California ban hành luật cho phép từ chối hoàn toàn việc chia sẻ dữ liệu

 (therecord.media)
1 điểm bởi GN⁺ 2025-10-10 | 1 bình luận | Chia sẻ qua WhatsApp
  • Bang California đã ban hành một đạo luật mới cho phép từ chối hoàn toàn việc cung cấp dữ liệu cho bên thứ ba thông qua trình duyệt web
  • California Consumer Privacy Act được đưa ra từ năm 2018 đã trao quyền opt-out, nhưng việc sử dụng trên thực tế vẫn gặp khó khăn
  • Luật này cho phép opt-out toàn bộ một cách thuận tiện chỉ bằng một nút bấm, từ đó đặt ra yêu cầu triển khai rõ ràng đối với các trình duyệt lớn
  • Các đạo luật khác được ký cùng ngày cũng tăng cường nghĩa vụ về xóa hoàn toàn dữ liệu khi xóa tài khoản mạng xã hộicông khai thông tin về data broker
  • Đây là một cột mốc mở rộng mạnh mẽ bảo vệ quyền riêng tư và quyền kiểm soát dữ liệu của người tiêu dùng

Tổng quan về đạo luật từ chối chia sẻ dữ liệu của California

  • Thống đốc California Gavin Newsom đã chính thức ký ban hành đạo luật đơn giản hóa tính năng opt-out việc bán dữ liệu trên trình duyệt web
  • Với California Consumer Privacy Act được ban hành năm 2018, công dân California có quyền gửi tín hiệu từ chối việc bán dữ liệu, nhưng các trình duyệt web đã không thực sự cung cấp khả năng từ chối một cách đơn giản và dễ tiếp cận
  • Đạo luật mới được thông qua lần này yêu cầu các trình duyệt web bắt buộc triển khai cơ chế opt-out dễ tiếp cận
  • Thay vì phải từ chối thủ công trên từng website riêng lẻ, trọng tâm là tạo ra môi trường cho phép gửi tín hiệu yêu cầu opt-out tới toàn bộ website chỉ với một cú nhấp

Ý nghĩa xã hội của việc ban hành đạo luật

  • Đây là luật từ chối dữ liệu phổ quát đầu tiên được ban hành tại Mỹ
  • Trước đây, người dùng phải dùng tiện ích mở rộng trình duyệt của bên thứ ba hoặc trình duyệt chuyên về quyền riêng tư thì mới có thể thực hiện opt-out trên diện rộng
  • Giờ đây, hàng triệu người dùng có thể từ chối việc bán dữ liệu dễ dàng hơn nhiều

Các đạo luật bổ sung liên quan đến bảo vệ dữ liệu đã được thông qua

  • Một đạo luật khác mà thống đốc ký cùng ngày yêu cầu các công ty mạng xã hội phải cung cấp tính năng xóa tài khoản dễ dàng và xóa hoàn toàn dữ liệu
  • Một đạo luật khác nữa tăng cường Data Broker Registration Law, mở rộng công khai thông tin về loại dữ liệu cá nhân mà các data broker thu thập và những ai có thể tiếp cận dữ liệu đó

Triển vọng

  • Loạt động thái lập pháp lần này là bước ngoặt giúp nâng cao mạnh mẽ bảo vệ quyền riêng tư và quyền kiểm soát dữ liệu của người tiêu dùng
  • Xu hướng siết chặt quản lý và tăng cường tính minh bạch đối với trình duyệt, mạng xã hội và data broker được dự báo sẽ tiếp tục kéo dài

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-10-10
Ý kiến Hacker News

  • Có ý kiến cho rằng để biện pháp này có hiệu quả thì cần cho phép khởi kiện tập thể nếu doanh nghiệp phớt lờ các yêu cầu như vậy; người này đã viết một script để định kỳ kiểm tra trực tiếp tính năng opt-out trên các website và xác nhận rằng gần 50% được triển khai sai, trong đó có cả những công ty IT hàng đầu mới niêm yết gần đây; theo luật CCPA/CPRA của California, phần lớn quyền thực thi thuộc về cơ quan nhà nước (CPPA, Attorney General), còn cá nhân không thể trực tiếp khởi kiện nên phía doanh nghiệp ít chịu áp lực vì không phải đối mặt với nguy cơ kiện tập thể

    • Việc khởi kiện tập thể đã trở nên khó khăn do các thỏa thuận trọng tài tiền tranh chấp trên diện rộng, điều khoản từ bỏ kiện tập thể và cấm trọng tài hàng loạt; vì Tòa án Tối cao Liên bang đã công nhận những điều này nên California cũng khó đảo ngược dễ dàng; thay vào đó, có đề xuất rằng về mặt pháp lý cần buộc CPPA hoặc Attorney General phải thực thi khi phát sinh vấn đề, mọi NDA ngăn cư dân California thông báo việc này đều phải vô hiệu, và nếu không thực thi thì phải có thể yêu cầu bằng kiện cưỡng chế thi hành (writ of mandamus); cũng cần chi trả phí luật sư để các vụ kiện như vậy khả thi về tài chính; về cơ bản nên là nghĩa vụ bắt buộc, còn ngoại lệ thì có thể được thảo luận minh bạch; nhìn chung có cảm giác rằng cơ quan lập pháp hay thống đốc bang California quan tâm đến đối phó hình thức hơn là giải pháp thực chất cho các vấn đề kiểu này

    • Có người hỏi liệu có thể chia sẻ script đã dùng hay không

    • Có ý kiến nói thật kỳ lạ khi tồn tại những đạo luật mà cá nhân không thể tự mình thực thi; theo họ cần sửa đổi hiến pháp để việc thực thi pháp luật trở nên dễ hơn, còn cụ thể ra sao thì là chuyện để các chuyên gia pháp lý suy nghĩ

  • Có người chia sẻ trải nghiệm từ thời còn tính năng header trình duyệt Do Not Track; với tư cách người dùng lẫn kỹ sư họ rất thích, nhưng nó đã biến mất vì sự phản đối của ngành; nếu mọi bên đều hành xử thiện chí thì đó đã là một điều tuyệt vời; họ cho rằng những công cụ như vậy nên được trình duyệt triển khai, và nếu điều tương tự từng được áp dụng cho cookie thì có lẽ ngày nay đã không có sự hỗn loạn của các popup cookie; từ bài viết này, họ cho rằng các nhà cung cấp trình duyệt cũng nên triển khai quy định do not sell, và tự hỏi liệu nó có giống Do Not Track hay không

    • Trái lại, có người cho rằng việc bán dữ liệu phải là cơ chế opt-in, tức người dùng phải đồng ý rõ ràng trước; nếu đồng ý thì mỗi lần dữ liệu của chúng ta được bán, sử dụng hay bán lại, chúng ta phải được định giá và nhận thù lao; việc doanh nghiệp lấy dữ liệu mà không có sự đồng ý của người dùng và không trả gì là điều bất thường

    • Thực tế bây giờ còn tệ hơn; trong ngành quyền riêng tư, người ta còn khuyến nghị không nên bật header Do Not Track, vì nó hầu như không được tuân thủ mà ngược lại còn có thể bị dùng như một điểm dữ liệu để lấy dấu vân tay trình duyệt, khiến người dùng bị theo dõi nhiều hơn

  • Có người cảm ơn các nhà lập pháp California và hy vọng luật này sẽ hoạt động đúng như mục đích; nếu phát hiện lỗ hổng thì mong sẽ được vá ngay lập tức

    • Tin như vậy là đáng hoan nghênh, nhưng cần đi kèm mức phạt thực chất và cơ chế thực thi chắc chắn; nếu chỉ là điều khoản pháp lý không có hiệu lực thì vô nghĩa, và cần chế tài đủ mạnh để thật sự loại những công ty có vấn đề ra khỏi cuộc chơi

    • Có người dự đoán rồi đây lại sẽ xuất hiện một popup mới phải đóng trên mọi website

  • Có lo ngại rằng hệ thống luật riêng tư rối rắm của Mỹ sẽ làm suy yếu lợi thế của một thị trường thống nhất tại Mỹ; các công ty lớn thực ra không bán dữ liệu mà tự khai thác trực tiếp, nên luật này trên thực tế chủ yếu đánh vào doanh nghiệp vừa và nhỏ

  • Bản thân dự luật universal opt-out có hiệu lực cưỡng chế rất yếu và chỉ có tiềm năng khi kết hợp với CCPA hiện hành; CCPA chỉ hạn chế việc chia sẻ thông tin nhằm phục vụ quảng cáo hành vi xuyên ngữ cảnh; luật lần này chỉ yêu cầu trình duyệt và mobile OS có một thiết lập để dễ dàng thể hiện ý định opt-out, chứ không có yêu cầu rõ ràng về định dạng tín hiệu hay cơ chế buộc tuân thủ; toàn bộ dự luật thậm chí có thể tóm gọn trong một tweet; tuy vậy, vấn đề cookie banner lại được quy định trong một luật khác (CCPA) với thời gian cooldown 12 tháng; người này cũng chia sẻ các điều khoản pháp luật chính và định nghĩa tín hiệu https://legiscan.com/CA/text/AB566/id/3117187 https://oag.ca.gov/privacy/ccpa

  • Có người giới thiệu công cụ thay thế khi universal opt-out không hoạt động: https://simpleoptout.com/

  • Có ý kiến cho rằng mặc định phải là opt-out, và người dùng chỉ nên opt-in lại khi chủ động thể hiện rõ ràng; đó mới là bản chất thực sự của vấn đề

    • Microsoft từng thử đặt DNT làm mặc định opt-out, nhưng các công ty sống nhờ dữ liệu đã phớt lờ nên nỗ lực này thất bại

  • Có đề xuất rằng mỗi khi dữ liệu được bán thì người dùng cũng phải được chia sẻ doanh thu

    • Ý tưởng này đã được bàn từ lâu trong giới startup, nhưng hầu như chưa từng được thử nghiệm thực tế; nó có vẻ là một mô hình hợp lý để đề nghị với công chúng kiểu như: "Tôi chấp nhận bị nhắm quảng cáo để đổi lấy dù chỉ một khoản nhỏ"

  • Có người chia sẻ link công bố chính thức https://www.gov.ca.gov/2025/10/08/governor-newsom-signs-data-privacy-bills-to-protect-tech-users/

  • Nhờ các tính năng kiểu này, có người muốn giảm bớt số extension bảo mật đang cài, nhưng vẫn không chắc tín hiệu opt-out có thật sự được tôn trọng hay không nên có lẽ vẫn phải giữ các extension phòng thủ; dù vậy, họ đánh giá ý định của đạo luật là rất tích cực