Lý do GDPR Đang Thất Bại

Một ngàn bốn trăm năm mươi chín ngày đã trôi qua kể từ khi tổ chức quyền dữ liệu NOYB phát động các khiếu nại đầu tiên dưới quy định dữ liệu đầu tàu của châu Âu, GDPR. Những khiếu nại cáo buộc rằng Google, WhatsApp, Facebook và Instagram đã ép buộc người dùng phải bỏ thông tin cá nhân mà không có sự đồng thuận đúng đắn, theo Romain Robert, một giám đốc chương trình tại tổ chức phi lợi nhuận. Những khiếu nại đã đến vào ngày 25 tháng 5 năm 2018, ngày GDPR có hiệu lực và tăng cường quyền riêng tư cho 740 triệu người châu Âu. Bốn năm sau, NOYB vẫn đang chờ quyết định cuối cùng. Và nó không phải là tổ chức duy nhất.

Kể từ khi Nghị định Bảo vệ Dữ liệu Chung có hiệu lực, các cơ quan quản lý dữ liệu được giao nhiệm vụ thực thi luật đã gặp khó khăn trong việc xử lý nhanh chóng các khiếu nại đối với các công ty Big Tech và ngành quảng cáo trực tuyến mập mờ, với hàng loạt vụ án vẫn chưa được giải quyết. Trong khi GDPR đã cải thiện không đếm được quyền riêng tư của hàng triệu người trong và ngoài châu Âu, nó vẫn chưa xoá bỏ những vấn đề tồi tệ nhất: Người môi giới dữ liệu vẫn đang tích trữ thông tin cá nhân của bạn và bán nó, và ngành quảng cáo trực tuyến vẫn rải đầy các lạm dụng có thể xảy ra.

Bây giờ, các nhóm xã hội dân sự đã trở nên bực bội với những hạn chế của GDPR, trong khi một số cơ quan quản lý của các quốc gia than phiền rằng hệ thống xử lý khiếu nại quốc tế quá nhiều và làm chậm quá trình thực thi. So với đó, nền kinh tế thông tin di chuyển với tốc độ chóng mặt. 'Nói rằng GDPR được thi hành tốt, tôi nghĩ đó là một sai lầm. Nó không được thi hành nhanh chóng như chúng ta nghĩ,' Robert nói. NOYB vừa giải quyết một vụ án pháp lý về sự trễ trừng phạt trong những khiếu nại về sự đồng thuận. 'Vẫn còn những gì chúng tôi gọi là khoảng trống về thi hành và vấn đề với thi hành liên quốc gia và thi hành đối với những người chơi lớn,' thêm David Martin Ruiz, một sĩ quan pháp lý cấp cao tại Tổ chức Người tiêu dùng châu Âu, đã khiếu nại về việc theo dõi vị trí của Google cách đây bốn năm.

Các nhà lập pháp tại Brussels đầu tiên đề xuất cải tiến quy tắc dữ liệu của châu Âu từ tháng 1 năm 2012 và thông qua luật cuối cùng vào năm 2016, để cho các công ty và tổ chức hai năm để tuân thủ. GDPR xây dựng trên cơ sở của các quy định dữ liệu trước đó, tăng cường quyền lợi của bạn và thay đổi cách doanh nghiệp phải xử lý dữ liệu cá nhân của bạn, thông tin như tên bạn hoặc địa chỉ IP. GDPR không cấm việc sử dụng dữ liệu trong một số trường hợp nhất định, chẳng hạn như việc sử dụng nhận diện khuôn mặt quấy rối của cảnh sát; thay vào đó, bảy nguyên tắc nằm ở trái tim nó và hướng dẫn cách dữ liệu của bạn có thể được xử lý, lưu trữ và sử dụng. Những nguyên tắc này áp dụng tương đương cho các tổ chức từ thiện và chính phủ, các công ty dược phẩm và các công ty Big Tech.

Quan trọng nhất, GDPR đã biến những nguyên tắc này thành vũ khí và trao quyền cho cơ quan quản lý dữ liệu của mỗi quốc gia châu Âu có thể phạt đến 4 phần trăm doanh số toàn cầu của một công ty và yêu cầu các công ty ngừng những hành vi vi phạm nguyên tắc của GDPR. (Yêu cầu một công ty dừng việc xử lý dữ liệu cá nhân có lẽ có ảnh hưởng lớn hơn việc phạt tiền.) Không có lẽ là phạt và thi hành GDPR sẽ nhanh chóng từ các cơ quan quản lý - trong lĩnh vực luật cạnh tranh, chẳng hạn, các vụ án có thể mất nhiều thập kỷ - nhưng bốn năm sau khi GDPR bắt đầu, tổng số quyết định lớn chống lại các công ty dữ liệu mạnh mẽ nhất thế giới vẫn còn rất thấp.

Dưới loạt quy tắc dày đặc tạo nên GDPR, các khiếu nại chống lại một công ty hoạt động ở nhiều quốc gia EU thường được đưa đến quốc gia mà trụ sở chính châu Âu của nó đặt tại đó. Quy trình một cửa này quy định rằng quốc gia dẫn đầu cuộc điều tra. Quốc gia nhỏ Luxembourg giải quyết khiếu nại đối với Amazon; Hà Lan giải quyết với Netflix; Thụy Điển có Spotify; và Ireland chịu trách nhiệm với Facebook, WhatsApp và Instagram của Meta, cũng như tất cả các dịch vụ của Google, Airbnb, Yahoo, Twitter, Microsoft, Apple và LinkedIn.

Một lượng lớn khiếu nại GDPR sớm và phức tạp đã dẫn đến tình trạng chậm trễ tại các cơ quan quản lý, bao gồm cơ quan Ireland, và hợp tác quốc tế đã bị làm chậm lại bởi công việc giấy tờ. Tính đến tháng 5 năm 2018, cơ quan quản lý Ireland đã hoàn thành 65% các trường hợp liên quốc gia - theo số liệu của chính cơ quan quản lý. Các trường hợp khác, do NOYB đưa ra tòa án chống lại Netflix (Hà Lan), Spotify (Thụy Điển) và PimEyes (Ba Lan) cũng kéo dài nhiều năm.

Các cơ quan quản lý dữ liệu châu Âu cho rằng thi hành GDPR vẫn đang trưởng thành và đang hoạt động tốt và cải thiện theo thời gian. (Các quan chức từ Pháp, Ireland, Đức, Na Uy, Luxembourg, Ý, Vương quốc Anh, và hai tổ chức độc lập của châu Âu, EDPS và EDPB, đều được phỏng vấn cho bài viết này.) Số lượng phạt đã tăng lên khi luật đã lớn tuổi, đạt một tổng cộng 1,6 tỷ euro (khoảng 1,7 tỷ đô la). Cao nhất? Luxembourg phạt Amazon 746 triệu euro và Ireland phạt WhatsApp 225 triệu euro năm ngoái. (Cả hai công ty đều đang kháng án quyết định). Đồng thời, một khoản phạt Bỉ ít người biết đến có thể thay đổi cách toàn bộ ngành công nghiệp quảng cáo kỹ thuật số hoạt động. Tuy nhiên, các quan chức thừa nhận rằng các thay đổi trong cách GDPR được thi hành có thể làm tăng tốc quá trình và đảm bảo hành động nhanh chóng hơn.

Helen Dixon đang ở trung tâm của việc thi hành GDPR của châu Âu, với Ủy ban Bảo vệ Dữ liệu của Ireland (DPC) chịu trách nhiệm cho một số lượng lớn các công ty Big Tech. DPC đã phải đối mặt với chỉ trích vì khó khăn trong việc theo kịp với số lượng khiếu nại thuộc thẩm quyền của nó, gây tức giận từ các cơ quan quản lý đồng nghiệp và cuộc kêu gọi cải cách cơ quan này. 'Nếu mọi thứ đều đến với bạn cùng một lúc, rõ ràng sẽ có độ trễ về mặt ưu tiên và xử lý tuần tự với những vấn đề trong khi triển khai một khung pháp luật rất quan trọng', Dixon nói, bảo vệ hiệu suất của văn phòng của mình. Dixon nói rằng DPC đã phải xử lý sự phức tạp của GDPR từ đầu, dẫn đến nhiều vụ án và quy trình mới, và không có câu trả lời đơn giản cho nhiều trong số đó.

'Tôi sẽ phân loại DPC là rất hiệu quả trong bốn năm đầu tiên của áp dụng GDPR,' Dixon nói. 'Việc DPC đã triển khai một khung pháp luật mới mà nhiều người mô tả là 'pháp luật của tất cả mọi thứ' trong vài năm ngắn ngủi, và triển khai những biện pháp trừng phạt và sửa sai rất quan trọng trong khoảng thời gian đó' chứng tỏ sự thành công, Dixon nói. Tổ chức đã thi hành biện pháp đối với Twitter, WhatsApp, Facebook và Groupon, trong hàng ngàn vụ án quốc gia khác nhau, trong thời gian này.

“Cần phải có một đánh giá độc lập về cách cải cách và làm mạnh mẽ DPC,” nói Johnny Ryan, một nghiên cứu viên cấp cao tại Hội đồng Quyền dân sự Ireland. “Chúng ta không thể biết được từ bên ngoài vấn đề là gì.” Ryan thêm rằng chỉ trách nhiệm không thể chỉ được đặt ở cơ quan quản lý Ireland. “Ủy ban châu Âu có quyền lực to lớn. GDPR được kỳ vọng là một dự án to lớn. Và Ủy ban đã bỏ qua GDPR,” ông nói. “Nó không chỉ đề xuất luật, nó cũng phải đảm bảo rằng chúng được áp dụng.”

Đến nay, Ủy ban Châu Âu đã ủng hộ việc thi hành GDPR tại Ireland và trên toàn lục địa. “Ủy ban liên tục kêu gọi các cơ quan bảo vệ dữ liệu tiếp tục nỗ lực tăng cường thi hành,” Didier Reynders, Ủy ban châu Âu về Công lý, nói trong một tuyên bố. “Chúng tôi đã khởi động sáu thủ tục vi phạm dưới GDPR.” Những vụ án pháp lý này bao gồm hành động chống lại Slovenia vì không thực hiện GDPR vào luật quốc gia và đặt câu hỏi về độ độc lập của cơ quan bảo vệ dữ liệu Bỉ.

Tuy nhiên, sau khi nhận được khiếu nại từ Ryan vào tháng 2, Ombudsman Liên minh châu Âu, một cơ quan giám sát cho các tổ chức châu Âu, đã mở một cuộc điều tra về cách Ủy ban đã theo dõi bảo vệ dữ liệu tại Ireland. (Ombudsman nói rằng Ủy ban có thời hạn đến ngày 25 tháng 5 để trả lời, sau khi yêu cầu gia hạn thời hạn ban đầu của mình. Reynders nói rằng Ủy ban không bình luận về các cuộc điều tra đang diễn ra). Nếu Ủy ban xem xét Ireland, có thể đưa ra đề xuất, Estelle Massé, người đứng đầu bảo vệ dữ liệu toàn cầu tại Access Now, một tổ chức quyền dân sự tập trung vào công nghệ, nói. “Có một vấn đề, và nếu bạn không can thiệp theo cách này, tôi thực sự không thấy cách tình hình sẽ giải quyết,” Massé nói. “Nó phải trải qua một thủ tục vi phạm.”

Mặc dù có vấn đề thi hành rõ ràng, GDPR đã có một ảnh hưởng không thể đếm được đối với thực practices dữ liệu nói chung. Các quốc gia EU đã đưa ra quyết định trong hàng ngàn trường hợp địa phương và đưa ra hướng dẫn cho tổ chức về cách họ nên sử dụng dữ liệu của người dùng. Liên đoàn bóng đá LaLiga của Tây Ban Nha bị phạt sau khi ứng dụng của nó gián điệp người dùng, nhà bán lẻ H&M bị phạt ở Đức sau khi lưu giữ thông tin về cuộc sống cá nhân của nhân viên, cơ quan thuế Hà Lan bị phạt vì việc sử dụng 'danh sách đen,' và đây chỉ là một số ít trong số những vụ án thành công.

Một số ảnh hưởng của GDPR cũng được giấu kín - luật không chỉ là về việc phạt tiền và yêu cầu các công ty thay đổi - và nó đã cải thiện hành vi của các công ty. “Nếu bạn so sánh sự nhận thức về an toàn thông tin, về bảo vệ dữ liệu, về quyền riêng tư, như nó trông như thế nào 10 năm trước và trông như thế nào ngày nay, đó là hai thế giới hoàn toàn khác nhau,” Wojciech Wiewiórowski, Giám đốc Bảo vệ Dữ liệu Châu Âu, người giám sát các vụ án GDPR chống lại các tổ chức châu Âu, chẳng hạn như Europol, nói.

Các công ty đã ngần ngại sử dụng dữ liệu của người dùng theo các cách đáng ngờ, các chuyên gia nói, khi trước đây họ đã không nghĩ đến nó hai lần trước GDPR. Một nghiên cứu gần đây ước tính rằng số lượng ứng dụng Android trên cửa hàng Google Play đã giảm một phần ba kể từ khi GDPR được áp dụng, trích dẫn bảo vệ quyền riêng tư tốt hơn. “Ngày càng có nhiều doanh nghiệp đã phân bổ ngân sách lớn cho việc tuân thủ bảo vệ dữ liệu,” Hazel Grant, trưởng nhóm quyền riêng tư, an ninh và thông tin tại công ty luật có trụ sở tại London Fieldfisher, nói. Grant nói rằng khi quyết định về GDPR được đưa ra - như quyết định của Áo làm việc sử dụng Google Analytics trái với luật - các công ty lo lắng về điều đó có ý nghĩa gì đối với họ. “Bốn hoặc năm năm trước, sự thi hành đó không bao giờ xảy ra,” Grant nói. “Và nếu nó xảy ra, có lẽ chỉ một vài luật sư bảo vệ dữ liệu sẽ biết về nó - nó sẽ không được công bố và khách hàng đến với chúng tôi yêu cầu tư vấn về điều này.”

Tuy nhiên, ở cấp độ Big Tech nơi dữ liệu phong phú, quy mô tuân thủ GDPR khác biệt. Một văn bản nội bộ mới nhất của Facebook thu được bởi Motherboard gợi ý rằng công ty thực sự không biết nó làm gì với dữ liệu của bạn - một tuyên bố mà Facebook đã phủ nhận vào thời điểm đó. Tương tự, một cuộc điều tra chung của MYTOUR và Reveal vào cuối năm 2021 phát hiện ra những hạn chế nghiêm trọng trong cách Amazon xử lý dữ liệu của khách hàng. (Amazon nói rằng họ có một lịch sử bảo vệ dữ liệu 'ngoại lệ').

Microsoft từ chối yêu cầu để lại ý kiến. Cả Google và Facebook đều không cung cấp bình luận đúng thời điểm xuất bản.

“Có sự trễ, đặc biệt là đối với Big Tech, thi hành luật đối với Big Tech - và Big Tech có nghĩa là các trường hợp xuyên biên giới, và điều đó có nghĩa là mô hình một cửa hàng và sự hợp tác giữa các cơ quan bảo vệ dữ liệu,” Ulrich Kelber, trưởng cơ quan bảo vệ dữ liệu liên bang Đức, nói. Mô hình một cửa hàng cho phép tất cả các cơ quan quản lý của châu Âu có quyền nói lên quyết định cuối cùng của cơ quan quản lý chủ đạo trong trường hợp đó, sau đó có thể bị chống lại. Phạt của Ireland đối với WhatsApp tăng từ khoản phạt đề xuất ban đầu chỉ là €30 triệu lên đến €225 triệu sau khi các cơ quan quản lý khác đưa ra ý kiến. Một vụ án khác của Ireland đối với Instagram hiện đang được thảo luận, Dixon nói, điều này sẽ làm tăng thêm thời gian cho kết quả cuối cùng.

Mô hình một cửa hàng được tạo ra dưới GPDR, điều đó có nghĩa là quá trình đã bắt đầu với những vấn đề khó khăn ban đầu, nhưng sau bốn năm, nhiều điều vẫn cần cải thiện. Tobias Judin, trưởng phòng quốc tế tại cơ quan bảo vệ dữ liệu của Na Uy, nói rằng mỗi tuần có nhiều bản thảo quyết định được phân phối trong số các cơ quan quản lý dữ liệu của châu Âu. “Trong đa số lớn những trường hợp đó, chúng tôi thực sự đồng ý,” Judin nói. (Cơ quan Đức phản đối nhiều nhất). Quyết định có thể phải trải qua nhiều sự dao động giữa các cơ quan quản lý, bị buộc vào sự phức tạp. “Chúng tôi đặt câu hỏi liệu trong những trường hợp có tác động trên toàn châu Âu, có ý nghĩa và có thể thực hiện được rằng những trường hợp này chỉ được xử lý bởi một cơ quan bảo vệ dữ liệu cho đến khi chúng tôi đạt đến giai đoạn quyết định,” Judin nói.

Cơ quan bảo vệ dữ liệu của Luxembourg đã phạt Amazon một khoản phạt kỷ lục là €746 triệu năm ngoái, vụ án đầu tiên của họ đối với nhà bán lẻ này. Amazon đang kiện lại phạt này trước toà - trong một tuyên bố gửi đến MYTOUR, công ty lặp lại quan điểm của họ rằng “không có vi phạm dữ liệu nào, và dữ liệu của khách hàng không bị tiếp xúc với bất kỳ bên thứ ba nào.” Tuy nhiên, cơ quan quản lý của Luxembourg nói rằng cuộc điều tra sẽ luôn mất thời gian mặc dù họ đã đưa vào các cách mới để điều tra các công ty. “Tôi nghĩ dưới một năm hoặc một nửa năm, tôi nghĩ nó gần như không thể đóng cửa trước khi có một sự trễ như vậy,” Alain Herrmann, một trong bốn ủy viên bảo vệ dữ liệu của Luxembourg nói. “Có rất nhiều thông tin cần giải quyết.” Herrmann nói rằng Luxembourg còn một số vụ án quốc tế khác đang diễn ra, nhưng luật bảo mật quốc gia ngăn chặn họ nói về chúng. “Chỉ là hệ thống một cửa hàng, thiếu nguồn lực, thiếu luật lệ và thủ tục rõ ràng, làm công việc của họ trở nên khó khăn hơn,” Robert nói.

Cơ quan bảo vệ dữ liệu của Pháp đã, theo một số cách, lạc lõng qua quy trình GDPR quốc tế bằng cách trực tiếp đặt vấn đề về việc sử dụng cookie của các công ty. Mặc dù tin đồn phổ biến, các hộp thoại quấy rối cookie không đến từ GDPR - chúng được quy định bởi luật E-Privacy riêng của Liên minh châu Âu, và cơ quan quản lý Pháp đã tận dụng điều này. Marie-Laure Denis, trưởng CNIL, cơ quan quản lý Pháp, đã phạt Google, Amazon và Facebook với các khoản phạt lớn về các thực hành cookie xấu. Có lẽ quan trọng hơn, nó đã buộc các công ty phải thay đổi hành vi của họ. Google đang thay đổi các biểu ngữ cookie trên khắp châu Âu theo sau sau khi Pháp thực thi.

“Chúng ta bắt đầu thấy những thay đổi cụ thể đối với các hệ sinh thái số và sự phát triển của các thực hành, điều mà chúng tôi thực sự đang tìm kiếm,” Denis nói. Cô giải thích rằng CNIL sẽ tiếp tục xem xét việc thu thập dữ liệu bởi các ứng dụng di động dưới luật E-Privacy và chuyển dữ liệu đám mây dưới GDPR. Denis nói rằng nỗ lực thi hành cookie không phải để tránh quy trình kéo dài của GDPR, mà nó hiệu quả hơn, Denis nói. “Chúng tôi vẫn tin vào cơ chế thi hành GDPR, nhưng chúng ta cần làm cho nó hoạt động tốt hơn - và nhanh chóng hơn.”

Trong năm qua, đã có những lời kêu gọi ngày càng tăng để thay đổi cách GDPR hoạt động. “Thực thi nên tập trung hơn cho những vấn đề lớn,” Viviane Redding, chính trị gia đã đề xuất GDPR từ năm 2012, nói về luật dữ liệu vào tháng 5 năm ngoái. Những lời kêu gọi đã đến khi châu Âu thông qua hai đoạn lớn tiếp theo của quy định số: Đạo luật Dịch vụ Kỹ thuật số và Đạo luật Thị trường Kỹ thuật số. Những luật lệ, tập trung vào cạnh tranh và an toàn internet, xử lý thi hành theo cách khác biệt so với GDPR; trong một số trường hợp, Ủy ban Châu Âu sẽ điều tra các công ty Big Tech. Bước tiến này là một sự gật đầu đối với việc thi hành GDPR có thể không được như chính trị gia mong muốn.

Có vẻ không có ý muốn mở lại GDPR chính nó; tuy nhiên, những điều chỉnh nhỏ có thể giúp cải thiện thi hành. Tại một cuộc họp gần đây của các cơ quan quản lý dữ liệu do Ban Bảo vệ Dữ liệu Châu Âu tổ chức, một cơ quan tồn tại để hướng dẫn các cơ quan quản lý, các quốc gia đồng ý rằng một số trường hợp quốc tế sẽ làm việc theo các hạn chót và thời gian cố định và nói họ sẽ cố gắng “hợp sức” trong một số cuộc điều tra. Judin của Na Uy nói rằng bước tiến là tích cực nhưng nói lên tầm hiệu quả của nó sẽ thế nào trong thực tế.

Massé, từ Access Now, nói rằng một sửa đổi nhỏ vào GDPR có thể giải quyết một số vấn đề thi hành lớn nhất hiện nay. Pháp luật có thể đảm bảo cơ quan bảo vệ dữ liệu xử lý khiếu nại theo cách giống nhau (bao gồm cả việc sử dụng các biểu mẫu giống nhau), mô tả rõ cách mô hình một cửa hàng nên hoạt động, và đảm bảo rằng các quy trình ở các quốc gia cụ thể là giống nhau, Massé nói. Nói một cách ngắn gọn, nó có thể làm rõ cách mà mọi quốc gia nên xử lý thi hành GDPR.

Quan điểm này cũng được chia sẻ bởi các cơ quan quản lý dữ liệu, ít nhất là ở một mức độ nào đó. Denis của Pháp nói rằng các cơ quan quản lý nên chia sẻ thêm thông tin, nhanh chóng hơn về các trường hợp xuyên biên giới để họ có thể xây dựng một sự đồng thuận không chính thức xung quanh quyết định tiềm năng. “Ủy ban cũng có thể, ví dụ, xem xét về tài nguyên được cung cấp cho các cơ quan bảo vệ dữ liệu,” Denis nói. “Bởi vì đó là nghĩa vụ của các quốc gia thành viên cung cấp đủ tài nguyên cho các cơ quan bảo vệ dữ liệu để thực hiện nhiệm vụ của họ.” Số lượng nhân viên và nguồn lực mà các cơ quan quản lý có để điều tra và thi hành nhỏ bé so với của Big Tech.

“Có khả năng, nếu có khả năng cho một loại công cụ cụ thể dành cho GDPR - là một công cụ pháp lý - có thể chỉ định một số vấn đề và vấn đề thủ tục cụ thể, điều đó có thể hỗ trợ,” Dixon của Ireland nói. Bà thêm rằng các vấn đề có thể được làm sáng tỏ bao gồm vấn đề xung quanh việc truy cập vào tệp trong quá trình điều tra, liệu những người khiếu nại có quyền truy cập vào quá trình điều tra không, và vấn đề về dịch thuật. “Có một loạt các không nhất quán xung quanh vấn đề đó, dẫn đến sự trễ và không hài lòng từ tất cả các phía,” Dixon nói.

Mà không có một số thay đổi - và thi hành mạnh mẽ - các nhóm xã hội cảnh báo rằng GDPR có thể không ngăn chặn được những thực hành tồi tệ nhất của các công ty Big Tech và cải thiện cảm giác về quyền riêng tư của mọi người. “Điều cần phải giải quyết ngay lập tức là các công ty Big Tech,” Ryan nói. “Nếu chúng ta không thể đối phó với Big Tech, chúng ta sẽ tạo ra sự lâu dài cho sự định kiến mà mọi người cảm nhận về quyền riêng tư và dữ liệu.” Bốn năm trôi qua, Massé nói cô vẫn hy vọng vào thi hành GDPR. “Nó thực sự không phải là điều chúng tôi đã hy vọng. Nhưng cũng không phải ở một nơi mà chúng ta có thể bắt đầu đào một khuôn mộ cho GDPR và quên nó.”