Luật quyền riêng tư mới của Châu Âu sẽ thay đổi Internet và nhiều hơn thế nữa

Người tiêu dùng đã lâu tự hỏi về những gì Google và Facebook biết về họ, và ai khác có thể truy cập dữ liệu cá nhân của họ. Nhưng các ông lớn của internet không có động lực gì để đưa ra câu trả lời trực tiếp — thậm chí là đối với những câu hỏi đơn giản như 'Tại sao tôi thấy quảng cáo này?'

Vào ngày 25 tháng 5, tuy nhiên, sức mạnh sẽ chuyển sang tay người tiêu dùng, nhờ vào một luật quyền riêng tư của Châu Âu giới hạn cách dữ liệu cá nhân được thu thập và xử lý. Quy tắc này, được gọi là Quy định bảo vệ dữ liệu tổng quát hoặc GDPR, tập trung vào việc đảm bảo rằng người dùng biết, hiểu và đồng ý với dữ liệu được thu thập về họ. Dưới GDPR, trang của văn bản mịt mờ sẽ không đủ. Cũng như việc ép buộc người dùng phải nhấp vào 'đồng ý' để đăng ký sẽ không đủ.

Thay vào đó, các công ty phải rõ ràng và súc tích về việc thu thập và sử dụng dữ liệu cá nhân như tên đầy đủ, địa chỉ nhà, dữ liệu vị trí, địa chỉ IP hoặc bộ nhận dạng theo dõi việc sử dụng web và ứng dụng trên điện thoại thông minh. Công ty phải nêu rõ lý do dữ liệu được thu thập và liệu nó có được sử dụng để tạo hồ sơ về hành động và thói quen của người dùng hay không. Hơn nữa, người tiêu dùng sẽ có quyền truy cập vào dữ liệu mà các công ty lưu trữ về họ, quyền sửa thông tin không chính xác và quyền hạn chế việc sử dụng quyết định được thực hiện bằng thuật toán, cùng nhiều quyền khác.

Luật bảo vệ cá nhân trong 28 quốc gia thành viên của Liên minh châu Âu, ngay cả khi dữ liệu được xử lý ở nơi khác. Điều đó có nghĩa là GDPR sẽ áp dụng đối với các nhà xuất bản như MYTOUR; ngân hàng; trường đại học; nhiều công ty trong danh sách Fortune 500; chuỗi công nghệ quảng cáo theo dõi bạn trên web, thiết bị và ứng dụng; và những gã khổng lồ công nghệ ở thung lũng Silicon.

Là một ví dụ về phạm vi của luật, Ủy ban Châu Âu, cơ quan lập pháp của EU, nói trên trang web của mình rằng mạng xã hội sẽ phải tuân thủ yêu cầu của người dùng để xóa ảnh mà người dùng đăng khi còn là người vị thành niên - và thông báo cho các công cụ tìm kiếm và trang web khác đã sử dụng ảnh đó rằng hình ảnh nên được xóa. Ủy ban cũng nói rằng một dịch vụ chia sẻ xe có thể yêu cầu tên, địa chỉ, số thẻ tín dụng của người dùng và có thể làm thêm thông tin về việc người đó có khuyết tật không, nhưng không thể yêu cầu người dùng chia sẻ chủng tộc của họ. (Theo GDPR, các điều kiện nghiêm ngặt áp dụng cho việc thu thập 'dữ liệu nhạy cảm', chẳng hạn như chủng tộc, tôn giáo, chiến phái chính trị và tình dục.)

GDPR đã kích thích, hoặc đã đóng góp vào, những thay đổi trong việc thu thập và xử lý dữ liệu. Tháng 6, Google thông báo rằng họ sẽ ngừng khai thác email trong Gmail để cá nhân hóa quảng cáo. (Công ty nói đó không liên quan đến GDPR và được thực hiện để điều hòa phiên bản dành cho người tiêu dùng và doanh nghiệp của Gmail.) Tháng 9, Google đã đổi mới bảng điều khiển quyền riêng tư của mình, ra mắt lần đầu vào năm 2009, để trở nên dễ sử dụng hơn đối với người dùng. Tháng 1, Facebook công bố bảng điều khiển quyền riêng tư của riêng mình, nhưng chưa ra mắt. Mặc dù luật chỉ áp dụng ở châu Âu, các công ty đang thực hiện thay đổi trên toàn cầu, vì nó đơn giản hơn là tạo ra các hệ thống khác nhau.

Tác động của luật sẽ kéo dài xa hơn nữa so với những gã khổng lồ trên web. Tháng 3, Drawbridge, một công ty công nghệ quảng cáo theo dõi người dùng qua nhiều thiết bị, cho biết họ sẽ dừng kinh doanh quảng cáo của mình tại Liên minh châu Âu vì không rõ ngành quảng cáo kỹ thuật số sẽ đảm bảo sự đồng thuận của người tiêu dùng như thế nào. Acxiom, một công ty môi giới dữ liệu cung cấp thông tin về hơn 700 triệu người được tìm thấy từ các hồ sơ cử tri, hành vi mua sắm, đăng ký xe và các nguồn thông tin khác, đang sửa đổi cổng thông tin trực tuyến của mình ở Mỹ và châu Âu nơi người tiêu dùng có thể xem thông tin Acxiom có về họ. GDPR 'sẽ đặt ra tiêu chí cho bảo vệ dữ liệu trên khắp thế giới trong 10 năm tới', Sheila Colclasure, Chief Data Ethics Officer của Acxiom, nói.

Vượt lên ngoài những bước đi như vậy, sự nhấn mạnh của luật đối với sự đồng thuận, kiểm soát và giải thích rõ ràng có thể thúc đẩy người dùng hiểu biết tốt hơn và xem xét lại cách họ bị giám sát trực tuyến. Trong khi đó, những nhà hoạt động về quyền riêng tư dự định sử dụng GDPR như một vũ khí để ép buộc các thay đổi trong các thực prá xử lý dữ liệu doanh nghiệp.

Nói ngắn gọn, luật là cơ hội để đảo ngược kinh tế của ngành công nghiệp. Kể từ bình minh của web thương mại, các công ty đã được khích lệ tài chính để thu thập dữ liệu và thương mại hóa sau này. Bây giờ, người tiêu dùng EU sẽ có tự do chọn tham gia, thay vì gánh nặng của việc chọn không. Sự nhấn mạnh vào sự đồng thuận tạo ra một phần thưởng tài chính để xây dựng niềm tin của người tiêu dùng.

GDPR đưa ra 'một cơ hội thực sự để đàm phán lại các điều khoản của cuộc giao dịch giữa con người, dữ liệu của họ và công ty,' thay vì vô tâm nhấp chuột vào một thỏa thuận điều khoản dịch vụ, ' nói David Carroll, giáo sư kỹ thuật truyền thông tại Trường Thiết kế Nghệ thuật mới. Carroll nói rằng dữ liệu được thu thập bởi những nhà hoạt động 'có thể là cơ sở cho các điều tra mới và cách để đưa ra trách nhiệm cho các công ty.'

Nhu cầu về sự minh bạch và trách nhiệm ngày càng quan trọng hơn bao giờ hết. Nhấp chuột để chấp nhận một tài liệu điều khoản dịch vụ không thể xâm nhập đã từng trông có vẻ như một lựa chọn không cần suy nghĩ. Phía trên là hiệu suất đáng kinh ngạc và phía dưới, có vẻ như chỉ là một số quảng cáo giày phiền phức theo dõi bạn trên web. Nhưng năm qua đã cho thấy làm thế nào dữ liệu cá nhân giống nhau đã được sử dụng như một vũ khí để đàn áp cử tri thiểu số, tăng cường tư duy cách mạng cho nam thanh niên trắng, lợi dụng niềm tin chính trị để gieo rẽ phân khúc, và có thể làm nghiêng cầu cử. Trong một bài báo trắng mang tên 'Quan sát doanh nghiệp trong Cuộc sống Hằng ngày,' nhà nghiên cứu Wolfie Christl mô tả cách dữ liệu cá nhân được sử dụng để ảnh hưởng đến hành vi và xác định xem bạn sẽ thấy sản phẩm nào, bạn sẽ truy cập dịch vụ nào và bạn sẽ trả giá bao nhiêu trong các lĩnh vực từ mua sắm đến ngân hàng. 'Mỗi lần chúng ta nhấp chuột, những công ty này đang cố gắng xác định, đây có phải là một người có giá trị hay một người vô giá trị?' Christl nói.

Hầu hết các quyền dữ liệu được thể hiện dưới GDPR đã được thiết lập từ trước ở EU, nhưng không được áp dụng. GDPR chuẩn hóa quyền dữ liệu trên tất cả các quốc gia trong EU, trang bị các cơ quan quản lý với cùng một cây gậy lớn và răng sắc hơn. Người vi phạm đối mặt với mức phạt lên đến 4% doanh thu toàn cầu hàng năm. Đối với Facebook, đó sẽ là 1,6 tỷ đô la; đối với Google, 4,4 tỷ đô la.

Tất nhiên, luật lệ có số lượng người phản đối của mình, coi GDPR như một hình thức bảo hộ nhiều hơn từ EU, mà đã thách thức các nền tảng công nghệ Mỹ với lý do cạnh tranh không lành mạnh và quyền riêng tư với hậu quả đắt đỏ. Sau đó là những lo ngại về chi phí. Colclasure từ Acxiom gọi ngành công nghiệp dữ liệu là cột sống của 'nội dung miễn phí và kiến thức miễn phí' trực tuyến. 'Đó là tường trình trả tiền hoặc các trang web này được hỗ trợ bởi quảng cáo phần lớn,' cô nói.

Có những lỗ hổng tiềm ẩn trong luật lệ. Nó cho phép doanh nghiệp xử lý dữ liệu cá nhân mà không cần sự đồng thuận với một số lý do hạn chế, bao gồm 'lợi ích hợp pháp' của doanh nghiệp, mà Ủy ban Châu Âu nói bao gồm 'tiếp thị trực tiếp,' thông qua thư, email hoặc quảng cáo trực tuyến.

Tuy nhiên, ngay cả khi đó, các công ty cũng phải xem xét kỳ vọng của người tiêu dùng về cách dữ liệu của họ sẽ được sử dụng và không thể vi phạm các quyền khác được đảm bảo theo GDPR. Trong lĩnh vực số, người tiêu dùng EU cũng có sự bảo vệ bổ sung từ một bộ quy tắc đồng hành, được gọi là Chỉ thị về Quyền riêng tư điện tử, quy định truyền thông điện tử. Theo những quy tắc đó, đang trong quá trình được thông qua thành luật, sự đồng thuận là cơ sở pháp lý duy nhất để thu thập dữ liệu cá nhân.

David Martin, chủ nhiệm pháp lý cấp cao tại Tổ chức Người tiêu dùng Châu Âu, một nhóm dùm 43 tổ chức người tiêu dùng, nói rằng các nhà lắp đặt của công ty công nghệ đang cố gắng ảnh hưởng đến hướng dẫn để giải thích GDPR và làm yếu đi ngôn ngữ về Quyền riêng tư điện tử.

Tránh né không phải là một lựa chọn. Trong năm 2017, doanh thu trên mỗi người dùng của Facebook ở Châu Âu tăng 41% so với năm trước, lên 8,86 đô la. Tốc độ tăng nhanh hơn bất kỳ khu vực nào khác.

Trong một tuyên bố gửi đến MYTOUR, Rob Sherman, Phó Chủ tịch Quyền riêng tư của Facebook, nói: “Tất cả mọi người trên Facebook sẽ thấy cải thiện trong các công cụ và kiểm soát quyền riêng tư của họ trong năm nay. Ngoài GDPR, chúng tôi đang xem xét mọi thứ để xem chúng tôi có thể mang lại quyền kiểm soát hơn cho mọi người và làm thêm để giúp họ hiểu cách dữ liệu của họ được sử dụng.” Google hướng dẫn MYTOUR đến một bài đăng trên blog năm 2017, nơi công ty nói rằng “cam kết tuân thủ GDPR trên tất cả các dịch vụ chúng tôi cung cấp tại Châu Âu,” bao gồm tìm kiếm Google, Gmail và tất cả các dịch vụ quảng cáo và đo lường của mình.

Những nhà hoạt động về quyền riêng tư tin rằng luật lệ sẽ mở khóa dữ liệu mà họ cần để ép buộc những thay đổi khác. Điều này đã thành công trước đó. Một vụ kiện đưa ra trước tòa chống lại Facebook vào năm 2013 do luật sư Áo và nhà hoạt động về quyền riêng tư Max Schrems khởi kiện đã dẫn đến một quyết định hủy bỏ thỏa thuận “Safe Harbor” mà các công ty sử dụng để chuyển dữ liệu giữa Mỹ và châu Âu. Vụ án của Schrems đang chờ xử.

Được động viên bởi sự tiếp cận của GDPR, Schrems vào tháng 11 đã khởi xướng một tổ chức phi lợi nhuận có tên None of Your Business sẽ sử dụng GDPR để 'đối mặt với những gigant công nghệ như Facebook, Google & Co. với một đội ngũ luật sư và chuyên gia IT có trình độ cao và đầy đủ động lực,' theo tuyên bố của nhóm.

Paul-Olivier Dehaye, một nhà toán học và đồng sáng lập PersonalData.IO, đã sử dụng luật bảo vệ dữ liệu của Anh để giúp cá nhân tiếp cận thông tin cá nhân được xử lý bởi Cambridge Analytica, công ty gây tranh cãi đứng sau việc xâm phạm dữ liệu ảnh hưởng hơn 50 triệu người dùng Facebook. Dehaye tin rằng GDPR có thể giúp lấy ra thêm thông tin.

Tác động cuối cùng của GDPR sẽ phụ thuộc vào cách người tiêu dùng sử dụng quyền mới của họ một cách quyết liệt. Các xu hướng gần đây chỉ ra sự quan tâm ngày càng tăng về quyền riêng tư. Việc sử dụng các công cụ chặn quảng cáo và VPN đang tăng lên ở Hoa Kỳ và nhiều nơi khác. Các doanh nghiệp đã phản ứng theo yêu cầu. Tháng 8, Mozilla giới thiệu Firefox Focus, một trình duyệt di động riêng tư. Tháng 9, Apple thêm chức năng ngăn chặn theo dõi vào trình duyệt Safari của mình.

Fatemeh Khatibloo, một chuyên gia phân tích chính tại Forrester, cho rằng kết quả cuối cùng sẽ là các phương pháp thu thập dữ liệu tiến bộ hơn. Người tiêu dùng sẽ kinh ngạc khi biết số lượng cookies, theo dõi và máy chủ quảng cáo hoạt động trên các trang web mà họ truy cập, cô nói.

Trong một cuộc khảo sát về người tiêu dùng Anh mà Khatibloo tiến hành vào tháng 8, 51% người tham gia khảo sát cho biết họ có khả năng ít nhất là một chút muốn thực hiện quyền mới của họ theo GDPR. Ví dụ phổ biến nhất được trích dẫn là xóa dữ liệu. “Mọi người cảm thấy họ có thể 'trừng phạt' những công ty xâm phạm hoặc quấy rối bằng cách yêu cầu họ xóa thông tin của mình,” cô nói.

Tuy nhiên, Khatibloo hoài nghi rằng GDPR sẽ làm kinh người dùng các dịch vụ internet phổ biến. Người tiêu dùng hiểu giá trị của việc trao đổi dữ liệu của họ để có dịch vụ miễn phí và không muốn trải qua trải nghiệm trực tuyến bị gián đoạn, cô nói. GDPR “làm sáng tỏ rất nhiều về một số thủ thuật dữ liệu mà mọi người không nhận thức, nhưng tôi không nghĩ rằng sẽ có một cuộc thanh toán lớn từ phía Facebook.”

Nhiều thứ có thể phụ thuộc vào cách các công ty yêu cầu sự đồng thuận. Tháng 9, PageFair, một công ty giúp các nhà xuất bản giải quyết vấn đề chặn quảng cáo, tiến hành một cuộc khảo sát trong đó nó đưa ra cho người dùng các lựa chọn về việc bị theo dõi, như 'chỉ chấp nhận theo dõi bên nhất' hoặc 'từ chối theo dõi trừ khi nó hoàn toàn cần thiết cho các dịch vụ được yêu cầu.' Trong số 300 người được khảo sát, chỉ khoảng 5% đồng ý cho phép theo dõi tất cả.

Công ty tiếp thị Criteo đang hướng đến một điều ít quấy rối hơn nhiều. Vào tháng 1, Digiday đã đăng một giao diện đồng thuận mẫu mà Criteo đang thử nghiệm. Nó có một biểu ngữ nhỏ xuất hiện ở dưới cùng của trang, thông báo cho người dùng rằng bằng cách nhấp vào bất kỳ liên kết nào trên trang, họ đồng thuận với Criteo's 'công nghệ theo dõi trên nhiều trang dễ sử dụng.'

Viết lại các Quy tắc

• GDPR đang thúc đẩy những thay đổi trong thư mục Whois trên web, có thể bị đóng cửa trước sự nhìn thấy của công chúng.
• Facebook đã cung cấp cho nhà quảng cáo cơ hội nhắm mục tiêu người dùng chỉ 14 tuổi trong những khoảnh khắc tâm lý yếu đuối,
• Đọc bản tin của MYTOUR về việc phê duyệt GDPR năm 2016.