Cơ chế bảo vệ quyền riêng tư về dữ liệu khách hàng của Mỹ: Những gợi ý cho Việt Nam
Tống Khánh Linh - Trần Đăng Quang - Nguyễn Quang Đồng
(TBKTSG) - Dữ liệu là xương sống của nền kinh tế số. Nhưng dữ liệu chỉ có thể được chia sẻ và cung cấp một khi người dùng cảm thấy quyền riêng tư của mình được bảo vệ. Nói cách khác, tiền đề trực tiếp để có dữ liệu trước hết là phải bảo vệ được quyền riêng tư và an toàn dữ liệu cho người dùng.
Tình trạng vi phạm quyền riêng tư, mua bán trái phép dữ liệu cá nhân ở Việt Nam đang là một trở lực cho việc phát triển kinh tế số. Nhiều hành vi vi phạm quyền riêng tư về dữ liệu hiện nay không gây ra thiệt hại trực tiếp và hiện hữu đối với mỗi cá nhân nhưng có thể ảnh hưởng đến niềm tin, lợi ích chung của số đông người dùng. Mỹ là cường quốc công nghệ, là một mô hình tiên phong trong việc bảo vệ dữ liệu mà cách làm có nhiều điểm Việt Nam có thể học hỏi.
Bảo vệ dữ liệu cá nhân - Bảo vệ quyền lợi người tiêu dùng
Quyền riêng tư khách hàng và an toàn dữ liệu vốn thuộc phạm trù bảo vệ người tiêu dùng, một trong hai sứ mệnh tiên quyết của Ủy ban Thương mại liên bang Mỹ (FTC) từ khi được thành lập vào năm 1914.
Để phục vụ cho sứ mệnh này, FCT thực thi một loạt công việc, từ nghiên cứu và ban hành các tiêu chuẩn về bảo vệ dữ liệu; xây dựng khuôn khổ pháp lý để bảo vệ quyền riêng tư dữ liệu thông qua điều trần trước Quốc hội, góp ý trực tiếp cho các kiến nghị lập pháp và hành pháp, đào tạo để nâng cao nhận thức của người tiêu dùng cùng sự tự giác chấp hành của doanh nghiệp, điều tra và xử lý các vụ việc vi phạm.
Từ năm 2000, FTC đã ban hành nguyên tắc thông báo lộ lọt dữ liệu y tế, quy định bảo vệ danh tính cho các tổ chức tài chính tín dụng, nguyên tắc bảo vệ trẻ em trên môi trường mạng, nguyên tắc bảo vệ dữ liệu khách hàng cho các công ty phân phối ô tô, nguyên tắc tiếp thị qua điện thoại, cùng ba quy định yêu cầu các doanh nghiệp bảo đảm an toàn thông tin tín dụng của khách hàng.
Kể từ năm 1996, FTC đã tổ chức hơn 75 hội thảo, triển lãm về quyền riêng tư người tiêu dùng và an toàn dữ liệu, hàng loạt chiến dịch vận động, nâng cao nhận thức và duy trì hai blog dành riêng cho người tiêu dùng và doanh nghiệp để liên tục cập nhật những nguy cơ rủi ro cùng đổi mới pháp luật xung quanh vấn đề quyền riêng tư dữ liệu cá nhân. Đây rõ ràng là một khối lượng công việc lớn, được thực hiện với sự cam kết cao về bảo vệ quyền riêng tư và dữ liệu của người dùng.
Độc lập quyền hành pháp
Nhân tố thứ hai góp phần vào thành công của FTC trong việc bảo vệ quyền riêng tư dữ liệu khách hàng là nguyên tắc độc lập về quyền hành pháp. FTC hoạt động hoàn toàn độc lập ngoài phạm vi các bộ và được Quốc hội Mỹ nhất trí trao toàn quyền tự chủ điều tra, xử lý, giám sát và ban hành các quy định điều chỉnh các vi phạm về quyền riêng tư dữ liệu cá nhân.
Nhờ sự độc lập quyền lực hành pháp này mà FTC có thể xử lý một số lượng lớn các vụ kiện, điều tra nhanh chóng, làm việc linh hoạt với các doanh nghiệp để bảo vệ quyền riêng tư dữ liệu cho người tiêu dùng trong bối cảnh biến đổi nhanh chóng của nền kinh tế số.
Tính hiệu quả của một cơ chế vận hành độc lập như vậy có thể nhận thấy rõ trong quá trình xây dựng nguyên tắc bảo vệ trẻ em trên môi trường mạng. Có một sự phân định rõ ràng về quyền và nghĩa vụ giữa FTC và Quốc hội. Trước tiên, Quốc hội sẽ đưa ra các yêu cầu tiêu chuẩn về giá trị. Ví dụ, Quốc hội quyết định rằng các trang web nhắm đến khách hàng là trẻ em thì cần phải có sự chấp thuận của cha mẹ trước khi thu thập, sử dụng, hay công khai thông tin cá nhân của trẻ dưới 13 tuổi.
Dựa trên nhận định đó của Quốc hội, FTC được toàn quyền thiết kế và áp đặt thực thi các quy định, cơ chế hợp thức hóa quy trình các trang web hoặc dịch vụ trực tuyến tiếp nhận sự đồng ý của các bậc phụ huynh. Sau khi nhận được định hướng lập pháp và chính sách, FTC chủ động hoàn toàn trong hoạt động quản lý giám sát quyền riêng tư dữ liệu cá nhân. Quy trình này vừa tránh được sự phân mảnh quyền lực, trách nhiệm hay chồng chéo pháp luật, vừa bảo đảm hiệu quả thực thi.
Minh bạch trong thực thi
Một nhân tố khác khiến mô hình của FTC trở nên đáng học tập đó là sự minh bạch trong quy trình giải quyết khiếu nại của người tiêu dùng. Theo đó, FTC tiến hành điều tra các doanh nghiệp khi có cơ sở để tin rằng các doanh nghiệp đó vi phạm quyền riêng tư về dữ liệu khách hàng. Một bản khiếu nại về những hành vi vi phạm do FTC soạn thảo được gửi tới doanh nghiệp kèm theo thông báo về phiên điều trần sẽ được tổ chức ít nhất là 30 ngày kể từ ngày gửi bản khiếu nại.
Dựa trên kết quả phiên điều trần, FTC báo cáo bằng văn bản các phát hiện và kết luận của mình. Trong trường hợp doanh nghiệp thực sự có những hành vi vi phạm, FTC sẽ đưa ra lệnh buộc doanh nghiệp vi phạm phải chấm dứt và ngừng thực hiện các hành vi vi phạm đó. Sau một khoảng thời gian được áp đặt khác nhau tùy từng vi phạm, doanh nghiệp sẽ bị FTC kiện ra tòa và phạt tiền nếu không tuân thủ. Thông thường, thời gian tối đa của mỗi lệnh áp đặt kéo dài trong 20 năm kể từ ngày ban hành.
Đối với mỗi vụ việc do FTC xử lý, cơ quan này sẽ công bố trên trang thông tin điện tử chính thức các tài liệu có liên quan đến vụ việc. Ví dụ như đơn khiếu nại do FTC đại diện người tiêu dùng, các quyết định sơ bộ và chính thức,... Điểm đáng lưu ý trong quy trình giải quyết của FTC đó là cho phép người tiêu dùng góp ý vào bản dự thảo quyết định trong vòng 30 ngày kể từ ngày bản dự thảo được công bố.
Điển hình như vụ việc liên quan đến dữ liệu người dùng của Facebook do FTC tiến hành điều tra vào năm 2012. FTC đã công khai bản phân tích dự thảo quyết định tới công chúng nhằm thu thập các bình luận, kết quả là đã nhận về 59 thư góp ý từ các cá nhân, tổ chức có quan tâm.
Không chỉ dừng lại ở việc thu thập và tổng hợp, FTC còn nỗ lực trong việc phản hồi và phân tích đối với từng góp ý của người tiêu dùng. Tính minh bạch trong quy trình của FTC cũng được thể hiện dựa trên cơ sở xác định mức phạt vi phạm. Ví dụ trong vụ việc của Facebook, doanh nghiệp này đã phải trả mức phạt lên tới 5 tỉ đô la cho 900 triệu lượt xem trang web của Facebook mà có chứa các khẳng định lừa dối về bảo mật thông tin khách hàng. Theo đó, mỗi lượt xem được coi là một vi phạm và phải chịu mức phạt 5,56 đô la.
Ngoài ra, điểm cần lưu ý là nguyên tắc các mức phạt được FTC đưa ra không chỉ với mục đích trừng phạt, ngăn chặn các hành vi vi phạm có thể xảy ra trong tương lai mà còn đảm bảo việc hoạt động bình thường và nằm trong khả năng chi trả của các doanh nghiệp.
Không ngáng đường doanh nghiệp
Một khía cạnh khác có thể coi là đáng học hỏi từ mô hình FTC chính là thành công trong việc cân bằng giữa bảo vệ quyền lợi người tiêu dùng và phát triển kinh tế số. Quy định bảo vệ dữ liệu chung (GDPR) của châu Âu được coi là tiêu chuẩn vàng về bảo vệ quyền riêng tư dữ liệu cá nhân, và bản thân chính quyền Mỹ và FTC cũng đang vận động để Quốc hội thông qua một bộ luật tương đương GDPR để bắt kịp tiêu chuẩn vàng châu Âu.
Tuy nhiên, GDPR cũng đã gặp không ít chỉ trích vì cản trở năng lực sáng tạo của các doanh nghiệp số chủ yếu dựa vào dữ liệu khách hàng để phát triển sản phẩm mới. Điểm ưu việt của mô hình FTC chính là ở chỗ ưu tiên cảnh báo phòng ngừa, thay vì phạt triệt để.
Ngoài “ưu ái lần 1” thông qua chủ động thông báo cho các doanh nghiệp về những thay đổi trong pháp luật, chính sách, cho doanh nghiệp thời gian để thích nghi như bên thực thi của GDPR, FTC còn có bước “ưu ái lần 2” khi đưa ra cảnh cáo, chỉ thị hướng dẫn doanh nghiệp cải thiện, chừa thời gian để doanh nghiệp thực hiện.
Chỉ trong trường hợp doanh nghiệp cố tình bỏ qua lượt “ưu ái lần 2” thì FTC mới bắt buộc đưa doanh nghiệp ra tòa, và lần này đương nhiên là đi kèm một mức phạt nặng. Quá tam ba bận. FTC cho doanh nghiệp ba cơ hội.
Ngoài ưu ái về quy trình, FTC còn có một loạt hoạt động tiếp sức, hỗ trợ doanh nghiệp tuân thủ pháp luật. Ví dụ cụ thể là trong lĩnh vực mạng xã hội và quảng cáo người có ảnh hưởng, FTC đã nhận được lời khen từ chính phản hồi của doanh nghiệp vì đã đưa ra một loạt thư cảnh cáo, cập nhật các chỉ dẫn, viết blog giải thích các yêu cầu pháp luật.
Có thể thấy FTC rất nỗ lực “né tránh” phạt và “né tránh” kiện doanh nghiệp ra tòa. Nhưng đây là việc “né tránh” đáng khen, đáng khuyến khích, chứ không phải dạng “né tránh” cảnh cáo cho xong chuyện rồi bỏ đó, dẫn đến mua bán dữ liệu cá nhân tràn lan như hiện nay ở Việt Nam.
Kết bài
Tất nhiên mô hình FTC còn nhiều thiếu sót và nước Mỹ vẫn chưa thông qua đạo luật bảo vệ quyền riêng tư, chìa khóa bảo vệ quyền riêng tư dữ liệu cá nhân. Nhưng có một điều chắc chắn, đó là FTC vẫn sẽ tiếp tục nắm giữ vai trò chủ chốt trong việc cụ thể hóa và thực thi bảo vệ quyền riêng tư dữ liệu người tiêu dùng Mỹ, mà mở rộng ra là của công dân Mỹ.
Và đó là điểm mà Việt Nam nên học tập. Bởi có một đầu mối sẽ thuận tiện cho quá trình hợp tác, học hỏi kinh nghiệm quốc tế, và điều phối các vi phạm quyền riêng tư dữ liệu cá nhân xuyên biên giới. Đối với các công ty đa quốc gia như Facebook, Google, Việt Nam chắc chắn phải hợp tác quốc tế mới mong bảo vệ được quyền riêng tư dữ liệu cho người Việt.
5 tỉ đô la là mức phạt kỷ lục dành cho vi phạm quyền riêng tư dữ liệu khách hàng do FTC áp cho Facebook. Tính tới năm 2019, FTC đã xử lý hơn 600 vụ vi phạm quyền riêng tư, an toàn dữ liệu cá nhân và thu về khoảng 10 tỉ đô la tiền phạt hành chính, bồi thường từ hàng trăm công ty và cá nhân vi phạm. Theo nghiên cứu quốc tế (507 công ty tại 13 quốc gia và ba vùng lãnh thổ là Scandinavia, ASEAN, Trung Đông) của IBM, cái “giá” mỗi công ty phải trả cho một vi phạm lộ lọt dữ liệu cao nhất ở Mỹ - lên đến 8,19 triệu đô la/vụ. Số tiền này gấp đôi giá bình quân của một vụ lộ lọt của ba nước châu Âu được đưa vào khảo sát là Đức, Pháp, Ý (4,21 triệu đô la). Những con số này cho thấy sự nghiêm túc trong việc bảo vệ quyền riêng tư, an toàn dữ liệu cá nhân ở Mỹ, và tiền đề cho những thành công của cường quốc công nghệ này là một cơ chế thực thi độc lập, minh bạch và hiệu quả. |