Các Quy Tắc Bảo Mật Mới Của Châu Âu Đang Định Hình Lại Internet

Các Quy Tắc Bảo Mật Mới Của Châu Âu Đang Định Hình Lại Internet

Kể từ tháng 05/2018, bộ luật GDPR sẽ thiết lập những quy định mới cho việc chia sẻ dữ liệu trực tuyến. Nếu thường xuyên để ý, người dùng sẽ thấy được rằng trong những tháng qua đã có nhiều công ty cùng đồng loạt bổ sung thêm những thay đổi vào chính sách quyền riêng tư. Dù là Google hay Slack, nhiều công ty đang âm thầm cập nhật các chính sách, chỉnh sửa mẫu hợp đồng, tung ra các công cụ dữ liệu cá nhân mới để chuẩn bị cho đợt thay đổi lớn trong bối cảnh pháp lý. Khi các chính sách được thay đổi, khi những cuộc chiến hợp đồng được đưa ra dư luận, những cơ quan luật pháp và người dùng sẽ đồng thời bị ảnh hưởng.

Đạo luật mới có tên là Quy định chung về Bảo vệ Dữ liệu GDPR, và đã sẵn sàng để tái định hình lại những vùng lộn xộn nhất của mạng Internet.

Theo trang TheVerge, Quy định chung về Bảo vệ Dữ liệu GDPR là bộ luật đã được Liên minh Châu Âu thông qua vào năm 2016. GDPR sẽ là thứ quy định cách mà các công ty quản lý và chia sẻ dữ liệu cá nhân. Theo lý thuyết, GDPR sẽ chỉ có tác dụng trên công nhân của các nước thuộc EU, nhưng Internet có tính chất toàn cầu, điều này có nghĩa là hầu như mọi dịch vụ trực tuyến sẽ đều bị ảnh hưởng và quy định mới đã dẫn đến những thay đổi đáng kể cho người dùng tại Mỹ, khi các công ty nhảy vào cuộc chiến tranh giành để thích nghi.

Phần lớn của bộ luật GDPR được xây dựng dựa trên các biện pháp bảo mật trước đây của EU, như Hướng dẫn Bảo vệ Dữ liệu và Tường chắn Riêng tư, nhưng GDPR sẽ đóng vai trò mở rộng các biện pháp trên theo 2 hướng đi lớn.

Đầu tiên, GDPR sẽ thiết lập một mức cao chưa từng có trong việc thu nhập dữ liệu cá nhân. Theo mặc định, các công ty chỉ có thể thu thập dữ liệu của công dân EU chỉ khi có được sự đồng thuận từ đối tượng thu thập. Người dùng cũng sẽ cần một phương thức để thu hồi quyền thu thập dữ liệu trên, đồng thời cũng có quyền yêu cầu có những dữ liệu được thu thập để có thể xác nhận sự tuân thủ của các công ty. Những đổi mới mạnh hơn bất kì những gì đang có, và sẽ được mở rộng tính áp đặt lên cả những công ty bên ngoài EU. Đối với ngành công nghiệp gần như không bị hạn chế trong việc thu thập và chia sẻ dữ liệu, đây sẽ là cú hích cho việc viết lại các quy tắc cho quảng cáo nhắm hướng đối tượng.

Thứ hai, các hình phạt áp đặt bởi GDPR sẽ đủ nặng để cả ngành công nghiệp phải chú ý. Mức phạt tối đa cho mỗi vi phạm được xác định tương đương với 4% doanh thu toàn cầu của cả công ty, hoặc là 20 triệu USD, tùy theo mức giá trị nào là lớn hơn. Con số cao hơn nhiều so với con số do Hướng dẫn Bảo vệ Dữ liệu đề ra, và sẽ là lời nhắc về tính nghiêm túc của EU trong việc giữ bảo mật dữ liệu. Tuy những công ty lớn như Google hay Facebook có thể chịu được mức phạt, nhưng nó hoàn toàn có đủ khả năng để nhấn chìm bất kì công ty nào nhỏ hơn. Mức phạt là động lực giúp các công ty đưa ra các thay đổi cho chính sách về quyền riêng tư của mình.

Và điều quan trọng nhất là khoảng thời gian cho tới lúc bộ luật GDPR có hiệu lực không còn dài, sẽ chính thức có hiệu lực từ ngày 25/05/2018. Các công ty sẽ chỉ có 2 lựa chọn: hoặc là nhanh chóng thay đổi, hoặc chấp nhận khoản phạt cao kỷ lục.

Điểm thay đổi dễ nhìn thấy nhất là các thay đổi trong Điều khoản Dịch vụ và các cảnh báo về quyền khi sử dụng. Nhờ những thay đổi từ GDPR, các công ty sẽ phải yêu cầu sự cho phép thu thập dữ liệu thường xuyên hơn. Cụ thể, người dùng sẽ nhận được nhiều đoạn văn bản yêu cầu cung cấp quyền thu thập dữ liệu nhiều hơn, đồng thời những nội dung của đoạn thông báo xin quyền cũng sẽ được trình bày rõ ràng hơn.

Người dùng cũng có nhiều khả năng hơn trong việc tải về toàn bộ dữ liệu mà công ty đã thu thập về bản thân mình. Không phải chỉ sau khi GDPR, đã có một số công ty bắt đầu triển khai lựa chọn. Các dịnh vụ cũ như Google Takeout hay những dịch vụ nhỏ hơn như Slack cũng đang bắt đầu đưa ra những lựa chọn tương tự để đáp ứng yêu cầu về tính di động của dữ liệu yêu cầu bởi GDPR. Điều này sẽ mang lại tác dụng theo 2 cách chính: cho phép kiểm tra những gì các công ty đang thu thập về người dùng, đồng thời cũng sẽ giảm bớt sự thống trị của các nền tảng bằng cách cho phép người dùng di chuyển dữ liệu giữa các mạng lưới. Với yêu cầu về tính di động của dữ liệu, bạn hoàn toàn có thể xuất dữ liệu tin nhắn từ Facebook sang Ello hoặc ngược lại.

Nhưng những thay đổi lớn nhất còn ở phía sau. GDPR cũng có những quy tắc quy định cách các công ty chia sẻ dữ liệu đã thu thập, có nghĩa là các công ty sẽ phải tìm ra cách mới để thực hiện các thống kê, hội nhập và trên hết là tạo ra nội dung quảng cáo. Thông thường, một trang web sẽ thể dễ dàng bắt tay với 20 đối tác về quảng cáo hướng đối tượng mà người dùng, những người có dữ liệu bị chia sẻ mà không hay biết. Nhưng GDPR đã bổ sung thêm một số yêu cầu phức tạp khác trong việc tham gia sử dụng dữ liệu người dùng từ nguồn khác, làm tăng tính minh bạch hơn về những gì công ty đang làm với dữ liệu của người dùng. Nên danh sách đối tác phải được công khai, và các hợp đồng giữa các bên phải được làm lại sao cho phù hợp với chuẩn của GDPR. Những thay đổi sẽ chấm dứt tình trạng lộn xộn và tính tự do trong việc chia sẻ dữ liệu của người dùng.

Việc thay đổi điều khoản trên hợp đồng không chỉ đơn giản như việc thêm vào một số hội thoại "Tôi đồng ý". Sẽ có những vấn đề rất khó giải quyết, chẳng hạn như liệu các nhà cung cấp nội dung có được giữ lại quyền điều khiển dữ liệu khách hàng của mình không, hay liệu các mạng lưới quảng cáo lớn như Google có thể tự cung cấp quyền cho các bên phát hành nội dung hay không. Shannon Yavorsky, một luật sư tại Venable đang theo sát về những yêu cầu của GDPR, kể rằng các khách hàng của cô còn bị bối rối bởi việc ai sẽ là người chịu trách nhiệm nếu dữ liệu bị rò rỉ bởi một trong số các đối tác thuộc mạng lưới. Shannon Yavorsky cho biết: “Tôi đã được hỏi về những tiêu chuẩn của thị trường rất nhiều lần. Nhưng chúng tôi không biết, chưa từng có hình phạt nào được đưa ra để giúp chúng tôi hiểu được cách thức thi hành”. Và hiện vẫn chưa có phương án giải quyết, những bất đồng cơ bản sẽ tiếp tục nở rộ trong thời gian trước ngày GDPR chính thức có hiệu lực.

Còn khá sớm để đưa ra bất kỳ câu trả lời chính thức nào cho vấn đề. Chúng ta đều biết những gì phải tuân thủ, nhưng lại không hiểu được cách thức thi hành, những phản ứng và mức độ quyết liệt của các cơ quan quản lý. Cũng cần ghi nhớ cái giá của việc rò rỉ, chia sẻ dữ liệu trong mạng lưới. Việc chia sẻ dữ liệu sẽ dần trở nên đắt đỏ hơn, các trang web sẽ dần giảm bớt số lượng đối tác. Có thể tạm coi đây là chiến thắng dành cho người sử dụng Internet phổ thông trong cuộc chiến giành lại quyền riêng tư. Khi bộ luật GDPR có hiệu lực, những công ty nhỏ chính là đối tượng sẽ bị tác động nặng nề nhất, nhưng cũng có thể là lý do để tạo ra khoảng cách về quyền lợi giữa những công khi lớn như Google và Facebook với những công ty nhỏ ngay cả khi quy mô của dữ liệu không còn lớn như trước.

GDPR cũng đồng thời chia cắt Liên minh Châu Âu với phần còn lại của thế giới Internet. Hầu hết các công ty đều hướng tới một tập hợp các quy tắc bảo mật dành cho tất cả người dùng, đây chính là lý do tại sao nhiều người dùng Mỹ lại quan tâm đến các tính năng bảo mật và các điều khoản dịch vụ mới. Nhưng trong nhiều trường hợp, tạo ra một bộ quy tắc riêng cho người dân EU và phần còn lại của thế giới lại dễ dàng hơn, điều này có thể dẫn đến việc những người dùng tại Châu Âu có thể được nhìn thấy một bộ mặt khác của Internet so với phần còn lại của thế giới.

Ngoài ra, các hoạt động thu thập dữ liệu sẽ bớt đáng lo ngại hơn. Phần lớn mạng Internet hoạt động dựa vào cơ chế tự do chia sẻ dữ liệu người dùng, đặc biệt là ngành công nghiệp quảng cáo. Điều này cũng sẽ có những hậu quả về chính trị như Cục An ninh nội địa Mỹ có thể sử dụng chung cách thức đã sử dụng vào năm 2013 để theo dõi người dùng web, hay các công ty phục vụ chính trị như Cambridge Analytica có thể tiếp tục thu thập dữ liệu, chỉ khác là các hoạt động sẽ chỉ được chia sẻ thầm lặng trong một hội nhóm kín. Thế giới đã vừa dành 15 năm để tìm ra các cách sinh lợi với số dữ liệu, với suy nghĩ rằng chúng sẽ mãi miễn phí. GDPR sẽ thay đổi điều đó, tuy có thể mất đến vài năm để có thể phát huy tối đa sức mạnh, nó sẽ thay đổi mạng Internet chúng ta từng biết.