वरमॉन्ट के व्यापक गोपनीयता कानून के अंतर्गत कौन आता है?

Pearl Cohen रिपोर्ट करता है कि यह कानून वरमॉन्ट को लक्षित करने वाले या वहां संचालन करने वाले उन व्यवसायों पर लागू होता है जो 35,000 उपभोक्ताओं, 3,000 संवेदनशील डेटा उपभोक्ताओं, या 3,000 ऐसे उपभोक्ताओं जिनका डेटा बिक्री के लिए पेश किया जाता है, से जुड़ी सीमाओं को पूरा करते हैं।

गोपनीयता अनुपालन मॉड्यूलर क्यों होना चाहिए?

वरमॉन्ट दायरे, स्वास्थ्य डेटा, संवेदनशील डेटा और AI प्रशिक्षण प्रकटीकरणों से संबंधित विविधताएं जोड़ता है। मॉड्यूलर नियंत्रण टीमों को हर बार अलग राज्य चेकलिस्ट फिर से बनाए बिना नियमों को अपडेट करने देते हैं।

1 / 1

Vermont Data Privacy And Online Surveillance Act VDPOSA राज्य गोपनीयता कानून उपभोक्ता स्वास्थ्य डेटा AI प्रशिक्षण प्रकटीकरण policy-explainer

Noa Jun 29, 2026

इस लेख में (4)

सूचना गोपनीयता कानून

वरमोंट का स्वीकृत गोपनीयता कानून राज्य चेकलिस्टों की तुलना में मॉड्यूलर अनुपालन को बेहतर बनाता है

मुख्य बातें

1 जनवरी, 2028 को रोडमैप में शामिल करें और वरमॉन्ट डेटा प्रवाहों की मैपिंग अभी से शुरू करें।
स्वास्थ्य और संवेदनशील डेटा को सामान्य गोपनीयता दायरे की पाद-टिप्पणियों के रूप में नहीं, बल्कि अलग मॉड्यूल के रूप में देखें।
ऐसे पुन: उपयोग योग्य गोपनीयता नियंत्रण बनाएं जो नई राज्य-स्तरीय सीमाओं, नोटिसों और अधिकार वर्कफ़्लो को समाहित कर सकें।

compliance calenda…कौन scope में है, …obligations परिचित…checklist trap

Noa · Jun 29, 2026

नया VDPOSA एक और राज्य गोपनीयता व्यवस्था जोड़ता है, और अनुपालन को पचास अलग-अलग स्प्रेडशीट की तरह मानना बंद करने का एक और कारण भी।

नया VDPOSA एक और राज्य गोपनीयता व्यवस्था जोड़ता है, और अनुपालन को पचास अलग-अलग स्प्रेडशीट्स की तरह मानना बंद करने का एक और कारण भी।

संकेत हस्ताक्षर समारोह नहीं है। संकेत यह है कि प्रोडक्ट मैनेजर पूछ रहा है कि क्या Vermont को अपना अलग टॉगल, अपनी अलग deletion queue, अपना अलग vendor addendum, और अपनी अलग notice copy चाहिए। Vermont ने अब U.S. map पर एक और comprehensive privacy law जोड़ दिया है, और व्यावहारिक सीख यह नहीं है कि हर किसी को एक नई checklist चाहिए। सीख यह है कि state privacy compliance अब एक control system problem बन चुका है।

compliance calendar पर नई तारीख

Hunton Andrews Kurth रिपोर्ट करता है कि Vermont Governor Phil Scott ने Senate Bill S.71, Vermont Data Privacy and Online Surveillance Act, पर 16 जून 2026 को हस्ताक्षर किए। Hunton Vermont को comprehensive consumer privacy law वाला 23वां state बताता है, जबकि Koley Jessen इसे ऐसा law enact करने वाला 24वां state बताता है। यह mismatch एक उपयोगी reminder है कि privacy-law counting वह जगह नहीं है जहाँ builders को अपना सीमित compliance time खर्च करना चाहिए। जो तारीख मायने रखती है, वह कम विवादित है: Hunton और Koley Jessen दोनों रिपोर्ट करते हैं कि law 1 जनवरी 2028 से प्रभावी होगा।

Koley Jessen एक politically relevant footnote भी जोड़ता है: Governor Scott ने पहले जून 2024 में एक stricter version को veto किया था। Troutman Pepper कहता है कि enacted version भी पहले के tiered applicability structure से अलग हो गया और उसकी जगह एक single, uniform threshold ले आया। Translation: final law केवल prior proposal का नया signature page वाला rerun नहीं है। अगर आपके privacy roadmap में अभी भी monitor Vermont लिखा है, तो वह item अब implementation planning में जा सकता है।

कौन scope में है, और किसे बहुत ज़्यादा आराम नहीं करना चाहिए

Pearl Cohen core scope test को इस तरह summarize करता है: Act उस person पर लागू होता है जो Vermont में business करता है, या Vermont residents को targeted products या services बनाता है, और जिसने पिछले calendar year के तीन thresholds में से कोई एक meet किया हो। वे thresholds हैं कम से कम 35,000 consumers का personal data control या process करना, कम से कम 3,000 consumers का sensitive data control या process करना, या कम से कम 3,000 consumers का personal data sale के लिए offer करना, हर case में केवल payment transaction complete करने के लिए processed data को exclude किया गया है। यह वह हिस्सा है जिसका जवाब आपके data inventory को देना होगा, आपके brand team को नहीं।

Pearl Cohen comfort blanket के important exception को भी note करता है: consumer health data provisions उन thresholds की परवाह किए बिना apply होते हैं। Covington’s Global Policy Watch अलग से रिपोर्ट करता है कि Vermont ने health-related information को regulate करने के लिए दो privacy bills enact किए, जिनमें H.639 भी शामिल है, जो direct-to-consumer genetic testing companies को regulate करने वाला genetic privacy bill है। Builders के लिए इसका मतलब है कि health-adjacent product surfaces को अपनी अलग review चाहिए, भले ही general consumer count छोटा दिखे। Wellness feature, symptom questionnaire, fertility tracker integration, या genetic data workflow को इस बात का इंतज़ार नहीं करना चाहिए कि कोई company को care करने लायक बड़ा declare करे।

obligations परिचित लगती हैं, जब तक वे

परिचित नहीं रहतीं Hunton कहता है कि VDPOSA कई state comprehensive consumer data privacy laws में दिखने वाले familiar controller, processor, और consumer rights framework का अनुसरण करता है, कुछ distinctions के साथ। Plain English में इसका मतलब है कि आपके privacy program के reusable parts अब भी मायने रखते हैं: जानें कि आप कौन सा data collect करते हैं, क्यों करते हैं, किसे मिलता है, controller और processor roles assign करें, और हर mailbox को हाथ से sort किए बिना consumer rights requests route करें। अगर यह boring लगता है, तो बधाई हो, यही वह हिस्सा है जो auditors से सामना होने पर टिकता है।

Distinctions ही वह जगह हैं जहाँ modular design अपनी कीमत वसूलता है। Pearl Cohen कहता है कि personal data को broad तरीके से define किया गया है, जिसमें derived data और unique identifiers शामिल हैं जो किसी identified या identifiable individual या device से reasonably linkable हों। Pearl Cohen यह भी कहता है कि sensitive data में consumer health data, genetic और biometric data, precise geolocation, neural data, और race या ethnicity, religious beliefs, और अन्य categories reveal करने वाला data शामिल है। Koley Jessen distinctive features flag करता है, जिनमें broad consumer health data provisions, AI training disclaimer requirement, और sensitive personal information की expanded definition शामिल हैं। यह Article 52 नहीं है, लेकिन contract और product work का flavor वही है: notices, data classification, vendor instructions, और exception handling configurable होने चाहिए।

checklist trap

Troutman Pepper का abandoned tiered structure वाला account वह हिस्सा है जिसे compliance teams को monitor पर tape कर देना चाहिए। अगर कोई state proposal और enactment के बीच scope architecture बदल सकता है, तो static Vermont checklist पहले से ही गलत artifact है। बेहतर artifact common controls के ऊपर rules layer है: eligibility thresholds, sensitive data handling, consumer rights intake, sale या sharing flags, health data flags, processor terms, और disclosure modules।

यह approach 23rd versus 24th state discrepancy को भी बिना drama के handle करता है। चाहे Vermont को Hunton और Troutman Pepper एक तरह से count करें या Koley Jessen दूसरी तरह से, operational reality वही है: U.S. privacy law cumulative है। हर नया state variations जोड़ता है, लेकिन पूरी तरह नया privacy universe नहीं। जो companies सबसे अच्छी तरह cope करेंगी, वे Vermont के लिए सबसे मोटा binder रखने वाली नहीं होंगी। वे वे होंगी जो program को rebuild किए बिना threshold बदल सकें, notice जोड़ सकें, data category tag कर सकें, और vendor workflow update कर सकें।

अगला उपयोगी step panic नहीं है, और यह कोई celebratory post भी नहीं है कि कितनी certainty आ गई है। यह 1 जनवरी 2028 के against gap review है, जिसमें consumer health data, sensitive data definitions, AI training disclosures, और यह कि क्या आपका rights workflow एक और jurisdiction absorb कर सकता है, इन पर special attention हो। Vermont एक और state law है। इसे एक और module की तरह treat करें, एक और monument की तरह नहीं।

स्रोत

प्रश्न और उत्तर

Hunton Andrews Kurth और Koley Jessen दोनों रिपोर्ट करते हैं कि Vermont Data Privacy and Online Surveillance Act 1 जनवरी, 2028 को प्रभावी होता है।