Châu Âu thúc đẩy nới lỏng GDPR và quy định AI

 (theverge.com)
1 điểm bởi GN⁺ 2025-11-20 | 1 bình luận | Chia sẻ qua WhatsApp
  • Liên minh châu Âu đã đề xuất sửa đổi nhằm nới lỏng các điều khoản cốt lõi của GDPR và Đạo luật AI, thúc đẩy giảm nhẹ quy định trong bối cảnh chịu sức ép từ giới công nghiệp và chính phủ Mỹ
  • Bản sửa đổi nhằm tạo điều kiện dễ dàng hơn cho việc chia sẻ dữ liệu đã ẩn danh và giả danh hóa, đồng thời cho phép các công ty AI sử dụng dữ liệu cá nhân cho mục đích huấn luyện miễn là đáp ứng các yêu cầu của GDPR
  • Thời điểm áp dụng quy định đối với các hệ thống AI rủi ro cao trong AI Act sẽ bị hoãn, và chỉ có hiệu lực sau khi các tiêu chuẩn liên quan cùng công cụ hỗ trợ được chuẩn bị đầy đủ
  • Bao gồm cả đơn giản hóa thủ tục hành chính như giảm banner cookie, đơn giản hóa yêu cầu tài liệu AI cho doanh nghiệp vừa và nhỏ, tích hợp báo cáo an ninh mạng, và thống nhất giám sát xoay quanh AI Office
  • Đề xuất này nhằm thúc đẩy đổi mới tại châu Âu và phục hồi kinh tế, nhưng các tổ chức xã hội dân sự và giới chính trị phản đối vì cho rằng đây là làm suy yếu các quyền cơ bản và nhượng bộ trước áp lực từ Big Tech

Đề xuất nới lỏng quy định về bảo vệ dữ liệu cá nhân và AI của Liên minh châu Âu

  • Ủy ban châu Âu đã công bố bản sửa đổi nhằm nới lỏng các điều khoản chính của GDPR (Quy định chung về bảo vệ dữ liệu)AI Act (Đạo luật Trí tuệ Nhân tạo)

    • Thúc đẩy giảm nhẹ quy định trong bối cảnh chịu áp lực mạnh từ giới công nghiệp và chính phủ Mỹ
    • Mục tiêu là đơn giản hóa thủ tục hành chínhthúc đẩy tăng trưởng kinh tế

  • Nội dung sửa đổi GDPR bao gồm nới lỏng quy trình chia sẻ dữ liệu cá nhân đã ẩn danh và giả danh hóa

    • Doanh nghiệp có thể trao đổi các dữ liệu này dễ dàng hơn
    • Các công ty AI có thể hợp pháp sử dụng dữ liệu cá nhân để huấn luyện AI, miễn là đáp ứng các yêu cầu khác của GDPR

Những thay đổi chính trong AI Act

  • Hoãn thời điểm áp dụng quy định đối với các hệ thống AI rủi ro cao

    • Quy định vốn dự kiến có hiệu lực vào mùa hè năm sau sẽ được lùi đến “sau khi các tiêu chuẩn cần thiết và công cụ hỗ trợ được chuẩn bị”
    • Đây là điều khoản áp dụng cho các hệ thống có thể gây rủi ro nghiêm trọng đối với sức khỏe, an toàn và các quyền cơ bản

  • Bao gồm các biện pháp nới lỏng cho doanh nghiệp vừa và nhỏ

    • Đơn giản hóa yêu cầu tài liệu liên quan đến AI
    • Tích hợp giao diện báo cáo sự cố an ninh mạng
    • Tập trung hóa hoạt động giám sát thông qua AI Office

Nới lỏng quy định về cookie

  • Đã đưa ra bản sửa đổi bao gồm việc giảm banner và cửa sổ bật lên về cookie
    • Một số cookie có mức rủi ro thấp sẽ được cho phép mà không cần cửa sổ bật lên
    • Người dùng có thể quản lý đồng loạt cài đặt cookie thông qua chức năng điều khiển tập trung của trình duyệt

Lập trường và mục tiêu của Liên minh châu Âu

  • Liên minh châu Âu giải thích rằng lần sửa đổi này được thúc đẩy theo “cách làm kiểu châu Âu (European way)
    • Phó Chủ tịch điều hành phụ trách chủ quyền công nghệ Henna Virkkunen cho biết mục tiêu là để “các startup và doanh nghiệp vừa và nhỏ không bị cản trở bởi những quy định phức tạp”
    • Nhấn mạnh mở rộng khả năng tiếp cận dữ liệu, triển khai ví doanh nghiệp chung, và duy trì bảo vệ các quyền cơ bản

Phản ứng chính trị và tranh cãi

  • Đề xuất này phải được Nghị viện châu Âu và 27 quốc gia thành viên phê duyệt, đồng thời cần được thông qua theo đa số đủ điều kiện (qualified majority)

    • Quá trình phê duyệt có thể mất vài tháng và vẫn có khả năng nội dung sẽ bị sửa đổi

  • Đã xuất hiện sự phản đối từ các tổ chức xã hội dân sự và giới chính trị

    • Bản dự thảo bị rò rỉ bị chỉ trích là làm suy yếu các biện pháp bảo vệ cơ bảnchấp nhận áp lực từ Big Tech
    • GDPR được xem là hạt nhân của chính sách công nghệ châu Âu, một chính sách “gần như bất khả xâm phạm”

  • Quyết định lần này được đưa ra sau các yêu cầu nới lỏng từ các công ty Big Tech, cựu Tổng thống Mỹ Donald Trump, và cựu Chủ tịch Ngân hàng Trung ương châu Âu Mario Draghi

    • Liên minh châu Âu mô tả đây là “đơn giản hóa chứ không phải giảm quy định”, và nhấn mạnh đây là biện pháp nhằm khôi phục năng lực cạnh tranh toàn cầu
    • Theo bài báo, châu Âu hầu như không có đối thủ cạnh tranh đáng tin cậy trong cuộc đua AI do các công ty Mỹ và Trung Quốc như DeepSeek, Google, OpenAI dẫn dắt

Không có thêm thông tin trong nguyên bản

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-11-20
Ý kiến Hacker News

  • Có thể hiểu rằng quá nhiều quy định là một vấn đề, nhưng riêng bảo vệ dữ liệu cá nhân thì không nên có ngoại lệ nào
    Mỗi khi thấy banner cookie, tôi luôn tìm nút “từ chối tất cả”. Không được thu thập bất kỳ dữ liệu nào trừ khi người dùng đồng ý một cách rõ ràng
    Doanh nghiệp chẳng tôn trọng gì ngoài lợi nhuận. Vì vậy, thật chua chát khi thấy có động thái nới lỏng những luật như thế này với lý do AI. Càng nghiêm trọng hơn khi họ còn thúc đẩy các chính sách giám sát như Chat Control

    • Tôi không nghĩ có thể chỉ nhìn quy định dưới góc độ nhiều hay ít
      Có lĩnh vực cần nhiều quy định hơn, có lĩnh vực cần ít hơn. Điều quan trọng là quy định cái gì và quy định như thế nào
    • Nhiều quy định không có nghĩa là tốt. Nếu quá nhiều, chúng có thể xung đột với nhau hoặc tạo ra kẽ hở, chi phí tuân thủ cũng tăng lên nên chỉ các tập đoàn lớn mới có lợi
      Tuy vậy, những quy định cốt lõi, chẳng hạn như bắt buộc công khai thành phần thực phẩm, lại là ví dụ tốt
    • Thật vô lý khi ngay cả trong các mục “luôn bật” cũng có hàng trăm “đối tác” liên quan
      Có thể tham khảo bình luận này như một ví dụ liên quan
    • Chức năng từ chối cookie nên được cung cấp như thiết lập mặc định của trình duyệt
    • Vấn đề thực sự của châu Âu không phải là cookie mà là các quy định đang bóp nghẹt startup
      Banner cookie chỉ là một vấn đề khác được tạo ra trong lúc cố giải quyết vấn đề ban đầu, đồng thời gây thêm gánh nặng không cần thiết cho các nhóm nhỏ

  • Thật ngạc nhiên khi thái độ của EU và cộng đồng HN đã đảo chiều 180 độ
    Trước đây người ta còn ủng hộ EU khi họ tấn công các Big Tech như Meta, nhưng giờ bầu không khí đã khác
    Tôi muốn Meta tự nhiên bị đào thải. Sẽ tốt hơn nếu mọi người tự nguyện ngừng sử dụng, và công ty biến mất như một hệ quả của điều đó
    Các quy định mang tính cưỡng ép ngược lại làm tổn hại đến tinh thần khởi nghiệp và hacker

    • Trong 10 năm qua, tinh thần hacker trong cộng đồng HN đã suy yếu, còn số người chỉ quan tâm đến kiếm tiền thì tăng lên
      Thời kỳ ZIRP và bộ phim The Social Network có ảnh hưởng lớn
    • Nhưng Meta có quá nhiều tiền nên họ đơn giản là mua lại đối thủ cạnh tranh
      Instagram và WhatsApp là ví dụ điển hình
    • Hiệu ứng mạng lưới quá mạnh nên Meta gần như không thể tự sụp đổ
      WhatsApp sẽ không thể biến mất nếu không có sự can thiệp của chính phủ
    • Đây vẫn chỉ là đề xuất ở cấp EC, chưa rõ EU có thực sự phê duyệt hay không
    • HN không phải là một khối quan điểm thống nhất
      Mỗi lần EU điều tiết một công ty nào đó, ý kiến ủng hộ và phản đối luôn chia rẽ

  • Tôi đồng cảm với khó khăn của startup, nhưng giải pháp không phải là làm yếu quy định mà là xây dựng quy định thông minh
    Cần có vùng an toàn rõ ràng cho doanh nghiệp nhỏ, hệ thống đồng ý ở cấp trình duyệt, và thực thi mạnh tay với các CMP dark pattern

    • “Quy định thông minh” không có nghĩa đơn giản là tăng thêm quy định
      Quy định quá mức rốt cuộc chỉ cứu các tập đoàn lớn, còn doanh nghiệp nhỏ và vừa thì không kham nổi
    • Vấn đề không phải là số lượng quy định mà là sự bất định
      Việc không biết mình có đang tuân thủ luật đúng cách hay không mới là thứ làm tăng chi phí. Thuế, lao động, môi trường, xây dựng, lĩnh vực nào cũng vậy
    • Dự luật nên được cải tiến lặp lại theo chu kỳ ngắn giống như công nghệ
      Ví dụ, cứ mỗi 4 tháng một nhóm làm việc lại đưa ra bản cập nhật, nhận phản hồi công khai rồi chỉnh sửa, từ đó tạo ra một hệ thống pháp luật phiên bản 1.0
    • Đưa các điều kiện phức tạp vào luật cuối cùng chỉ có lợi cho doanh nghiệp lớn
      Nó sẽ trở nên rắc rối như GDPR hay OSA, đồng thời sinh ra tuân thủ một cách ác ý
      Tôi nghĩ luật đơn giản nhưng mạnh, thậm chí bao gồm xử lý hình sự khi để lộ dữ liệu, còn tốt hơn

  • Rất hoan nghênh đề xuất mới nhằm giảm bớt banner cookie
    Cookie “rủi ro thấp” sẽ không còn hiện popup nữa, còn các loại khác có thể được quản lý bằng điều khiển tập trung trên trình duyệt

    • Thực ra cookie rủi ro thấp vốn đã được miễn trừ khỏi banner
      Ngược lại, các banner ép buộc đồng ý hiện nay mới là hành vi vi phạm pháp luật. EU chọn nới lỏng thay vì thực thi, điều này sẽ phản tác dụng với hệ sinh thái công nghệ châu Âu
    • Banner cookie rốt cuộc tạo ra đúng kết quả mà ngành công nghiệp lạm dụng dữ liệu mong muốn
      Công dân và doanh nghiệp nhỏ chịu thiệt, còn hệ sinh thái quảng cáo lớn thì hưởng lợi
    • Nhiều banner hiện nay vốn dĩ còn không cần thiết
      tuyên truyền của adtech, mọi người hiểu sai về việc chống theo dõi. Những website chỉ dùng cookie thuần kỹ thuật thì từ đầu đã không cần banner
    • Header Do Not Track hợp lý hơn nhiều
      Hiện nay Global Privacy Control đang nổi lên như một giải pháp thay thế
    • Rốt cuộc EU cũng như đang thừa nhận chính sách cookie của mình đã thất bại
      Ngay cả các website chính phủ cũng treo những banner khổng lồ

  • Việc có thể kiểm soát cookie trong trình duyệt là hướng đi hiển nhiên
    Xác minh độ tuổi cũng nên được xử lý ở cấp OS theo cách tương tự
    Nếu website thu thập giấy tờ tùy thân thì sớm muộn cũng sẽ dẫn đến bị hack và rò rỉ dữ liệu
    Chỉ cần phụ huynh đặt thiết bị của con ở “Kid Mode”, rồi luật buộc phải tôn trọng chế độ đó là đủ

    • Nhưng tôi cũng hoài nghi về xác minh bảo toàn quyền riêng tư
      Nếu nguồn dữ liệu bị hợp nhất, người dùng vẫn có nguy cơ bị nhận diện. Có thể là do tôi không hiểu sâu về triển khai mật mã, nhưng tôi vẫn thấy bất an
    • Tính năng ở cấp OS cũng có rủi ro. Cần nhớ lại thời kỳ Hàn Quốc bắt buộc ActiveX
      Thay vào đó, sẽ tốt hơn nếu chính phủ cung cấp dịch vụ digital ID công khai và xác thực bằng 2FA
    • Cách tiếp cận này cũng có thể trở thành một lệnh cấm gián tiếp với các giải pháp mã nguồn mở
      Cuối cùng nó có thể dẫn đến kiểu lập luận như “chỉ cho phép OS thương mại có secure boot”
    • Một “Kid Mode tốt” nên đơn giản và rõ ràng như chiếc điện thoại Lego này
    • Trước đây tiêu chuẩn P3P từng cố gắng tự động hóa việc này, nhưng Google đã phá hỏng nó

  • Nhìn vào địa ngục banner cookie rồi kết luận rằng “quy định là xấu” thì thật khó hiểu
    Vấn đề thực sự là thiếu thực thi. Nếu các dark pattern thật sự bị phạt tiền, mọi chuyện đã không thành ra thế này
    EU ngược lại nên thực thi mạnh hơn

    • Nhưng tôi không muốn một Internet do chính trị gia và luật sư thiết kế
      Mức độ điều tiết như vậy có thể bóp nghẹt sự sáng tạo
    • Lý do tuân thủ quy định không phải là tiền phạt mà là vì đó là luật
      Việc thảo luận ưu và nhược điểm của quy định là một câu chuyện riêng, không phụ thuộc vào vấn đề tiền phạt
    • Ngay cả website chính phủ của EU cũng đầy banner cookie. Họ cũng muốn dữ liệu

  • Đối với châu Âu, thay đổi lần này là cực kỳ quan trọng
    Tôi đã tư vấn cho hơn 100 startup, và các công ty ở EU đều than phiền rằng họ nghẹt thở vì quy định

    • Tôi tò mò không biết các startup đó đã dùng dữ liệu người dùng vào việc gì
    • Nhưng cá nhân tôi cho rằng bảo vệ dữ liệu cá nhân quan trọng hơn rất nhiều so với startup
      Nếu không thể xử lý nó đúng cách thì tốt nhất đừng đụng vào ngay từ đầu. Lòng tin của con người mới là cốt lõi
    • Nói thật, tuân thủ GDPR không khó
      Vấn đề là sự kém năng lực, không phải quy định. Những công ty xử lý dữ liệu một cách vô trách nhiệm thì không xứng đáng thành công

  • Châu Âu đang yếu đi vì các nhóm vận động hành lang
    Những chính trị gia như Ursula cũng không phải ngoại lệ

    • Thực ra các nhóm vận động hành lang đang làm cả thế giới yếu đi
      Cần có quy định tài chính mạnh hơn cả với giới chính trị gia
    • Nghiên cứu AI cần lượng dữ liệu khổng lồ, còn GDPR thì đi theo hướng ngược lại
      Vì thế những nước có quy định dữ liệu lỏng lẻo hơn sẽ có lợi thế.
      Có vẻ EU đang nhận ra bất lợi tự tạo ra cho chính mình và muốn nới nó ra

  • Đề xuất này giờ sẽ được chuyển sang quy trình phê duyệt của Nghị viện châu Âu và 27 quốc gia thành viên
    Chưa có gì được chốt cả

  • GDPR không phải chuyện có thể nhân nhượng
    Vấn đề banner cookie là do các đơn vị vận hành website đã chọn dùng dark pattern
    EU lẽ ra phải mạnh tay trấn áp việc này hơn
    Điều khiển tập trung trên trình duyệt có thể trở thành phiên bản cải tiến của Do Not Track, nhưng tính cưỡng chế pháp lý là điều bắt buộc

    • Thực ra đa số mọi người không muốn cookie
      Tôi nghĩ tốt hơn là nên hình sự hóa việc dùng cookie không thiết yếu
    • Việc kiểm soát không nên ở trình duyệt mà phải ở cấp OS
      Ứng dụng cũng theo dõi dữ liệu, nên lý tưởng nhất là chỉ hỏi một lần trong phần cài đặt thiết bị rồi xong