Bộ luật quyền riêng tư mới của châu Âu sẽ tái định hình mạng Internet như thế nào?

Kể từ tháng 5/2018, bộ luật GDPR sẽ thiết lập những quy định mới cho việc chia sẻ dữ liệu trực tuyến.

Nếu bạn là một người thường xuyên để ý thì sẽ thấy được rằng trong vài tháng trở lại đây, đã có nhiều công ty cùng đồng loạt thêm những thay đổi vào chính sách quyền riêng tư của mình. Từ Google tới Slack, nhiều công ty đang âm thầm cập nhật các chính sách, chỉnh sửa mẫu hợp đồng, tung ra các công cụ dữ liệu cá nhân mới để chuẩn bị cho đợt thay đổi lớn trong bối cảnh pháp lí. Và khi mà các chính sách được thay đổi, khi những cuộc chiến hợp đồng được đưa ra dư luận, những cơ quan luật pháp và người dùng sẽ đồng thời bị ảnh hưởng.

Đạo luật mới này có tên là Quy định chung về Bảo vệ dữ liệu , và nó đã sẵn sàng để tái định hình lại những vùng lộn xộn nhất của mạng Internet. Và dưới đây là những gì mà bạn cần biết về sự thay đổi này.

GDPR là gì?

Theo TheVerge, Quy định chung về Bảo vệ dữ liệu là bộ luật đã được Liên minh Châu Âu thông qua vào năm 2016, nó sẽ là thứ quy định cách mà các công ty quản lý và chia sẻ dữ liệu cá nhân. Theo lý thuyết, GDPR sẽ chỉ có tác dụng trên công nhân của các nước thuộc EU, tuy nhiên, Internet có tính chất toàn cầu, điều này có nghĩa là hầu như mọi dịch vụ trực tuyến sẽ đều bị ảnh hưởng và quy định này đã dẫn đến những thay đổi đáng kể cho người dùng tại Mỹ khi các công ty nhảy vào cuộc chiến tranh giành để thích nghi.

Phần lớn của GDPR được xây dựng dựa trên các biện pháp bảo mật trước đây của EU như Hướng dẫn Bảo vệ Dữ liệu và Tường chắn Riêng tư, nhưng GDPR sẽ đóng vai trò mở rộng các biện pháp trên theo hai hướng đi lớn. Thứ nhất, GDPR sẽ thiết lập một mức cao chưa từng có trong việc thu nhập dữ liệu cá nhân. Theo mặc định, các công ty chỉ có thể thu thập dữ liệu của công dân EU chỉ khi có được sự đồng thuận từ đối tượng thu thập. Người dùng cũng sẽ cần một phương thức để thu hồi quyền thu thập dữ liệu trên, đồng thời họ cũng có quyền yêu cầu có những dữ liệu được thu thập để có thể xác nhận sự tuân thủ của các công ty. Những thay đổi mới này mạnh hơn bất kì những gì chúng ta có ở hiện tại và nó còn sẽ được mở rộng tính áp đặt lên cả những công ty bên ngoài EU. Đối với ngành công nghiệp mà trước giờ gần như không bị hạn chế gì trong việc thu thập và chia sẻ dữ liệu thì đây sẽ chính là cú hích khiến những chúng ta phải viết lại các quy tắc cho quảng cáo nhắm hướng đối tượng.

Thứ hai, các hình phạt áp đặt bởi GDPR sẽ đủ nặng để cả ngành công nghiệp này phải chú ý. Mức phạt tối đa cho mỗi vi phạm được xác định tương đương với 4% doanh thu toàn cầu của cả công ty đó hoặc là 20 triệu USD (tùy theo mức giá trị nào là lớn hơn). Con số này cao hơn nhiều so với con số do Hướng dẫn Bảo vệ Dữ liệu đề ra và nó sẽ là lời nhắc về tính nghiêm túc của EU trong việc giữ bảo mật dữ liệu. Tuy rằng những công ty lớn như Google hay Facebook có thể chịu được mức phạt trên song nó hoàn toàn có đủ khả năng để nhấn chìm bất kì công ty nào nhỏ hơn. Mức phạt đáng chú ý này chính là động lực giúp các công ty đưa ra các thay đổi cho chính sách về quyền riêng tư của mình.

Và điều quan trọng nhất là khoảng thời gian cho tới lúc bộ luật này có hiệu lực không còn dài, GDPR sẽ chính thức có hiệu lực từ ngày 25/5 năm nay. Các công ty sẽ chỉ có hai lựa chọn: một là nhanh tay thay đổi, hai là "ăn" khoản phạt cao kỷ lục.

Những gì sẽ thay đổi?

Điểm thay đổi dễ nhìn thấy nhất chính là các thay đổi trong Điều khoản Dịch vụ và các cảnh báo về quyền khi sử dụng. Nhờ vào những thay đổi đến từ GDPR, các công ty sẽ phải yêu cầu sự cho phép thu thập dữ liệu thường xuyên hơn. Cụ thể là người dùng sẽ nhận được nhiều đoạn văn bản yêu cầu cung cấp quyền thu thập dữ liệu nhiều hơn, đồng thời những nội dung của đoạn thông báo xin quyền cũng sẽ được trình bày rõ ràng hơn trước kia.

Người dùng cũng có nhiều khả năng hơn trong việc tải về toàn bộ dữ liệu mà công ty đã thu thập về bản thân mình. Và không phải chỉ sau khi GDPR, đã có các công ty bắt đầu triển khai lựa chọn này ở thời điểm hiện tại. Các dịnh vụ cũ như Google Takeout hay những dịch vụ nhỏ hơn như Slack cũng đang bắt đầu đưa ra những lựa chọn tương tự để đáp ứng yêu cầu về tính di động của dữ liệu yêu cầu bởi GDPR. Điều này sẽ mang lại tác dụng theo hai cách chính: nó cho phép bạn kiểm tra những gì các công ty đang thu thập về bạn, đồng thời nó cũng sẽ giảm bớt sự thống trị của các nền tảng bằng các cho phép người dùng di chuyển dữ liệu giữa các mạng lưới. Với yêu cầu về tính di động của dữ liệu, bạn hoàn toàn có thể xuất dữ liệu tin nhắn từ Facebook sang Ello hoặc ngược lại.

Nhưng những thay đổi lớn nhất sẽ lại nằm ở phía "hậu trường". GDPR cũng có những quy tắc quy định cách các công ty chia sẻ dữ liệu đã thu thập, điều này có nghĩa là các công ty sẽ phái tìm ra cách mới để thực hiện các thống kế, đăng nhập và trên hết là tạo ra nội dung quảng cáo. Thông thường, một trang web sẽ thể dễ dàng bắt tay với 20 đối tác về quảng cáo hướng đối tượng mà người dùng, những người có dữ liệu bị chia sẻ mà chẳng hề hay biết. Nhưng GDPR đã thêm một vài yêu cầu phức tạp khác trong việc tham gia sử dụng dữ liệu người dùng từ nguồn khác, điều này sẽ làm tăng tính minh bạch hơn về những gì công ty đang làm với dữ liệu của bạn. Do đó danh sách đối tác phải được công khai, và các hợp đồng giữa các bên phải được làm lại sao cho phù hợp với chuẩn của GDPR. Những thay đổi này sẽ chấm dứt tình trạng lộn xộn và tính tự do trong việc chia sẻ dữ liệu của người dùng.

Việc thay đổi điều khoản trên hợp đồng không chỉ đơn giản như việc thêm vào đó một vài hội thoại "Tôi đồng ý". Sẽ có những vấn đề rất khó giải quyết, kiểu như liệu các nhà cung cấp nội dung có được giữ lại quyền điều khiển dữ liệu khách hàng của mình không, hay liệu các mạng lưới quảng cáo lớn như Google có thể tự cung cấp quyền cho các bên phát hành nội dung hay không. Khi phóng viên trang tin The Verge nói chuyện với Shannon Yavorsky, một luật sư tại Venable đang theo sát về những yêu cầu của GDPR, Yavorsly kể rằng các khách hàng của cô còn bị bối rối bởi việc ai sẽ là người chịu trách nhiệm nếu dữ liệu bị rò rỉ bởi một trong số các đối tác thuộc mạng lưới. Cô nói: "Tôi đã được hỏi về những tiêu chuẩn của thị trường rất nhiều lần. Nhưng chúng tôi không biết, chưa từng có hình phạt nào được đưa ra để giúp chúng tôi hiểu được cách thức nó thi hành". Và cho tới hiện tại thì vẫn chẳng có phương án giải quyết nào cho các vấn đề này, và những bất đồng cơ bản sẽ tiếp tục nở rộ trong thời gian trước ngày GDPR chính thức có hiệu lực.

Liệu điều này có thực sự giúp quá trình thu thập dữ liệu trực truyến trở nên bớt đáng lo ngại?

Vẫn còn quá sớm để đưa ra bất kì câu trả lời chính thức nào cho câu hỏi trên. Chúng ta đều biết những gì phải tuân thủ, song lại không hiểu được cách thức thi hành, những phản ứng và mức độ quyết liệt của các cơ quan quản lí. Và điều chúng ta cần ghi nhớ đó chính là cái giá của việc rò rỉ, chia sẻ dữ liệu trong mạng lưới. Việc chia sẻ dữ liệu sẽ dần trở nên đắt đỏ hơn, các trang web sẽ dần giảm bớt số lượng đối tác. Với những dự đoán trên, chúng ta có thể tạm coi đó là chiến thắng dành cho người sử dụng Internet phổ thông trong cuộc chiến giành lại quyền riêng tư. Khi bộ luật GDPR này có hiệu lực, những công ty nhỏ chính là đối tượng sẽ bị tác động nặng nề nhất, song nó cũng có thể là lý do để tạo ra khoảng cách về quyền lợi giữa những công khi lớn như Google và Facebook với những công ty nhỏ ngay cả khi quy mô của dữ liệu không còn lớn như trước.

GDPR cũng đồng thời chia cắt Liên minh châu Âu với phần còn lại của thế giới Internet. Từ trước tới giờ, hầu hết các công ty đều hướng tới một tập hợp các quy tắc bảo mật dành cho tất cả người dùng, đây chính là lí do tại sao nhiều người dùng Mỹ lại quan tâm đến các tính năng bảo mật và các điều khoản dịch vụ mới. Nhưng trong nhiều trường hợp, tạo ra một bộ quy tắc riêng cho người dân EU và phần còn lại của thế giới lại dễ dàng hơn, điều này có thể dẫn đến việc những người dùng tại châu Âu có thể được nhìn thấy một bộ mặt khác của Internet so với phần còn lại của thế giới.

Mặt khác, các hoạt động thu thập dữ liệu sẽ bớt đáng lo ngại hơn vào thời điểm này. Song, phần lớn mạng Internet hoạt động dựa vào cơ chế tự do chia sẻ dữ liệu người dùng, đặc biệt là ngành công nghiệp quảng cáo. Điều này cũng sẽ có những hậu quả về chính trị như Cục An ninh nội địa Mỹ có thể sử dụng chung cách thức mà họ đã sử dụng vào năm 2013 để theo dõi người dùng web, hay các công ty phục vụ chính trị như Cambridge Analytica có thể tiếp tục thu thập dữ liệu song chỉ khác là các hoạt động như vậy sẽ chỉ được chia sẻ thầm lặng trong một hội nhóm kín. Chúng ta đã vừa dành 15 năm để tìm ra các cách sinh lợi với số dữ liệu đó, với suy nghĩ rằng chúng sẽ mãi miễn phí. GDPR sẽ thay đổi điều đó, và tuy có thể mất đến vài năm để có thể phát huy tối đa sức mạnh, nó chắc chắn sẽ thay đổi mạng Internet mà chúng ta từng biết.

TN