Cơ quan bảo vệ dữ liệu Hà Lan phạt Uber 290 triệu euro vì chuyển dữ liệu tài xế sang Mỹ
(autoriteitpersoonsgegevens.nl)- Cơ quan Bảo vệ Dữ liệu Hà Lan (DPA) cho rằng Uber đã vi phạm nghiêm trọng GDPR vì chuyển dữ liệu cá nhân của tài xế taxi châu Âu sang Mỹ mà không có các biện pháp bảo vệ cần thiết
- Dữ liệu được chuyển bao gồm thông tin tài khoản và giấy phép lái taxi, dữ liệu vị trí, ảnh, thông tin thanh toán, giấy tờ tùy thân, thậm chí cả dữ liệu tội phạm và y tế của một số tài xế
- Uber đã gửi dữ liệu về trụ sở tại Mỹ trong hơn 2 năm và bị kết luận là đã không bảo vệ đầy đủ dữ liệu tài xế EU kể từ tháng 8/2021 do không sử dụng Standard Contractual Clauses
- Cuộc điều tra bắt đầu từ khi hơn 170 tài xế tại Pháp nộp đơn khiếu nại, và do trụ sở châu Âu của Uber đặt tại Hà Lan nên DPA Hà Lan đã phối hợp với DPA Pháp cùng các DPA khác ở châu Âu
- Uber đã chấm dứt hành vi vi phạm liên quan đến việc chuyển dữ liệu và từ cuối năm ngoái đã dùng khuôn khổ kế nhiệm Privacy Shield, nhưng cho biết sẽ kháng nghị mức phạt 290 triệu euro
Phán quyết vi phạm GDPR đối với Uber
- DPA Hà Lan cho rằng Uber đã không bảo đảm mức độ bảo vệ theo yêu cầu của GDPR khi chuyển dữ liệu cá nhân của tài xế taxi châu Âu sang Mỹ
- Dữ liệu bị nêu vấn đề được lưu trên máy chủ tại Mỹ và phạm vi không chỉ dừng ở thông tin tài khoản thông thường
- Thông tin tài khoản và giấy phép lái taxi
- Dữ liệu vị trí, ảnh, thông tin thanh toán, giấy tờ tùy thân
- Dữ liệu tội phạm và dữ liệu y tế của một số tài xế
- Chủ tịch DPA Hà Lan Aleid Wolfsen cho biết việc bảo vệ dữ liệu cá nhân bên ngoài châu Âu không phải là điều hiển nhiên, và các công ty lưu trữ dữ liệu cá nhân của người châu Âu ngoài EU thường phải áp dụng các biện pháp bổ sung
- Uber hiện đã chấm dứt hành vi vi phạm liên quan đến việc chuyển dữ liệu sang Mỹ
Quy tắc chuyển dữ liệu quốc tế và diễn biến điều tra
- Uber đã chuyển dữ liệu tài xế về trụ sở tại Mỹ trong hơn 2 năm mà không sử dụng transfer tools, vì vậy bị kết luận là không bảo vệ đầy đủ dữ liệu cá nhân
- Tòa án Công lý Liên minh châu Âu đã vô hiệu hóa EU-US Privacy Shield vào năm 2020
- Standard Contractual Clauses có thể là cơ sở cho việc chuyển dữ liệu sang các quốc gia ngoài EU
- Tuy nhiên trên thực tế vẫn phải bảo đảm mức độ bảo vệ tương đương
- Uber không còn sử dụng Standard Contractual Clauses từ tháng 8/2021 và từ cuối năm ngoái đã sử dụng khuôn khổ kế nhiệm của Privacy Shield
- Cuộc điều tra bắt đầu sau khi hơn 170 tài xế tại Pháp khiếu nại với tổ chức nhân quyền Pháp Ligue des droits de l’Homme(LDH), rồi LDH nộp đơn lên DPA Pháp
- Theo nguyên tắc one-stop-shop của GDPR, các công ty xử lý dữ liệu tại nhiều quốc gia thành viên EU sẽ làm việc với DPA của quốc gia nơi có cơ sở kinh doanh chính
- Trụ sở châu Âu của Uber đặt tại Hà Lan
- DPA Hà Lan đã hợp tác chặt chẽ với DPA Pháp và điều phối quyết định với các DPA khác ở châu Âu
Quy mô tiền phạt và các án phạt trước đây của Uber
- Tiền phạt doanh nghiệp do các DPA châu Âu áp dụng được tính theo cùng một cách, với mức tối đa là 4% doanh thu toàn cầu hằng năm của doanh nghiệp
- Doanh thu toàn cầu của Uber năm 2023 vào khoảng 34,5 tỷ euro
- Uber cho biết sẽ kháng nghị mức phạt 290 triệu euro lần này
- Đây là khoản phạt thứ ba mà DPA Hà Lan áp lên Uber
- Liên quan đến vụ rò rỉ dữ liệu năm 2018, Uber từng bị phạt 600.000 euro
- Năm 2023, Uber bị phạt 10 triệu euro vì vi phạm quy định về quyền riêng tư, và Uber cũng đã kháng nghị khoản phạt này
1 bình luận
Ý kiến trên Hacker News
Điều thú vị là, ít nhất trong lĩnh vực ngân hàng, dữ liệu Mỹ gần như luôn được quản lý bởi những người ở ngoài Mỹ
Máy chủ có thể đặt tại Mỹ, nhưng người truy cập nhiều khả năng ở châu Âu hoặc Ấn Độ
Trong lúc truy cập, dữ liệu sẽ tạm thời hiện diện ở bên đó, nên Mỹ cũng cần luật mạnh hơn về phần này
Tôi từng thích thời kỳ Internet giống như một mạng lưới máy tính toàn cầu nơi biên giới không quá quan trọng, nên việc đương nhiên chấp nhận tiền đề rằng biên giới cuối cùng vẫn quan trọng trên Internet cũng hơi lạ
Giải thích của 0x62 khá hữu ích: https://news.ycombinator.com/item?id=41357888
Tôi đã không nghĩ tới cấu trúc các nhà cung cấp lồng vào nhau theo kiểu đệ quy
Kể cả khi bạn hoàn toàn vô tội cũng vậy
Theo tôi biết thì GDPR không điều chỉnh dữ liệu đó, nên vượt biên giới cũng không sao
Vấn đề là dữ liệu được GDPR bảo vệ của công dân EU, mà trừ một số ngoại lệ nhất định như thực thi pháp luật thì không được phép vượt qua biên giới ngoài EU
Nếu một nhân viên ở Ấn Độ xem dữ liệu được lưu tại Mỹ, thì rõ ràng dữ liệu đã đến Ấn Độ vào lúc nó hiển thị trên màn hình, nhưng về mặt hình thức có thể không bị coi là chuyển dữ liệu từ Mỹ sang Ấn Độ
Điều quan trọng là bên kiểm soát hoặc bên xử lý dữ liệu thuộc thẩm quyền pháp lý nào, và nếu chuyển dữ liệu sang một bên xử lý thuộc thẩm quyền khác thì đó được coi là chuyển dữ liệu
Trong một bài khác (https://nos.nl/l/2534629, tiếng Hà Lan), Uber nói rằng họ đã trao đổi với Autoriteit Persoonsgegevens về “các luật không rõ ràng”
Theo bản dịch trên iOS, người phát ngôn của Uber giải thích rằng do quy định về quyền riêng tư còn mơ hồ nên họ đã liên hệ trực tiếp với AP, và tại thời điểm đó cơ quan giám sát không nói rằng Uber đang vi phạm quy định
Nhưng nếu một công ty giàu có với đội ngũ pháp lý được tổ chức bài bản vẫn không chắc điều đó có được phép hay không, thì điều đó không tự động biến thành quyền được làm vậy
Mức phạt cũng nên lớn như thế này. Tiền phạt không được trở thành một chi phí kinh doanh đơn thuần, mà việc giữ đúng ranh giới phải là mối quan tâm của tất cả mọi người, từ cổ đông trở xuống
Câu “từ cuối năm ngoái Uber sử dụng cơ chế kế nhiệm Privacy Shield” khiến tôi nghĩ rằng, xét việc các cơ chế kiểu này liên tục sụp đổ, sau này họ có thể lại bị phán là có tội
Ủy ban châu Âu đang làm chưa tốt ở phần này
Và cũng đã bắt đầu việc “chứng nhận” tuân thủ khuôn khổ này: https://www.dataprivacyframework.gov/list
Vì vậy các cơ quan bảo vệ dữ liệu có thể sẽ làm theo cách diễn giải của EC về tính đầy đủ theo GDPR đối với khuôn khổ mới này
Tuy nhiên Schrems đã nói rõ rằng ông sẽ thách thức khuôn khổ này, nên mức độ bất định vẫn rất lớn
Có vẻ lựa chọn “an toàn” duy nhất, không có bất định, là thiết kế mọi hệ thống sao cho dữ liệu không đi qua Mỹ và cũng không rơi vào việc được lưu trữ bởi các công ty con thuộc công ty mẹ đặt tại Mỹ
Việc Uber bị phạt ở Hà Lan hơi buồn cười, vì tại địa phương taxi truyền thống được bảo vệ nên gần như không thấy Uber
Tôi không có số liệu chính xác, nhưng nếu tính tối thiểu khoảng 15 euro trên đầu người dân thì đây là khoản phạt rất lớn, và nếu tính trên mỗi tài xế thì có thể vào khoảng 25.000 euro
Cảm giác như cơ quan quản lý Hà Lan đang nói “sao không rời đi luôn đi?”, và có lẽ Uber cũng cảm thấy tương tự
Khiếu nại được nộp với cơ quan giám sát quyền riêng tư của Pháp đã được chuyển sang phía Hà Lan
Tiền phạt do cơ quan quản lý Hà Lan đưa ra, nhưng cuộc điều tra bắt đầu ở Pháp, và vào tháng 6/2020, 21 tài xế Uber tại Pháp đã tìm đến tổ chức nhân quyền Ligue Des Droits De L'homme Et Du Citoyen
Sau đó có thêm 151 tài xế Uber tham gia khiếu nại, LDH đã đưa vụ việc lên cơ quan quản lý quyền riêng tư của Pháp là CNIL, và CNIL đã chuyển sang cơ quan bảo vệ dữ liệu Hà Lan vào tháng 1/2021 với lý do trụ sở châu Âu của Uber ở Hà Lan
Vì họ thích chế độ thuế ở đây
Theo DPA, quá trình kháng cáo dự kiến kéo dài khoảng 4 năm, nên trên thực tế sẽ là một vụ kháng cáo kéo dài 4 năm
Tất cả các cơ quan bảo vệ dữ liệu ở châu Âu đều tính mức phạt doanh nghiệp theo cùng một cách, và có thể áp tối đa 4% doanh thu thường niên toàn cầu của công ty
Lý do DPA Hà Lan bắt đầu điều tra Uber là vì hơn 170 tài xế người Pháp đã gửi khiếu nại tới tổ chức nhân quyền Pháp LDH, và LDH đã nộp lại cho DPA Pháp
Ban đầu cũng tò mò không biết các tài xế đã nghi ngờ dựa trên cơ sở nào
Cá nhân tôi từng có liên quan đến một tổ chức của Mỹ từ rất lâu trước đây, rồi sau đó hoàn toàn quên mất
Gần 15 năm sau, tôi bắt đầu nhận email spam từ địa chỉ trụ sở ở Washington, và dù đã yêu cầu dừng lại thì họ vẫn không ngừng
Khi tôi yêu cầu biện pháp pháp lý theo GDPR và xóa dữ liệu, họ trả lời rằng đã tuân thủ, nhưng 1 năm sau tôi lại nhận spam từ cùng địa chỉ đó
Vì thế tôi biết rằng họ đã không xóa thông tin của tôi và đang lưu trữ tại Mỹ
Tôi thắc mắc vụ việc này liên hệ thế nào với EU–US Data Privacy Framework
Tôi hiểu rằng framework này là vật thay thế cho EU–US Privacy Shield để cho phép các đợt chuyển dữ liệu như vậy, nên có vẻ như trước năm 2020, khi Privacy Shield còn hiệu lực, đây sẽ không phải là vấn đề
Hay là tôi đã hiểu sai?
Privacy Shield đã bị vô hiệu vào năm 2020, và phương thức chuyển dữ liệu hợp lệ duy nhất còn lại là các điều khoản hợp đồng tiêu chuẩn
Uber đã ngừng sử dụng các điều khoản hợp đồng tiêu chuẩn vào tháng 8 năm 2021, trước khi framework quyền riêng tư mới được đưa vào năm 2023, và trong 2 năm đã chuyển dữ liệu rất nhạy cảm mà không có phương thức hợp lệ nào
[1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
Về cơ bản, Framework này cũng giống Shield trước đây, là một nỗ lực của Ủy ban châu Âu nhằm nói rằng “nhìn này, chúng tôi đã sửa xong”
Đáng tiếc là trong cả hai lần trước, ECJ sau đó đều cho rằng sự thiếu hụt trong luật bảo vệ quyền riêng tư dữ liệu của Mỹ không thể được khắc phục bằng bất kỳ framework nào, và rằng Shield, cũng như tiền thân của nó, trên thực tế không cho phép các quyền hạn mà nó tuyên bố
Framework lần này vẫn chưa được ECJ kiểm chứng, nhưng vì luật của Mỹ cũng không thay đổi nhiều nên kết quả có vẻ khá rõ ràng
Chúng ta đã may mắn được sống trong một khoảng thời gian ngắn khi Internet thực sự là một mạng lưới toàn cầu
Một người ở Hà Lan hay Nigeria[1] có thể sử dụng những dịch vụ công nghệ tốt nhất thế giới, và mọi người có thể tương tác với nhau qua biên giới một cách tương đối tự do
Nhưng giờ điều đó đang chấm dứt. Khi mọi lãnh địa đều muốn có phần và tiếng nói của riêng mình, Internet ngày càng khó duy trì như một mạng lưới toàn cầu
Vui thật đấy, trong lúc nó còn tồn tại
[1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...
Nếu một công ty hành xử đàng hoàng thì chẳng có gì phải sợ và vẫn có thể dễ dàng kinh doanh trên toàn thế giới
Vấn đề chỉ phát sinh khi họ làm những chuyện mờ ám vốn lẽ ra ngay từ đầu đã phải là bất hợp pháp
Điểm cốt lõi là luật Mỹ lỏng lẻo nhất nên cho phép xâm phạm quyền riêng tư của công dân ở mức rất lớn, vì vậy giờ các công ty cảm thấy mình đang bị hạn chế một cách không cần thiết
Nếu luật Mỹ nghiêm khắc hơn thì đây đã chẳng thành vấn đề và chẳng ai phải nói tới chuyện này
Chỉ tập trung vào tự do làm bất cứ điều gì công ty muốn là một cách nhìn rất thiển cận và mang nặng tính Mỹ trung tâm. Còn tự do của người dùng được sống mà không bị giám sát thì sao?
Hiệu ứng mạng quá lớn nên lập luận thị trường tự do kiểu “không thích thì đi chỗ khác” không thực sự phù hợp, và cũng có vấn đề lớn về tính minh bạch vì rất khó biết dữ liệu được xử lý ra sao từ bên ngoài
Đặc biệt là khi mọi công ty đều đối xử với dữ liệu như tài sản riêng và con bò sữa kiếm tiền của họ
Mà như thế cũng bị gọi là “các lãnh địa muốn có phần và tiếng nói của mình” sao? Hay là phản đối luôn chính khái niệm pháp luật?
Có lẽ vào giai đoạn cuối của Đế quốc Anh cũng đã có ai đó ngu ngơ nói kiểu này
Hoặc có khi nào các công ty tham gia mạng lưới đó lại có lợi ích trong việc nhốt mạng lưới vào những khu vườn có tường rào không?[2][3]
Hay là mạng lưới toàn cầu đó đã bị một vài tác nhân thống trị tái cấu trúc quá mức đến nỗi cần có sự can thiệp từ bên ngoài?[4][5]
Tất nhiên là không rồi. Chắc chắn đây không phải phản ứng trước những hành vi lạm dụng quy mô lớn của ngành công nghiệp, mà chỉ là các lãnh chúa địa phương đang cố vơ vét chút quyền lực mà thôi
[1]: https://en.wikipedia.org/wiki/PRISM
[2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
[3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
[4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
[5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
Tự do là gì? Là GPL, hay BSD, là vung nắm đấm, hay là không bị đấm vào mũi?
Quy trình kháng cáo mất khoảng 4 năm và tiền phạt sẽ bị đình lại cho đến khi mọi biện pháp cứu trợ pháp lý kết thúc, nên có lẽ chúng ta sẽ lại nghe về vụ này sau 4 năm nữa
Uber sẽ hạch toán đây là “chi phí kinh doanh ở châu Âu” và cộng thêm thành markup vào giá
Tổng số tiền phạt mà EU áp lên các công ty công nghệ Mỹ trong những năm gần đây đã lên tới 14,8 tỷ USD: https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
Bài Substack này khá hay, và cho thấy rất rõ rằng các công ty công nghệ Mỹ sẽ không rời châu Âu trong thời gian gần, nhưng họ nắm vị thế mạnh hơn nhiều trong mối quan hệ này
Các cơ quan quản lý đang dùng bài quá tay
Ngay cả nếu Big Tech Mỹ rút khỏi châu Âu thì, trừ ngắn hạn, điều đó cũng có thể là chuyện tốt cho thị trường địa phương
Cạnh tranh với họ là cực kỳ khó, và ở chính thị trường nội địa Mỹ cũng vậy
Nếu họ biến mất khỏi một thị trường lớn như EU thì khả năng cao sẽ kích thích cạnh tranh
Ngay cả nếu giả định EU hoàn toàn không có năng lực, thì giả định đó cũng rất phi thực tế khi những mô hình tạo ảnh hàng đầu hiện nay và các LLM mã nguồn mở khá tốt đều đến từ EU
Hơn nữa, nhiều nước châu Âu, đặc biệt là Đông Âu, có nguồn nhân lực kỹ thuật rất giỏi, và các công ty Trung Quốc cũng sẽ lập tức nhảy vào
Vì thế từ góc nhìn của châu Âu, đây vẫn là một thỏa thuận tệ hại