“Quyền được lãng quên” cũng được công nhận: Các công cụ tìm kiếm buộc phải gỡ bỏ các kết quả tìm kiếm có thông tin cá nhân của một người khi họ yêu cầu. Người sử dụng cũng có quyền thu hồi thông tin mà họ đã cung cấp cho các mạng xã hội, các nhà cung cấp dịch vụ trên mạng … hoặc lấy lại thông tin để cung cấp cho một nhà mạng khác.
Vừa phục vụ, vừa giám sát
Trong thế kỷ 21, dịch vụ trên mạng phát triển mạnh, mạng xã hội nở rộ, khiến cuộc sống con người thay đổi nhanh chóng. Khi mải mê tận hưởng lợi ích mà internet và các trang mạng xã hội mang lại, các cư dân mạng hoặc do không biết, hoặc do sơ xuất không để ý, hoặc tự nguyện đồng ý, đã cung cấp cho các nhà cung cấp dịch vụ trên mạng một “kho báu vô giá”: Khối lượng khổng lồ dữ liệu cá nhân.
Trong vài tháng gần đây, dư luận thế giới xôn xao về vụ công ty Cambridge Analytica bị buộc tội đã khai thác trái phép dữ liệu cá nhân của gần 90 triệu người dùng Facebook để tác động đến các cuộc bầu cử ở Mỹ và Anh theo hướng có lợi cho phe bảo thủ.
Công ty Cambridge Analytica và mạng xã hội Facebook bị nhiều cơ quan điều tra của Anh, Mỹ và Liên hiệp châu Âu nhắm tới. Tổng giám đốc tập đoàn Facebook buộc phải ra điều trần trước Quốc hội Mỹ và Nghị viện châu Âu. Còn công ty Cambridge Analytica đã tuyên bố phá sản vào ngày 02/05/2018.
Nhưng vụ việc trên đây chỉ là một “phần nổi của tảng băng chìm”. Theo đánh giá của ông Art Landro, tổng giám đốc của Sencha, một công ty phát triển các ứng dụng trên máy tính và điện thoại thông minh, lượng dữ liệu mà các nhà cung cấp dịch vụ trên mạng thu thập được chỉ riêng trong năm 2017 nhiều hơn tổng số dữ liệu thu thập được trong suốt 5.000 năm qua. 90% lượng dữ liệu hiện có trên thế giới được thu thập trong hai năm gần đây.
Nhiều chuyên gia đánh giá dữ liệu cá nhân của 3,8 tỉ cư dân mạng toàn cầu là “kho báu được mong chờ nhiều nhất trong thế kỷ 21”, nhất là đối với nhóm GAFAM - các “gã khổng lồ” trong lĩnh vực tin học: Google, Amazon, Facebook, Apple và Microsoft.
Cuối tháng 1/2018, công ty tư vấn GenerationLibre công bố báo cáo có tên gọi “Dữ liệu liên quan đến tôi là thuộc về tôi. Vì một gia sản liên quan đến các dữ liệu cá nhân”. Theo đó dữ liệu cá nhân của người dùng có giá trị cao hơn dịch vụ mà một nhà mạng cung cấp.
Lượng dữ liệu cá nhân khổng lồ đã tạo ra một thị trường có giá tới 200 tỉ đô la vào năm 2015. Con số này phần nào cho chúng ta thấy thông tin cá nhân của các cư dân mạng có giá tới nhường nào. Được hưởng lợi nhiều nhất là các “data broker” - các công ty (chủ yếu là của Mỹ) chuyên mua, thu thập, phân tích và bán lại dữ liệu cá nhân của các cư dân mạng cho bên thứ ba.
Nhưng họ thu thập những thông tin gì về người sử dụng internet? Câu trả lời rất ngắn gọn: Tất cả. Danh tính (tên, tuổi, địa chỉ, số thẻ bảo hiểm y tế, địa chỉ email …); sức khỏe (có hút thuốc lá không, có bị bệnh gì không, dùng những loại thuốc nào …); đời sống riêng tư (tôn giáo, sắc tộc, khuynh hướng tính dục …); mạng lưới xã hội (danh tính các thành viên trong gia đình, bạn bè, người quen, các thể loại ảnh hay chia sẻ hay tìm kiếm trên internet …); các sự kiện trong cuộc sống (thời điểm kết hôn, sinh con, ly dị, nghỉ hưu …); khả năng tài chính, thói quen mua sắm, sở thích về xe hơi, âm nhạc, du lịch…
Các dữ liệu đủ loại thu thập được trên internet tạo nên một loại “thẻ căn cước kỹ thuật số” về mỗi cư dân mạng. Đúng như một chuyên gia tin học nhận định: “Công nghệ phục vụ chúng ta và công nghệ giám sát chúng ta chỉ cách nhau có một bước chân”.
Quy chế châu Âu về bảo vệ dữ liệu cá nhân
Để bảo vệ cư dân mạng châu Âu trước hiểm họa dữ liệu cá nhân bị các doanh nghiệp cung cấp dịch vụ trên mạng lạm dụng, sau bốn năm thương lượng với các nước thành viên Liên hiệp châu Âu, vào ngày 8/4/2016, Hội đồng châu Âu đã thông qua RGPD - quy chế bảo vệ dữ liệu cá nhân. Quy chế chính thức có hiệu lực vào ngày 25/5/2018.
Theo quy chế này, các nhà cung cấp dịch vụ trên mạng chỉ được phép thu thập dữ liệu cá nhân của cư dân mạng châu Âu nếu được nhận được câu trả lời đồng ý rõ ràng của họ. Những người dùng internet cũng sẽ phải được thông báo một cách rõ ràng, dễ hiểu về việc các công ty tin học dự định làm gì với các thông tin cá nhân của khách hàng.
Trước ngày quy chế có hiệu lực, Facebook đã chặn 200 ứng dụng nghi ngờ xâm nhập dữ liệu người dùng |
“Quyền được lãng quên” cũng được công nhận: Các công cụ tìm kiếm buộc phải gỡ bỏ các kết quả tìm kiếm có thông tin cá nhân của một người khi họ yêu cầu. Người sử dụng cũng có quyền thu hồi thông tin mà họ đã cung cấp cho các mạng xã hội, các nhà cung cấp dịch vụ trên mạng … hoặc lấy lại thông tin để cung cấp cho một nhà mạng khác.
Một chuyên gia đánh giá: “Điều quan trọng bây giờ là tất cả mọi người ý thức được rằng dữ liệu cá nhân của họ bị xâm phạm, rằng các trang web phải có trách nhiệm công khai rõ ràng chi tiết mọi chuyện: Thu thập thông tin người dùng bằng cách nào, các thông tin đó được khai thác như thế nào.
Nhưng điều tồi tệ nhất là các dữ liệu, kể cả các thông tin nhạy cảm của vài chục triệu người dùng đã bị thu thập vào một cơ sở dữ liệu và bị sử dụng, một số người nói là để thao túng họ, một số khác nói là để gây ảnh hưởng, tác động tới họ. Nhưng điều tôi muốn chắc chắn là tất cả phải ý thức được là mọi thông tin trên mạng đều bị rò rỉ và đều có liên quan đến họ.
Chính vì thế, RGPD - quy chế của châu Âu nhằm tăng cường, củng cố bảo vệ dữ liệu cá nhân - có hiệu lực từ tháng Năm, rất quan trọng. Luật này sẽ cho phép người dân có thể nắm được thông tin cá nhân liên quan tới họ đang được lưu trữ ở đâu, người ta sẽ làm gì với các thông tin đó và chúng được lan truyền như thế nào.
Luật RGPD cũng quy định một nghĩa vụ: Khi thông tin bị rò rỉ, khi dữ liệu bị sử dụng sai mục đích một cách có chủ ý, các trang mạng phải có nghĩa vụ thông báo cho người sử dụng”.
Trong phiên thảo luận tại Thượng viện về việc áp dụng quy định RGPD của châu Âu tại Pháp, thượng nghị sĩ Sophie Joissain, đã dẫn vụ việc liên quan tới vụ bê bối Facebook và Cambridge Analytica để nhấn mạnh vai trò trong tương lai của quy chế châu Âu về bảo vệ dữ liệu cá nhân.
Bà Sophie Joissain giải thích là không phải là Facebook không biết việc dữ liệu cá nhân của vài chục triệu người dùng đã bị sử dụng sai mục đích. Họ biết nhưng “lờ đi” suốt ba năm.
Quy chế châu Âu về bảo vệ dữ liệu cá nhân sẽ ngăn ngừa việc tương tự tái diễn: “Trong suốt 3 năm qua, Facebook đã biết có điểm yếu kém này, nhưng họ không thông báo cho bất cứ ai. Trong vụ này, dữ liệu cá nhân đã bị Cambridge Analytica, công ty của Anh sử dụng trong kỳ vận động tranh cử cho ông Donald Trump. Điều đó có nghĩa là người ta đã tìm cách tác động tới ý kiến của vài chục triệu người sử dụng Facebook mà những người này không hề hay biết.
Điều khiến tôi ngạc nhiên hệ thống quy mô lẽ ra phải được bảo mật vững chắc và được hàng tỉ người dùng tin tưởng này lại có một một điểm yếu lớn như vậy. Nhưng điều khiến tôi ngạc nhiên hơn nữa là điểm yếu kém đó bị phát hiện nhưng vẫn không được khắc phục trong suốt ba năm qua.
Trong quy định của châu Âu nhằm tăng cường, củng cố bảo vệ dữ liệu cá nhân được áp dụng từ tháng 5/2018, các trang mạng bắt buộc phải có biện pháp khắc phục muộn nhất là 72 giờ sau khi phát hiện ra thông tin bị đánh cắp. Các quy định hiện nay chưa cho phép chúng ta chưa làm được như vậy.
Các khoản tiền phạt cũng rất cao. Tại Pháp, cơ quan kiểm tra giám sát CNIL sẽ có quyền yêu cầu khoản tiền phạt lên tới 100.000 euro/ngày. Ngoài ra, còn có một số biện pháp điều chỉnh khác như tạm đình chỉ hoạt động, nhưng trên hết vẫn là các khoản tiền phạt mang tính can ngăn. Doanh nghiệp mắc lỗi phải nộp 2% doanh thu toàn thế giới hoặc 10 triệu euro.
Số tiền phạt có thể tăng gấp đôi trong một số trường hợp. Và tôi nghĩ rằng trong trường hợp này, số tiền nộp phạt mà Facebook phải trả có thể sẽ tăng gấp đôi, tức là 4% doanh thu của công ty trên toàn thế giới. Tôi nghĩ đây là một quyết định mang tính ngăn ngừa”.
Chưa biết RGPD sẽ phát huy hiệu quả đến đâu để bảo vệ người dùng internet tại châu Âu, nhưng từ vài tuần nay, các cư dân mạng châu Âu thường xuyên nhận được thông báo cập nhật lại các điều khoản về điều kiện sử dụng các trang web và mạng xã hội.
Vào ngày 17/5/2018, gần chục ngày trước khi quy chế mới của châu Âu được chính thức áp dụng vào ngày 25/5/2018, mạng xã hội lớn nhất thế giới thông báo là sau khi phân tích hàng chục ngàn ứng dụng, Facebook tạm thời chặn 200 ứng dụng mà họ nghi ngờ là đã lợi dụng mạng này để xâm nhập dữ liệu của các “tín đồ Facebook” trong khi tiếp tục điều tra.
Hy vọng quy định về những khoản tiền nộp phạt khổng lồ của Liên hiệp châu Âu sẽ phát huy tác dụng và làm “chùn chân” những công ty muốn lợi dụng, khai thác trái phép “mỏ vàng dữ liệu cá nhân” của công dân để làm giàu.