Châu Âu Bắt Đầu Chống Lại Google Analytics

Trang web Áo của công ty tin tức y tế NetDoktor hoạt động giống như hàng triệu trang web khác. Khi truy cập, một cookie từ Google Analytics được đặt trên thiết bị của bạn và theo dõi hoạt động của bạn trong thời gian thăm. Việc theo dõi này có thể bao gồm các trang bạn đọc, thời gian bạn trên trang web và thông tin về thiết bị của bạn—với Google còn gán một số nhận dạng cho trình duyệt của bạn có thể liên kết với dữ liệu khác.

NetDoktor có thể sử dụng dữ liệu phân tích này để xem có bao nhiêu độc giả và họ quan tâm đến cái gì—trang web chọn những gì nó thu thập. Nhưng bằng cách sử dụng Google Analytics, dịch vụ giám sát lưu lượng của công ty công nghệ lớn này, tất cả dữ liệu này đi qua máy chủ của Google và kết thúc ở Hoa Kỳ. Đối với các cơ quan quản lý dữ liệu tại Châu Âu, việc chuyển giao dữ liệu cá nhân qua Đại Tây Dương vẫn là một vấn đề nan giải. Và bây giờ, một trang web y tế Áo nhỏ lại đứng giữa cuộc tranh luận mạnh mẽ giữa luật lệ Hoa Kỳ và các quy định bảo mật quyền riêng của Châu Âu.

Vào ngày 22 tháng 12, cơ quan quản lý dữ liệu Áo, Datenschutzbehörde, nói rằng việc sử dụng Google Analytics trên NetDoktor đã vi phạm Quy tắc Bảo vệ Dữ liệu Tổng quát (GDPR) của Liên minh châu Âu. Dữ liệu đang được gửi đến Hoa Kỳ không được bảo vệ đúng cách chống lại khả năng truy cập của các cơ quan tình báo Hoa Kỳ, cơ quan quản lý nói trong một quyết định được công bố tuần trước. Một vài ngày trước đó, đã được tiết lộ rằng trang web kiểm tra Covid-19 của Quốc hội châu Âu cũng đã vi phạm GDPR bằng cách sử dụng cookie từ Google Analytics và Stripe, theo một quyết định từ Người giám sát Bảo vệ Dữ liệu châu Âu (EDPS).

Hai trường hợp này là những quyết định đầu tiên sau một quyết định vào tháng 7 năm 2020 rằng Privacy Shield, cơ chế được hàng nghìn công ty sử dụng để chuyển dữ liệu từ EU sang Hoa Kỳ, là bất hợp pháp. Những vụ án đánh dấu này có thể tăng áp lực lên các nhà đàm phán ở Hoa Kỳ và Châu Âu đang cố gắng thay thế Privacy Shield bằng một cách mới để dữ liệu chảy giữa hai bên. Nếu một thỏa thuận mất quá nhiều thời gian, các vụ án tương tự trên khắp Châu Âu có thể tạo ra tác động lan truyền, với các dịch vụ đám mây từ Amazon, Facebook, Google và Microsoft có thể bị xem là không tương thích, một quốc gia sau một quốc gia. 'Đây là một vấn đề liên quan đến tất cả các khía cạnh của nền kinh tế, tất cả các khía cạnh của cuộc sống xã hội,' nói Gabriela Zanfir-Fortuna, phó chủ tịch quyền riêng tư toàn cầu tại Future of Privacy Forum, một tổ chức tư duy phi lợi nhuận.

NetDoktor không phải là duy nhất—nhưng nó là dấu hiệu rõ ràng nhất cho đến nay là các cơ quan quản lý Châu Âu vẫn không ưa cách các công ty công nghệ Hoa Kỳ gửi dữ liệu qua Đại Tây Dương. Các luật lệ giám sát hiện tại của Hoa Kỳ, bao gồm Điều 702 của Đạo luật Giám sát Tình báo Nước ngoài và Ủy ban Thông báo 12333, không bảo vệ dữ liệu của những người sống ngoài Hoa Kỳ cũng tốt như những người sống bên trong. ​​Nói một cách ngắn gọn: Lí thuyết có thể cho phép các cơ quan giám sát Hoa Kỳ thu thập lượng lớn dữ liệu được chuyển đến nước này.

'Những gì họ đang làm ngay bây giờ sẽ là vi phạm Hiến pháp thứ Tư nếu đối với công dân Hoa Kỳ,' Max Schrems, chủ tịch danh dự của tổ chức phi lợi nhuận pháp lý noyb, người đã khởi kiện cáo hủy Privacy Shield vào năm 2020 và đạo luật tiền thân Safe Harbor vào tháng 10 năm 2015, khẳng định. 'Chỉ vì những người là người nước ngoài không có nghĩa là vi phạm Hiến pháp Hoa Kỳ.' Một kết quả của quyết định về Privacy Shield năm 2020 là các công ty chuyển dữ liệu từ EU sang Hoa Kỳ phải đảm bảo có các biện pháp bảo vệ bổ sung để bảo vệ thông tin đó. Bây giờ Cơ quan Bảo vệ Dữ liệu Áo đã xác định rằng các biện pháp kỹ thuật được đưa ra bởi Google Analytics—bao gồm việc hạn chế truy cập vào trung tâm dữ liệu và mã hóa dữ liệu khi di chuyển trên thế giới—không đủ để ngăn chặn khả năng bị thu thập bởi các cơ quan tình báo Hoa Kỳ.

Vì Google có thể truy cập dữ liệu dưới dạng văn bản thuần, dữ liệu không được bảo vệ khỏi giám sát tiềm ẩn, quyết định của cơ quan nói. 'Việc chuyển giao này được xác định là bất hợp pháp vì không có mức độ bảo vệ đủ cho dữ liệu cá nhân được chuyển giao,' nói Matthias Schmidl, phó trưởng phòng quản lý dữ liệu Áo. Ông thêm rằng các nhà điều hành trang web không thể sử dụng Google Analytics và tuân theo GDPR.

Hiện tại, quyết định chỉ áp dụng tại Áo và chưa phải là cuối cùng. Các trang web trên khắp Châu Âu không sudden dừng sử dụng Google Analytics. NetDoktor không đáp ứng yêu cầu bình luận. 'Mặc dù quyết định này trực tiếp ảnh hưởng chỉ đến một nhà xuất bản cụ thể và tình huống cụ thể của nó, nó có thể báo trước về những thách thức rộng lớn hơn,' nói Kent Walker, phó chủ tịch toàn cầu của Google về vấn đề công việc và chief legal officer. Trong một bài đăng trên blog được xuất bản vào ngày 19 tháng 1, Walker nói rằng công ty tin rằng các biện pháp kỹ thuật mà nó đã đưa ra bảo vệ dữ liệu của người dùng và rằng loại quyết định này có thể ảnh hưởng đến cách dữ liệu chảy qua 'toàn bộ hệ sinh thái kinh doanh châu Âu và Mỹ.'

Và đây chỉ là bắt đầu. Khi noyb nộp đơn khiếu nại chống lại NetDoktor vào tháng 8 năm 2020, nó cũng nộp 100 vụ án khác với các cơ quan bảo vệ dữ liệu khác nhau trên khắp Châu Âu. 'Nó không cụ thể cho Google Analytics. Đó chỉ đơn giản là về việc outsourcing cho các nhà cung cấp ở Mỹ nói chung,' Schrems nói.

Các cơ quan quản lý ở 30 quốc gia châu Âu hiện đang điều tra những vụ án khác, bao gồm cả việc sử dụng Google Analytics và Facebook Connect, công cụ của công ty để liên kết tài khoản của bạn với các trang web khác. Các trang web thuộc quốc gia của Airbnb, Sky, Ikea và The Huffington Post cũng đang phải đối mặt với khiếu nại. 'Đa số các quyết định này sẽ có kết quả giống hoặc tương tự,' nói Zanfir-Fortuna. Điều này là khả năng cao, bà nói, vì noyb đã sử dụng cùng các lập luận pháp lý cho tất cả các vụ án của mình, và như phản ứng các cơ quan bảo vệ dữ liệu đã tạo ra một nhóm công việc để thảo luận về các vấn đề pháp lý. 'Chúng tôi kỳ vọng rằng điều này sẽ kích thích từng quốc gia, bất cứ nơi nào nó rơi xuống,' Schrems nói.

Cơ quan bảo vệ dữ liệu Hà Lan, Autoriteit Persoonsgegevens, nói rằng nó đang hoàn tất cuộc điều tra và không loại trừ khả năng rằng việc sử dụng Google Analytics theo hình thức hiện tại có thể bị cấm. Ở Đức, nơi các vấn đề dữ liệu được quy định theo khu vực, cơ quan bảo vệ dữ liệu Hamburg nhận được hai khiếu nại từ noyb và nói rằng trong một trường hợp trang web đã loại bỏ Google Analytics, vì vậy 'không dự định ban hành bất kỳ lệnh hoặc phạt nào' trong trường hợp này. Nó vẫn đang điều tra trường hợp còn lại.

Mặc dù có sự phối hợp từ các cơ quan quản lý dữ liệu, có thể sẽ có một số sự khác biệt về ý kiến, theo Simon McGarr, giám đốc tuân thủ dữ liệu cho châu Âu tại McGarr Solicitors. “Vị trí của Áo có lẽ ở một đầu của một phổ quát quan điểm—và có lẽ nó sẽ đại diện cho đầu cuối đáng kể nhất,” ông nói, thêm rằng các cơ quan dữ liệu khác sẽ phê duyệt, sửa đổi hoặc từ chối đường lối lập luận đó. Sự không đồng ý trên 27 cơ quan thi hành GDPR của EU không phải là điều hiếm có: Năm ngoái, một khoản phạt của Cơ quan Bảo vệ Dữ liệu Ireland đối với WhatsApp đã tăng thêm 175 triệu euro sau khi các cơ quan quản lý khác không đồng ý với quyết định. McGarr nói rằng có khả năng các cơ quan quản lý dữ liệu EU khác nhìn vào các vụ án của noyb có thể đưa ra những kết luận khác nhau dựa trên các sự kiện trong mỗi trường hợp.

Một người phát ngôn của EDPS nói rằng quan điểm của họ là dữ liệu cá nhân chuyển đến Mỹ cần được bảo vệ bằng 'biện pháp bổ sung hiệu quả.' Cơ quan này cũng đang điều tra cách tổ chức chính thức của EU sử dụng Amazon Web Services và Microsoft Office 365.

Vậy thì điều gì sẽ xảy ra tiếp theo? Quyết định của Áo—và những vụ án tương tự đang được xem xét hiện nay—nhấn mạnh sự căng thẳng giữa các luật pháp bảo vệ quyền riêng tư mạnh mẽ của châu Âu và những gì xảy ra với dữ liệu khi nó rời xa khỏi khối. Một số người lạc quan rằng điều này có thể giảm sự phụ thuộc của châu Âu vào các công ty công nghệ lớn của Mỹ, trong khi người khác nói rằng điều này làm nổi bật tầm quan trọng của việc đảm bảo các nhà đàm phán từ cả hai bên đạt được một thỏa thuận mới cho phép chia sẻ dữ liệu trước khi dữ liệu và kinh tế bị gián đoạn.

Các công ty có thể xem xét quyết định của cơ quan quản lý Áo và có thể xem xét các lựa chọn khác trong khi họ đợi những quyết định khác từ các cơ quan quản lý dữ liệu quốc gia khác nhau, theo Guillaume Champeau, giám đốc công việc công cộng tại nền tảng kiến trúc đám mây Clever Cloud. 'Điều này có thể thực sự giúp thay đổi cảnh quan kinh doanh để làm cho sự cạnh tranh công bằng hơn ở châu Âu,' ông thêm. Champeau cho rằng có nhiều doanh nghiệp phân tích dữ liệu dựa trên đám mây châu Âu mà không nhận được sự chú ý như Google Analytics, được ước tính được sử dụng bởi 28 triệu trang web trên toàn thế giới.

Schrems nói rằng nếu những quyết định tương tự tiếp tục xuất hiện trong năm tới, ông kỳ vọng rằng một số công ty lớn, như ngân hàng, có thể bắt đầu đặt câu hỏi về ai nên chịu trách nhiệm cho vấn đề GDPR của họ. “Nếu mọi người đầu tư hàng triệu euro vào một giải pháp đám mây sau đó lại hóa ra là bất hợp pháp, sẽ có những câu hỏi lớn về việc ai trả tiền cuối cùng,” ông nói. Cơ quan quản lý Áo không nói xem họ đã phạt NetDoktor hay chưa, nhưng vụ án vẫn chưa được hoàn toàn hoàn thiện.

Rộng hơn nữa, Schrems nói rằng ông không mong đợi các công ty Silicon Valley thay đổi công nghệ hoặc thái độ của họ ngay lúc này. “Đơn giản là không có sự sẵn sàng từ Silicon Valley để thích nghi với những quy tắc này,” ông tuyên bố. Các tài liệu nội bộ của Facebook được Politico xem cho thấy công ty này nghĩ rằng không có vấn đề nào về việc chuyển dữ liệu EU đến Mỹ và luật sư của công ty nghĩ rằng luật pháp Mỹ bảo vệ dữ liệu từ EU cũng như nó ở lại trong khối. Một người phát ngôn của Google nói rằng công ty không có 'kế hoạch chia sẻ' khi được hỏi liệu họ có ý định thay đổi nơi xử lý dữ liệu châu Âu hay không.

Có thể là những nhà đàm phán của EU và Mỹ sẽ thương lượng một thỏa thuận chia sẻ dữ liệu mới trước khi các công ty công nghệ lớn thay đổi đáng kể cách tiếp cận của họ. EU và Mỹ đã thảo luận về việc gì sẽ thay thế cho Privacy Shield kể từ khi nó bị hủy bỏ vào tháng 7 năm 2020. Nhưng những cuộc thảo luận này vẫn chưa dẫn đến nhiều đề xuất cụ thể. Các quan chức đã đưa ra ý kiến ​​tăng cường giám sát đối với các cơ quan an ninh Mỹ, bao gồm các thẩm phán quyết định xem việc thu thập dữ liệu của EU có hợp pháp hay không. “Cách dễ dàng nhất là nói rằng cần có sự phê chuẩn của tòa án đối với giám sát, và vân vân, như nó đối với người dân Mỹ,” Schrems nói.

Cuộc thương lượng đã trở nên căng thẳng trong những tháng gần đây và là một ưu tiên của cả hai bên, theo người phát ngôn của Ủy ban Châu Âu. Tuy nhiên, vẫn có những ranh giới: Không có khả năng rằng ủy ban muốn một người kế nhiệm Privacy Shield bị đánh bại tại tòa một lần nữa. “Chỉ có một thỏa thuận hoàn toàn tuân theo các yêu cầu được đặt ra bởi tòa án EU mới có thể mang lại sự ổn định và sự chắc chắn pháp lý mà các bên mong đợi cả hai bên của Đại Tây Dương,” người phát ngôn của ủy ban nói. Đại diện của Mỹ chưa trả lời yêu cầu để lại ý kiến cho đến thời điểm xuất bản.

Zanfir-Fortuna cho biết quyết định của Áo có thể đặt áp lực lớn hơn lên những người đàm phán nhưng thêm vào đó là khả năng rất ít có thay đổi về pháp lý tại Mỹ. Một luật quyền riêng tư Liên bang Mỹ có vẻ còn xa và có thể không có nhiều mong muốn hoàn toàn cải cách luật giám sát. Thay vào đó, Zanfir-Fortuna nói, những thay đổi cho phép thay thế Privacy Shield có thể đến từ các sắc lệnh hành pháp có thể được thông qua mà không cần nhiều cuộc tranh luận chính trị.

Tư duy này là điều mà Google chủ yếu đồng ý. Biên bản cuộc họp giữa Google và Ủy ban Châu Âu, được công bố theo luật tự do thông tin, cho thấy công ty hy vọng bất kỳ người kế nhiệm Privacy Shield nào “cũng không đòi hỏi hành động của Quốc hội.” Trong bài đăng trên blog của mình, Walker kêu gọi các nhà đàm phán EU và Mỹ “nhanh chóng hoàn thiện” người kế nhiệm cho Privacy Shield. “Rủi ro là quá lớn—và thương mại quốc tế giữa châu Âu và Mỹ quá quan trọng đối với sinh kế của hàng triệu người để thất bại trong việc tìm ra một giải pháp nhanh chóng cho vấn đề nguy cấp này,” ông tuyên bố.

Cuối cùng, những cuộc tranh chấp pháp lý và đàm phán chính trị đang diễn ra có thể mở cửa cho việc xem xét pháp lý hơn đối với người kế nhiệm của Privacy Shield—chu kỳ của các thỏa thuận bị hủy bỏ có thể tiếp tục nếu các tổ chức châu Âu không xem xét rằng dữ liệu chuyển đến Mỹ được bảo vệ đúng cách khỏi giám sát. “Có thể sẽ thấy một người kế nhiệm của Privacy Shield mới trong vài tháng tới,” Zanfir-Fortuna nói. “Câu hỏi sau đó là trong bao lâu một Privacy Shield mới có thể đảm bảo sự chắc chắn cho việc chuyển giao trong bối cảnh thiếu các cải cách tại Mỹ?”

More Great Mytour Stories

• 📩 Những thông tin mới nhất về công nghệ, khoa học, và nhiều hơn nữa: Nhận những bản tin của chúng tôi!
• 4 em bé sơ sinh chết, một người mẹ đã bị kết án, và một bí ẩn về gen
• Chất nổ, một robot, và một cái xe trượt tuyết làm sáng tỏ một tảng băng ngày tận thế
• Làm thế nào để xóa tài khoản Facebook, Twitter, và nhiều hơn nữa
• Những bộ phim truyền hình hay nhất bạn đã bỏ lỡ trong năm 2021
• Hệ thống giao thông công cộng tái tập trung vào người đi chính
• 👁️ Khám phá trí tuệ nhân tạo như chưa bao giờ với cơ sở dữ liệu mới của chúng tôi
• 🎧 Âm thanh không đúng? Hãy kiểm tra tai nghe không dây, thanh âm, và loa Bluetooth yêu thích của chúng tôi