Google Bị Phạt 50 Triệu EUR Vì Vi Phạm Luật Bảo Vệ Dữ Liệu Của EU

Khoảng cuối tháng 01/2019, CNIL, Cơ quan bảo vệ dữ liệu Pháp, đã phạt Google 50 triệu EUR (khoảng 56.8 triệu USD) vì không tuân thủ luật GDPR trong quá trình người dùng cài đặt mới thiết bị Android.

Sự kiện đánh dấu lần đầu tiên một công ty công nghệ lớn bị phạt vì luật bảo vệ dữ liệu GDPR mới. Luật GDPR có hiệu lực tại Liên minh Châu Âu (EU) từ tháng 05/2018, áp dụng cho tất cả các nước trong liên minh.

Là một phần trong quy định, các công ty được yêu cầu phải được người dùng đồng ý trước khi thu thập dữ liệu về họ. Không chỉ tạo mẫu để người dùng chọn chia sẻ dữ liệu, doanh nghiệp cần cung cấp phương pháp để người dùng xóa dữ liệu đó.

Khoảng giữa tháng 01/2019, CEO Apple đã viết một bài báo trên tạp chí Time và gợi ý đưa ra luật tương tự tại Mỹ. CNIL phạt Google do công ty không đáp ứng các tiêu chuẩn của quốc gia trong cung cấp thông tin đến người dùng về cách dữ liệu của họ được sử dụng hay cung cấp đủ thông tin về chính sách dữ liệu, cụ thể là khi người dùng Android mới cài đặt điện thoại mới và làm theo các hướng dẫn của Android.

Chẳng hạn, nếu người dùng muốn biết dữ liệu của họ được xử lý ra sao để cá nhân hóa quảng cáo, cần thực hiện 5 hay 6 bước. CNIL cho rằng từ ngữ mà Google sử dụng quá rộng và tối nghĩa một cách có chủ đích, khiến người dùng khó hiểu. Thứ hai, quy trình của Google không tuân thủ GDPR ở chỗ: Google mặc định ép người dùng hội nhập hoặc ghi danh mới tài khoản Google. Công ty nói rằng trải nghiệm của người dùng sẽ tồi tệ hơn nếu không có tài khoản Google. Theo CNIL, Google nên tách bạch hành động tạo tài khoản mới ra khỏi quy trình cài đặt thiết bị. Việc gộp cả hai là bất hợp pháp theo GDPR.

Nếu chọn mở tài khoản mới, khi yêu cầu tick hoặc không tick một số cài đặt, Google không giải thích điều đó nghĩa là gì. Ví dụ, khi Google hỏi người dùng có muốn cá nhân hóa quảng cáo không, công ty không nói với người dụng là họ đang nói về nhiều dịch vụ khác nhau, từ YouTube đến Google Maps và Google Photos. Ngoài ra, Google không đề nghị sự cho phép cụ thể và rõ ràng khi người dùng tạo tài khoản mới. Tùy chọn thoát khỏi các quảng cáo cá nhân được ẩn trong mục “More options” (tùy chọn khác). Tùy chọn “More options” lại được tick sẵn trong khi không được phép theo GDPR. Cuối cùng, Google mặc định chọn sẵn vào ô nói rằng “Tôi đồng ý với việc xử lý thông tin như mô tả ở trên và giải thích rõ hơn trong chính sách quyền riêng tư” khi tạo tài khoản. Các mô tả chung chung như vậy cũng bị GDPR cấm.

Khoản tiền 56.8 triệu USD dường như khá lớn nhưng chưa phải mức cao nhất mà GDPR có thể đưa ra. Doanh nghiệp có thể bị phạt tối đa 4% doanh thu thường niên trên toàn cầu. Với các hãng như Google, nó tương đương với hàng tỷ USD.