1 điểm bởi GN⁺ 2024-08-27 | 1 bình luận | Chia sẻ qua WhatsApp
  • Cơ quan Bảo vệ Dữ liệu Hà Lan (DPA) cho rằng Uber đã vi phạm nghiêm trọng GDPR vì chuyển dữ liệu cá nhân của tài xế taxi châu Âu sang Mỹ mà không có các biện pháp bảo vệ cần thiết
  • Dữ liệu được chuyển bao gồm thông tin tài khoản và giấy phép lái taxi, dữ liệu vị trí, ảnh, thông tin thanh toán, giấy tờ tùy thân, thậm chí cả dữ liệu tội phạm và y tế của một số tài xế
  • Uber đã gửi dữ liệu về trụ sở tại Mỹ trong hơn 2 năm và bị kết luận là đã không bảo vệ đầy đủ dữ liệu tài xế EU kể từ tháng 8/2021 do không sử dụng Standard Contractual Clauses
  • Cuộc điều tra bắt đầu từ khi hơn 170 tài xế tại Pháp nộp đơn khiếu nại, và do trụ sở châu Âu của Uber đặt tại Hà Lan nên DPA Hà Lan đã phối hợp với DPA Pháp cùng các DPA khác ở châu Âu
  • Uber đã chấm dứt hành vi vi phạm liên quan đến việc chuyển dữ liệu và từ cuối năm ngoái đã dùng khuôn khổ kế nhiệm Privacy Shield, nhưng cho biết sẽ kháng nghị mức phạt 290 triệu euro

Phán quyết vi phạm GDPR đối với Uber

  • DPA Hà Lan cho rằng Uber đã không bảo đảm mức độ bảo vệ theo yêu cầu của GDPR khi chuyển dữ liệu cá nhân của tài xế taxi châu Âu sang Mỹ
  • Dữ liệu bị nêu vấn đề được lưu trên máy chủ tại Mỹ và phạm vi không chỉ dừng ở thông tin tài khoản thông thường
    • Thông tin tài khoản và giấy phép lái taxi
    • Dữ liệu vị trí, ảnh, thông tin thanh toán, giấy tờ tùy thân
    • Dữ liệu tội phạm và dữ liệu y tế của một số tài xế
  • Chủ tịch DPA Hà Lan Aleid Wolfsen cho biết việc bảo vệ dữ liệu cá nhân bên ngoài châu Âu không phải là điều hiển nhiên, và các công ty lưu trữ dữ liệu cá nhân của người châu Âu ngoài EU thường phải áp dụng các biện pháp bổ sung
  • Uber hiện đã chấm dứt hành vi vi phạm liên quan đến việc chuyển dữ liệu sang Mỹ

Quy tắc chuyển dữ liệu quốc tế và diễn biến điều tra

  • Uber đã chuyển dữ liệu tài xế về trụ sở tại Mỹ trong hơn 2 năm mà không sử dụng transfer tools, vì vậy bị kết luận là không bảo vệ đầy đủ dữ liệu cá nhân
  • Tòa án Công lý Liên minh châu Âu đã vô hiệu hóa EU-US Privacy Shield vào năm 2020
    • Standard Contractual Clauses có thể là cơ sở cho việc chuyển dữ liệu sang các quốc gia ngoài EU
    • Tuy nhiên trên thực tế vẫn phải bảo đảm mức độ bảo vệ tương đương
  • Uber không còn sử dụng Standard Contractual Clauses từ tháng 8/2021 và từ cuối năm ngoái đã sử dụng khuôn khổ kế nhiệm của Privacy Shield
  • Cuộc điều tra bắt đầu sau khi hơn 170 tài xế tại Pháp khiếu nại với tổ chức nhân quyền Pháp Ligue des droits de l’Homme(LDH), rồi LDH nộp đơn lên DPA Pháp
  • Theo nguyên tắc one-stop-shop của GDPR, các công ty xử lý dữ liệu tại nhiều quốc gia thành viên EU sẽ làm việc với DPA của quốc gia nơi có cơ sở kinh doanh chính
    • Trụ sở châu Âu của Uber đặt tại Hà Lan
    • DPA Hà Lan đã hợp tác chặt chẽ với DPA Pháp và điều phối quyết định với các DPA khác ở châu Âu

Quy mô tiền phạt và các án phạt trước đây của Uber

  • Tiền phạt doanh nghiệp do các DPA châu Âu áp dụng được tính theo cùng một cách, với mức tối đa là 4% doanh thu toàn cầu hằng năm của doanh nghiệp
    • Doanh thu toàn cầu của Uber năm 2023 vào khoảng 34,5 tỷ euro
    • Uber cho biết sẽ kháng nghị mức phạt 290 triệu euro lần này
  • Đây là khoản phạt thứ ba mà DPA Hà Lan áp lên Uber
    • Liên quan đến vụ rò rỉ dữ liệu năm 2018, Uber từng bị phạt 600.000 euro
    • Năm 2023, Uber bị phạt 10 triệu euro vì vi phạm quy định về quyền riêng tư, và Uber cũng đã kháng nghị khoản phạt này

1 bình luận

 
GN⁺ 2024-08-27
Ý kiến trên Hacker News
  • Điều thú vị là, ít nhất trong lĩnh vực ngân hàng, dữ liệu Mỹ gần như luôn được quản lý bởi những người ở ngoài Mỹ
    Máy chủ có thể đặt tại Mỹ, nhưng người truy cập nhiều khả năng ở châu Âu hoặc Ấn Độ
    Trong lúc truy cập, dữ liệu sẽ tạm thời hiện diện ở bên đó, nên Mỹ cũng cần luật mạnh hơn về phần này

    • Tôi không thực sự hiểu vì sao vị trí vật lý nơi dữ liệu được lưu trữ lại quan trọng đến vậy
      Tôi từng thích thời kỳ Internet giống như một mạng lưới máy tính toàn cầu nơi biên giới không quá quan trọng, nên việc đương nhiên chấp nhận tiền đề rằng biên giới cuối cùng vẫn quan trọng trên Internet cũng hơi lạ
      Giải thích của 0x62 khá hữu ích: https://news.ycombinator.com/item?id=41357888
      Tôi đã không nghĩ tới cấu trúc các nhà cung cấp lồng vào nhau theo kiểu đệ quy
    • Dữ liệu lưu trên máy chủ của Apple hay Google thì cơ quan chức năng Mỹ có thể truy cập mà không cần sự đồng ý nếu họ thấy cần
      Kể cả khi bạn hoàn toàn vô tội cũng vậy
    • Việc người châu Âu truy cập hoặc xử lý dữ liệu Mỹ của công dân Mỹ có thể không phải vấn đề
      Theo tôi biết thì GDPR không điều chỉnh dữ liệu đó, nên vượt biên giới cũng không sao
      Vấn đề là dữ liệu được GDPR bảo vệ của công dân EU, mà trừ một số ngoại lệ nhất định như thực thi pháp luật thì không được phép vượt qua biên giới ngoài EU
    • Tôi không phải luật sư, nhưng tôi biết trong GDPR có vẻ có ngoại lệ cho truy cập từ xa
      Nếu một nhân viên ở Ấn Độ xem dữ liệu được lưu tại Mỹ, thì rõ ràng dữ liệu đã đến Ấn Độ vào lúc nó hiển thị trên màn hình, nhưng về mặt hình thức có thể không bị coi là chuyển dữ liệu từ Mỹ sang Ấn Độ
    • Chuyển dữ liệu trong GDPR không liên quan trực tiếp đến vị trí địa lý
      Điều quan trọng là bên kiểm soát hoặc bên xử lý dữ liệu thuộc thẩm quyền pháp lý nào, và nếu chuyển dữ liệu sang một bên xử lý thuộc thẩm quyền khác thì đó được coi là chuyển dữ liệu
  • Trong một bài khác (https://nos.nl/l/2534629, tiếng Hà Lan), Uber nói rằng họ đã trao đổi với Autoriteit Persoonsgegevens về “các luật không rõ ràng”
    Theo bản dịch trên iOS, người phát ngôn của Uber giải thích rằng do quy định về quyền riêng tư còn mơ hồ nên họ đã liên hệ trực tiếp với AP, và tại thời điểm đó cơ quan giám sát không nói rằng Uber đang vi phạm quy định
    Nhưng nếu một công ty giàu có với đội ngũ pháp lý được tổ chức bài bản vẫn không chắc điều đó có được phép hay không, thì điều đó không tự động biến thành quyền được làm vậy
    Mức phạt cũng nên lớn như thế này. Tiền phạt không được trở thành một chi phí kinh doanh đơn thuần, mà việc giữ đúng ranh giới phải là mối quan tâm của tất cả mọi người, từ cổ đông trở xuống

  • Câu “từ cuối năm ngoái Uber sử dụng cơ chế kế nhiệm Privacy Shield” khiến tôi nghĩ rằng, xét việc các cơ chế kiểu này liên tục sụp đổ, sau này họ có thể lại bị phán là có tội
    Ủy ban châu Âu đang làm chưa tốt ở phần này

    • EC đã đưa ra “quyết định về mức độ đầy đủ” cho EU–US Data Privacy Framework mới: https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae6...
      Và cũng đã bắt đầu việc “chứng nhận” tuân thủ khuôn khổ này: https://www.dataprivacyframework.gov/list
      Vì vậy các cơ quan bảo vệ dữ liệu có thể sẽ làm theo cách diễn giải của EC về tính đầy đủ theo GDPR đối với khuôn khổ mới này
      Tuy nhiên Schrems đã nói rõ rằng ông sẽ thách thức khuôn khổ này, nên mức độ bất định vẫn rất lớn
      Có vẻ lựa chọn “an toàn” duy nhất, không có bất định, là thiết kế mọi hệ thống sao cho dữ liệu không đi qua Mỹ và cũng không rơi vào việc được lưu trữ bởi các công ty con thuộc công ty mẹ đặt tại Mỹ
  • Việc Uber bị phạt ở Hà Lan hơi buồn cười, vì tại địa phương taxi truyền thống được bảo vệ nên gần như không thấy Uber
    Tôi không có số liệu chính xác, nhưng nếu tính tối thiểu khoảng 15 euro trên đầu người dân thì đây là khoản phạt rất lớn, và nếu tính trên mỗi tài xế thì có thể vào khoảng 25.000 euro
    Cảm giác như cơ quan quản lý Hà Lan đang nói “sao không rời đi luôn đi?”, và có lẽ Uber cũng cảm thấy tương tự

    • Trụ sở của Uber Europe ở Hà Lan, nên tiền phạt được ban hành ở đó
      Khiếu nại được nộp với cơ quan giám sát quyền riêng tư của Pháp đã được chuyển sang phía Hà Lan
    • Không rõ người đó có phải người Hà Lan không, nhưng ở đây có giải thích chi tiết hơn: https://tweakers.net/nieuws/225768/uber-krijgt-van-ap-avg-bo...
      Tiền phạt do cơ quan quản lý Hà Lan đưa ra, nhưng cuộc điều tra bắt đầu ở Pháp, và vào tháng 6/2020, 21 tài xế Uber tại Pháp đã tìm đến tổ chức nhân quyền Ligue Des Droits De L'homme Et Du Citoyen
      Sau đó có thêm 151 tài xế Uber tham gia khiếu nại, LDH đã đưa vụ việc lên cơ quan quản lý quyền riêng tư của Pháp là CNIL, và CNIL đã chuyển sang cơ quan bảo vệ dữ liệu Hà Lan vào tháng 1/2021 với lý do trụ sở châu Âu của Uber ở Hà Lan
    • Trụ sở Uber ở Hà Lan
      Vì họ thích chế độ thuế ở đây
    • Tiền phạt được hoãn cho đến khi kết thúc kháng cáo
      Theo DPA, quá trình kháng cáo dự kiến kéo dài khoảng 4 năm, nên trên thực tế sẽ là một vụ kháng cáo kéo dài 4 năm
    • Khoản phạt này không phải bồi thường thiệt hại mà là hình phạt
      Tất cả các cơ quan bảo vệ dữ liệu ở châu Âu đều tính mức phạt doanh nghiệp theo cùng một cách, và có thể áp tối đa 4% doanh thu thường niên toàn cầu của công ty
  • Lý do DPA Hà Lan bắt đầu điều tra Uber là vì hơn 170 tài xế người Pháp đã gửi khiếu nại tới tổ chức nhân quyền Pháp LDH, và LDH đã nộp lại cho DPA Pháp
    Ban đầu cũng tò mò không biết các tài xế đã nghi ngờ dựa trên cơ sở nào

    • Có thể họ chỉ suy đoán theo lẽ thường, hoặc ứng dụng đã kết nối trực tiếp tới máy chủ ở Mỹ
    • Cũng có thể chỉ là sự bất cẩn đơn thuần từ phía Uber
      Cá nhân tôi từng có liên quan đến một tổ chức của Mỹ từ rất lâu trước đây, rồi sau đó hoàn toàn quên mất
      Gần 15 năm sau, tôi bắt đầu nhận email spam từ địa chỉ trụ sở ở Washington, và dù đã yêu cầu dừng lại thì họ vẫn không ngừng
      Khi tôi yêu cầu biện pháp pháp lý theo GDPR và xóa dữ liệu, họ trả lời rằng đã tuân thủ, nhưng 1 năm sau tôi lại nhận spam từ cùng địa chỉ đó
      Vì thế tôi biết rằng họ đã không xóa thông tin của tôi và đang lưu trữ tại Mỹ
  • Tôi thắc mắc vụ việc này liên hệ thế nào với EU–US Data Privacy Framework
    Tôi hiểu rằng framework này là vật thay thế cho EU–US Privacy Shield để cho phép các đợt chuyển dữ liệu như vậy, nên có vẻ như trước năm 2020, khi Privacy Shield còn hiệu lực, đây sẽ không phải là vấn đề
    Hay là tôi đã hiểu sai?

    • Bài viết này[1] của DPA Hà Lan có chi tiết
      Privacy Shield đã bị vô hiệu vào năm 2020, và phương thức chuyển dữ liệu hợp lệ duy nhất còn lại là các điều khoản hợp đồng tiêu chuẩn
      Uber đã ngừng sử dụng các điều khoản hợp đồng tiêu chuẩn vào tháng 8 năm 2021, trước khi framework quyền riêng tư mới được đưa vào năm 2023, và trong 2 năm đã chuyển dữ liệu rất nhạy cảm mà không có phương thức hợp lệ nào
      [1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
    • Cách hiểu đó là sai
      Về cơ bản, Framework này cũng giống Shield trước đây, là một nỗ lực của Ủy ban châu Âu nhằm nói rằng “nhìn này, chúng tôi đã sửa xong”
      Đáng tiếc là trong cả hai lần trước, ECJ sau đó đều cho rằng sự thiếu hụt trong luật bảo vệ quyền riêng tư dữ liệu của Mỹ không thể được khắc phục bằng bất kỳ framework nào, và rằng Shield, cũng như tiền thân của nó, trên thực tế không cho phép các quyền hạn mà nó tuyên bố
      Framework lần này vẫn chưa được ECJ kiểm chứng, nhưng vì luật của Mỹ cũng không thay đổi nhiều nên kết quả có vẻ khá rõ ràng
  • Chúng ta đã may mắn được sống trong một khoảng thời gian ngắn khi Internet thực sự là một mạng lưới toàn cầu
    Một người ở Hà Lan hay Nigeria[1] có thể sử dụng những dịch vụ công nghệ tốt nhất thế giới, và mọi người có thể tương tác với nhau qua biên giới một cách tương đối tự do
    Nhưng giờ điều đó đang chấm dứt. Khi mọi lãnh địa đều muốn có phần và tiếng nói của riêng mình, Internet ngày càng khó duy trì như một mạng lưới toàn cầu
    Vui thật đấy, trong lúc nó còn tồn tại
    [1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...

    • Những luật như thế này được tạo ra vì lý do chính đáng, và các công ty công nghệ Mỹ từ lâu đã mặc sức chà đạp lên quyền riêng tư của con người
      Nếu một công ty hành xử đàng hoàng thì chẳng có gì phải sợ và vẫn có thể dễ dàng kinh doanh trên toàn thế giới
      Vấn đề chỉ phát sinh khi họ làm những chuyện mờ ám vốn lẽ ra ngay từ đầu đã phải là bất hợp pháp
      Điểm cốt lõi là luật Mỹ lỏng lẻo nhất nên cho phép xâm phạm quyền riêng tư của công dân ở mức rất lớn, vì vậy giờ các công ty cảm thấy mình đang bị hạn chế một cách không cần thiết
      Nếu luật Mỹ nghiêm khắc hơn thì đây đã chẳng thành vấn đề và chẳng ai phải nói tới chuyện này
      Chỉ tập trung vào tự do làm bất cứ điều gì công ty muốn là một cách nhìn rất thiển cận và mang nặng tính Mỹ trung tâm. Còn tự do của người dùng được sống mà không bị giám sát thì sao?
      Hiệu ứng mạng quá lớn nên lập luận thị trường tự do kiểu “không thích thì đi chỗ khác” không thực sự phù hợp, và cũng có vấn đề lớn về tính minh bạch vì rất khó biết dữ liệu được xử lý ra sao từ bên ngoài
      Đặc biệt là khi mọi công ty đều đối xử với dữ liệu như tài sản riêng và con bò sữa kiếm tiền của họ
    • Sản phẩm vật lý khi xuất khẩu sang nước khác thì phải tuân theo luật địa phương, vậy tôi không hiểu vì sao dịch vụ trực tuyến lại phải là ngoại lệ
      Mà như thế cũng bị gọi là “các lãnh địa muốn có phần và tiếng nói của mình” sao? Hay là phản đối luôn chính khái niệm pháp luật?
    • “Chúng ta đã may mắn được sống trong một khoảng thời gian ngắn khi thế giới là một mạng lưới thương mại toàn cầu thực sự. Người Anh có thể tiếp cận những chiếc xe tốt nhất thế giới, và mọi người có thể giao lưu tương đối tự do qua biên giới. Nhưng giờ điều đó đang chấm dứt. Khi mọi lãnh địa đều muốn có phần và tiếng nói của riêng mình, thế giới ngày càng khó duy trì như một mạng lưới toàn cầu. Vui thật đấy, trong lúc nó còn tồn tại.”
      Có lẽ vào giai đoạn cuối của Đế quốc Anh cũng đã có ai đó ngu ngơ nói kiểu này
    • Có khi nào trung tâm của cái “mạng lưới toàn cầu” đó đã biến nó thành công cụ gây ảnh hưởng và giám sát không?[1]
      Hoặc có khi nào các công ty tham gia mạng lưới đó lại có lợi ích trong việc nhốt mạng lưới vào những khu vườn có tường rào không?[2][3]
      Hay là mạng lưới toàn cầu đó đã bị một vài tác nhân thống trị tái cấu trúc quá mức đến nỗi cần có sự can thiệp từ bên ngoài?[4][5]
      Tất nhiên là không rồi. Chắc chắn đây không phải phản ứng trước những hành vi lạm dụng quy mô lớn của ngành công nghiệp, mà chỉ là các lãnh chúa địa phương đang cố vơ vét chút quyền lực mà thôi
      [1]: https://en.wikipedia.org/wiki/PRISM
      [2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
      [3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
      [4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
      [5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
    • Quyền của Uber được làm theo ý mình phải dừng lại trước quyền của tôi trong việc kiểm soát thông tin về bản thân mình
      Tự do là gì? Là GPL, hay BSD, là vung nắm đấm, hay là không bị đấm vào mũi?
  • Quy trình kháng cáo mất khoảng 4 năm và tiền phạt sẽ bị đình lại cho đến khi mọi biện pháp cứu trợ pháp lý kết thúc, nên có lẽ chúng ta sẽ lại nghe về vụ này sau 4 năm nữa

  • Uber sẽ hạch toán đây là “chi phí kinh doanh ở châu Âu” và cộng thêm thành markup vào giá

  • Tổng số tiền phạt mà EU áp lên các công ty công nghệ Mỹ trong những năm gần đây đã lên tới 14,8 tỷ USD: https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
    Bài Substack này khá hay, và cho thấy rất rõ rằng các công ty công nghệ Mỹ sẽ không rời châu Âu trong thời gian gần, nhưng họ nắm vị thế mạnh hơn nhiều trong mối quan hệ này
    Các cơ quan quản lý đang dùng bài quá tay

    • Tôi không rõ chính xác là họ đang dùng bài quá tay như thế nào
      Ngay cả nếu Big Tech Mỹ rút khỏi châu Âu thì, trừ ngắn hạn, điều đó cũng có thể là chuyện tốt cho thị trường địa phương
      Cạnh tranh với họ là cực kỳ khó, và ở chính thị trường nội địa Mỹ cũng vậy
      Nếu họ biến mất khỏi một thị trường lớn như EU thì khả năng cao sẽ kích thích cạnh tranh
    • Vậy thì điều gì sẽ xảy ra? Sẽ có một khoảng trống mà không ai lấp nổi sao?
      Ngay cả nếu giả định EU hoàn toàn không có năng lực, thì giả định đó cũng rất phi thực tế khi những mô hình tạo ảnh hàng đầu hiện nay và các LLM mã nguồn mở khá tốt đều đến từ EU
      Hơn nữa, nhiều nước châu Âu, đặc biệt là Đông Âu, có nguồn nhân lực kỹ thuật rất giỏi, và các công ty Trung Quốc cũng sẽ lập tức nhảy vào
    • Phản bác bài viết đó rất đơn giản. Big Tech Mỹ chỉ cần tuân thủ luật của EU là có thể hoàn toàn tránh bị phạt
    • Ngược lại, điều đó dường như chỉ có nghĩa là họ kiếm được rất nhiều tiền từ khách hàng châu Âu nên mới có thể chịu nổi những khoản phạt như vậy
      Vì thế từ góc nhìn của châu Âu, đây vẫn là một thỏa thuận tệ hại