Gửi bình luận
Hủy
Gửi
Thu thập dữ liệu thông qua việc giám sát phần mềm từ xa phá vỡ pháp luật, chính phủ Hà Lan cho biết. Microsoft đã phá vỡ các quy tắc về quyền riêng tư của châu Âu bằng cách thực hiện thu thập dữ liệu cá nhân với "quy mô lớn và bí mật" thông qua các ứng dụng Office của mình, theo một báo cáo được Chính phủ Hà Lan ủy quyền thực hiện để xem xét việc các thông tin quản lý bởi 300,000 nhân viên chính phủ được bộ Office ProPlus của Microsoft xử lý như thế nào. Phần mềm này được cài đặt trên PC và kết nối với máy chủ Office 365.
Các tác giả của hồ sơ đã phát hiện ra rằng Windows đã thu thập các thông tin phục vụ cho việc kiểm soát phần mềm từ xa và những nội dung khác từ các ứng dụng Office của mình (gồm tiêu đề email và các câu sử dụng tính năng dịch hoặc kiểm tra chính tả) và bí mật lưu trữ dữ liệu trên các hệ thống tại Hoa Kỳ. Đó là điều không thể chấp nhận.
Những hành động này phá vỡ các biện pháp bảo vệ quyền riêng tư GDPR mới của châu Âu và có thể đưa Microsoft vào tình thế nguy hiểm với với hàng chục triệu đô la tiền phạt. Chính quyền Hà Lan đang làm việc với Microsoft để sửa chữa tình hình, và sử dụng mối đe dọa tiền phạt để thúc ép công ty.
Cuộc điều tra được khởi động bởi thực tế là Microsoft không công khai tiết lộ những loại thông tin nào được thu thập từ người dùng, không cung cấp tùy chọn để tắt tính năng gửi dữ liệu chẩn đoán và kiểm soát từ xa của phần mềm Office như là một cách để Microsoft theo dõi tình trạng hoạt động và xác định bất kỳ vấn đề phần mềm nào.
Các công ty khác thường cung cấp cho người dùng tùy chọn để quyết định việc có gửi dữ liệu về chức năng của phần mềm cho họ hay không.
Phần lớn những gì Microsoft thu thập là thông tin chẩn đoán phần mềm, các nhà nghiên cứu tìm thấy, và nó dường như đã cố gắng làm cho hệ thống tuân thủ GDPR bằng cách lưu trữ các tài liệu Office trên các máy chủ đặt tại EU. Nhưng nó cũng thu thập dữ liệu khác có chứa thông tin cá nhân và một số dữ liệu đó được lưu trữ tại các máy chủ của Hoa Kỳ.
"Microsoft thu thập dữ liệu trên quy mô lớn một cách hệ thống về sử dụng cá nhân của Word, Excel, PowerPoint và Outlook. Bí mật mà không thông báo cho mọi người biết", một bài đăng blog được viết bởi Privacy Company, công ty được chính phủ Hà Lan ủy quyền thực hiện điều tra việc sử dụng Office trong khu vực công.
"Microsoft không cung cấp bất kỳ sự lựa chọn nào liên quan đến lượng dữ liệu thu thập, hoặc khả năng vô hiệu hóa việc thu thập, hoặc khả năng xem những dữ liệu nào được thu thập, vì luồng dữ liệu đã được mã hóa."
Một ví dụ: nếu bạn sử dụng phím “backspace” nhiều lần liên tiếp - cho thấy bạn không chắc về chính tả của một từ cụ thể - hoặc tra cứu hoặc dịch một từ thông qua hệ thống Office, Microsoft sẽ lưu trữ câu trước và sau các “sự kiện” đó.
Tại sao nó lại lưu trữ?
Và mặc dù các nhà nghiên cứu của báo cáo lưu ý rằng không thể tránh khỏi việc người dùng sẽ cung cấp cho Microsoft địa chỉ IP và tiêu đề email của họ như một phần của việc làm cho hệ thống hoạt động, nhưng công ty không cần thiết phải lưu trữ thông tin đó. "Microsoft không nên lưu trữ những dữ liệu tạm thời này, trừ khi việc lưu giữ là cần thiết, ví dụ, vì mục đích bảo mật," họ lập luận.
Hồ sơ phát hiện Microsoft theo dõi khoảng 25.000 loại "sự kiện" khác nhau và có một nhóm gồm 20 đến 30 kỹ sư sẽ phân tích dữ liệu. Những kỹ sư công nghệ đó cũng có thể thêm các sự kiện mới được ghi lại.
Kết quả cuối cùng của tất cả điều này là cơ quan bảo vệ dữ liệu của Hà Lan kết luận rằng Microsoft đã vi phạm GDPR "về nhiều tội" bao gồm "thiếu minh bạch và hạn chế mục đích, và thiếu một nền tảng pháp lý cho việc xử lý."
Và công ty có trụ sở tại Seattle này có thể phải đối mặt với một khoản tiền phạt lớn theo GDPR và do đó, theo các nhà chức trách Hà Lan, họ đã cung cấp cho công ty một "kế hoạch cải tiến" mà theo các cơ quan quản lý là "sẽ chấm dứt mọi vi phạm."
Microsoft đã "cam kết đệ trình những thay đổi này để xác minh vào tháng 4 năm 2019", cơ quan quản lý lưu ý. Công ty cũng cung cấp một phiên bản Office mới và các nhà nghiên cứu khuyến cáo rằng những người quản trị hệ thống sẽ áp dụng các cài đặt mới này, trong đó có việc cấm người dùng sử dụng "Connected Services" của Microsoft, xóa tùy chọn để người dùng gửi dữ liệu "giúp cải thiện" Office.
Các quản trị viên cũng được khuyên không nên sử dụng phiên bản chỉ dành cho web của Office 365 hoặc SharePoint Oneline, định kỳ xóa các tài khoản Active Directory của người dùng VIP và tạo tài khoản mới cho họ để dữ liệu chẩn đoán được liên kết với những tài khoản đó bị xóa.
Và một lời khuyên sẽ khiến ban điều hành của Microsoft giận dữ là các quản trị viên nên xem xét thực hiện thí điểm phần mềm thay thế - một thứ gì đó "phù hợp với chính sách của chính phủ Hà Lan để thúc đẩy các tiêu chuẩn mở và phần mềm mã nguồn mở."
Cơ quan giám sát quyền riêng tư Hà Lan đã cảnh báo rằng họ đang theo dõi tình hình: "Nếu tiến độ được coi là không đủ hoặc nếu các cải tiến được cung cấp không đạt yêu cầu, chính phủ Hà Lan sẽ xem xét lại vị trí của nó và có thể yêu cầu Cơ quan bảo vệ dữ liệu thực hiện tham vấn và áp đặt các biện pháp." Nói cách khác, một khoản tiền phạt khổng lồ.
Vấn đề này ảnh hưởng đến những người có đăng ký ProPlus của Office 2016. Office 365 và phiên bản trực tuyến của Office 365.
Trong một tuyên bố, phát ngôn viên của Microsoft nói: "Chúng tôi cam kết bảo vệ quyền riêng tư của khách hàng, giúp họ kiểm soát dữ liệu của mình và đảm bảo Office ProPlus và các sản phẩm, dịch vụ khác của Microsoft tuân thủ GDPR và các luật hiện hành khác.
"Chúng tôi đánh giá cao cơ hội được thảo luận về thực tiễn xử lý dữ liệu chẩn đoán của chúng tôi trong Office ProPlus với Bộ Tư pháp Hà Lan và mong muốn có giải pháp thành công cho mọi mối quan ngại".
TẠP CHÍ ĐIỆN TỬ THÔNG TIN VÀ TRUYỀN THÔNG