1 điểm bởi GN⁺ 2025-05-04 | 1 bình luận | Chia sẻ qua WhatsApp
  • Trong bối cảnh các quy định về chuyển dữ liệu ra nước ngoài của EU một lần nữa nổi lên như rủi ro vận hành đối với các nền tảng, Ủy ban Bảo vệ Dữ liệu Ireland đã phạt TikTok 530 triệu euro (khoảng 600 triệu USD) sau cuộc điều tra kéo dài 4 năm
  • Trọng tâm tranh cãi là liệu TikTok có xác minh, bảo đảm và chứng minh rằng dữ liệu cá nhân của người dùng châu Âu, vốn bị nhân viên tại Trung Quốc truy cập từ xa, được bảo vệ ở mức về bản chất tương đương với EU hay không
  • Khi đó, chính sách xử lý dữ liệu cá nhân không cho biết đầy đủ dữ liệu được chuyển tới nước thứ ba nào, đồng thời cũng không giải thích rõ việc nhân sự tại Trung Quốc truy cập từ xa
  • TikTok không đồng ý với quyết định này và có kế hoạch kháng cáo, đồng thời phản biện rằng giai đoạn bị nêu vấn đề chỉ là một khoảng thời gian cụ thể kéo dài đến tháng 5/2023, và sau đó công ty đã triển khai Project Clover với các trung tâm dữ liệu tại châu Âu và cơ chế giám sát độc lập
  • GDPR cho phép chuyển dữ liệu người dùng châu Âu ra ngoài EU nhưng yêu cầu mức độ bảo vệ tương đương, và việc thông báo muộn rằng một phần dữ liệu đã được lưu trên máy chủ tại Trung Quốc có thể dẫn tới các biện pháp quản lý bổ sung

Mức phạt 530 triệu euro và lệnh khắc phục trong 6 tháng

  • Data Protection Commission của Ireland đã phạt TikTok 530 triệu euro, tương đương khoảng 600 triệu USD, vì cho rằng việc chuyển dữ liệu sang Trung Quốc của công ty đã vi phạm các quy định về quyền riêng tư của EU
  • Quyết định này là kết quả của cuộc điều tra kéo dài 4 năm bắt đầu từ tháng 9/2021, và TikTok cũng nhận lệnh phải tuân thủ các quy định trong vòng 6 tháng
  • Cơ quan quản lý cho rằng việc chuyển dữ liệu sang Trung Quốc đã khiến người dùng châu Âu đối mặt với rủi ro bị giám sát
  • Do trụ sở châu Âu của TikTok đặt tại Dublin, cơ quan giám sát Ireland đóng vai trò là cơ quan quản lý quyền riêng tư chính của TikTok trong toàn bộ 27 quốc gia EU

Tranh cãi về truy cập từ xa tại Trung Quốc và mức bảo vệ tương đương EU

  • Phó Ủy viên Graham Doyle cho rằng TikTok đã không thể xác minh, bảo đảm và chứng minh mức độ bảo vệ về bản chất tương đương với EU đối với dữ liệu cá nhân của người dùng châu Âu bị nhân viên tại Trung Quốc truy cập từ xa
  • Trong cuộc điều tra, một điểm tranh cãi là khả năng chính quyền Trung Quốc có thể truy cập dữ liệu cá nhân của người dùng châu Âu do các luật chống khủng bố, chống gián điệp, an ninh mạng và tình báo quốc gia của Trung Quốc
  • Cơ quan giám sát Ireland nhận định rằng các luật này của Trung Quốc khác biệt đáng kể so với tiêu chuẩn của EU

Vấn đề minh bạch trong chính sách xử lý dữ liệu cá nhân

  • TikTok cũng bị xử phạt vì không thông báo đầy đủ cho người dùng về việc dữ liệu cá nhân được gửi tới đâu
  • Tại thời điểm điều tra, chính sách xử lý dữ liệu cá nhân của TikTok không nêu rõ các nước thứ ba mà dữ liệu người dùng được chuyển đến, và trong đó cũng không ghi đích danh Trung Quốc
  • Chính sách này sau đó đã được cập nhật, nhưng vào thời điểm đó vẫn không giải thích rằng dữ liệu cá nhân được lưu tại Singapore và United States có thể bị nhân sự tại Trung Quốc truy cập từ xa để xử lý

Kế hoạch kháng cáo của TikTok và Project Clover

  • TikTok không đồng ý với quyết định lần này và có kế hoạch kháng cáo
  • Công ty phản biện rằng quyết định này tập trung vào một giai đoạn cụ thể kết thúc vào tháng 5/2023, và sau đó họ đã thúc đẩy dự án nội địa hóa dữ liệu Project Clover
  • Project Clover bao gồm kế hoạch xây dựng 3 trung tâm dữ liệu tại châu Âu
  • Christine Grahn, người phụ trách chính sách công và quan hệ chính phủ của TikTok tại châu Âu, cho biết Project Clover có một số biện pháp bảo vệ dữ liệu nghiêm ngặt nhất trong ngành, đồng thời bao gồm giám sát độc lập từ công ty an ninh mạng châu Âu NCC Group
  • Grahn cho biết TikTok chưa từng nhận được yêu cầu dữ liệu người dùng châu Âu từ chính quyền Trung Quốc, và cũng chưa từng cung cấp dữ liệu người dùng châu Âu cho phía Trung Quốc

Tiêu chuẩn chuyển dữ liệu ra ngoài lãnh thổ theo GDPR và phản biện của TikTok

  • Theo General Data Protection Regulation, dữ liệu người dùng châu Âu có thể được chuyển ra ngoài EU, nhưng cần có các biện pháp bảo đảm mức độ bảo vệ tương đương
  • Grahn phản đối mạnh mẽ nhận định của cơ quan quản lý Ireland rằng TikTok đã không thực hiện các đánh giá cần thiết cho việc chuyển dữ liệu
  • TikTok cho biết họ đã tham vấn các hãng luật và chuyên gia, sử dụng cùng các cơ chế pháp lý mà hàng nghìn công ty tại châu Âu đang dùng, và cho rằng cách tiếp cận của mình phù hợp với quy định của EU
  • Grahn cho rằng TikTok đang bị singled out

Thông báo lưu trữ trên máy chủ tại Trung Quốc và xem xét biện pháp bổ sung

  • TikTok đã bị điều tra về cách xử lý dữ liệu cá nhân người dùng tại châu Âu do công ty mẹ ByteDance là doanh nghiệp có trụ sở tại Trung Quốc
  • Các quan chức phương Tây từ lâu đã bày tỏ lo ngại rằng TikTok gây ra rủi ro an ninh liên quan đến dữ liệu người dùng được chuyển sang Trung Quốc
  • Cơ quan giám sát Ireland cũng từng phạt TikTok hàng trăm triệu euro trong một cuộc điều tra riêng về dữ liệu cá nhân của trẻ em vào năm 2023
  • Trong cuộc điều tra lần này, TikTok từng nói rằng họ không lưu dữ liệu người dùng châu Âu trên máy chủ tại Trung Quốc, nhưng đến tháng 4 mới thông báo cho cơ quan quản lý rằng một phần dữ liệu thực tế đã được lưu trên máy chủ tại Trung Quốc, theo phát hiện từ tháng 2
  • Graham Doyle cho biết ông xem diễn biến gần đây là rất nghiêm trọng và đang cân nhắc liệu có cần thêm các biện pháp quản lý hay không

1 bình luận

 
GN⁺ 2025-05-04
Các ý kiến trên Hacker News
  • Gọi là “massive” thì theo tiêu chuẩn nào?
    Đã đến lúc chúng ta nên quen với việc phạt doanh nghiệp theo một tỷ lệ hợp lý trên doanh thu
    Chỉ riêng doanh thu toàn cầu năm ngoái của TikTok đã được ước tính ở mức 20–26 tỷ USD https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...

    • Để khiến doanh nghiệp đau đến mức thay đổi hành vi, tiền phạt không nhất thiết phải là một phần doanh thu toàn cầu, mà phải đủ lớn so với lợi ích thu được từ hành vi bất hợp pháp
      Theo bài viết đó, trong 20 tỷ USD, TikTok kiếm 10 tỷ USD chỉ riêng tại Mỹ, vì vậy trần doanh thu tại châu Âu là 10 tỷ USD
      Con số này còn chưa tính các thị trường lớn như Brazil và Indonesia, nên doanh thu thực tế tại châu Âu rất có thể thấp hơn nhiều
      530 triệu euro tương đương khoảng 600 triệu USD, tức tối thiểu 6% doanh thu liên quan trong năm 2024, và thực tế có thể cao hơn nhiều
      Tôi không biết mức đó có đủ lớn để triệt tiêu lợi ích từ gian lận hay không, nhưng chắc chắn không phải phạt cho có
    • Có thể so sánh với các khoản phạt khác
      Xét theo số tiền, có vẻ đây nằm khoảng top 20 khoản phạt lớn nhất mọi thời cho một vụ việc đơn lẻ, còn nếu chỉ tính các khoản phạt về quyền riêng tư ở châu Âu thì nằm trong top 3
      Việc chúng ta quen với những khoản tiền như vậy không làm thay đổi cách phân loại
      Dù những con số này có trở nên phổ biến hơn, chúng vẫn là khoản tiền khổng lồ, đặc biệt là mức vốn dĩ không nên trở nên phổ biến
    • Nếu bắt bẻ một chút thì nên xem là một phần của lợi nhuận ròng, chứ không phải doanh thu
      Phần lớn doanh thu chảy ra dưới dạng chi phí, nên nếu phạt theo một tỷ lệ hợp lý trên doanh thu thì có thể khiến doanh nghiệp phá sản luôn
      Nếu mục tiêu là thay đổi hành vi thì đó không phải kết quả mong muốn
      Nếu doanh thu toàn cầu là 20 tỷ USD và giả định biên lợi nhuận 20%, lợi nhuận ròng là 4 tỷ USD, nên khoản phạt này bằng 15% lợi nhuận ròng toàn cầu
      Đây là một khoản phạt cực lớn
      Ngoài ra, các quy định kiểu này mơ hồ và có nhiều khoảng diễn giải, nên ngay cả khi doanh nghiệp và luật sư thật lòng tin rằng họ tuân thủ, thẩm phán vẫn có thể phán khác
      Nếu từng quốc gia riêng lẻ phạt dựa trên doanh thu toàn cầu, cũng có nguy cơ bị phạt chồng lên nhau cho cùng một hành vi, và cuối cùng có thể dẫn đến phá sản doanh nghiệp thay vì thay đổi hành vi
    • Điều tệ hơn cả số tiền nhỏ là thời gian đã mất
      Nếu chấp nhận các cáo buộc đúng như mặt chữ, Trung Quốc đã giám sát một phần đáng kể công dân EU trong 4 năm và còn có thể tiếp tục thêm 6 tháng nữa
      Ngay cả sau đó cũng khó có khả năng họ thực sự dừng lại, và cuối cùng khoản phạt chỉ ở mức vài đô la cho mỗi nạn nhân
      Mỹ cũng không hành động nhanh hơn, còn hầu hết các quốc gia khác thì hoàn toàn không hành động
      Kết quả là một quốc gia có khả năng đối địch chỉ cần gắn vào đó những video buồn cười và nhạc nền khó chịu là có thể vận hành một chiến dịch giám sát khổng lồ trong thời gian dài mà không phải trả giá đáng kể
    • Từng có ý tưởng rằng thay vì phạt tiền, chính phủ nên lấy cổ phần của công ty đó
      Đây là cách pha loãng tỷ lệ sở hữu của các chủ sở hữu hiện tại để trừng phạt hành vi xấu
      Khi chính phủ trở thành đồng sở hữu, họ sẽ vào được bên trong, và các yêu cầu thông tin hoặc mức độ quan sát sẽ lớn hơn nhiều
      Nếu hành vi xấu tiếp diễn, theo thời gian chính phủ sẽ giành được quyền kiểm soát
      Với những công ty như Tesla, giá cổ phiếu rất cao nhưng lợi nhuận thấp, phạt theo tỷ lệ lợi nhuận có thể không mấy ý nghĩa
      Nhưng việc chính phủ kiểm soát thông qua cổ phiếu sẽ nhanh chóng thu hút sự chú ý của cả công ty lẫn cổ đông
  • Ký tự Є trong tiêu đề gửi lên HN không phải là ký hiệu euro
    Ký hiệu euro là

    • Khi tiêu đề được đổi, ký hiệu này đã được thêm vào, nhưng giờ không thể sửa tiêu đề được nữa
      Hy vọng Dang sẽ sửa giúp
    • Hôm nay mới biết: Є là U+0404 Cyrillic Capital Letter Ukrainian Ie
      https://codepoints.net/U+0404
    • Ngoài ra, ký hiệu € không phải là tiền tố đặt trước số tiền như $, mà là hậu tố đặt sau số tiền
  • Trong luồng này có nhiều sự thất vọng và hoài nghi, nhưng có vẻ một vài hiểu lầm đang làm điều đó tăng lên
    Trước hết, Ireland là một phần của EU, và trong cơ chế one-stop shop của GDPR, quốc gia nơi đặt trụ sở EU sẽ dẫn dắt việc thực thi trên toàn EU
    Vì nhiều tập đoàn công nghệ lớn đặt trụ sở EU tại Ireland, nên khi cơ quan quản lý Ireland áp phạt theo GDPR, về thực chất họ đang thực thi thay cho toàn EU
    Các khoản phạt GDPR có thể rất lớn, và có thể xử phạt dựa trên tỷ lệ doanh thu toàn cầu hoặc một khoản cố định lớn, tùy mức nào cao hơn
    Vì vậy ngay cả các tập đoàn lớn cũng cảm nhận được tác động
    Những khoản phạt như vậy được công bố công khai và minh bạch, nên ngoài thiệt hại tài chính còn có thiệt hại về danh tiếng
    Tính công khai được thiết kế để khoản phạt trở thành lực răn đe thực sự, chứ không phải một chi phí kinh doanh âm thầm
    Cũng cần làm rõ tiền phạt đi đâu
    Nó không chỉ chảy vào túi Ireland; về mặt thực tế, nó đi vào ngân sách EU, và được khấu trừ vào phần đóng góp mà Ireland thường phải nộp cho ngân sách EU
    Nếu người dân ở các nước EU khác bị xâm phạm, các nước đó cũng có thể yêu cầu một phần tiền phạt
    Cuối cùng, đây không phải cấu trúc để Ireland một mình hưởng lợi, mà là họ trở thành điểm thu vì các công ty đặt cơ sở ở đó
    Điều thú vị là có người nói khoản phạt quá nặng, người khác lại nói quá nhẹ
    Trên thực tế, các biện pháp trừng phạt như vậy được thiết kế để tương xứng với quy mô công ty và mức độ vi phạm, đồng thời vẫn đủ đáng kể để được cảm nhận; mục tiêu không phải là phá hủy doanh nghiệp, nhưng cũng tuyệt đối không phải chuyện không đáng kể

    • Tiêu chí lấy mức cao hơn giữa tỷ lệ doanh thu toàn cầu của công ty và một khoản cố định lớn là để xác định mức phạt tối đa
      Sau đó cơ quan quản lý có thể áp một tỷ lệ X% của mức tối đa đó làm khoản phạt thực tế
      Đây cũng là cơ chế nhằm tránh việc từng nước thành viên EU đặt mức phạt quá thấp để thu hút doanh nghiệp
      Bối cảnh tương tự vấn đề Ireland từng đánh thuế quá thấp trước đây
    • Việc Ireland nộp ít hơn x tiền đóng góp về thực chất gần như tương đương với việc kiếm được x tiền
      Đối với phần mà các nước EU khác không yêu cầu, cuối cùng có thể xem như chảy vào túi Ireland
    • Sẽ rất hữu ích nếu có tài liệu dẫn chứng về chi tiết luồng tiền phạt
      Mỗi khi nói đến GDPR, ở đây lại có hàng chục bài đăng, và cuộc tranh luận quanh điểm này luôn lặp lại
  • Có thể họ đang hành động trong khuôn khổ pháp luật, nhưng tôi cho rằng mối đe dọa lớn hơn không phải là dữ liệu chảy ra ngoài, mà là ảnh hưởng được đưa vào thuật toán của ứng dụng, và hệ quả là tác động lên người dùng

  • @dang Có thể thêm ký hiệu này vào tiêu đề không?

    • Cần bỏ ký hiệu Є kia
  • Có hai điều tôi thắc mắc
    Thứ nhất, những khoản phạt như thế này có thực sự được thi hành không, hay sẽ kéo dài bằng kháng cáo vô thời hạn
    Thứ hai, tiền phạt sẽ đi đâu
    Nếu cấu trúc là TikTok bị phạt ở Ireland, nghe như tiền phạt sẽ vào chính phủ Ireland, mà như vậy thì kỳ lạ
    Nếu tính tiền phạt trong bối cảnh toàn EU nhưng chỉ Ireland nhận doanh thu thì cấu trúc đó đã hỏng

    • Ở Anh, cơ quan quản lý áp phạt sẽ nộp gần như toàn bộ vào Quỹ Hợp nhất, trừ một phần thu hồi chi phí
      Tức là nó đi vào một túi tiền lớn giống như thuế
      EU hầu như không trực tiếp thực thi pháp luật, phần lớn do các cơ quan quản lý quốc gia thực hiện, nên nhìn chung đây là cách có thể dự đoán được
      Ngược với vụ Apple: khi đó EU phạt chính phủ Ireland vì cho rằng họ đã không thu đủ thuế từ Apple
    • Cần được đính chính nếu tôi sai, nhưng số tiền đó rốt cuộc chảy vào ngân sách EU chung, giống như cư dân EU nhận được một khoản hoàn thuế cực nhỏ
      Tuy nhiên có vẻ khác nhau theo từng quốc gia, và Tây Ban Nha dường như có cơ chế khá đặc biệt là cơ quan giám sát quyền riêng tư tự giữ tiền
    • Nếu thật sự chỉ là tiền phạt riêng của Ireland thì TikTok có thể đơn giản rút khỏi nước đó và không nộp phạt
      Có lẽ đó cũng có thể là điều Ireland muốn
      Ireland là một thị trường nhỏ, nên TikTok sẽ mất rất lâu mới kiếm được 530 triệu euro lợi nhuận tại Ireland
    • https://www.enforcementtracker.com/
  • 100% số tiền thu hồi từ những khoản phạt như thế này nên được dùng cho nghiên cứu và công bố về các vi phạm quyền riêng tư của chính các công ty đó
    Về thực chất là bắt họ tự trả chi phí tự giám sát
    Không ai biết dữ liệu mà họ thu thập ở quy mô lớn sẽ bị AI lạm dụng như thế nào trong tương lai, và điều đó khá đáng sợ

  • Hy vọng số tiền đó được dùng để cải thiện tình hình cho người dân địa phương

  • Hơi lệch chủ đề một chút, nhưng tôi tò mò chính phủ áp phạt sẽ dùng số tiền đó như thế nào
    Ví dụ, nó có được cấp cho các hoạt động hay công việc liên quan đến quyền riêng tư dữ liệu không?

    • Thuế rất hiếm khi bị ràng buộc cho một mục đích cụ thể
      Ở hầu hết các nước, việc nộp “thuế gấu” không có nghĩa là tiền đó sẽ đi vào một cái hũ lớn chỉ dành riêng cho việc diệt trừ gấu
      Vì vậy, những khoản phạt như thế này thường đi vào nguồn thu chung cho chi tiêu của chính phủ
      Ở Anh, tiền phạt vi phạm dữ liệu được dùng cho chi phí vận hành của cơ quan thực thi, phần còn lại trả về nhà nước https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
    • Ở EU, điều đó có nghĩa là các quốc gia thành viên sẽ đóng ít hơn một chút vào ngân sách năm sau
      Bản thân ngân sách EU thực tế không thay đổi, nên về thực chất đây không phải là cấu trúc “có thêm tiền”
      Có vẻ như đã bỏ qua một bước, nhưng khoản phạt này không phải riêng của Ireland mà là khoản phạt toàn EU, và theo tôi nhớ thì được nộp cho EU
  • Chừng nào không phạt cá nhân người chịu trách nhiệm, những khoản phạt như thế này là vô ích và không có tác động

    • Hơn nữa, nếu tiền phạt thấp hơn số tiền kiếm được, thì đó không phải là tiền phạt mà là chi phí kinh doanh