Tòa án Đức phán quyết công nghệ theo dõi của Meta vi phạm luật bảo vệ dữ liệu cá nhân châu Âu

Ý kiến trên Hacker News

• Dù phán quyết lần này ở Leipzig là điểm rất đáng chú ý, tác động thực tế có thể không lớn như con số €5,000 thể hiện; tòa án nêu rõ rằng nạn nhân có thể khởi kiện mà không cần chứng minh thiệt hại cá nhân cụ thể, nhưng cơ chế kiện tập thể ở châu Âu vẫn khác xa kiểu Mỹ; không như Mỹ, Đức không có chế độ thù lao theo tỷ lệ thắng kiện, bên thua còn phải chịu chi phí tố tụng nên cấu trúc khuyến khích cũng khác, và các hình thức bồi thường tập thể cũng còn hạn chế; đa số người tiêu dùng Đức sẽ không tự mình kiện riêng lẻ đòi €5,000 chỉ vì một tracking pixel, vì thời gian và chi phí không hề nhỏ; cá nhân tôi mong các vụ như vậy sẽ được dẫn dắt bởi các tổ chức bảo vệ người tiêu dùng hoặc các tổ chức chuyên kiện tụng có đủ nguồn lực; Đức cũng đang mở rộng khuôn khổ kiện tập thể, nhưng hiện vẫn chủ yếu xoay quanh các tổ chức đủ tư cách hơn là nguyên đơn cá nhân
  • Ở Đức, có cơ chế tất cả người tiêu dùng tự động được bao gồm; khác với các nước châu Âu khác, người tiêu dùng không cần nộp đơn riêng để tham gia mà mặc định đã được tính vào; vì lý do đó, hiện ở Đức đang có các vụ kiện tập thể đòi bồi thường EUR 500 đối với X và EUR 2000 đối với Tiktok
  • Có vẻ ai đó có thể thương mại hóa chuyện này theo kiểu “Tặng bạn miễn phí 2500 euro! Hãy ký vào đây!”
• Cần lưu ý là phán quyết này có thể sẽ không được giữ nguyên ở cấp phúc thẩm; toàn văn quyết định vẫn chưa được công bố, hiện chúng ta mới chỉ biết nội dung qua thông cáo báo chí; chẳng hạn, tòa đã công nhận trách nhiệm bồi thường mà không nghe trình bày thiệt hại cụ thể từ nguyên đơn, nên sẽ rất thú vị khi xem hướng này được lập luận thế nào trong bản án chính thức; tôi cho rằng Meta hoàn toàn có cơ sở để kháng cáo; do còn những điểm chưa được giải quyết trong luật EU, cũng có khả năng vụ việc được chuyển lên ECJ (Tòa án Công lý châu Âu); dù sao thì phán quyết này trước mắt đã tạo ra sự bất định pháp lý và có lẽ nhiều người sẽ muốn khởi kiện; nhưng nếu đi tiếp qua phúc thẩm và ECJ thì có thể mất nhiều năm, nên vẫn cần theo dõi
  • Tôi thấy hơi khó hiểu là trách nhiệm thuộc về Facebook hay về phía nhà vận hành website nơi việc theo dõi thực sự diễn ra; theo cách tôi hiểu về GDPR, website có trách nhiệm phải xin được sự đồng ý trước khi chuyển thông tin cho mạng quảng cáo
• Đến giờ chắc hẳn đã có những hãng luật hơi đáng ngờ bắt đầu rà soát những người ở cùng hoàn cảnh với người dùng này, đứng ra kiện hộ và lấy một phần phí (ví dụ 10%); nếu họ kiện giúp thì tôi cũng sẵn sàng giao cho họ làm; nhưng các vấn đề kiểu này không nên trông chờ vào kiện tụng cá nhân, mà cần bị quản lý mạnh tay hơn, như phạt trực tiếp pháp nhân tới 4% doanh thu toàn cầu hằng năm, thì các công ty mới xem luật là thứ bắt buộc chứ không chỉ là khuyến nghị
  • Trong các lĩnh vực khác như bồi thường vé máy bay, đã có những công ty (hoàn toàn bình thường) cung cấp dịch vụ kiểu này; luật luật sư của Đức có một số hạn chế với thù lao theo kết quả, nhưng yêu cầu bồi thường 5,000 euro này có thể được xem là dạng “thu hồi khoản phải thu” đơn thuần nên có thể vẫn được phép; rủi ro lớn hơn là phán quyết có thể bị lật lại ở cấp phúc thẩm hoặc án lệ ở các tòa địa phương khác có thể khác nhau; vì vậy, cho đến khi được Tòa án Liên bang tối cao hoặc ECJ chốt lại, có lẽ chỉ những bên có tiềm lực tài chính đáng kể mới có thể tiếp tục theo đuổi kiện tụng dựa trên phán quyết này
  • Châu Âu không có mô hình giống hệt kiện tập thể kiểu Mỹ; EU có chỉ thị về "đại diện khởi kiện", nhưng phạm vi hẹp hơn rất nhiều so với class action kiểu Mỹ
  • Có lẽ từ tiền lệ này, các vụ kiện kiểu class action sẽ bắt đầu xuất hiện
• Chỉ mới 5 năm trước thôi, cứ mỗi lần tin kiểu này lên HN là người dùng Mỹ lại ồn ào rằng “châu Âu chỉ đang kiếm cớ moi tiền các công ty Mỹ”, nhưng giờ bầu không khí đã thay đổi hoàn toàn; thật vui khi thấy cách tiếp cận kiểu châu Âu, dù còn thiếu sót ở một số điểm, đã được chứng minh là đúng
  • Thực ra những lập luận đó ngược với sự thật; phần lớn tiền phạt trên thực tế được áp lên các công ty trong châu Âu; không chỉ Big Tech vi phạm quy định mà các công ty châu Âu cũng thường xuyên vi phạm, chỉ là người dùng Mỹ không mấy biết đến các vụ bị phạt đó; hơn nữa, khung luật bảo vệ dữ liệu hiện nay có lịch sử phát triển từ lâu trước cả thời FAANG, vì nó dựa trên Bundesdatenschutzgesetz của Đức từ thập niên 90; cũng có thể tham khảo trang theo dõi tiền phạt
  • 5 năm gì nữa, tôi có cảm giác mấy câu chuyện kiểu này mới xuất hiện cả tuần trước rồi ấy chứ
  • Tôi là người Mỹ, nhưng mối lo duy nhất của tôi với luật quyền riêng tư châu Âu là vấn đề thẩm quyền tài phán; trường hợp này thì không vướng điểm đó, nên tôi thực sự đồng ý với quyết định này
  • Ở Mỹ, thị trường quảng cáo gần như đã bị giao trọn cho các siêu tập đoàn như Google, Meta; doanh nghiệp nhỏ thì chuyển sang mô hình thuê bao, nên trừ khi EU chặn luôn cả mô hình đăng ký trả phí, nếu không thì hầu như chẳng còn cách nào khác
• Tôi thực sự hy vọng chuyện này sẽ phát triển thành kiện tập thể, tôi nhất định muốn tham gia
• Giờ tôi bắt đầu kỳ vọng những phán quyết như thế này sẽ thực sự đi vào đời sống; cũng đáng tham khảo bài phân tích trên blog liên quan
• Như thường lệ, tôi vẫn nghĩ cuối cùng sẽ chẳng có thay đổi đáng kể nào xảy ra
• Điều thú vị là tòa nhấn mạnh tính định danh cá nhân ngay cả khi không đăng nhập, tức là đánh thẳng vào lập luận phòng thủ “theo dõi ẩn danh” mà các công ty rất thích dùng
• Có thể xem phân tích chi tiết hơn trong bài viết đầy đủ trên Linkedin, và điểm ở Đức là người tiêu dùng tự động được đưa vào vụ kiện mà không cần tự đăng ký, điều này rất khác với các nước châu Âu khác
• Tôi nghĩ rốt cuộc chuyện này có thể trở thành chất liệu cho tranh chấp địa chính trị và thương mại giữa châu Âu với Mỹ, thậm chí lan sang cả vấn đề thuế quan; về cốt lõi, đây là câu hỏi liệu châu Âu có thể thực thi quyền lực để bảo vệ công dân của mình hay không, nhưng thành thật mà nói tôi vẫn nghi ngờ họ có làm tốt được hay không