Các công ty này đều được yêu cầu ngừng sử dụng Google Analytics, và hai trong số đó bị phạt tiền. Quyết định của cơ quản bảo vệ quyền riêng tư Thụy Điển được cho là có thể cung cấp bài học cho các công ty khác ở châu Âu cũng đang sử dụng công cụ thống kê của Google.

cơ quan giám sát Thụy Điển cho biết Google Analytics vi phạm GDPR. Ảnh: Shutterstock
Cơ quan giám sát Thụy Điển cho biết Google Analytics vi phạm GDPR. Ảnh: S.S

Ngày 3/7, trên website của mình, Cơ quan Bảo vệ Quyền riêng tư Thụy Điển IMY cho biết đã kiểm toán cách bốn công ty chuyển dữ liệu cá nhân sang Mỹ thông qua Google Analytics. Đây là một công cụ phổ biến dùng để đo lường và phân tích lưu lượng truy cập trên các trang web.

Các công ty được kiểm toán đều là những doanh nghiệp lớn, bao gồm CDON (sàn giao dịch thương mại điện tử ở Bắc Âu), Coop (chuỗi bán lẻ thực phẩm), Dagens Industri (tờ báo tài chính có lợi nhuận cao nhất Thụy Điển) và Tele2 (nhà khai thác mạng di động lớn ở Thụy Điển, Estonia, Latvia và Lithuania). Các cuộc kiểm tra liên quan đến phiên bản Google Analytics hoạt động từ ngày 14/8/2020.

Các cuộc kiểm toán được thực hiện dựa trên những khiếu nại của tổ chức phi chính phủ None of Your Business (có trụ sở ở Vienna, Áo) dẫn đến phán quyết Schrems II của Tòa án Công lý Châu Âu CJEU. Các khiếu nại cáo buộc rằng nhiều doanh nghiệp đang vi phạm pháp luật vì chuyển dữ liệu cá nhân sang Mỹ.

Theo quy định bảo vệ dữ liệu cá nhân (GDPR) của châu Âu, dữ liệu cá nhân có thể được chuyển đến các nước thứ ba, tức là các quốc gia bên ngoài khu vực EU/EEA nếu Ủy ban Châu Âu quyết định rằng quốc gia đó có mức độ bảo vệ đầy đủ đối với dữ liệu cá nhân tương đương với dữ liệu trong khối EU/EEA.

Tuy nhiên, tòa án CJEU đã thông qua phán quyết Schrems II rằng Mỹ không thể được coi là nước có mức độ bảo vệ đầy đủ như vậy tại thời điểm phán quyết.

Trong các cuộc kiểm toán của mình, IMY cho rằng dữ liệu chuyển đến Mỹ thông qua công cụ thống kê của Google là dữ liệu cá nhân vì dữ liệu đó có thể được liên kết với các dữ liệu duy nhất khác được chuyển đi, dẫn đến việc xác định một người cụ thể.

IMY cũng kết luận rằng các biện pháp an ninh kỹ thuật mà các công ty đã thực hiện không đủ để đảm bảo mức độ bảo vệ về cơ bản tương ứng với mức độ được đảm bảo trong khối EU/EEA.

IMY đã phạt hành chính 12 triệu SEK (~1,17 triệu USD) đối với Tele2 và 300.000 SEK (~29.300 USD) đối với CDON. Hai công ty này không thực hiện các biện pháp bảo vệ rộng rãi như hai công ty còn lại là Coop và Dagens Industri.

Tele2 gần đây đã tự ngừng sử dụng công cụ thống kê Google Analytics theo sáng kiến của riêng mình, trong khi IMY yêu cầu ba công ty kia ngừng sử dụng công cụ này.

Các chuyên gia cho rằng quyết định xử phạt của IMY đã tạo ra một tiền lệ quan trọng. Tele2 và CDON có kế hoạch kháng cáo, lập luận rằng các khoản tiền phạt là không phù hợp, nhưng cho biết họ sẽ tuân thủ các lệnh của cơ quan quản lý.

"Những quyết định trên có ý nghĩa không chỉ đối với bốn công ty này mà còn có thể cung cấp bài học cho các công ty khác ở châu Âu cũng đang sử dụng Google Analytics", ông Vũ Xuân Sơn, trưởng nhóm cấp cao về trí tuệ nhân tạo của Devr INC (Thụy Điển), một công ty công nghệ chuyên về giải pháp bảo vệ dữ liệu cá nhân, nhận xét.

"Bất kỳ công ty nào ở Thụy Điển nếu sử dụng Google Analytics sẽ phải đối diện với nguy cơ bị phạt. Và vì GDPR có phạm vi trên toàn châu Âu nên thông thường, khi một nước bắt đầu phạt thì các nước khác cũng sẽ làm theo", ông nói thêm.

Phản ứng của Google

Trong một tuyên bố với TechCrunch ngày 4/7 về các quyết định của IMY, Google nhấn mạnh rằng Google Analytics không xác định hoặc theo dõi các cá nhân cụ thể nào trên web.

Công ty cho biết các đơn vị phát triển và cung cấp nội dung trang web chịu trách nhiệm cho việc tuân thủ và sử dụng dữ liệu có đạo đức. Google thực hiện phần việc của mình bằng cách cung cấp các biện pháp bảo vệ, kiểm soát và tài nguyên.

Google nói:

"Mọi người muốn các trang web họ truy cập được thiết kế tốt, dễ sử dụng và tôn trọng quyền riêng tư của họ. Google Analytics giúp những đơn vị phát triển hiểu được website và ứng dụng của họ đang hoạt động tốt như thế nào đối với khách truy cập - nhưng không phải bằng cách xác định cá nhân hoặc theo dõi họ trên web. Các tổ chức này, chứ không phải Google, kiểm soát dữ liệu nào được thu thập bằng các công cụ này và cách sử dụng dữ liệu đó."

Kinh nghiệm cho Việt Nam

Tại Việt Nam, Nghị định 13 về Bảo vệ dữ liệu cá nhân vừa có hiệu lực từ đầu tháng 7/2023. Nghị định này được coi như một "phiên bản" của GDPR vì có nhiều mục đích và quy định hướng tới việc bảo vệ dữ liệu cá nhân trên lãnh thổ.

Hãng kiểm toán KPMG chỉ ra, Nghị định 13 mặc dù thắt chặt việc chuyển dữ liệu cá nhân ra nước ngoài như GPDR nhưng sử dụng một số cơ chế quản lý khác biệt.

Cụ thể, các doanh nghiệp chuyển dữ liệu ra nước ngoài phải có Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

Hồ sơ này cần nêu rõ danh tính, mục đích của công ty, đưa ra các mô tả chung về những biện pháp bảo vệ dữ liệu cá nhân mà công ty áp dụng, và bằng chứng về việc họ có sự đồng ý của chủ thể dữ liệu.

Sự đồng ý chỉ có giá trị nếu nó được đưa ra thông qua một hành động cho thấy sự chủ động và tự nguyện của chủ thể dữ liệu (như ký tên, đánh dấu vào ô đồng ý, nhấp vào nút), sau khi cá nhân được cung cấp đầy đủ thông tin về cách thức và mức độ xử lý dữ liệu. Những hình thức như cài đặt mặc định, ô chọn đã được đánh dấu trước, điều khoản và điều kiện chung, việc im lặng hoặc không phản hồi sẽ không được xem là sự đồng ý. Cá nhân có quyền rút lại sự đồng ý của mình bất cứ lúc nào.

Trước đây, quyền riêng tư là khái niệm khá mơ hồ, không chỉ ở châu Á mà ở châu Âu. Các công ty và cá nhân đều hình dung quyền riêng tư gắn liền với một bản đồng ý dài lê thê không ai đọc nhưng ai cũng nhấn “Đồng ý” ở cuối cùng. Tuy nhiên, khi GDPR ra đời năm 2016 - và cũng tương tự với Nghị Định 13 của Việt Nam năm 2023 - các công ty cung cấp dịch vụ tới người dùng đã và đang buộc phải thay đổi để đảm bảo quyền riêng tư đó.

Ông Vũ Xuân Sơn nhận xét: "Đa phần các công ty công nghệ chưa thực sự hiểu cần phải làm gì để đảm bảo luật về quyền riêng tư. Một số công ty đã có giải pháp, nhưng do quá tự tin vào giải pháp công nghệ của công ty đang có, mà quên rằng luật đã thay đổi và giải pháp công nghệ cũng cần điều chỉnh, dẫn tới việc vẫn bị phạt do không tuân thủ luật."

Trường hợp của 4 công ty Thụy Điển nêu trên chỉ ra rằng, có khả năng các công ty Việt Nam sẽ không thể tự do dùng những công cụ phân tích như Google Analytics để xử lý dữ liệu như trước đây mà phải thêm các bước - chẳng hạn bổ sung các biện pháp bảo vệ, hoặc minh bạch và báo cáo hoạt động của mình.

"Trong trường hợp của Tele2 và CDON, lý do bị phạt bao gồm cả việc 'không thực hiện các biện pháp bảo vệ rộng rãi'," ông Sơn chỉ ra."Điều này cũng đã và đang xảy ra với TikTok hay ChatGPT khi các công ty này liên tục bị kiện tụng, bị phạt và phải điều trần về việc thiếu giải pháp công nghệ và không thể chỉ ra đủ bằng chứng về việc trao quyền dữ liệu cá nhân cho người dùng. Đây là những vấn đề mà Devr là công ty công nghệ đầu tiên có giải pháp sẵn sàng thương mại (off-the-shelf). Chúng tôi đang tích cực hợp tác với một số công ty ở Việt Nam để cùng triển khai những giải pháp đó tại Việt Nam."

Theo ông, dù Nghị định 13 chưa quy định mức phạt đối với các doanh nghiệp, cá nhân vi phạm, nhưng vì nghị định này tham khảo khá nhiều từ GDPR nên các doanh nghiệp Việt Nam có thể xem xét mức độ "nặng tay" của châu Âu để tham khảo.

GDPR có hai khung hình phạt. Đối với các vi phạm ít nghiêm trọng, mức phạt có thể lên tới 10 triệu Euro hoặc 2% tổng doanh thu toàn cầu của năm trước đó. Đối với các vi phạm nghiêm trọng, mức phạt sẽ lên tới 20 triệu Euro hoặc 4% tổng doanh thu toàn cầu của năm trước đó (tùy theo con số nào cao hơn).