Châu Âu Sẽ Ép Facebook Tắt Đèn?

Facebook đối mặt với rắc rối tại Châu Âu—và Meta muốn bạn biết điều đó. Mỗi ba tháng kể từ tháng 6 năm 2018, công ty đã sử dụng kết quả tài chính của mình để cảnh báo rằng có thể buộc phải ngừng vận hành Facebook và Instagram trên toàn châu lục—có thể rút ứng dụng của mình khỏi hàng triệu người và hàng nghìn doanh nghiệp—nếu không thể gửi dữ liệu giữa EU và Mỹ.

Việc Meta đang đe dọa sẽ trở nên rõ ràng trong thời gian tới.

Các cơ quan quản lý dữ liệu sẽ đưa ra một quyết định lịch sử trong một vụ án kéo dài nhiều năm, và dự kiến sẽ nói rằng việc chuyển dữ liệu của Facebook qua Đại Tây Dương nên bị chặn. Trong nhiều năm, Meta đã chiến đấu với các nhà hoạt động về quyền riêng tư châu Âu về cách dữ liệu được gửi đi Mỹ, khi các tòa án đã nhiều lần quyết rằng dữ liệu châu Âu không được bảo vệ đúng cách và có thể bị giám sát bởi NSA và các cơ quan tình báo khác của Mỹ.

Mặc dù vụ việc tập trung vào Meta, nhưng có những hệ quả lan rộng, có thể ảnh hưởng đến hàng nghìn doanh nghiệp trên khắp Châu Âu phụ thuộc vào các dịch vụ của Google, Amazon, Microsoft và nhiều hơn nữa. Đồng thời, các nhà đàm phán Mỹ và châu Âu đang vội vã hoàn tất một thỏa thuận chia sẻ dữ liệu mới được mong đợi từ lâu, sẽ giới hạn thông tin mà các cơ quan tình báo Mỹ có thể có được. Nếu các nhà đàm phán không làm đúng, quyền riêng tư của người dân sẽ tiếp tục gặp nguy cơ và hàng tỷ đô la giao dịch sẽ gặp nguy hiểm.

Đầu tháng 7, Ủy ban Bảo vệ Dữ liệu Ireland, cơ quan quản lý dữ liệu chính của Facebook tại Châu Âu, đã ban hành một quyết định dự thảo sẽ ngăn chặn Meta gửi dữ liệu qua Đại Tây Dương. Mặc dù chi tiết của quyết định dự thảo đó chưa được biết đến, nếu được áp đặt, nó có thể tạo ra một tình trạng Facebook bị tắt ở khắp Châu Âu.

Dưới GDPR, luật dữ liệu của châu Âu, các quốc gia trên toàn châu lục có 30 ngày để xem xét quyết định của Ireland về Meta và phản hồi với bất kỳ thay đổi hoặc khiếu nại có thể nảy sinh. Thời gian đã kết thúc. Một người phát ngôn của cơ quan quản lý Ireland nói rằng họ đã nhận được “một số” khiếu nại từ “một số ít” quốc gia khác và đang làm việc để giải quyết vấn đề này. Các chuyên gia nói rằng những điều này có thể chỉ là những điểm pháp luật nhỏ, chứ không phải là làm thay đổi toàn bộ quyết định.

Vậy, khả năng Meta thực sự rút dịch vụ khỏi Châu Âu là bao nhiêu? Trên thực tế, khả năng đó có lẽ khá thấp. Meta đã nói rằng họ “không có ý định” rời khỏi châu lục, thậm chí đã công bố một bài đăng trên blog mang tiêu đề “Meta hoàn toàn không đe dọa rời khỏi Châu Âu.” Hơn 30 quốc gia của châu Âu là một thị trường lớn đối với Meta, và việc ngừng cung cấp dịch vụ, ngay cả tạm thời, có thể gây tổn thất đáng kể. (Một sự so sánh gần gũi là khi công ty tạm ngừng đăng bài tin tức tại Australia vào đầu năm 2021, sau một mâu thuẫn với các nhà xuất bản.) Mặc dù Meta có thể không rời khỏi Châu Âu, họ có thể phải thay đổi cách lưu trữ và chuyển dữ liệu khi quyết định cuối cùng từ cơ quan quản lý Ireland được công bố, mặc dù không có thời gian cụ thể. Họ cũng có thể phải đối mặt với một khoản phạt.

“Dự đoán của tôi là Meta sẽ phải xem xét hình thức tách địa lý nếu họ muốn tiếp tục hoạt động tại EU,” nói Calli Schroeder, hội viên hội đồng quyền riêng tư toàn cầu tại Trung tâm Thông tin Quyền riêng tư Điện tử, một tổ chức nghiên cứu quyền số phi lợi nhuận. Schroeder, người trước đây đã làm việc với các công ty về chuyển dữ liệu quốc tế, nói rằng hướng tiếp cận này có thể đồng nghĩa với việc Meta sẽ phải tạo ra các máy chủ và trung tâm dữ liệu riêng ở EU mà không kết nối với cơ sở dữ liệu rộng lớn của họ.

Harshvardhan Pandit, một nghiên cứu viên khoa học máy tính tại Đại học Trinity Dublin đang nghiên cứu về GDPR, cho biết khi các cơ quan quản lý dữ liệu vẫn đang xem xét vụ việc của Meta và quyết định cuối cùng chưa được công bố, họ có thể bao gồm một số điều khoản hoặc bước Meta cần thực hiện để tuân thủ. Ví dụ, một quyết định bảo vệ dữ liệu gần đây tại Châu Âu đã đưa ra một khoảng thời gian là 6 tháng cho một công ty thực hiện thay đổi trong hoạt động kinh doanh của họ.

“Tôi nghĩ giải pháp thực tế nhất sẽ là họ tạo cơ sở hạ tầng ở Châu Âu, giống như Google hoặc Amazon, có khá nhiều trung tâm dữ liệu ở đây,” Pandit nói thêm rằng Meta cũng có thể áp dụng nhiều mã hóa hơn vào cách lưu trữ dữ liệu và tối đa hóa việc lưu trữ ở EU. Tuy nhiên, tất cả những biện pháp này sẽ tốn kém. Jack Gilbert, giám đốc và cố vấn pháp lý đại diện tại Meta, nói rằng vấn đề này là “một mâu thuẫn giữa luật pháp EU và Mỹ đang trong quá trình được giải quyết.” Facebook không đưa ra phản hồi cụ thể về kế hoạch đối phó với quyết định của Ireland.

Các quan chức châu Âu đã hai lần quyết định rằng các hệ thống được thiết lập để chia sẻ dữ liệu giữa EU và Mỹ không bảo vệ đúng cách dữ liệu của người dân—các khiếu nại đã kéo dài từ những năm đầu thập kỷ 2010. Tòa án châu Âu đã quyết định rằng các thỏa thuận chia sẻ dữ liệu quốc tế không đáng tin cậy lần đầu tiên vào năm 2015 và sau đó là vào tháng 7 năm 2020, khi thỏa thuận Privacy Shield được xác định là bất hợp pháp.

“Tất cả những gì EU yêu cầu khi tổ chức chuyển dữ liệu sang các quốc gia khác là bảo vệ dữ liệu đó theo GDPR,” nói Nader Henein, phó chủ tịch nghiên cứu chuyên về quyền riêng tư và bảo vệ dữ liệu tại Gartner. “Vấn đề là luật pháp tại Mỹ bảo vệ dữ liệu của 'người ngoại quốt' thiếu sót nghiêm trọng và làm cho việc tuân thủ pháp luật địa phương và GDPR rất khó khăn đối với tổ chức như Facebook.”

Mặc dù Meta là tâm điểm của khiếu nại nổi bật nhất, nhưng không phải chỉ có công ty này bị ảnh hưởng bởi sự mơ hồ về việc các công ty ở Châu Âu có thể gửi dữ liệu sang Mỹ. “Vấn đề chuyển dữ liệu không chỉ đặc thù cho Meta,” David Wehner, giám đốc chiến lược trưởng của Meta, nói trong một cuộc gọi kiếm lợi nhuận vào tháng 7. “Nó liên quan đến việc chuyển dữ liệu chung cho tất cả các công ty Mỹ và EU đi lại với Mỹ.”

Hậu quả của quyết định vào tháng 7 năm 2020 loại bỏ Privacy Shield bắt đầu được cảm nhận. Từ tháng 1 năm nay, nhiều cơ quan quản lý dữ liệu châu Âu đã quyết định rằng việc sử dụng Google Analytics, dịch vụ theo dõi lưu lượng truy cập của công ty cho các trang web, vi phạm GDPR. Các cơ quan đan mạch đi xa hơn: Trường học không thể sử dụng Chromebooks mà không có các hạn chế được đưa ra. “Có rất nhiều sự không chắc chắn về pháp lý, và có một rủi ro tuân thủ đáng kể,” nói Gabriela Zanfir-Fortuna, phó chủ tịch quyền riêng tư toàn cầu tại Future of Privacy Forum, một tổ chức nghĩa vụ phi lợi nhuận.

Các chính trị gia hoàn toàn nhận thức được vấn đề. Vào tháng 3, Tổng thống Mỹ Joe Biden và Chủ tịch Ủy ban Châu Âu Ursula von der Leyen công bố một Khung chính sách bảo vệ dữ liệu chuyển Đại Tây Dương mới, sẽ thay đổi cách dữ liệu được gửi giữa EU và Mỹ. Thỏa thuận này, sẽ được giới thiệu thông qua sắc lệnh hành pháp, sẽ giới hạn thông tin mà các cơ quan tình báo Mỹ có thể truy cập và tạo ra một hệ thống mới nơi người châu Âu có thể khiếu nại nếu họ nghĩ rằng họ đã bị các cơ quan Mỹ gián điệp trái pháp luật.

Tuy nhiên, kể từ khi thỏa thuận được công bố, không có thông tin cụ thể nào—bao gồm bất kỳ văn bản pháp lý nào—đã được công bố. Vào tháng 6, các quan chức cho biết thỏa thuận có thể được công bố trong những tuần tới, nhưng cho đến nay, không có tiến triển công khai nào đáng kể. Bộ Thương mại Hoa Kỳ nói rằng các cuộc thảo luận vẫn đang diễn ra, bao gồm một cuộc họp giữa hai bên vào tuần trước. (Một người phát ngôn của Ủy ban Châu Âu nói rằng công việc trên thỏa thuận mới vẫn đang tiếp tục, nhưng họ không có một khung thời gian có thể chia sẻ.) Càng lâu cuộc đàm phán kéo dài, càng nhiều lệnh chặn sẽ được đưa ra. “Rõ ràng, nếu khung việc đó không hoàn chỉnh, chúng ta sẽ đối diện nguy cơ không thể chuyển dữ liệu,” Wehner của Facebook nói vào đầu năm nay.

Thỏa thuận có thể sẽ mất một thời gian dài nữa. “Một cách thực tế, tại thời điểm này, chúng ta đang nhìn vào một quyết định phù hợp tiềm năng cho khung chuyển dữ liệu qua Đại Tây Dương này vào một thời gian trong năm tới—có thể là quý đầu tiên của năm tới,” Zanfir-Fortuna nói. Khi chi tiết đã được công bố, các quan chức EU sẽ dành tháng để xem xét cụ thể xem chúng có tuân thủ với các lệnh của tòa án hay không.

Và họ sẽ không phải là người duy nhất cẩn trọng với nó. Những nhà hoạt động về quyền riêng tư và luật sư cũng sẽ xem xét thỏa thuận và có thể khởi kiện thêm nếu họ phát hiện rằng dữ liệu chuyển từ châu Âu sang Mỹ vẫn chưa được bảo vệ đủ mạnh mẽ. “Những thách thức tiếp tục không không có cơ sở, đặc biệt là khi xem xét các phát hiện của Snowden và sự phổ biến của các công ty Công nghệ Lớn đến từ Mỹ,” Schroeder nói. “Nhìn chung, Mỹ thực sự cần đảm bảo chúng ta đối mặt với thách thức của việc chứng minh rằng chúng ta có thể là những người quản lý tốt cho ngành công nghiệp mà chúng ta đang cố gắng trở thành những người dẫn đầu.”