NÂNG CAO NHẬN THỨC CỦA CỘNG ĐỒNG

Sự gia tăng của phương tiện truyền thông xã hội và việc sử dụng rộng rãi các thiết bị di động đã giúp các công ty thu thập và sử dụng dữ liệu cá nhân trở nên dễ dàng hơn, dẫn đến những lo ngại về cách sử dụng dữ liệu và quyền truy cập dữ liệu. Vụ bê bối Cambridge Analytica vào năm 2014 cho thấy, dữ liệu cá nhân của hàng triệu tài khoản Facebook bị thu thập trái phép, đã gióng lên hồi chuông cảnh tỉnh cho nhiều người về những nguy cơ tiềm ẩn của việc chia sẻ thông tin cá nhân trực tuyến.

Thêm vào đó, việc ứng dụng ngày càng rộng rãi trí tuệ nhân tạo (AI) và học máy đã đặt ra câu hỏi về cách thức sử dụng dữ liệu cá nhân để đào tạo các hệ thống này. Do vậy, GDPR ra đời nhằm cung cấp cho các cá nhân nhiều quyền kiểm soát hơn đối với dữ liệu của họ và quy định rằng các tổ chức phải chịu trách nhiệm về cách họ thu thập, sử dụng và lưu trữ dữ liệu.

Các chuyên gia đánh giá rằng, GDPR được ban hành là một phản ứng của EU về quyền riêng tư và bảo mật dữ liệu trong thời đại kỹ thuật số, nhằm mục đích giải quyết những mối nguy hại trên môi trường mạng, bằng cách trao cho các cá nhân quyền kiểm soát dữ liệu cá nhân và quy trách nhiệm cho các tổ chức có liên quan trong xử lý dữ liệu.

HÌNH PHẠT ĐƯỢC ĐƯA RA

Trong ba năm đầu GDPR có hiệu lực, các cơ quan quản lý đã thực hiện cách tiếp cận tương đối nhẹ nhàng để thực thi các quy định. Kể từ tháng 7/2018, khi khoản tiền phạt theo GDPR đầu tiên được ban hành, cho đến tháng 6/2021, đã có tổng cộng 713 khoản tiền phạt được áp dụng, với giá trị tích lũy khoảng 359,7 triệu USD. Hình 1 thống kê số liệu tiền phạt đến tháng 5/2023.

Hình 1: Tiền phạt tích luỹ do vi phạm GDPR (Nguồn: enforcementtracker.com)

Tuy nhiên, khoản tiền phạt 877 triệu USD được ban hành đối với Amazon vào tháng 7/2021 vì vi phạm xử lý dữ liệu đã gây ra một làn sóng các hình phạt mang tính răn đe đối với các công ty công nghệ lớn. Điển hình trong đó, một phân tích của công ty luật DLA Piper cho thấy rằng, hơn 1,1 tỷ USD tiền phạt đã được ghi nhận vào năm 2021, đây là mức tăng quá khủng khiếp (hơn 594% so với cùng kỳ năm 2020).

Gần đây nhất, vào tháng 5/2023, khoản tiền kỷ lục mới 1,3 tỷ USD đã được đưa ra dành cho chủ sở hữu của Facebook là Meta vì chuyển dữ liệu cá nhân giữa EU và Mỹ một cách bất hợp pháp.

TÁC ĐỘNG CỦA CÔNG NGHỆ

Theo Công ty cung cấp các nền tảng pháp lý Termsfeed của Mỹ đánh giá, GDPR nhằm mục đích cải thiện các tiêu chuẩn bảo vệ dữ liệu trên toàn EU, bằng cách trao cho cá nhân các quyền đối với dữ liệu cá nhân của họ và cung cấp một hệ thống các biện pháp khắc phục khi có sự cố xảy ra. Nhưng điều quan trọng nhất được kỳ vọng là GDPR quy định cách đảm bảo rằng dữ liệu cá nhân được xử lý an toàn ngay từ đầu. Termsfeed cũng đưa ra quy trình Đánh giá tác động bảo vệ dữ liệu (Data Protection Impact Assessment - DPIA) giúp các tổ chức đảm bảo rằng khi xử lý dữ liệu phải tuân thủ GDPR. DPIA là một quy trình được thiết kế để đảm bảo rằng quá trình xử lý dữ liệu có rủi ro đặc biệt cao được thực hiện một cách an toàn.

Các chuyên gia cho rằng, các điều khoản GDPR phải được xem xét và đánh giá liên tục để cập nhật với các công nghệ mới, điển hình như công nghệ AI tiên tiến, nhận dạng khuôn mặt, thực tế ảo,… Với sự phát triển gần đây của AI, điển hình là ChatGPT, đặt ra những thách thức mới về quyền riêng tư dữ liệu, bao gồm cả các vấn đề xung quanh cách dữ liệu được thu thập để huấn luyện cho mô hình này.

Việc đảm bảo các quy tắc bảo vệ dữ liệu, đồng thời không trở thành rào cản đối với sự đổi mới sẽ là yếu tố quan trọng trong những năm tới đối với GDPR. Vấn đề khó khăn là đạt được sự hài hòa và cân bằng giữa quyền riêng tư và đổi mới.

DUY TRÌ CÁC BÁO CÁO

GDPR yêu cầu các tổ chức phải thường xuyên đánh giá và kiểm tra tính hiệu quả của các quy trình, không chỉ có diễn tập các kế hoạch ứng phó sự cố mà còn phải kiểm tra các bản sao lưu của tổ chức. Hầu hết các tổ chức hiện nay chấp nhận rằng môi trường hỗn hợp phức tạp là một thực tế mà họ cần học cách đối phó. Quản lý và sao lưu hiệu quả tất cả dữ liệu này là nhiệm vụ hết sức nặng nề đối với các tổ chức thiếu công cụ thích hợp.

GDPR đã làm tăng đáng kể chi phí dự trữ đối với các tổ chức xử lý dữ liệu. Trước hết, điều này liên quan đến các khoản tiền phạt do cơ quan quản lý đưa ra vì không bảo vệ đúng cách dữ liệu của khách hàng. Ngoài ra, nhận thức ngày càng tăng của người tiêu dùng về mức độ nghiêm trọng của vi phạm dữ liệu sau khi GDPR được ban hành sẽ khiến cho các tổ chức phải chịu các khoản bồi thường lớn do vi phạm dữ liệu. Ví dụ điển hình là vào năm 2018, hãng hàng không BA đã bị Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) phạt 20 triệu Bảng sau một vụ vi phạm dữ liệu quy mô lớn đối với dữ liệu khách hàng.

Hình 2: Top 10 tổ chức bị phạt tiền nhiều nhất bởi vi phạm GDPR

(Nguồn: enforcementtracker.com)

Những hậu quả nghiêm trọng trên thúc đẩy các tổ chức cải thiện tình hình bảo mật dữ liệu, tuy nhiên, các chuyên gia cũng lên tiếng cảnh báo về tình trạng các tổ chức che đậy sự cố. Một dẫn chứng đã được đưa ra là cựu Giám đốc An ninh của Uber đã bị buộc tội che dấu vi phạm dữ liệu liên quan đến hàng triệu hồ sơ người dùng.

TÁC ĐỘNG CỦA GDPR TỚI VƯƠNG QUỐC ANH VÀ CÁC KHU VỰC KHÁC

Sau khi Vương quốc Anh rời khỏi EU, chính phủ đã soạn thảo Dự luật Bảo vệ Dữ liệu và Thông tin Kỹ thuật số (DPDI). DPDI khác so với GDPR, cập nhật các quy tắc bảo vệ dữ liệu quản lý quốc gia, bao gồm việc chuyển sang mô hình tuân thủ “dựa trên rủi ro”, các quy tắc liên quan đến thành tựu nghiên cứu khoa học và AI.

Một số người tin rằng, DPDI sẽ có tác động tích cực, bằng cách giảm chi phí và gánh nặng cho các tổ chức, đồng thời giúp mở khóa sự đổi mới mà không vi phạm quyền riêng tư dữ liệu cá nhân. Tuy nhiên cũng có những quan điểm khác, DPDI sẽ tạo thêm nhiều gánh nặng, đặc biệt là những tổ chức hoạt động ở cả Vương quốc Anh và EU vì sẽ phải tuân thủ hai chế độ quy định.

Theo nhiều chuyên gia đánh giá, bất kỳ sự gia tăng nào về tuân thủ và nghĩa vụ pháp lý đều làm tăng chi phí cho các doanh nghiệp kỹ thuật số. Có một sự cân bằng tốt giữa việc bảo vệ dữ liệu và kìm hãm sự đổi mới, nhưng cuối cùng thì yếu tố quan trọng nhất phải là tạo dựng niềm tin vào nền kinh tế kỹ thuật số và các mối quan hệ của cộng đồng.

GDPR đã có tác động đáng kể đến các quy định bảo vệ dữ liệu trên toàn thế giới. GDPR không chỉ thiết lập tiêu chuẩn về quyền riêng tư dữ liệu được công nhận trên toàn cầu mà còn tạo ra nhiều quy định tương tự ở các khu vực pháp lý khác. Các quy định đó hướng đến sự tương đồng với GDPR hoặc được tinh chỉnh theo GDPR. CCPA ở California, POPI ở Nam Phi, LGPD ở Brazil và các quy định ở các quốc gia khác hoặc các tiểu bang của Mỹ với nhiều quy định đa đạng, song tất cả đều hướng trách nhiệm tới GDPR.

KẾT LUẬN

Một cuộc khảo sát gần đây của Công ty công nghệ Macro 4 đối với 100 nhà lãnh đạo công nghệ thông tin đã nêu ra một số ý kiến đánh giá khá thú vị về GDPR. Trong đó, 86% số người được hỏi đều tin rằng GDPR sẽ cần được cập nhật để bắt kịp với các công nghệ mới hoặc có nguy cơ trở nên không còn phù hợp; 72% số người cho biết việc chuyển sang làm việc kết hợp đã buộc họ phải đầu tư nhiều nguồn lực hơn để đảm bảo tuân thủ GDPR; trong khi 18% không biết hoặc không đồng ý rằng cách tổ chức của họ lưu trữ, xử lý và sử dụng thông tin cá nhân hoàn toàn tuân thủ GDPR; gần một nửa (44%) đồng ý rằng quy định rườm rà đã cản trở quá trình chuyển đổi kỹ thuật số; trong khi 62% cho rằng việc xử lý các yêu cầu truy cập dữ liệu và các truy vấn GDPR khác chiếm nhiều thời gian và tài nguyên.

Các chuyên gia học thuật tham gia xây dựng GDPR đã hy vọng đưa dữ liệu cá nhân vào một chế độ quản lý phức tạp và có tính bảo vệ. Tuy nhiên, những phát hiện từ khảo sát thực tế cho thấy, kỳ vọng GDPR giúp các tổ chức xây dựng niềm tin với khách hàng bằng cách chứng minh tính minh bạch cho đến nay vẫn chưa thành hiện thực.