Bài học từ châu Âu, Mỹ 'thắt chặt' quy định bảo mật thông tin người tiêu dùng online

Lo ngại “rò rỉ” thông tin người tiêu dùng online

TikTok, ứng dụng chia sẻ video ngắn trực thuộc công ty ByteDance ở Trung Quốc, với khoảng hơn 1 tỷ người dùng hàng tháng, đang phải đối mặt với những lệnh hạn chế, lệnh kiểm soát chặt chẽ từ Mỹ, Canada và Liên minh châu Âu (EU) bởi mối lo ngại về thiếu bảo mật thông tin.

Cụ thể, vào cuối tháng 2, Uỷ ban phụ trách vấn đề quyền riêng tư của Canada ra thông báo: Cơ quan quản lý quyền riêng tư của liên bang và các cấp tỉnh ở Quebec, British Columbia và Alberta, sẽ thực hiện đánh giá việc TikTok có tuân thủ các luật về quyền riêng tư của Canada hay không.

TikTok đối mặt với sự kiểm soát chặt chẽ tại các nước Âu, Mỹ

Trước đó, Uỷ ban châu Âu đã ban hành quy định cấm nhân viên sử dụng TikTok trên các thiết bị công việc kể từ ngày 23/2. Chính phủ Hà Lan cũng khuyến cáo quan chức tránh xa ứng dụng này vì những lo ngại tương tự.

Giới chức Bỉ yêu cầu TikTok phải cam kết đảm bảo an toàn dữ liệu của người dùng châu Âu và giám sát chặt chẽ hoạt động của ứng dụng này. Trong khi đó, Thượng viện Mỹ tháng 12/2022 cũng đã thông qua dự luật cấm nhân viên liên bang truy cập ứng dụng này trên các thiết bị do chính phủ sở hữu.

Những lệnh cấm này đều đến từ mối quan ngại TikTok có thể đang thu thập dữ liệu người dùng và sử dụng chúng một cách trái phép. Bên cạnh đó, TikTok cũng nhận nhiều cáo buộc về việc thường xuyên đăng tải thông tin độc hại, như tin giả, các nội dung khiêu dâm hay những thử thách có thể gây nguy hiểm tới tính mạng của người chơi.

Theo một thống kê, gần 1/3 số người dùng TikTok trong độ tuổi từ 10 – 19, điều đó có nghĩa là rất nhiều người dùng TikTok là trẻ em, thanh thiếu niên đang đứng trước những nguy cơ về mất thông tin cá nhân, hoặc là mục tiêu của những hành vi tội phạm trên mạng.

Trong năm 2022, công cụ tìm kiếm lớn nhất hành tinh Google đã bị cáo buộc đánh cắp thông tin người sử dụng Internet thông qua việc đăng ký các tài khoản Google. Các tổ chức, cơ quan bảo vệ người tiêu dùng tại nhiều nước châu Âu đã đệ đơn khiếu nại về việc “gã khổng lồ công nghệ” Mỹ này thu thập lượng lớn dữ liệu cá nhân của người dùng nhằm sử dụng trái phép. Những đơn vị này bao gồm Tổ chức người tiêu dùng châu Âu (BEUC) và các Cơ quan bảo vệ người tiêu dùng của Đức, Hà Lan, Đan Mạch, Thụy Điển,…

Nội dung của cáo buộc về sai phạm của Google như sau: khi đăng ký tài khoản Google, người dùng phải mặc định đồng ý cho Google truy cập “Lịch sử vị trí” và “Hoạt động web & app”. Theo các chuyên gia, dữ liệu về vị trí, địa điểm có thể tiết lộ nhiều thông tin cá nhân về một người như thời gian di chuyển thực tế, các địa điểm thường xuyên lui tới, lịch trình hằng ngày, sở thích… Việc liên tục theo dõi vị trí và hoạt động của người dùng có thể góp phần xây dựng nên một hồ sơ chi tiết về các cá nhân, cũng như phỏng đoán về tín ngưỡng, khuynh hướng chính trị...

Trước đây, Google đã từng bị cáo buộc cho phép công nghệ trí tuệ nhân tạo (AI) quét thông tin trong hộp thư đến, hay để các công ty thuộc bên thứ ba tiến hành quá trình nghiên cứu dữ liệu cá nhân trong hộp thư Gmail của người dùng. Theo đó, ước tính có hàng trăm công ty thuộc bên thứ ba, trong đó có các nhà phát triển công nghệ như Microsoft, Salesforce, Return Path hay Edison Software đã thâm nhập email người sử dụng Gmail.

Năm 2019, cơ quan giám sát bảo vệ dữ liệu của Pháp (CNIL) đã phạt Google 50 triệu euro vì vi phạm các quy tắc về quyền riêng tư trực tuyến của EU, bắt đầu từ khiếu nại của hai tổ chức phi chính phủ là None Of Your Business (NOYB) và La Quadntic du Net (LQDN).

Ngoài TikTok, Google, các mạng xã hội lớn như Facebook, WhatsApp, Instagram và Twitter đều đã phải trải qua nhiều cuộc điều tra về việc có vi phạm luật bảo vệ dữ liệu hay không. Điển hình nhất là vào năm 2019, Ủy ban Thương mại Liên bang Mỹ (FTC) đã ra mức phạt kỷ lục 5 tỷ USD với Facebook bởi bê bối dữ liệu Cambridge Analytica.

Theo đó, công ty Cambridge Analytica (đã phá sản) được phát hiện vào năm 2015 đã thực hiện thu thập thông tin cá nhân của 87 triệu người dùng Facebook mà họ không hề hay biết. Những dữ liệu này được phân tích để hiển thị các nội dung quảng cáo liên quan tới chiến dịch tranh cử Tổng thống Mỹ 2016 của Donald Trump.

Các quốc gia “siết” quy định về bảo mật thông tin

Nhằm hạn chế các sự cố “rò rỉ” dữ liệu người dùng, EU đã ban hành Quy định chung về bảo mật thông tin (General Data Protection Regulation - GDPR) và chính thức có hiệu lực từ ngày 25/05/2018. Nếu vi phạm các quy định của GDPR, các doanh nghiệp có thể đối mặt với mức phạt 2% tổng doanh thu của công ty trên toàn cầu.

Đây được xem là nỗ lực bảo vệ an toàn thông tin người dùng online của giới chức EU khỏi hành vi sử dụng dữ liệu cá nhân trái phép của các công ty hoạt động trong khối, đặc biệt là những công ty công nghệ.

Tình trạng rò rỉ thông tin cá nhân tràn lan là vấn nạn nhức nhối của thời đại số

Theo quy định của GDPR, mỗi tổ chức xử lý dữ liệu cá nhân phải bảo đảm rằng dữ liệu cá nhân mà tổ chức đó xử lý đáp ứng các nguyên tắc cơ bản: như hợp pháp, công bằng, minh bạch, chính xác, …

Với nguyên tắc về tính toàn vẹn và bảo mật, GDPR nêu rõ việc xử lý dữ liệu cá nhân phải đảm bảo tính bảo mật, toàn vẹn và sử dụng các biện pháp thích hợp như ngăn chặn truy cập hoặc sử dụng trái phép dữ liệu cá nhân và thiết bị được sử dụng để xử lý dữ liệu cá nhân.

Dù vậy, giới chuyên gia và các chính phủ vẫn khuyến cáo rằng, bản thân người sử dụng cũng nên nâng cao cảnh giác, đọc kỹ những hướng dẫn của các công ty công nghệ nhằm bảo vệ thông tin cá nhân trước những nguy cơ tiềm tàng. Họ cũng cần biết được những quyền lợi chính đáng của mình khi sử dụng các dịch vụ số.

Theo GDPR, chủ thể dữ liệu cá nhân có quyền kiểm soát toàn diện đối với dữ liệu cá nhân, bao gồm các quyền như quyền được biết, quyền được chỉnh sửa thông tin, quyền được từ chối cho phép các công ty sử dụng dữ liệu, quyền được truy vấn thông tin, quyền được xoá dữ liệu,…

Theo đánh giá của giới chuyên gia, GDPR hiện là cơ chế bảo vệ thông tin cá nhân khắt khe nhất trên thế giới hiện nay khi tách biệt quyền bảo vệ thông tin cá nhân với quyền riêng tư. GDPR đặt ra các nghĩa vụ của các tổ chức đối với việc xử lý dữ liệu cá nhân mà họ thu thập và xử lý.

Việc sử dụng dữ liệu cá nhân phải tuân thủ đầy đủ các yêu cầu đặt ra của EU, được sự chấp thuận của chủ thể dữ liệu cá nhân. GDPR cũng thiết lập một cơ quan bảo vệ dữ liệu ở cấp Liên minh.

Thành viên của cơ quan này đại diện cho các quốc gia thành viên Liên minh châu Âu, các quốc gia thuộc khu vực kinh tế châu Âu và Cơ quan giám sát về bảo vệ dữ liệu của Liên minh châu Âu (European data protection supervisor – EDPS).

Việc hoàn thiện cơ chế, chính sách là một nguồn tham chiếu quan trọng để bảo vệ dữ liệu cá nhân người dùng, hạn chế các hành vi vi phạm bảo mật thông tin của các tổ chức, doanh nghiệp vì mục đích trục lợi hay các loại tội phạm mạng khác. Tuy nhiên, đây mới chỉ là bước đầu tiên, điều quan trọng hơn hết là quá trình thực thi và giám sát thực hiện các quyết định này như thế nào.

Những năm qua, đặc biệt trong thời COVID-19 với số lượng người dùng Internet tăng đột biến, các cơ quan quốc gia về bảo vệ dữ liệu nhiều nước, vùng lãnh thổ đã liên tục mở các cuộc điều tra nhằm vào các công ty công nghệ. TikTok, WeChat, Facebook, Google, Whatsapp, … chỉ là số ít trong rất nhiều nền tảng mạng xã hội, thương mại điện tử, và các dịch vụ mạng khác trên toàn thế giới hiện nay. Với số lượng người dùng khổng lồ, đảm bảo an ninh an toàn, bảo mật dữ liệu trên không gian mạng sẽ là một thách thức lớn trong thời đại 4.0.

Theo đó, nếu các quy định hạn chế, giám sát không thể đạt được hiệu quả bảo vệ người dùng trên không gian mạng, nhiều chính phủ có thể cân nhắc đến lệnh cấm hoàn toàn với những ứng dụng nhất định được đánh giá là có nguy cơ “rò rỉ” thông tin cao. Ví dụ điển hình là TikTok, một số nghị sĩ tại Hoa Kỳ đang vận động, thúc đẩy dự luật cấm ứng dụng chia sẻ video ngắn này trên cả nước..