 데이터셋 때문에 Virginia 주민에게 영향을 주면 면책하도록 계약으로 요구할 것임

- 몇 년 전 NYTimes가 자동차 보험사들이 이런 데이터를 어떻게 쓰는지 다룬 적이 있음. 급정거, 야간 운전, 시속 80마일 초과 운전 등을 추적했다는 내용이었음
  - 곁가지로, 왜 **시속 80마일**이 임의 기준으로 골라졌는지 궁금함  
    Utah 시골 지역에는 제한속도 80마일 구간이 있고, 일응 위법으로 추정되는 속도 법규도 있음. 많은 Utah 운전자가 정기적으로 80마일을 넘는데, 합법적으로 그러는 경우도 있다고 봄. 기준으로 삼기엔 이상한 숫자임
  - 맞음. 사용자 동의도 인지도 없이 **사적이고 개인적인 데이터**를 이윤을 위해 교환하는 것임
  - 그런 데이터는 보험 프로그램의 일부로 동의하에, 그것도 꽤 명시적으로 수집되는 것 아닌가?

- 광고를 사는 분야에서 일하는 입장에서는 이런 법이 정말 좋음. 이런 **데이터 포인트**는 애초에 판매 대상이 되어서는 안 됨  
  사람들을 보호하는 일을 선의에만 맡기지 않게 해 줌. 올바른 방향의 한 걸음임

- 이 기사는 4월 기사이고, 금지는 **7월 1일**에 발효됐음

- 이게 실제로 데이터의 “판매”를 겨냥하고, **데이터 브로커**와 여러 악의적 행위자에게 엄격한 제한을 부과하는 것이라면 전적으로 찬성함  
  반대로 California 법처럼 모든 데이터 사용을 “데이터 판매”라고 부르면서 업계의 악성 행위자에게 실질적으로 가치 있는 규제를 부과하지 못하고 물만 흐리는 식이라면 아쉬울 것임. 단어의 의미를 명확하고 일관되게 유지하는 데도 가치가 있음. Google이 자사 Google Maps 데이터를 활용해 더 나은 추천을 제공하는 건 문제없지만, AT&T가 개인 식별이 쉬운 집계 위치 데이터를 제3자에게 파는 건 큰 문제임. 후자는 금지하면서 전자는 건드리지 않는 명확한 길이 되길 바람

- 이런 법을 만들 수고를 들이면서 왜 모든 공유가 아니라 **판매만 금지**하는지 궁금함
  - 좋은 질문이고 나도 궁금함. 911 서비스와 통신사, 그리고 법 집행기관의 소환장으로 요구되는 데이터가 떠오름  
    통신사 같은 제3자 상업 주체가 필요 때문에 수집하고 공유하긴 하지만, 아마 판매는 하지 않는다는 논리일 수 있음. 하지만 흥미로운 허점도 생김. 공유 계약을 맺은 뒤 다른 메커니즘으로 원래 받을 요금을 회수할 수 있음. Provider A가 Provider B에게 데이터를 팔고 싶고 B도 사고 싶지만 법적으로 못 판다면, A가 B와의 다른 무관한 계약에 비용을 슬쩍 넣어두고, 윙크와 악수와 끄덕임으로 “관계”상 위치 데이터를 “무료”로 공유하면 됨. 양쪽 모두 비용이 다른 계약에 들어 있다는 걸 알지만, 항목별 비용은 A만 알고 B는 다른 패키지 가격과 우정 어린 위치 데이터 공유가 전체 비용을 감당할 만한지 계산할 뿐임. 공정하게 말하면 돈이 개입되기 전에는 정보 사용과 의도에서 사람들이 덜 악의적인 편이긴 함. 항상은 아니지만 평균적으로는 그럼
  - 운전자의 위험도를 보험료에 반영하는 데 데이터가 매우 유용하기 때문임. 당연히 **위험한 운전자**는 더 높은 요율을 내야 함

- 사람들의 **정확한 위치 데이터** 판매가 한때 정상적인 사업 모델처럼 취급됐다는 것 자체가 솔직히 말도 안 됨  
  이미 대규모 데이터 수확이 벌어졌다는 걸 알고 있음. 이런 법은 뒤늦게 따라잡기 위한 최소한의 조치일 뿐임. 이런 회사들을 존재 자체가 불가능할 정도로 처벌하는 법까지 만들 수 있으면 좋겠지만, 기대하긴 어려움

- IP 주소의 대략적 위치도 “위치 데이터”라서 흥미로웠는데, 법은 **정확한 위치 데이터**라고 해서 기기에서 보고되는 데이터로 제한하는 듯함
  - 모바일 설정에서 구성할 수 있는 정확한 위치 데이터의 정의에 들어갈 가능성이 큼. 위치 공유 시 켤 수 있는 더 세밀한 옵션임
  - 좌표라면 뭐든 해당될 것 같음. “Ross Dress for Less 맞은편 길 건너 단풍나무 뒤” 같은 식만 아니면 됨
