TiaSang
Thứ 4, Ngày 15 tháng 8 năm 2018
Diễn đàn

Chúng ta có quyền đòi hỏi gì từ Facebook, Google, Apple…?

26/07/2018 08:10 - Nguyễn Hồng Hải Đăng

Quyền được lãng quên, quyền sở hữu dữ liệu lưu động, quyền được giải trình là ba khái niệm mang tính cột mốc trong cách EU kết nối triết lý về chủ nghĩa quyền con người với những công cụ pháp lý thực tế trong thế giới số.


 Việc người dùng internet có quyền tự do di chuyển dữ liệu của mình đặc biệt mang ý nghĩa lớn trong bối cảnh mạng xã hội.

Quyền được lãng quên (Điều 17)

Quyền được lãng quên (right to be forgotten) là một trong những quyền đặc thù cho môi trường internet gây tranh cãi nhiều nhất, và cũng là quyền có lịch sử pháp lý phức tạp nhất. Tuy một số quốc gia thành viên như Đức và Tây Ban Nha đã có lịch sử kinh nghiệm thực thi việc bảo vệ quyền được lãng quên theo tinh thần bảo vệ dữ liệu của Chỉ thị 95/46/EC (xem Tia Sáng số 13 -5.7.2018), việc công nhận, định nghĩa, và bảo vệ quyền được lãng quên trong khối EU trước Luật Bảo vệ Dữ liệu châu Âu (GDPR) vẫn mang tính rời rạc và lệ thuộc vào diễn giải của từng quốc gia thành viên.

Một ví dụ có tầm ảnh hưởng và gây tranh cãi nhất về quyền triệt thoái dữ liệu cá nhân trước khi quyền được lãng quên xuất hiện tại GDPR là vụ kiện rầm rộ xảy ra năm 2014 giữa Google Tây Ban Nha và Cơ quan Bảo vệ Dữ liệu Tây Ban Nha (AEPD). Bên nguyên đơn, AEPD, đại diện cho ông Mario Costeja Gonzalez, đưa đơn khiếu nại lên Toà án Công lý châu Âu (CJEU) và yêu cầu toà ra lệnh cho Google xoá đường dẫn đến bản tin quảng cáo phát mãi hai sở hữu nhà đất của ông Gonzalez trước đó 16 năm, khi ông đang mắc nợ an sinh xã hội. Ông Gonzalez lập luận rằng, vụ việc đã xảy ra trước đó rất lâu, nhưng lại ảnh hưởng trực tiếp đến chất lượng cuộc sống và thanh danh của ông trong hiện tại: khi tên ông được nhập vào Google, kết quả đầu tiên Google dẫn đến là những điều đã xảy trong quá khứ mà ông muốn quên đi. Điều đáng nói ở đây là, khi nhận được đơn khiếu nại của Gonzalez, AEPD đã bác bỏ yêu cầu từ ông rằng trang web La Vanguardia, một tờ báo điện tử địa phương, phải xoá bỏ thông tin quảng cáo phát mãi sở hữu nhà đất của ông. AEPD xác định rằng việc La Vanguardia vẫn giữ nguyên thông tin đăng tải nói trên là hoàn toàn hợp pháp; tuy nhiên, việc những công cụ tìm kiếm trang web như Google lập mục lục và dẫn đến thông tin này lại có thể vi phạm quyền bảo vệ dữ liệu của công dân. Google đưa đơn kháng án lên Toà án Tối cao Tây Ban Nha; tuy nhiên, Toà án Tối cao xem vấn đề bảo vệ dữ liệu là vấn đề trực thuộc Luật châu Âu và giao quyền xử lý đơn kiện cho CJEU.

Vụ kiện này gây tranh cãi và có tầm ảnh hưởng lớn dựa trên ba lý do chính. Thứ nhất, CJEU xác định rằng Google, dù là công ty được thành lập bên ngoài khuôn khổ địa lý của châu Âu, vẫn phải chịu ràng buộc pháp lý chung của khối EU do Google có sở hữu công ty con, giao dịch thương mại và điều phối giao dịch tại các quốc gia thành viên EU, và phối hợp cộng tác chặt chẽ với công ty mẹ tại Mỹ. Thứ hai, CJEU định nghĩa các hành vi tra cứu, lập mục lục, lưu trữ dữ liệu tạm thời, và thể hiện thông tin trên công cụ Google dưới hạng mục “xử lý dữ liệu”, đồng thời định nghĩa Google và các công cụ tìm kiếm tương tự là đơn vị kiểm soát dữ liệu (xem Tia Sáng số 13 -5.7.2018). Đây là quyết định gây tranh cãi nhiều nhất, vì các công cụ tìm kiếm như Google không đăng tải hoặc tạo ra dữ liệu như các trang tin hoặc blog điện tử, mà chỉ tra cứu và thể hiện thông tin mà công cụ này tìm được. CJEU lập luận rằng, trên tinh thần bảo vệ quyền cơ bản của con người, và nhằm đảm bảo sự bảo vệ quyền một cách “hiệu quả và hoàn chỉnh”, toà có lý do chính đáng để nới rộng định nghĩa đơn vị kiểm soát dữ liệu và bao gồm cả các công cụ như Google. Thứ ba, CJEU ra quyết định rằng công dân có quyền liên lạc trực tiếp các công cụ tra cứu trang web như Google và yêu cầu các công ty này loại bỏ kết quả liên quan đến dữ liệu cá nhân mà họ không còn muốn ai có cơ hội tìm thấy. Dưới Chỉ thị của châu Âu, Google và các công ty có chức năng tương tự buộc phải giải quyết những yêu cầu của công dân châu Âu một cách thoả đáng.


Ví dụ nêu trên có thể đã phần nào giải thích được sự phức tạp và mức độ bao quát của quyền được lãng quên dưới góc nhìn bảo vệ dữ liệu của EU. Công bằng mà nói, quyết định của CJEU đã phần nào tạo nên “tiếng xấu” cho quyền được lãng quên, bởi đây được xem là quyết định có phần cực đoan, và không thể hiện được sự điều hoà giữa việc bảo vệ dữ liệu cá nhân với việc bảo vệ các quyền liên quan, như quyền tự do ngôn luận và quyền tự do thông tin. Tuy nhiên, Điều 17 của GDPR đã khắc phục được điểm yếu này bởi nó quy định rõ quyền được lãng quên của công dân EU sẽ không được áp dụng nếu trường hợp thẩm định vi phạm đi ngược lại với các quyền tự do ngôn luận và tự do thông tin, cũng như các cơ sở pháp lý cơ bản khác như yêu cầu quy định pháp luật, lợi ích công, và công tác lưu trữ nói chung. Đặc biệt, Điều 17a quy định quyền chủ thể dữ liệu được giới hạn khả năng xử lý dữ liệu của đơn vị kiểm soát dữ liệu. Trên lý thuyết, dưới điều luật này, chủ thể dữ liệu có thể yêu cầu một đơn vị kiểm soát dữ liệu như Facebook không xử lý các thông tin mà chủ thể đã cung cấp cho công ty này khi tham gia sử dụng dịch vụ của họ. Chi tiết hơn, chủ thể dữ liệu có thể yêu cầu Facebook chỉ xử lý một số thông tin mà chủ thể đã cung cấp và không xử lý bất kỳ thông tin nào khác. Tuy khó có thể nói được tính khả thi của quy định này trên thực tế, các chuyên gia luật pháp cho rằng đây là một công cụ pháp lý mạnh mẽ giúp các chủ thể dữ liệu tìm ra các phương pháp khắc phục vi phạm và giúp các tổ chức bảo vệ dữ liệu trên toàn châu Âu có cơ sở cưỡng chế các hành vi vi phạm. Một điểm đáng lưu ý khác liên quan đến việc bảo vệ quyền được lãng quên là khái niệm xây dựng hồ sơ (profiling), định nghĩa bởi Điều 4 tại GDPR. Theo quy định hiện tại của GDPR, việc xây dựng hồ sơ về chủ thể dữ liệu là hợp pháp, ngay cả khi việc xây dựng hồ sơ này sử dụng thông tin cá nhân nhạy cảm. Tuy nhiên, trong trường hợp sử dụng thông tin cá nhân nhạy cảm, các đơn vị kiểm soát và xử lý dữ liệu cần phải thực thi các biện pháp bảo vệ dữ liệu người dùng đặc biệt. 

Quyền sở hữu dữ liệu lưu động (Điều 20)

Quyền sở hữu dữ liệu lưu động (right to data portability) là một quyền mới, lần đầu tiên được giới thiệu trong khuôn khổ luật bảo vệ dữ liệu tại châu Âu. Nói một cách đơn giản, luật sở hữu dữ liệu lưu động là quyền một người được tự do di chuyển dữ liệu của mình từ đơn vị kiểm soát dữ liệu này sang đơn vị kiểm soát khác. Việc người dùng internet có quyền tự do di chuyển dữ liệu của mình đặc biệt mang ý nghĩa lớn trong bối cảnh mạng xã hội. Những bê bối xung quanh Cambridge Analytica và Facebook đã khiến mạng xã hội này ngày càng trở nên mất uy tín một cách nghiêm trọng trong mắt người dùng, và ngày càng thể hiện rõ sự bất cẩn và tắc trách trong cách Facebook quản lý thông tin và dữ liệu. Một trong những lý do khiến người dùng vẫn sử dụng Facebook sau hàng loạt các vụ bê bối tương tự là việc khó khăn trong cách người dùng di chuyển toàn bộ dữ liệu mà họ đã cung cấp sang một mạng xã hội mới, và ngưng sử dụng dịch vụ của Facebook. Trên lý thuyết, sau khi GDPR có hiệu lực, tất cả các mạng xã hội và đơn vị kiểm soát thông tin có nghĩa vụ cung cấp toàn bộ dữ liệu mà chủ thể dữ liệu đã cung cấp cho họ bất kỳ lúc nào chủ thể có yêu cầu; đặc biệt, dữ liệu này phải được cung cấp dưới hình thức mở, giúp người dùng có thể mang toàn bộ dữ liệu này đăng tải lên một dịch vụ khác một cách dễ dàng và nhanh chóng. Ngoài việc tạo điều kiện lý tưởng cho chủ thể dữ liệu được tự do lựa chọn dịch vụ dữ liệu mà họ muốn, quyền sở hữu dữ liệu lưu động còn có khả năng tăng tính cạnh tranh và giúp gỡ bỏ sự độc quyền các dịch vụ internet toàn cầu như hiện nay, điển hình là vị trí độc tôn của hai công ty Mỹ là Google và Facebook.

Tuy nhiên, quyền sở hữu dữ liệu lưu động không tránh khỏi những bất cập trong thực thi. Cụ thể, Điều 20 quy định “chủ thể dữ liệu có quyền lưu nhận dữ liệu liên quan đến chủ thể, dữ liệu này phải được cung cấp bởi chủ thể cho đơn vị kiểm soát dữ liệu, và dữ liệu này phải được cung cấp ngược lại cho chủ thể dưới dạng có cấu trúc rõ ràng, với định dạng được sử dụng rộng rãi và có thể đọc được bởi máy tính, và chủ thể có quyền vận chuyển dữ liệu này sang một đơn vị kiểm soát dữ liệu khác mà không chịu bất kỳ sự ngăn cản nào từ đơn vị kiểm soát dữ liệu đã cung cấp dữ liệu cho chủ thể.” Ngoài ra, Điều 20 còn quy định dữ liệu phải được “vận chuyển trực tiếp từ đơn vị kiểm soát dữ liệu này sang đơn vị kiểm soát dữ liệu khác, nếu khả năng kỹ thuật của đơn vị kiểm soát dữ liệu cho phép.” Có hai điểm bất cập mấu chốt trong cách quyền sở hữu dữ liệu lưu động được quy định nêu trên. Bất cập thứ nhất liên quan đến cách định nghĩa dữ liệu mà chủ thể có quyền truy vấn nhằm mục đích lưu nhận. GDPR quy định loại dữ liệu này là dữ liệu “do chủ thể cung cấp.” Trên thực tế, không phải dữ liệu nào do chủ thể cung cấp cũng có thể được hoàn trả ngược trở lại cho chủ thể một cách tự động và dễ dàng. Thử lấy ví dụ một tấm hình nhóm do bạn đăng tải lên Facebook nhân dịp sinh nhật của một đồng nghiệp cùng cơ quan. Nhân dịp sinh nhật đồng nghiệp này, cơ quan bạn tổ chức tiệc mừng, và toàn bộ đội ngũ nhân viên trong cơ quan bạn chụp một tấm hình kỷ niệm. Theo Điều 20, bạn có quyền yêu cầu Facebook cung cấp toàn bộ dữ liệu bạn đã đăng tải trên dịch vụ của họ trước khi bạn xoá tài khoản và chuyển sang sử dụng một dịch vụ khác, như Zing chẳng hạn. Tuy nhiên, Điều 20 cũng quy định rằng việc di chuyển dữ liệu của bạn không được phép xâm hại quyền riêng tư của một chủ thể dữ liệu khác. Trong tình huống bạn di chuyển tấm hình tiệc sinh nhật cơ quan sang Zing, bạn có thể đã xâm hại quyền riêng tư của tất cả những ai xuất hiện trong tấm hình, đặc biệt là trong trường hợp họ không thích hoặc không sử dụng Zing.

Trong một tình huống khác, việc chỉ di chuyển dữ liệu mà người dùng đã cung cấp sang một dịch vụ khác có thể giảm đi giá trị của dữ liệu, và khiến việc thay đổi dịch vụ trở nên kém hấp dẫn. Ví dụ, bạn là một đơn vị tiểu thương kinh doanh mỹ phẩm trên một trang web chợ trực tuyến, và bạn nhận được đánh giá phản hồi rất tốt từ người tiêu dùng: hầu hết các đánh giá bạn nhận được trên trang web này đều giới thiệu dịch vụ và sản phẩm của bạn cho những người tiêu dùng khác, điểm đánh giá của bạn là 4.9/5, và bạn được trang web đặc biệt trao cúp vàng dành riêng cho những đơn vị mua bán thuộc top 100. Sau hơn ba năm sử dụng dịch vụ của trang web, bạn phát hiện trang web này đã bí mật bán dữ liệu cá nhân của bạn cho một chính phủ nước ngoài với mục đích chính trị. Tức giận, bạn muốn đóng tài khoản và chuyển sang sử dụng một trang web khác. Điều 20 chỉ cho phép bạn truy vấn và di chuyển những dữ liệu bạn đã đăng tải; trong trường hợp này, tất cả những dữ liệu mang tính mấu chốt cho việc kinh doanh của bạn như điểm số, đánh giá người dùng, và danh tiếng của bạn trên trang web đều không phải do bạn đăng tải và do đó, không được bảo vệ bởi GDPR. Tình huống này khiến việc chuyển đổi dịch vụ kinh doanh trực tuyến vô cùng khó khăn.

Bất cập thứ hai trong quyền sở hữu dữ liệu lưu động liên quan đến sự mập mờ trong quy định “khả năng kỹ thuật cho phép” của đơn vị kiểm soát dữ liệu. GDPR không (và khó) quy định rõ khả năng kỹ thuật của các doanh nghiệp vừa và nhỏ, và đánh giá sơ bộ cho thấy các doanh nghiệp nhỏ lẻ có thể lợi dụng sự mập mờ này để lập luận cho việc từ chối cung cấp dữ liệu người dùng theo quy định.

Quyền được giải trình (Điều 21 – 22)

Quyền được giải trình (right to explanation) không được quy định thành điều luật cố định trong GDPR mà là một lập luận pháp lý liên quan đến Điều 21 (Quyền được phản đối) và Điều 22 (Những quyết định cá nhân tự động hoá, bao gồm cả hành vi lập hồ sơ). Nói chính xác hơn, đây là quyền được cung cấp một lời giải trình, là mà quyền công dân được đòi hỏi các đơn vị kiểm soát và xử lý thông tin cung cấp một lời giải thích thoả đáng về cách thức, lý do, bối cảnh, yều cầu, và các kết cấu phân loại mà đơn vị này đã sử dụng trong quá trình đưa ra quyết định liên quan đến chủ thể dữ liệu một cách tự động hoá. Hãy cùng tham khảo một ví dụ để có thể hiểu rõ hơn về quyền được giải trình. Tại châu Âu, việc tự động hoá nhiều quy trình tư duy bằng cách sử dụng trí thuệ nhân tạo và thuật toán máy tính đang ngày càng trở nên phổ biến. Nhiều tổ chức đã và đang sử dụng thuật toán để thực hiện công tác tuyển dụng; nhiều ngân hàng đã và đang sử dụng thuật toán để đưa ra quyết định bác bỏ hoặc phê duyệt hồ sơ xin vay nợ. Quyền được giải trình cho phép chủ thể dữ liệu, sau khi cung cấp dữ liệu về chủ thể cho một công ty trong quá trình xin việc, hoặc cho một ngân hàng trong quá trình xin vay nợ, được phản đối và yêu cầu giải trình quyết định mà công ty và ngân hàng này đưa ra. Điểm mấu chốt trong lập luận về quyền nêu trên là cái nhìn nhân văn và toàn diện trong cách EU tiếp cận xu hướng tự động hoá: tuy thuật toán và trí tuệ nhân tạo được tạo ra nhằm mục đích loại bỏ những thành kiến mà con người hay mắc phải, nghiên cứu đã liên tục cho thấy thuật toán máy tính cũng thường xuyên đưa ra những quyết định mang tính thành kiến hệt như con người. Tuy con người thường có xu hướng tin tưởng vào toán học và những thuật toán phức tạp được tạo nên từ nguyên lý toán học cao cấp, thuật toán được sử dụng hiện nay thường chứa những thành kiến ẩn vì chúng được rèn luyện từ những kho dữ liệu chứa sẵn thành kiến. Nói một cách đơn giản, độ hữu ích của một thuật toán chỉ có ý nghĩa bằng độ “sạch” và chính xác của kho dữ liệu mà chúng xử lý. Nhiều ví dụ thực tiễn đã cho thấy, thuật toán máy tính có thể đưa ra những quyết định tuyển dụng ưu tiên cho ứng viên nam, phân biệt các ứng viên da màu, và đặc biệt ưu tiên cho ứng viên da trắng. Tất cả những định kiến và phân biệt này đã được ghi nhận và lưu tâm từ những năm đầu của thập niên 2000.

Một điều đáng lưu ý ở đây là điểm giới hạn đáng kể của GDPR về các quyết định tự động hoá: Chủ thể dữ liệu có quyền phản đối và đòi hỏi giải trình một quyết định đưa ra sau khi quá trình tự động hoá đã xảy ra, nhưng không có quyền phản đối việc tự động hóa các quyết định của đơn vị kiểm soát dữ liệu.

Ý nghĩa của GDPR trong bối cảnh toàn cầu

Việc GDPR chính thức có hiệu lực có ba ý nghĩa chính trong bối cảnh quản lý dữ liệu cá nhân toàn cầu. Thứ nhất, tiêu chuẩn nghiêm ngặt đưa ra bởi GDPR góp phần đồng bộ hoá cơ sở pháp lý trên toàn thể các quốc gia thành viên trong khối EU, đem lại sự bình đẳng trong xử lý vi phạm trên lãnh thổ châu Âu. Sự đồng bộ hoá này sẽ góp phần cắt giảm chi phí về thời gian và tiền bạc cho các tổ chức hoạt động tại nhiều quốc gia khác nhau trong khuôn khổ châu Âu. Thứ hai, tiêu chuẩn nghiêm ngặt của GDPR rất có thể sẽ dần trở thành tiêu chuẩn vàng trong quản lý dữ liệu, và có thể được xem là mô hình đi đầu cho các quốc gia các trên thế giới tham khảo và học hỏi. Tuy không hoàn hảo, GDPR đã đặt ra những định nghĩa và quy định về quyền cũng như về những cá nhân và tổ chức liên quan đến quản lý và xử lý dữ liệu vô cùng quan trọng. Thứ ba, GDPR, tuy không hẳn là một bước ngoặt lớn trong quản lý dữ liệu cá nhân, đã nâng cao tiêu chuẩn bảo vệ dữ liệu bằng cách thắt chặt các quy định liên quan đến những đơn vị kiểm soát, xử lý, nhận, cũng như những đơn vị thứ ba trong toàn bộ vòng đời của dữ liệu. Khi mà người sử dụng internet ngày càng hiểu rõ hơn cách các công ty tư nhân thu lợi nhuận từ dữ liệu của họ, song song với cách mà dữ liệu của họ bị sử dụng với những mục đích chính trị mà họ không cho phép, GDPR đóng vai trò mấu chốt trong việc giúp người sử dụng internet (và tất cả các chủ thể dữ liệu nói chung) yêu cầu dữ liệu cá nhân của họ được quản lý một cách cẩn trọng và có trách nhiệm.
 

 

Tags:

ĐỌC NHIỀU NHẤT