5 năm và gần 4 tỷ euro trị giá các khoản phạt liên quan đến thực thi quyền riêng tư chặt chẽ hơn, nhưng Liên minh Châu Âu vẫn đang loay hoay với câu hỏi liệu họ đã làm đủ để bảo vệ dữ liệu cá nhân hay chưa.
Án phạt kỷ lục
"Gã khổng lồ" truyền thông xã hội Meta, sở hữu mạng Facebook, là công ty mới nhất phải đối mặt với án phạt lớn khi cơ quan giám sát quyền riêng tư của Ireland ngày 22/5 tuyên phạt công ty này số tiền kỷ lục 1,2 tỷ euro (1,3 tỷ USD) vì chuyển dữ liệu người dùng EU sang Mỹ, vi phạm quyền riêng tư theo Quy định Bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR).
Khoản phạt do Ủy ban Bảo vệ dữ liệu Ireland (DPC) đưa ra sau khi Meta tiếp tục hành vi chuyển dữ liệu bất chấp một tòa án EU đã ra phán quyết vô hiệu hóa hiệp ước truyền dữ liệu EU – Mỹ vào năm 2020. Án phạt này cũng xô đổ kỷ lục mà Amazon nắm giữ khi bị phạt 746 triệu euro vào năm 2021.
Đối với những người ủng hộ GDPR, khoản tiền phạt khủng nhằm vào Meta đóng vai trò như một minh chứng rằng luật công nghệ đáng sợ nhất của EU đã thực sự "ra tay" chứ không chỉ cảnh cáo.
Luật GDPR có hiệu lực vào ngày 25/5/2018 đã thúc đẩy các doanh nghiệp - từ những gã khổng lồ công nghệ đến chuỗi khách sạn, công ty điện thoại di động và doanh nghiệp vừa và nhỏ - thắt chặt chính sách quyền riêng tư. Nhiều công ty đã phải chấn chỉnh lại cách họ xử lý dữ liệu cá nhân của người dùng, trước nguy cơ bị phạt tới 4% doanh thu hàng năm.
Tuy nhiên, quyết định của Ireland cũng chỉ rõ điều mà hầu hết mọi người hiện nay đều thừa nhận: Nỗ lực của châu Âu nhằm thiết lập tiêu chuẩn quyền riêng tư trên thực tế của phương Tây vẫn còn những thiếu sót lớn, khi các cơ quan giám sát vẫn liên tục tranh cãi xem ai có tiếng nói cuối cùng về cách Meta, Google, TikTok và các công ty công nghệ khác tiếp cận dữ liệu người dùng châu Âu.
CEO của Meta, Mark Zuckerberg. Ảnh: Politico |
Mâu thuẫn nội bộ
Trong một tuyên bố sau khi ra án phạt Meta, cơ quan quản lý Ireland cho biết, thực chất họ không đồng ý với khoản tiền phạt và biện pháp nhưng họ đã bị các đồng nghiệp châu Âu buộc phải áp đặt chúng sau khi quyết định ban đầu của Dublin bị 4 cơ quan quản lý quyền riêng tư khác phản đối.
Theo chế độ quyền riêng tư của châu Âu, các công ty được giám sát bởi các cơ quan quản lý quốc gia nơi họ đặt trụ sở hợp pháp. Điều đó có nghĩa là Ireland và Luxembourg - nơi có mức thuế suất thấp đã thu hút nhiều trụ sở chính ở châu Âu của các công ty công nghệ lớn - nắm giữ phần lớn quyền hạn thực thi. Đặc biệt, Ireland phụ thuộc lớn vào nguồn thu thuế doanh nghiệp từ một số gã khổng lồ công nghệ.
Max Schrems, nhà hoạt động bảo vệ quyền riêng tư người Áo, người đã theo đuổi vụ kiện kéo dài hàng thập kỷ chống lại Facebook (dẫn đến án phạt kỷ lục hôm 21/5), cho biết: “GDPR đã trao cho chính quyền những quyền hạn to lớn này để thực thi rất nghiêm túc nhưng trên thực tế, chúng tôi không thấy rằng các quyền hạn đó thực sự được sử dụng bởi chính quyền".
Nếu các cơ quan giám sát quyền riêng tư khác của châu Âu không đồng ý với cách các cơ quan này thực thi GDPR, thì sẽ có một cơ chế phức tạp và không rõ ràng để đạt được sự đồng thuận của Châu Âu. Sau 5 năm tranh cãi nội bộ, một số cơ quan quản lý quyền riêng tư của EU hiện còn đang mâu thuẫn công khai với nhau.
Trong các cuộc thảo luận nội bộ được công bố hôm 22/5, các cơ quan thực thi pháp luật châu Âu khác đã khiển trách Dublin vì đã không đủ cứng rắn để chống lại các hành vi vi phạm quyền riêng tư của Meta, và buộc Ireland phải áp dụng hình phạt. Các cơ quan của Pháp, Đức, Tây Ban Nha và Áo cũng kêu gọi các đối tác Ireland không yêu cầu người khổng lồ mạng xã hội xóa tất cả dữ liệu của người châu Âu được chuyển đến Mỹ thông qua cái gọi là các điều khoản hợp đồng tiêu chuẩn.
Ireland, "đảo công nghệ" lớn
Quyết định phạt Meta của Ireland liên quan đến những tiết lộ năm 2013 của Edward Snowden, nhà thầu của Cơ quan An ninh Quốc gia Mỹ (NSA), rằng những tên tội phạm người Mỹ đã truy cập bất hợp pháp thông tin cá nhân của mọi người thông qua những công ty công nghệ khổng lồ của Mỹ. Sau đó, ông Schrems đã đệ đơn kiện Facebook vi phạm quyền riêng tư của mình, đặt ra một thách thức pháp lý kéo dài cả thập kỷ.
Hôm 22/5, Dublin đã chính thức ra phán quyết rằng Meta không được sử dụng cái gọi là "các điều khoản hợp đồng tiêu chuẩn" hoặc các công cụ pháp lý phức tạp cho phép các công ty chuyển dữ liệu của EU sang Mỹ, chừng nào Washington còn chưa cải thiện các biện pháp kiểm tra pháp lý để bảo vệ dữ liệu của người dùng châu Âu.
Gã khổng lồ truyền thông xã hội đang kháng cáo phán quyết đó và có thời hạn đến tháng 10 phải tuân thủ lệnh.
Brussels và Washington lúc này đang trong các cuộc đàm phán cuối cùng về một hiệp ước dữ liệu xuyên Đại Tây Dương mới, sẽ cung cấp một cấu trúc pháp lý thay thế để cho việc chuyển dữ liệu từ châu Âu sang Mỹ có thể tiếp tục.
Các khoản tiền phạt khổng lồ của Dublin đối với gã khổng lồ công nghệ chỉ được đưa ra sau khi các cơ quan quản lý khác của EU buộc Ireland phải áp dụng một khoản thuế lớn vì các cơ quan này tin rằng Ireland đã không áp án đủ nặng để buộc Meta phải chịu trách nhiệm. Còn Ireland tin rằng các biện pháp khắc phục được đề xuất của họ - ngăn Meta sử dụng các điều khoản hợp đồng tiêu chuẩn để gửi dữ liệu của EU đến Mỹ - là đủ.
Quyết định phạt Meta cũng che giấu một cuộc đấu tranh kéo dài hàng thập kỷ từ trước khi có GDPR và đã chia rẽ chế độ quyền riêng tư của khối.
Đầu năm nay, cơ quan giám sát quyền riêng tư của Ireland đã đưa Ủy ban Bảo vệ Dữ liệu Châu Âu (EDPB) — cơ quan quản lý quyền riêng tư toàn EU - ra tòa án cấp cao nhất của châu Âu về những cáo buộc rằng họ đã vượt quá giới hạn của mình khi buộc Dublin điều tra thêm các trường hợp về WhatsApp, Facebook và Instagram.
Viết lại các quy tắc
Đối mặt với sự thất vọng ngày càng tăng rằng GDPR đã không thể kiềm chế các hành vi lạm dụng dữ liệu tồi tệ từ các công ty công nghệ lớn, Ủy ban Châu Âu đang chuẩn bị một luật mới trong mùa hè này để cải thiện sự hợp tác xuyên biên giới về việc thực thi.
Các nhà vận động quyền riêng tư hy vọng các cải cách có thể củng cố GDPR và giảm thời gian chờ đợi phản hồi đối với các khiếu nại. Tuy nhiên, những người chỉ trích gay gắt nhất nói rằng nó vẫn sẽ không thay đổi được mô hình, mà trong đó một số quốc gia như Ireland hay Luxembourg, giám sát phần lớn các công ty công nghệ lớn.
Việc quyết định cơ quan nào sẽ có tiếng nói cuối cùng đối với các quyết định thực thi án phạt cũng là một trong những vấn đề khó khăn nhất trong các cuộc đàm phán xung quanh chế độ quyền riêng tư mới của châu Âu.
“Vấn đề là nếu hệ thống có một giới hạn được cài đặt sẵn, giống như nếu bạn muốn tham gia một cuộc đua xe như Subaru và bạn cần phải có tốc độ của một chiếc Ferrari, bạn có thể nhấn ga và để xe chạy nhanh nhất có thể", Christopher Kuner, đồng Giám đốc của Trung tâm bảo mật Brussels tại Vrije Universiteit Brussel, nhận xét.