2020 và quyền riêng tư dữ liệu

Đạo luật quyền riêng tư người tiêu dùng California (CCPA) chính thức có hiệu lực từ ngày 1-2-2020. Ảnh: workable.com

Ari Lightman, giáo sư truyền thông và tiếp thị số thuộc Trường Chính sách công và hệ thống thông tin Heinz (Đại học Carnegie Mellon), cho biết 2020 sẽ là năm cho ra đời nhiều quy định và luật lệ nhằm bảo vệ quyền riêng tư dữ liệu của người dùng.

Trong bài phỏng vấn đăng trên web của Đại học Carnegie Mellon, Lightman dự đoán các nhà lập pháp có thể sẽ siết chặt việc quản lý các mạng xã hội, một phần của nỗ lực tăng cường tính minh bạch của các gã khổng lồ công nghệ. 

Các ứng dụng (app) di động cũng vì thế buộc phải tuân thủ các quy định về thu thập, lưu trữ và sử dụng dữ liệu người dùng. “Trong năm 2020, các tổ chức sẽ phải minh bạch hơn với người dùng về việc dữ liệu của họ được thu thập, chia sẻ, sử dụng và dùng để kiếm tiền như thế nào” - Lightman nói.

Song đáng chú ý hơn cả là Đạo luật quyền riêng tư người tiêu dùng California (CCPA) chính thức có hiệu lực từ ngày 1-2-2020. Trước khi CCPA có hiệu lực, các công ty không bị ràng buộc về mặt pháp lý phải cho người dùng biết đã thu thập thông tin gì về họ, và người tiêu dùng cũng không can thiệp được chuyện dữ liệu của mình sẽ bị sử dụng như thế nào. 

Từ ngày 1-1, CCPA cho phép công dân của “tiểu bang vàng” (golden state) được quyền biết các công ty thu thập dữ liệu gì về mình và yêu cầu các công ty đó phải xóa dữ liệu, hoặc không được bán dữ liệu đó.

Dữ liệu người dùng trong trường hợp này là thông tin cá nhân (tên thật, tên đăng nhập, mật khẩu, số điện thoại, địa chỉ nhà) và dữ liệu từ hoạt động trực tuyến (hành vi khi lên mạng, địa chỉ IP, thông tin về thiết bị dùng để vào Internet). 

Ngoài ra, CCPA cũng áp dụng cho các thông tin cụ thể hơn về bản thân người dùng (chủng tộc, tôn giáo, tình trạng hôn nhân, quân nhân hay cựu binh), thông tin sinh trắc học (vân tay, dữ liệu nhận dạng gương mặt) và lịch sử lướt web, thông tin vị trí.

CCPA đặt ra mức phạt 2.500 USD với mỗi vi phạm và 7.500 USD nếu vi phạm có chủ đích. Tổng chưởng lý California Xavier Becerra chịu trách nhiệm điều tra các công ty nghi vi phạm luật riêng tư dữ liệu. 

Tuy nhiên, theo trang CNET, những người chỉ trích đạo luật này cho biết các công ty vẫn có thể “thoát” vì tổng chưởng lý không đủ tài nguyên để “nắm thóp” mọi vi phạm. Chính Becerra đã công khai thừa nhận văn phòng của ông không được trang bị để có thể thực thi đầy đủ đạo luật này. Becerra từng đề xuất sửa luật, cho phép người dùng kiện trực tiếp các công ty vi phạm thay vì phải thông qua cơ quan hành pháp, song đề xuất đã bị bác, theo CNET.

Việc các công ty công nghệ thu thập những dữ liệu nói trên rồi dùng chúng để bán quảng cáo, hay mua bán thông tin người dùng đã bắt đầu được chú ý vào những năm cuối của thập kỷ trước. EU đã tiên phong trong việc chính thức áp dụng GDPR vào tháng 5-2018, trao quyền cho công dân của khối được kiểm soát thông tin, dữ liệu của mình.

Điểm khác biệt lớn giữa GDPR và CCPA là đạo luật của châu Âu còn yêu cầu các công ty phải được người dùng đồng ý mới được thu thập thông tin và chỉ được thu thập dữ liệu tối thiểu về người dùng, còn luật của California không có các yêu cầu gắt gao này.

CCPA đang được chú ý vì là đạo luật có quy mô rộng nhất về quyền riêng tư dữ liệu và được kỳ vọng sẽ khuyến khích các bang khác hành động tương tự, là cơ sở để nước Mỹ ban hành một đạo luật liên bang về vấn đề này. 

Theo CNET, CCPA còn gây chú ý vì ảnh hưởng thực sự của nó hiện vẫn chưa rõ ràng, do lẽ các quy định để “hướng dẫn thi hành” đạo luật này hiện vẫn đang được soạn thảo. “Dẫu vậy, các công ty trong và ngoài California đã bắt đầu cuống cuồng thay đổi để đáp ứng các quy định mới nhằm tiếp tục hoạt động trong bang đông dân nhất nước Mỹ” - CNET viết.

Và như thế, trong năm 2020 này, nếu GDPR tiếp tục phát huy hiệu quả ở châu Âu thì giới quan sát sẽ chờ thêm ai sẽ là “nạn nhân” đầu tiên của CCPA, và các quốc gia hay chính quyền địa phương nào sẽ tham gia trào lưu thắt chặt kiểm soát các gã khổng lồ công nghệ và đưa chuyện thu thập dữ liệu người dùng vào khuôn khổ.■