Meta bị phạt kỷ lục 1,3 tỷ USD về quyền riêng tư dữ liệu và câu chuyện phía sau

Ủy ban bảo vệ dữ liệu châu Âu (European Data Protection Board) đã công bố khoản tiền phạt trong một tuyên bố ngày 22/5, cho biết cơ quan này tuân theo một cuộc điều tra về Facebook của Ủy ban vảo vệ sữ liệu Ireland, cơ quan quản lý chính giám sát các hoạt động của Meta ở châu Âu.

Động thái này cho thấy sự không chắc chắn đang diễn ra về cách các doanh nghiệp (DN) toàn cầu có thể chuyển hợp pháp dữ liệu của người dùng EU sang máy chủ ở nước ngoài.

Cơ quan quản lý của EU cho biết việc xử lý và lưu trữ dữ liệu cá nhân ở Mỹ trái với luật bảo mật dữ liệu chữ ký của châu Âu, được gọi là Quy định bảo vệ dữ liệu chung (GDPR). Chương 5 của GDPR đặt ra các điều kiện theo đó dữ liệu cá nhân có thể được chuyển giao cho các nước thứ ba hoặc các tổ chức quốc tế.

Đây là khoản tiền phạt lớn nhất từng được áp dụng theo GDPR. Kỷ lục trước đó là 746 triệu euro (805,7 triệu USD) đã được dành cho Amazon vào năm 2021.

Meta cũng đã được yêu cầu ngừng xử lý dữ liệu cá nhân của người dùng châu Âu tại Mỹ trong vòng 6 tháng.

Andrea Jelinek, Chủ tịch của Ủy ban bảo vệ dữ liệu châu Âu cho biết, vi phạm của Meta là “rất nghiêm trọng vì nó liên quan đến việc chuyển giao có hệ thống, lặp đi lặp lại và liên tục”.

“Facebook có hàng triệu người dùng ở châu Âu nên khối lượng dữ liệu cá nhân được truyền đi rất lớn. Khoản tiền phạt chưa từng có là một tín hiệu mạnh mẽ cho các tổ chức rằng các hành vi vi phạm nghiêm trọng sẽ gây ra những hậu quả sâu rộng”, bà nói thêm.

Mặc dù, Meta hiện đã được lệnh dừng các hoạt động truyền dữ liệu này, nhưng có một số cảnh báo có lợi cho gã khổng lồ truyền thông xã hội Mỹ. Đầu tiên, phán quyết chỉ áp dụng cho dữ liệu từ Facebook, không áp dụng cho các công ty Meta khác như Instagram và WhatsApp. Thứ hai, có thời gian gia hạn 5 tháng trước khi Meta phải ngừng truyền dữ liệu trong tương lai và thời hạn 6 tháng để ngừng lưu giữ dữ liệu hiện tại ở Mỹ. Thứ ba, và quan trọng nhất, EU và Mỹ hiện đang đàm phán một thỏa thuận mới để chuyển dữ liệu có thể được thực hiện sớm nhất là vào mùa hè này và muộn nhất là vào tháng 10.

Bất chấp quy mô tiền phạt kỷ lục, các chuyên gia bày tỏ nghi ngờ rằng việc xử phạt lần sẽ thay đổi bất kỳ điều gì cơ bản về thực tiễn bảo mật của Meta. Johnny Ryan, một thành viên cấp cao tại Hội đồng tự do dân sự Ireland, nói với tờ The Guardian vào cuối tuần này: “Phạt đậu xe trị giá hàng tỷ euro không ảnh hưởng gì đến một công ty kiếm được nhiều tỷ USD hơn bằng cách đậu xe trái phép”.

Những người khác lại bày tỏ: “Chúng tôi rất vui khi thấy quyết định này sau 10 năm kiện tụng,” Max Schrems, người đưa ra thách thức pháp lý năm 2013 là nguồn gốc của phán quyết ngày nay, cho biết trong một thông cáo báo chí. Mức phạt có thể cao hơn nhiều, vì mức phạt tối đa là hơn 4 tỷ và Meta đã cố tình vi phạm luật để kiếm lợi nhuận trong 10 năm”.

Schrems dự đoán những khó khăn của Meta đến đây vẫn chưa kết thúc và cho rằng bất kỳ kháng cáo pháp lý nào đối với quyết định ngày 22/5 của công ty sẽ không thành công và giao thức truyền dữ liệu EU - Mỹ sắp tới vẫn không đáp ứng các quy định về quyền riêng tư của EU tại tòa án. Schrems cho biết: “Meta có kế hoạch dựa vào thỏa thuận mới để truyền dữ liệu trong tương lai, nhưng đây có thể không phải là giải pháp khắc phục lâu dài. Trừ khi luật giám sát của Mỹ được sửa chữa, nếu không Meta có thể sẽ phải giữ dữ liệu của EU ở EU”.

Bản thân Meta đã mô tả khoản tiền phạt là “không chính đáng và không cần thiết” trong một bài đăng trên blog được viết bởi chủ tịch phụ trách các vấn đề toàn cầu của Meta, Nick Clegg, và giám đốc pháp lý của công ty, Jennifer Newstead. Công ty nhấn mạnh rằng đây chỉ là một trong số "hàng nghìn" công ty sử dụng các khung pháp lý tương tự để truyền dữ liệu.

Facebook vẫn khả dụng ở châu Âu

Meta, công ty cũng sở hữu WhatsApp và Instagram, cho biết họ sẽ kháng cáo phán quyết, bao gồm cả tiền phạt. Meta cho biết thêm sẽ không có sự gián đoạn ngay lập tức đối với Facebook ở châu Âu.

Công ty cho biết gốc rễ của vấn đề bắt nguồn từ "xung đột pháp luật" giữa các quy định của Mỹ về các quyền truy cập dữ liệu và quyền riêng tư của người dùng châu Âu. Các nhà hoạch định chính sách của Liên minh châu Âu và Mỹ đang trên một “con đường rõ ràng” để giải quyết xung đột này theo Khung bảo mật dữ liệu xuyên Đại Tây Dương mới (Data Privacy Framework).

Khuôn khổ mới tìm cách chấm dứt tình trạng lấp lửng mà các công ty phải đối mặt kể từ năm 2020, khi tòa án hàng đầu của châu Âu bác bỏ khung pháp lý xuyên Đại Tây Dương được thiết kế để giải quyết những lo ngại của EU về khả năng chính phủ Mỹ giám sát công dân châu Âu, được gọi là Lá chắn Bảo mật (Privacy Shield).

Mỹ và EU đã đàm phán về một thỏa thuận kế tiếp kể từ năm ngoái. Theo các chuyên gia pháp lý, việc tiếp tục thiếu giải pháp thay thế Privacy Shield đe dọa hàng nghìn DN phụ thuộc vào khả năng di chuyển dữ liệu người dùng của EU sang các khu vực pháp lý khác.

Nick Clegg, chủ tịch phụ trách các vấn đề toàn cầu của Meta và Jennifer Newstead, giám đốc pháp lý của công ty, cho biết trong một tuyên bố: Ủy ban Bảo vệ Dữ liệu châu Âu “đã chọn bỏ qua tiến trình rõ ràng mà các nhà hoạch định chính sách đang thực hiện để giải quyết vấn đề cơ bản này”.

Cả hai cũng nói thêm: “Quyết định này là sai lầm, không chính đáng và tạo tiền lệ nguy hiểm cho vô số công ty khác đang chuyển dữ liệu giữa EU và Mỹ”.

“Khả năng truyền dữ liệu xuyên biên giới là nền tảng cho cách thức hoạt động của Internet mở toàn cầu. Hàng nghìn DN và tổ chức khác dựa vào khả năng truyền dữ liệu giữa EU và Mỹ để vận hành và cung cấp các dịch vụ mà mọi người sử dụng hàng ngày”.

Ireland và Big Tech

Trước phán quyết vào ngày 22/5, Ủy ban bảo vệ dữ liệu của Ireland đã phạt Meta gần 1 tỷ USD vì cáo buộc vi phạm GDPR hồi mùa thu năm 2021. Nhưng trong trường hợp này, họ không ủng hộ việc phạt Meta, vì đánh giá rằng hành động đó vượt quá những gì có thể được coi là “tương xứng” để giải quyết vi phạm.

Trong tuyên bố riêng của mình ngày 22/5, cơ quan quản lý này cho biết họ có nghĩa vụ đưa ra phán quyết cuối cùng dựa trên quyết định của Ủy ban bảo vệ dữ liệu châu Âu.

Ireland có một con đường hẹp giữa việc giữ lại các công ty công nghệ hàng đầu của Mỹ và phù hợp với cách tiếp cận khó khăn của EU đối với quy định công nghệ.

Dublin là nơi đặt trụ sở châu Âu của Apple, Meta, Twitter và Google, đã tạo ra hàng nghìn việc làm trong nước và thúc đẩy tăng trưởng kinh tế.

Thuế suất DN thấp 12,5% của Ireland là một yếu tố chính thu hút các công ty này. Nước này là một trong những nước cuối cùng trong Tổ chức Hợp tác và Phát triển Kinh tế (OECD) tham gia một thỏa thuận toàn cầu vào năm 2021 để đánh thuế các công ty đa quốc gia ở mức tối thiểu 15%.

Một năm trước đó, Apple đã thắng trong đơn kháng cáo phán quyết của Ủy ban châu Âu rằng công ty nợ Ireland 13 tỷ euro (14,9 tỷ USD), phán quyết rằng EU đã không chứng minh được rằng công ty đã nhận được viện trợ bất hợp pháp của nhà nước dưới hình thức các thỏa thuận thuế lợi tức với Dublin. Chính phủ Ireland đã đứng về phía Apple trong vụ tranh chấp đó./.