Tiền Phạt GDPR Khổng Lồ Của Amazon Cho Thấy Sức Mạnh—và Giới Hạn—Của Luật Lệ

Chúng ta đã được hứa với những mức phạt khổng lồ, và GDPR cuối cùng đã thực hiện điều đó. Tuần trước, hồ sơ tài chính của Amazon tiết lộ rằng các quan chức tại Luxembourg đang phạt 746 triệu euro (883 triệu đô la) cho nhà bán lẻ này vì vi phạm quy định của Liên minh châu Âu.

Mức phạt này là chưa từng có: Đó là mức phạt GDPR lớn nhất cho đến nay và là hơn gấp đôi số tiền của mọi mức phạt GDPR khác cộng lại. Mức phạt tài chính, mà Amazon đang kháng án, đến vào một thời điểm mà GDPR đang cảm thấy áp lực từ việc thi hành chậm rãi và mức phạt nhỏ bé. Các chuyên gia cho biết các công ty được phép thoát khỏi việc lạm dụng quyền riêng tư của người dùng vì các cuộc điều tra GDPR quá chậm và không hiệu quả. Thậm chí có người muốn hủy bỏ GDPR hoàn toàn.

Tuy nhiên, hành động của Luxembourg chống lại Amazon nổi bật với hai lý do: Đầu tiên, nó thể hiện sức mạnh tiềm ẩn của GDPR; thứ hai, nó làm nổi bật những rạn nứt trong cách quy định như vậy được áp dụng một cách không đồng đều trên khắp Liên minh châu Âu. Và với cả hai lý do này, đây có thể coi là quyết định GDPR quan trọng nhất đã được đưa ra.

“Với rất nhiều vụ án lớn chồng chất trước mặt các cơ quan quản lý, chúng tôi thực sự đang chờ đợi một trong những vụ án đó được giải quyết để chứng minh rằng GDPR cơ bản là có răng,” nói Estelle Massé, người đứng đầu bảo vệ dữ liệu toàn cầu tại tổ chức quảng cáo internet phi lợi nhuận Access Now. La Quadrature du Net, tổ chức tự do dân sự Pháp từng khiếu nại Amazon, cho biết các cơ quan quản lý đã mang lại “hi vọng” rằng hành động pháp lý có thể được đưa ra “đối với Công nghệ lớn”.

Mặc dù mức phạt nổi bật trên các tiêu đề, thực sự hiếm khi biết được chi tiết về lý do Amazon bị phạt. Vụ án được chấp nhận bởi các quan chức ở Luxembourg vì quốc gia này đóng vai trò là cơ sở chính của Amazon tại châu Âu. Quốc gia nhỏ bé này lịch sử đã được gán nhãn là một ổ trốn thuế — mặc dù các cáo buộc về việc Amazon trốn thuế tại đất nước này đã bị Tòa án châu Âu bác bỏ. Nhưng bằng cách phạt Amazon, Ủy ban Quốc gia Luxembourg về Bảo vệ Dữ liệu ít nhất là trong thời gian ngắn đã đưa chính mình vào tâm điểm chú ý về quyền riêng tư.

Kháng nghị ban đầu của La Quadrature du Net vào tháng 5 năm 2018, được nộp thay mặt cho 10,000 người, cho biết hệ thống quảng cáo của Amazon không dựa trên “sự đồng ý tự do.” Nhưng đó là tất cả những gì chúng ta biết. Cơ quan quản lý Luxembourg nói rằng họ đã đưa ra quyết định chống lại Amazon vào ngày 15 tháng 7 nhưng họ chưa công bố thêm chi tiết nào khác. Người phát ngôn cho cơ quan này nói rằng các luật “bí mật nghề nghiệp” ở Luxembourg có nghĩa là họ không thể công bố bất kỳ chi tiết nào cho đến khi quá trình kháng nghị hoàn thành. Và Amazon — một công ty vô cùng đam mê về dữ liệu — nói rằng họ sẽ kháng nghị mức phạt.

“Không có vi phạm dữ liệu nào xảy ra, và dữ liệu của khách hàng không bị tiết lộ cho bất kỳ bên thứ ba nào,” người phát ngôn của Amazon nói. Điều đó là tốt và tốt đẹp, nhưng các công ty không cần phải trải qua một việc vi phạm dữ liệu để vi phạm các quy tắc GDPR. Người phát ngôn tiếp tục cho rằng quyết định tại Luxembourg, dựa trên cách công ty hiển thị quảng cáo “phù hợp” đối với khách hàng, dựa trên “sự hiểu biết chủ quan và không được kiểm chứng về luật quyền riêng tư châu Âu, và mức phạt đề xuất hoàn toàn không cân xứng với thậm chí cả sự hiểu biết đó.”

Amazon có lẽ có một quan điểm. Có khả năng rằng bất kỳ quá trình kháng cáo hoặc đàm phán nào cũng có thể làm giảm mức phạt xuống – năm ngoái, mức phạt của cơ quan bảo vệ dữ liệu Anh đối với British Airways giảm từ £184 triệu ($256 triệu) xuống chỉ còn £20 triệu ($28 triệu). Một trường hợp khác, đối với nhóm khách sạn Marriott, giảm từ £99 triệu ($137 triệu) xuống £18 triệu ($25 triệu).

Mức phạt €746 triệu của Amazon lớn hơn rất nhiều so với bất kỳ thứ gì trước đó – mức phạt €50 triệu đối với Google giữ kỷ lục hiện tại. Mặc dù GDPR cho phép có thể ban hành mức phạt lớn, nhưng thực tế là rất không khả thi cho các cơ quan quản lý thực sự áp dụng chúng. Đến đầu năm 2021, tổng cộng €272 triệu ($322 triệu) mức phạt GDPR đã được ban hành bởi tất cả các cơ quan quản lý châu Âu kết hợp, theo phân tích từ công ty luật DLA Piper. Cơ quan bảo vệ dữ liệu của Ý, đã phạt €69.3 triệu, đứng đầu. Đức (€69 triệu), Pháp (€54 triệu) và Anh (€44 triệu) theo sau.

Mặc dù danh sách này chứa đựng một số quốc gia đông dân nhất châu Âu, nhưng lại không bao gồm các cơ quan bảo vệ dữ liệu quan trọng nhất của châu Âu – Luxembourg và Ireland. Dưới luật GDPR, các công ty hoạt động trên nhiều quốc gia châu Âu có thể chọn một quốc gia – nơi văn phòng chính của họ đặt tại – để đóng vai trò là quốc gia mà khiếu nại được chuyển qua. Quá trình này được gọi là cơ chế điểm dừng duy nhất. Trước khi quyết định – có thể bao gồm một mức phạt hoặc biện pháp thi hành có thể khiến các công ty thay đổi hành vi của họ – được đưa ra, tất cả các quốc gia châu Âu quan tâm đến vụ án được đưa ra quyền trả lời.

Amazon đã chọn Luxembourg làm cơ quan quản lý bảo vệ dữ liệu chính và khiếu nại chống lại nó, đầu tiên được đưa ra ở Pháp, đã được chuyển đến cơ quan quản lý ở đó. Một loạt các khiếu nại lớn chống lại Facebook, Google, Twitter và Apple đã được đưa ra tại Ủy ban Bảo vệ Dữ liệu (DPC) của Ireland, nơi các công ty có trụ sở châu Âu của họ. Đến nay, văn phòng Ireland chỉ có một quyết định đối với một công ty công nghệ lớn kể từ khi GDPR được giới thiệu vào tháng 5 năm 2018—một mức phạt €450,000 ($533,000) đối với Twitter vào tháng 12 năm 2020. Một vụ khác đối với WhatsApp đang chờ xử lý.

Nhiều người nói rằng cơ chế điểm dừng duy nhất đang thất bại. “Nó không hoạt động,” nói Romain Robert, giám đốc chương trình tại nhóm quyền dữ liệu châu Âu NYOB. Robert cho rằng hệ thống điểm dừng duy nhất đã khiến các khiếu nại GDPR trở nên bị mất hoặc dẫn đến sự trễ và sự cố trong giao tiếp. “Không có hạn chót trong điểm dừng duy nhất,” anh ấy nói. “Quy trình khác nhau ở mỗi quốc gia thành viên khiến bạn phải biết bạn đi đâu.”

Các cơ quan quản lý GDPR, thường xuyên bị thiếu nguồn lực và làm việc quá độ, cũng không hài lòng với cách thiết lập này. Phân tích GDPR được công bố bởi Access Now vào tháng 5 năm 2021 thể hiện sự lo ngại của các cơ quan quản lý. Các cơ quan ở Đức chỉ ra sự trễ lâu dài. Ireland nói rằng việc xác định cơ quan bảo vệ dữ liệu nào nên là “cơ quan chủ quản” trong mỗi trường hợp có thể khó khăn. Thụy Điển nói rằng các quy trình quốc gia khác nhau làm khó khăn cho các quốc gia “hợp tác hiệu quả.” Các khiếu nại tiếp tục.

“Đó là một hệ thống phức tạp vì nó thêm phức tạp vào các tình huống thi hành đã rất phức tạp,” nói Hielke Hijmans, chủ tịch phòng xử lý của cơ quan bảo vệ dữ liệu Bỉ. Một vụ án liên quan đến cơ quan quản lý Bỉ, Facebook và cách điểm dừng duy nhất được áp dụng đã đưa ra một trong những tòa án hàng đầu châu Âu và nhấn mạnh rằng có thể có khả năng cho các quốc gia tránh cơ chế trong một số trường hợp. “Có rất nhiều cuộc thảo luận về việc hệ thống có bền vững trong dài hạn không, bởi vì tính phức tạp và cũng bởi vì hầu hết các công ty công nghệ lớn đều tập trung ở một hoặc hai quốc gia thành viên,” Hijmans nói.

Ban Quản lý Bảo vệ Dữ liệu Châu Âu (EDPB), một tổ chức độc lập được thiết lập để thúc đẩy sự hợp tác giữa các cơ quan quản lý bảo vệ dữ liệu của EU, nhận thức rằng hệ thống không hoàn hảo. “Thực hiện ở cấp quốc gia và đồng thời giải quyết các trường hợp xuyên biên là tốn thời gian và nguồn lực,” một người phát ngôn của EDPB nói. “Mặc dù chúng tôi nhận thức về những thách thức này và những thách thức khác, EDPB không ủng hộ việc đổi mới GDPR hoặc cơ chế điểm dừng duy nhất.” Nói rằng “từ từ, nhưng chắc chắn, chúng tôi đang thấy kết quả” và đã có 254 quyết định cuối cùng nơi cơ chế điểm dừng duy nhất đã được sử dụng thành công.

Vậy có gì có thể làm để cải thiện hệ thống không? Người phát ngôn EDPB nói rằng GDPR là một “dự án dài hạn” và đang làm việc để “củng cố sự hợp tác” giữa các cơ quan quản lý của châu Âu. Nhưng cả Massé và Robert đều nói rằng mọi thứ nên tiến xa hơn. Họ nói rằng một số điều tra GDPR nên được đặt ra thời gian hạn – để ngăn chúng kéo dài nhiều năm – và cần phải có sự di chuyển nhanh chóng hơn từ phía các cơ quan quản lý. “Chúng ta cần giải quyết những vấn đề bürocratiques có vẻ nhàm chán này để đảm bảo rằng điều này thực sự hoạt động,” Massé nói. “Đó là những vấn đề nên được giải quyết và địa chỉ ở cấp EU.”

Câu chuyện này ban đầu xuất hiện trên MYTOUR UK. 

Những câu chuyện tuyệt vời khác từ MYTOUR

• 📩 Nhận những tin tức mới nhất về công nghệ, khoa học, và nhiều hơn nữa: Đăng ký nhận bản tin của chúng tôi!
• Trăm cách để hoàn thành mọi thứ—và chúng ta vẫn chưa hoàn thành
• Bất tử nên là một lựa chọn trong mọi trò chơi video
• Venmo trở nên riêng tư hơn—nhưng vẫn chưa hoàn toàn an toàn
• Làm thế nào để chia sẻ mật khẩu wi-fi của bạn
• Thực tế ảo là đứa trẻ giàu có màu da trắng của công nghệ
• 👁️ Khám phá trí tuệ nhân tạo như chưa bao giờ có trong cơ sở dữ liệu mới của chúng tôi
• 🎮 MYTOUR Games: Nhận các mẹo, đánh giá, và nhiều hơn nữa
• ✨ Tối ưu hóa cuộc sống tại nhà của bạn với những lựa chọn tốt nhất của đội ngũ Gear chúng tôi, từ máy hút bụi robot đến đệm giá rẻ đến loa thông minh