(KTSG) - Công nghệ đặt giá thầu theo thời gian thực (Real-Time Bidding) cho phép hàng ngàn doanh nghiệp tham gia “đấu giá” trong tích tắc để giành quyền hiển thị quảng cáo đến người dùng vào đúng thời điểm. Thế nhưng, đằng sau quy trình ấy là một hệ sinh thái chia sẻ dữ liệu cá nhân quy mô lớn, thường được thực hiện mà người dùng không hay biết.
- Chuyển dữ liệu cá nhân ra nước ngoài: Nên bổ sung nhiều cơ chế chấp thuận
- Việt Nam trong xu hướng quy định về bảo vệ dữ liệu cá nhân của người lao động
Bạn đã bao giờ gặp tình huống khi vừa truy cập một trang tin tức, màn hình ngay lập tức hiển thị một loạt quảng cáo về đôi giày thể thao mà bạn vừa lướt xem trên một trang web khác? Dường như các nền tảng kỹ thuật số có thể “đọc vị” suy nghĩ của bạn. Thực tế, điều đó không phải là ngẫu nhiên, mà là kết quả của một cơ chế quảng cáo được tự động hóa, gọi là đặt giá thầu theo thời gian thực - Real-Time Bidding (RTB). Đằng sau quy trình này là một hệ sinh thái chia sẻ dữ liệu cá nhân quy mô lớn, thường được thực hiện mà người dùng không hay biết.
RTB - Công nghệ quảng cáo “thần tốc”
Mặc dù khái niệm RTB còn khá xa lạ tại Việt Nam, mô hình này thực chất đã xuất hiện từ những năm 2009-2010 tại các thị trường phát triển như Mỹ, châu Âu. Nhìn chung, RTB là một hình thức quảng cáo lập trình mà vị trí hiển thị quảng cáo được xác định bằng các hệ thống thuật toán. Nhà quảng cáo hoặc bên trung gian thay mặt họ sẽ tham gia vào một phiên đấu giá tự động để giành quyền quảng cáo đến một người dùng Internet cụ thể.
Trên thực tế, RTB có phương thức hoạt động rất phức tạp, với sự tham gia của nhiều bên khác nhau. Khi nhà phát hành trang web có các vị trí quảng cáo, họ sẽ sử dụng một hoặc nhiều nền tảng bên cung (Supply-Side Platform - SSP) để tìm kiếm nhà quảng cáo phù hợp. SSP sẽ giúp nhà phát hành trang web kết nối với các sàn giao dịch quảng cáo (Ad Exchanges), nơi phiên đấu giá quảng cáo được tổ chức.
Khi người dùng truy cập vào một trang web có tích hợp không gian quảng cáo, trình duyệt sẽ tự động gửi một yêu cầu đặt giá đến Ad Exchanges. Yêu cầu này chứa hàng loạt các thông tin về người dùng, như dữ liệu nhân khẩu học (năm sinh, giới tính), vị trí địa lý, lịch sử trình duyệt web và các đặc điểm hành vi khác (sở thích, tình trạng hôn nhân…). Ad Exchanges sẽ chuyển yêu cầu này đến các nền tảng bên yêu cầu (Demand-Side Platform - DSP), là nơi đại diện cho các nhà quảng cáo tham gia đặt giá.
Thông thường, DSP sẽ tiếp tục gửi thông tin trong yêu cầu đặt giá đến bên thứ ba là nền tảng quản lý dữ liệu (Data Management Platform - DMP) để xác định được người dùng từ nhiều nguồn dữ liệu khác nhau. Khi có càng nhiều dữ liệu cụ thể, DSP càng có lợi thế vì có thể đấu giá chính xác hơn. Nhà quảng cáo có mức giá đặt cao nhất sẽ giành quyền hiển thị quảng cáo. Toàn bộ quá trình này thường chỉ diễn ra chưa đến 200 mili giây.
Với doanh nghiệp, RTB giúp tiết kiệm thời gian và chi phí triển khai các chiến dịch quảng cáo. Các nền tảng như Google, Facebook đã thực hiện RTB và tối ưu hóa ngân sách quảng cáo đáng kể. Tuy nhiên, việc chia sẻ một khối lượng lớn dữ liệu cá nhân đến hàng ngàn bên tham gia đấu giá đã đặt ra mối lo ngại về quyền riêng tư và bảo vệ dữ liệu cá nhân.
Góc nhìn pháp lý từ Liên minh châu Âu
Hiện nay, Liên minh châu Âu (EU) chưa có đạo luật riêng điều chỉnh hoạt động RTB. Mặc dù vậy, có không ít luồng quan điểm hoài nghi về mức độ tuân thủ pháp lý của mô hình RTB đối với các quy định về quyền riêng tư và bảo vệ dữ liệu cá nhân. Nhiều ý kiến cho rằng rất khó để mô hình này phù hợp với các nguyên tắc cốt lõi của Quy định chung về bảo vệ dữ liệu (General Data Protection Regulation - GDPR).
GDPR yêu cầu mọi hoạt động xử lý dữ liệu cá nhân phải đảm bảo ba yêu cầu cơ bản, gồm cơ sở pháp lý, tính minh bạch và an ninh dữ liệu(1). Với yêu cầu thứ nhất, bên kiểm soát dữ liệu chỉ được phép xử lý dữ liệu cá nhân theo một trong những cơ sở được pháp luật quy định. Trong số đó, sự đồng ý của chủ thể dữ liệu được xem là cơ sở pháp lý có khả năng nhất cho việc xử lý dữ liệu cá nhân trong quy trình RTB. Theo Chỉ thị về quyền riêng tư và truyền thông điện tử (ePrivacy Directive) của EU, các tổ chức phải được đồng ý trước khi lưu trữ hoặc theo dõi thông tin trên thiết bị đầu cuối (được gọi là cookie walls). Song, với quá trình xử lý dữ liệu cá nhân quy mô lớn và phức tạp, các công ty thực hiện RTB hầu như không thể thu thập được sự đồng ý hợp lệ từ người dùng.
Thứ hai, dữ liệu cá nhân phải được xử lý một cách minh bạch. Đáng chú ý là theo án lệ của Tòa án Công lý Liên minh châu Âu, nhà phát hành trang web phải cung cấp cho người dùng thông tin của tất cả các công ty RTB, vì họ là bên đồng kiểm soát dữ liệu nhưng họ thường không biết trước những bên nào sẽ thu thập dữ liệu. Vì vậy, việc cung cấp thông tin này cho người dùng là rất khó. Theo báo cáo của Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO), người dùng thường không có cái nhìn rõ ràng và đầy đủ về những gì xảy ra với dữ liệu của họ trong quy trình RTB(2).
Thứ ba, bên kiểm soát dữ liệu phải có biện pháp phù hợp để bảo vệ dữ liệu cá nhân. Theo ICO, việc thực hiện Đánh giá tác động bảo vệ dữ liệu (DPIA) trong hoạt động RTB là bắt buộc. Tuy nhiên, các bên tham gia RTB chưa nhận thức đầy đủ về yêu cầu thực hiện DPIA. Nói cách khác, người dùng hầu như không có bất kỳ sự đảm bảo nào về tính bảo mật của dữ liệu cá nhân trong RTB.
Trước những thách thức đó, EU đã và đang nỗ lực thảo luận các biện pháp để tăng cường bảo vệ dữ liệu cá nhân trong hoạt động RTB, như xem xét xây dựng Quy định ePrivacy Regulation thay thế ePrivacy Directive với nhiều đề xuất nhằm hạn chế theo dõi và thu thập thông tin của người dùng. Tuy nhiên, đến hiện tại, ePrivacy Regulation vẫn chưa được thông qua.
Tại Việt Nam: khung pháp lý chưa hoàn thiện
Nghị định 13/2023/NĐ-CP có hiệu lực từ ngày 1-7-2023 đã đặt ra cơ sở pháp lý cơ bản trong việc bảo vệ dữ liệu cá nhân tại Việt Nam. Tuy nhiên, nghị định này chưa quy định cụ thể về bảo vệ dữ liệu cá nhân trong mô hình RTB. Tương tự như các quy định của GDPR, Nghị định 13 yêu cầu việc xử lý dữ liệu cá nhân phải tuân thủ các nguyên tắc cơ bản như cơ sở pháp lý, sự đồng ý của chủ thể dữ liệu, các biện pháp bảo vệ trong quá trình xử lý(3). Trong đó, sự đồng ý của chủ thể dữ liệu phải thể hiện một cách rõ ràng, tự nguyện đối với các nội dung, bao gồm loại dữ liệu cá nhân được xử lý; mục đích xử lý; tổ chức, cá nhân được xử lý; quyền, nghĩa vụ của chủ thể dữ liệu(4).
Có thể thấy phần lớn hoạt động RTB hiện nay không đáp ứng đầy đủ các yêu cầu này. Đa phần người dùng không biết chính xác loại dữ liệu cá nhân nào được xử lý, ai đang xử lý và mục đích gì. Điều này đặc biệt đáng lo ngại khi mô hình RTB có thể dẫn đến việc xử lý dữ liệu cá nhân nhạy cảm của hàng triệu người dùng trong nhiều tình huống.
Ví dụ, việc truy cập vào một số trang web về Phật giáo hay công thức nấu ăn thuần chay có thể gợi ý về tôn giáo của người dùng, truy cập vào một số trang tin tức có thể hé lộ quan điểm chính trị, hoặc thậm chí xu hướng tình dục của họ. Về nguyên tắc, bên cạnh sự đồng ý hợp lệ, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm (quan điểm chính trị, tôn giáo; đời sống tình dục...)(5). Dữ liệu cá nhân nhạy cảm nếu bị rò rỉ, chuyển giao hoặc lạm dụng có thể gây ra hậu quả nghiêm trọng như thao túng hành vi người tiêu dùng, vận động chính trị bất hợp pháp, xâm phạm trực tiếp tới quyền và lợi ích hợp pháp của cá nhân.
Trong bối cảnh Dự án Luật Bảo vệ dữ liệu cá nhân đang được xây dựng, việc tăng cường cơ chế bảo vệ dữ liệu cá nhân trong lĩnh vực RTB nói riêng và AdTech nói chung, cần được quan tâm. Một số yêu cầu đặt ra đối với các bên tham gia RTB nhằm hạn chế rủi ro về dữ liệu cá nhân có thể bao gồm: (i). Thu thập sự đồng ý của người dùng về việc chấp nhận hoặc từ chối cookies, hoặc chế độ “không theo dõi”, bằng thông báo hiển thị ngay khi người dùng truy cập trang web hoặc ứng dụng (ngoại trừ một số trường hợp ngoại lệ như cookies cần thiết cho liên lạc, cung cấp dịch vụ do người dùng yêu cầu); (ii). Thu thập sự đồng ý của người dùng về việc xử lý dữ liệu cá nhân và tuân thủ các yêu cầu liên quan theo Nghị định 13; và (iii). Giới hạn phạm vi dữ liệu cá nhân được phép xử lý, đặc biệt là dữ liệu cá nhân nhạy cảm.
Ngoài ra, cơ chế thanh tra, giám sát và xử phạt từ cơ quan có thẩm quyền cũng góp phần đảm bảo tuân thủ. Việc xây dựng hành lang pháp lý toàn diện không chỉ tạo cơ sở rõ ràng hơn cho các hoạt động xử lý dữ liệu tại Việt Nam mà còn góp phần thu hẹp khoảng cách với thông lệ quốc tế, hướng đến một môi trường số an toàn, minh bạch.
(*) Công ty Luật TNHH Phuoc & Partners
(1) Điều 5(1)(a), điều 5(1)(f), điều 6 GDPR
(2) Information Commissioner’s Office (ICO), Update Report into Adtech and Real-Time Bidding (20-6-2019), truy cập tại https://perma.cc/X7PX-EL3L
(3) Điều 3 Nghị định 13/2023/NĐ-CP
(4) Điều 2.8 và điều 11 Nghị định 13/2023/NĐ-CP
(5) Điều 2.4 và điều 11.8 Nghị định 13/2023/NĐ-CP
