Quyền riêng tư dữ liệu trong kinh doanh số ở Hoa Kỳ

TS. Nguyễn Thị Lan Anh
Học viện Hành chính Quốc gia

(Quanlynhanuoc.vn) – Trong số các quốc gia được lựa chọn nghiên cứu nâng cao về số hóa liên quan đến quyền riêng tư dữ liệu và nguồn lực cộng đồng, Hoa Kỳ là nơi có một số nền tảng cung cấp dịch vụ cộng đồng lớn nhất, nằm trong số nền kinh tế lớn nhất thế giới. Cùng với Trung Quốc và Đức, Hoa Kỳ đã đạt được những tiến bộ đáng kể về mặt lập pháp trong lĩnh vực bảo vệ dữ liệu trong kinh doanh số.

Từ khóa: Quyền riêng tư, kinh doanh số, Hoa Kỳ, bảo mật dữ liệu.

 1. Sự đa dạng của quy định về quyền riêng tư

Hoa Kỳ là quốc gia có sự đa dạng phức tạp của các đạo luật liên bang và tiểu bang cũng như án lệ về bảo vệ dữ liệu. Không giống như ở EU, không có luật chung về quyền riêng tư quốc gia. Tuy nhiên, nhiều luật cụ thể theo ngành về sử dụng dữ liệu đã được thông qua, một số luật trong đó cũng có thể ảnh hưởng đến các nền tảng cung cấp nguồn lực cộng đồng. Ví dụ: Đạo luật bảo vệ quyền riêng tư trực tuyến của trẻ em (COPPA) quy định các yêu cầu đối với nhà điều hành các trang web thu thập dữ liệu cá nhân từ trẻ em dưới 13 tuổi.

Đạo luật về quyền riêng tư trong liên lạc điện tử đề cập đến cả các cơ quan công và tư, áp đặt các hạn chế đối với việc sử dụng liên lạc điện tử. Khi các nền tảng cung cấp nguồn lực cộng đồng yêu cầu, nhận và sử dụng kiểm tra lý lịch hoặc thông tin tín dụng từ người dùng và khách hàng, các yêu cầu của Đạo luật báo cáo tín dụng công bằng (FCRA) có thể phù hợp.

FCRA có các điều khoản về tính chính xác và tiết lộ thông tin tài chính nhằm mục đích bảo vệ người tiêu dùng khỏi hành vi trộm cắp danh tính. Theo đó, các nền tảng chỉ có thể lấy báo cáo của người tiêu dùng, tức là tập hợp tài liệu mà nhà tuyển dụng tiềm năng có thể sử dụng để đánh giá một nhân viên tiềm năng, vì các mục đích được pháp luật cho phép. Ví dụ, báo cáo của người tiêu dùng bao gồm thông tin từ các cơ quan tín dụng về uy tín tín dụng, danh tiếng chung và đặc điểm cá nhân của người tiêu dùng. Việc kiểm tra lý lịch về nhân viên cộng đồng cũng có thể được coi là báo cáo của người tiêu dùng. Nếu các nền tảng có hành động bất lợi dựa trên các báo cáo đó, họ phải thông báo cho những người bị ảnh hưởng.

Giống như thông lệ ở các quốc gia khác, các nền tảng cung cấp dịch vụ cộng đồng của Hoa Kỳ thường lồng ghép các điều khoản về quyền riêng tư vào điều khoản sử dụng chung của họ. Không có sự kiểm soát lạm dụng các điều khoản và điều kiện được tiêu chuẩn hóa có thể so sánh với luật pháp của Đức ở Hoa Kỳ. Tuy nhiên, trong một số trường hợp nhất định, có thể tiến hành xử lý các hành vi vi phạm quyền riêng tư về mặt sử dụng theo luật cạnh tranh.

Một số dự luật chống độc quyền gần đây đã được đưa ra tại Quốc hội Hoa Kỳ nhằm hạn chế thị trường và sức mạnh dữ liệu của các công ty nền tảng lớn. Đạo luật về lựa chọn và đổi mới trực tuyến của Hoa Kỳ sẽ nghiêm cấm các hạn chế truy cập dữ liệu đối với người dùng doanh nghiệp. Đạo luật tăng cường khả năng tương thích và cạnh tranh bằng cách kích hoạt chuyển đổi dịch vụ (ACCESS) sẽ yêu cầu các nền tảng bảo đảm một số tiêu chuẩn tối thiểu về khả năng tương tác và khả năng di chuyển dữ liệu.

Ủy ban thương mại liên bang (FTC) đóng vai trò nổi bật trong việc thực thi quyền riêng tư dữ liệu ở Hoa Kỳ. FTC là cơ quan liên bang độc lập chịu trách nhiệm về cạnh tranh và bảo vệ người tiêu dùng. FTC có thể coi hành vi vi phạm quyền riêng tư của người tiêu dùng là cạnh tranh không lành mạnh dựa trên 15 bộ luật của Hoa Kỳ. FTC có thể thực hiện hành động chống lại thông tin sai lệch hoặc không chính xác trong tuyên bố về quyền riêng tư của các nền tảng cung cấp dịch vụ cộng đồng. Trước đây, FTC đã nhiều lần phản đối các hoạt động bảo vệ dữ liệu của các tập đoàn kỹ thuật số hùng mạnh như Google hay Meta-Facebook. Các hành vi vi phạm bảo vệ dữ liệu của các nền tảng cung cấp dịch vụ cộng đồng và đại diện của họ cũng có thể bị xử phạt thông qua luật tra tấn của Hoa Kỳ.

Hơn nữa, hầu hết các tiểu bang của Hoa Kỳ đều có luật bảo vệ dữ liệu cụ thể cho cư dân mà các công ty nền tảng nên xem xét. California đã đóng vai trò tiên phong trong luật về quyền riêng tư. Với Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA) năm 2018, có hiệu lực từ năm 2020, một tiêu chuẩn bảo vệ dữ liệu tương đương với GDPR đã được thiết lập. Các tiểu bang khác đang ngày càng noi gương California. Vào năm 2021, Virginia và Colorado đã thông qua luật quyền riêng tư mới và luật tương tự như CCPA sẽ được lên kế hoạch ở các bang khác, như: New York, Washington, Florida và Minnesota.

Không giống như ở EU, việc tự điều chỉnh tự nguyện của các công ty là rất quan trọng đối với chế độ bảo vệ dữ liệu của Hoa Kỳ. Ví dụ về khả năng tự điều chỉnh trong nền kinh tế internet là các chương trình niêm phong quyền riêng tư TRUSTe, BBBOnline và nguyên tắc liên minh quyền riêng tư trực tuyến. Một số nền tảng cung cấp dịch vụ cộng đồng của Hoa Kỳ quảng cáo rõ ràng trên trang web được chứng nhận TRUSTe và/hoặc BBBOnline. Bằng cách sử dụng các con dấu bảo mật, các nền tảng đang tìm cách nổi bật so với đối thủ cạnh tranh và tạo hình ảnh tích cực với khách hàng và đối tác kinh doanh.

Thỏa thuận Bảo vệ quyền riêng tư được đàm phán giữa Ủy ban châu Âu và Bộ Thương mại Hoa Kỳ là một ví dụ về quyền tự điều chỉnh do chính phủ khởi xướng. Kể từ năm 2016, các công ty Hoa Kỳ đã có thể tham gia vào khuôn khổ bảo vệ dữ liệu Privacy Shield và do đó được chứng nhận là người nhận chuyển dữ liệu hợp pháp từ EU.

2. Bảo mật dữ liệu, quyền riêng tư cá nhân

Có nhiều luật ở Hoa Kỳ áp đặt nghĩa vụ bảo mật dữ liệu đối với các công ty tư nhân. Ở cấp liên bang, FTC với tư cách là cơ quan bảo vệ người tiêu dùng của quốc gia, yêu cầu các công ty đã tiết lộ một số thông tin cá nhân nhất định phải thông báo cho các đối tượng dữ liệu bị ảnh hưởng và đôi khi là cả cơ quan quản lý.

Một số tiểu bang đã thông qua các tiêu chuẩn bổ sung về bảo mật dữ liệu, xử lý dữ liệu và an ninh mạng. Ví dụ, quy định cụ thể về an ninh của tiểu bang Massachusetts yêu cầu các công ty nằm trong phạm vi điều chỉnh của luật phải phát triển và triển khai chương trình bảo mật thông tin toàn diện. Luật pháp California yêu cầu các doanh nghiệp kỹ thuật số phải “thực hiện các thủ tục và biện pháp bảo mật hợp lý” để bảo vệ dữ liệu cá nhân của cư dân California khỏi bị truy cập, phá hủy, sử dụng, sửa đổi hoặc tiết lộ trái phép hoặc bất hợp pháp.

Ngoài ra còn có các tiêu chuẩn ngành tự nguyện rộng rãi về bảo mật dữ liệu. Một trong những tiêu chuẩn này là Khung An ninh mạng do Viện Tiêu chuẩn và Công nghệ quốc gia (NIST) thiết lập và đã được chứng minh là có ảnh hưởng lớn đến các công ty tư nhân. Khung NIST, dựa trên bộ tiêu chuẩn ISO/IEC 27000 dành cho hệ thống quản lý bảo mật thông tin, bao gồm các biện pháp an ninh mạng cụ thể trong năm giai đoạn: “Xác định, Bảo vệ, Phát hiện, Phản hồi, Phục hồi”. Nhiều khuôn khổ luật định và tư nhân cũng khuyến khích đánh giá rủi ro, đào tạo nhân viên, kiểm soát quyền truy cập đối với dữ liệu dễ bị tổn thương và xác thực hoặc mã hóa dữ liệu đa yếu tố.

Không giống như ở EU, không có định nghĩa duy nhất cho thuật ngữ “thông tin cá nhân” ở Hoa Kỳ. Cách tiếp cận của Hoa Kỳ đối với dữ liệu cá nhân bao gồm nhiều định nghĩa khác nhau và khá không nhất quán. Ví dụ: COPPA có thể liên quan đến nguồn lực cộng đồng kỹ thuật số, định nghĩa thông tin cá nhân là “thông tin nhận dạng cá nhân về một cá nhân được thu thập trực tuyến”, bao gồm tên, địa chỉ, tên người dùng, số điện thoại, video, ảnh, dữ liệu vị trí hoặc số an sinh xã hội.

Một số luật về quyền riêng tư định nghĩa thông tin cá nhân là một thứ gì đó không phải là dữ liệu thống kê hoặc dữ liệu tổng hợp có thể truy cập công khai. Nhiều luật thông báo vi phạm dữ liệu cấp tiểu bang có danh sách các loại dữ liệu cấu thành thông tin cá nhân. Một cách tiếp cận sâu rộng hơn sẽ áp dụng tiêu chuẩn do CCPA đặt ra, định nghĩa của tiêu chuẩn này thậm chí còn vượt xa GDPR ở một số khía cạnh. Dữ liệu cá nhân được định nghĩa rộng rãi là tất cả thông tin liên quan đến một người tiêu dùng hoặc hộ gia đình cụ thể. Ngược lại với GDPR, dữ liệu hộ gia đình và thiết bị cũng được phân loại là thông tin cá nhân. Trong số các mục khác, CCPA liệt kê thông tin cá nhân như tên, địa chỉ, tên tài khoản, thông tin hộ chiếu, số an sinh xã hội, bằng lái xe và chữ ký.

Thông tin cá nhân cũng bao gồm thông tin thương mại, dữ liệu về hành vi tiêu dùng và mua hàng, dữ liệu sinh trắc học, lịch sử duyệt web, lịch sử tìm kiếm, địa chỉ IP và dữ liệu vị trí địa lý. CCPA có thể áp dụng cho các nền tảng cung ứng nguồn lực cộng đồng của người Hoa Kỳ và nước ngoài đang kinh doanh tại California.

Không giống như ở EU, không có khái niệm ràng buộc về mặt pháp lý nào về dữ liệu nhạy cảm nhận được sự bảo vệ mạnh mẽ hơn các loại dữ liệu khác tồn tại như một vấn đề chung trong luật pháp Hoa Kỳ. Cũng không có nghĩa vụ rõ ràng chung về việc đồng ý xử lý dữ liệu đó. Tuy nhiên, các nền tảng cung cấp dịch vụ cộng đồng thu thập một số loại thông tin người dùng nhất định có thể phải đáp ứng các tiêu chí đủ điều kiện pháp lý nhất định. Ví dụ: COPPA áp đặt các yêu cầu nhất định về quyền riêng tư thông tin đối với các trang web thu thập dữ liệu cá nhân từ trẻ em dưới 13 tuổi.

Hơn nữa, FTC đã cung cấp các hướng dẫn và điều tra của mình các ví dụ rõ ràng để xác định thông tin nhạy cảm của người tiêu dùng. Chúng bao gồm dữ liệu tài chính, dữ liệu về trẻ em, thông tin sức khỏe, dữ liệu vị trí chính xác và số nhận dạng do chính phủ cấp như số an sinh xã hội. FTC cũng đã khuyên các doanh nghiệp kỹ thuật số nên có được sự đồng ý rõ ràng từ người tiêu dùng để nhận quảng cáo theo hành vi trước khi thu thập hoặc sử dụng thông tin nhạy cảm cho mục đích này.

Ở cấp tiểu bang, Đạo luật về quyền riêng tư của California (CPRA) đưa ra định nghĩa rộng về dữ liệu nhạy cảm, bao gồm thông tin tài chính của người tiêu dùng, dữ liệu vị trí địa lý, nội dung thư của người tiêu dùng, dữ liệu sức khỏe, thành viên công đoàn, nguồn gốc chủng tộc hoặc dân tộc và niềm tin tôn giáo hoặc triết học. CPRA quy định các nghĩa vụ thông tin đặc biệt và quyền của chủ thể dữ liệu liên quan đến việc xử lý dữ liệu đó. Do đó, người tiêu dùng ở California sẽ có quyền quyết định việc thu thập dữ liệu nhạy cảm ngoài mối quan hệ hợp đồng thông qua việc chọn không tham gia. Điều này có thể được thực hiện, chẳng hạn như bằng cách thêm một nút trên trang web có nội dung “Hạn chế sử dụng thông tin cá nhân nhạy cảm của tôi”.

Các tiểu bang khác như Colorado cũng có các yêu cầu pháp lý đặc biệt đối với việc xử lý thông tin nhạy cảm. Tuy nhiên, có thể nói rằng luật pháp của Hoa Kỳ, không giống như Quy định chung về bảo vệ dữ liệu của EU (GDPR) thường cho phép xử lý dữ liệu nhạy cảm và không yêu cầu sự đồng ý rõ ràng. Điều này được phản ánh rõ ràng trong các hoạt động thu thập dữ liệu rộng rãi giữa các nền tảng của Hoa Kỳ.

3. Bảo vệ dữ liệu người tiêu dung và nhân viên

Nếu người dùng mua hàng hóa hoặc dịch vụ trên nền tảng chủ yếu cho mục đích cá nhân thì họ được phân loại là người tiêu dùng. Những người làm việc trong cộng đồng thỉnh thoảng làm việc trên các hình thức nền tảng và được phân loại là cá nhân chứ không phải thực thể kinh doanh cũng có thể nằm trong định nghĩa rộng hơn về người tiêu dùng theo luật pháp Hoa Kỳ. Nếu người dùng là người tiêu dùng, các nền tảng phải tuân theo một loạt các quy tắc cụ thể ở cấp liên bang và cấp tiểu bang. Ví dụ: FCRA quy định các giới hạn về mục đích đối với việc thu thập thông tin tài chính của người tiêu dùng. Trong khi đó, FTC có phạm vi quyền lực rộng rãi để thực thi quyền riêng tư và bảo mật dữ liệu người tiêu dùng cá nhân. Ví dụ: FTC có thể tiến hành như một phần của thủ tục hành chính chống lại các chính sách bảo mật lừa đảo hoặc các biện pháp bảo mật không đầy đủ của các công ty.

Các thủ tục tố tụng của FTC thường bị chấm dứt bằng các văn bản đồng ý nêu rõ các hành động khắc phục như phạt tiền, hành động khắc phục hoặc giám sát của bên thứ ba đối với hoạt động sử dụng dữ liệu. Mặt khác, FTC có thể ban hành lệnh ngừng và ngừng hoạt động sau thủ tục chính thức, yêu cầu người nhận ngừng hoạt động bất hợp pháp bị thách thức. Ngoài ra, FTC có thể xin lệnh cấm trước các tòa án thông thường. Các yêu cầu bảo vệ dữ liệu của người tiêu dùng cũng có thể được thực thi bằng các biện pháp khởi kiện tập thể, có khả năng gây ra rủi ro đáng kể bồi thường thiệt hại cho các công ty.

Tương tự như luật của Đức và châu Âu, việc phân loại pháp lý những người làm việc trong cộng đồng là nhân viên hoặc nhà thầu độc lập đang gây nhiều tranh cãi ở Hoa Kỳ. Trong trường hợp tư cách nhân viên được khẳng định, các nền tảng phải xem xét nhiều quy định rải rác khác nhau với liên quan đến quyền riêng tư trong việc làm. Ví dụ: FCRA và nhiều luật của tiểu bang quy định việc kiểm tra lý lịch bằng cách yêu cầu sự đồng ý của nhân viên tiềm năng.

Đạo luật về quyền riêng tư trong truyền thông điện tử (ECPA) và Đạo luật quan hệ lao động quốc gia cũng có các tiêu chuẩn nhất định về bảo vệ quyền riêng tư của nhân viên. Hơn nữa, trong trường hợp vi phạm quyền riêng tư và giám sát nhân viên cộng đồng không được chấp nhận, các công ty nền tảng có thể phải chịu trách nhiệm pháp lý theo luật tra tấn. Tuy nhiên, cần lưu ý rằng, không giống như ở Đức, luật pháp Hoa Kỳ không có bất kỳ tiêu chuẩn chung nào hạn chế việc thu thập và sử dụng thông tin cá nhân của người lao động. Cũng không có quy định nào tương ứng với đặc thù của bối cảnh việc làm với sự bất cân xứng về quyền lực của nó.

4. Nguyên tắc chính của xử lý dữ liệu

Ngược lại với châu Âu, Hoa Kỳ thường cho phép xử lý dữ liệu cá nhân. Luồng thông tin tự do và lợi ích của nó đối với doanh nghiệp tự do trong lịch sử đóng một vai trò quan trọng ở Hoa Kỳ. Không có quy định chung nào về các nguyên tắc cơ bản của xử lý dữ liệu như tính minh bạch, giới hạn mục đích, giảm thiểu dữ liệu, độ chính xác và giới hạn lưu trữ có thể so sánh với GDPR. Tuy nhiên, các yêu cầu quan trọng về quyền riêng tư được phản ánh một phần trong luật về quyền riêng tư theo từng ngành và từng tiểu bang cụ thể của GDPR và do đó có thể phù hợp với các hoạt động cung ứng nguồn lực từ cộng đồng. Ví dụ: FCRA kết hợp các tiêu chuẩn về tính minh bạch, độ chính xác và giới hạn thu thập.

Ở cấp tiểu bang, luật riêng tư của California nói riêng đã áp dụng các nguyên tắc gần giống với cách tiếp cận của châu Âu. CCPA kết hợp các nghĩa vụ về thông tin và minh bạch toàn diện. Theo đó, các doanh nghiệp phải đăng trong chính sách quyền riêng tư của mình, trong số những nội dung khác, thông tin về danh mục dữ liệu được thu thập, mục đích xử lý, danh mục thông tin cá nhân được bán hoặc tiết lộ và mô tả về quyền riêng tư của người tiêu dùng như quyền lựa chọn. không được bán dữ liệu và có quyền yêu cầu xóa thông tin cá nhân. CPRA có các quy tắc giảm thiểu dữ liệu và giới hạn lưu trữ tương tự như GDPR. Tuy nhiên, cần lưu ý rằng luật về quyền riêng tư của California không phản ánh tất cả các nguyên tắc về quyền riêng tư cốt lõi của châu Âu. Ví dụ, các yêu cầu về tính hợp pháp và công bằng không có trong quy định của California.

Các khái niệm về quyền riêng tư theo thiết kế và quyền riêng tư theo mặc định, áp dụng cách tiếp cận chủ động đối với quyền riêng tư dữ liệu, là những yếu tố chính mới của GDPR. Các nhà quản lý Hoa Kỳ cũng đã chấp nhận nguyên tắc bảo mật theo thiết kế. Ngay cả trước khi GDPR áp dụng chiến lược này, FTC đã thiết lập quyền riêng tư của mình theo các quy tắc thiết kế. Khuôn khổ FTC kêu gọi các công ty triển khai nhiều kỹ thuật phòng ngừa khác nhau như bảo mật hợp lý, mã hóa SSL và chặn cookie theo mặc định.

Điều đáng nói trong bối cảnh này là FTC đã đặt ra các nguyên tắc thực hành thông tin công bằng liên quan đến quyền riêng tư trên Internet. FTC đã xác định năm nguyên tắc cốt lõi về bảo vệ dữ liệu cần được thực hiện chủ yếu bằng cơ chế tự điều chỉnh của công ty: “Thông báo/Nhận thức”, “Lựa chọn” /Đồng ý,” “Truy cập/Tham gia”, “Tính chính trực/Bảo mật” và “Thực thi/Khắc phục”. Viện Luật Hoa Kỳ (ALI), một tổ chức khoa học độc lập hàng đầu ở Hoa Kỳ, gần đây cũng đã áp dụng một khuôn khổ các nguyên tắc bảo mật dữ liệu phù hợp với GDPR. Tuy nhiên, những công cụ này có đặc điểm riêng khuyến nghị không ràng buộc.

5. Đồng ý xử lý dữ liệu: yêu cầu pháp lý hạn chế

Ở Hoa Kỳ, không giống như ở EU, không cần phải có sự đồng ý của cá nhân để thu thập và xử lý dữ liệu. Không có yêu cầu về căn cứ pháp lý cho việc xử lý dữ liệu cá nhân. Tuy nhiên, nguyên tắc đồng ý là một khái niệm có liên quan trong luật về quyền riêng tư của Hoa Kỳ. Luật pháp quy định sử dụng sự đồng ý dưới hình thức cơ chế chọn tham gia và từ chối. Trong trường hợp chọn tham gia, việc xử lý dữ liệu không thể diễn ra trừ khi người liên quan đưa ra sự đồng ý khẳng định của họ. Chọn không tham gia có nghĩa là việc xử lý dữ liệu diễn ra trừ khi chủ thể dữ liệu phản đối. Những yêu cầu về quyền này cũng có thể ảnh hưởng đến nền tảng cung cấp dịch vụ cộng đồng. FCRA có một trong những cơ chế chọn tham gia mạnh nhất, yêu cầu thông báo rõ ràng và ủy quyền bằng văn bản từ người tiêu dùng trước khi nhà tuyển dụng tiềm năng có thể sử dụng báo cáo tín dụng tiêu dùng cho mục đích việc làm. Có thể tìm thấy ví dụ về sự đồng ý từ chối trong luật về quyền riêng tư của California.

CCPA quy định người tiêu dùng có quyền phản đối việc bán dữ liệu của họ. Hơn nữa, FTC ủng hộ khái niệm về sự đồng ý tự do và có đầy đủ thông tin (“Thông báo và Lựa chọn”) đối với hoạt động thu thập dữ liệu trực tuyến của các công ty và đã cung cấp hướng dẫn thực hiện khái niệm này.

Các yêu cầu về sự đồng ý trong luật pháp Hoa Kỳ có giới hạn và ít hạn chế hơn so với các quy định của EU. Ví dụ, luật pháp Hoa Kỳ không quan tâm đến khả năng mất cân bằng quyền lực trong việc làm hoặc các mối quan hệ khác. Không giống như bối cảnh châu Âu, khi sử dụng công nghệ cookie web, sự đồng ý ngụ ý là đủ. Ngoài ra, việc chỉ sử dụng một trang web được coi là sự đồng ý ngầm cho việc xử lý dữ liệu thông qua các điều khoản và điều kiện chung.

Việc ra quyết định bằng thuật toán có thể được sử dụng trong suốt quá trình huy động nguồn lực từ cộng đồng. Việc kết hợp, lựa chọn và đánh giá hiệu suất của những người làm việc cộng đồng thường dựa trên các thuật toán. Các thuật toán cũng có thể được sử dụng để lập hồ sơ khách hàng. Tuy nhiên, việc ra quyết định bằng thuật toán trong việc sử dụng nguồn lực từ cộng đồng có thể không rõ ràng và dễ mắc lỗi, sai lệch và phân biệt đối xử.

Các nền tảng sử dụng thuật toán trong hoạt động kinh doanh nên xem xét các luật về quyền riêng tư và cơ hội bình đẳng khác nhau có thể áp dụng cho các quy trình đó. Ví dụ: FCRA có hiệu lực trong một số trường hợp nhất định khi thuật toán từ chối việc làm của mọi người hoặc các lợi ích khác. Quy định của FTC có thể được áp dụng khi phân tích dữ liệu được sử dụng theo cách lừa đảo hoặc không công bằng, chẳng hạn như khi các thuật toán thiên về giới tính hoặc chủng tộc. Trong một lệnh được chú ý nhiều về hành vi vi phạm COPPA, FTC gần đây đã yêu cầu WW International, trước đây gọi là Weight Watchers, phá hủy mọi thuật toán được đào tạo bằng dữ liệu được thu thập bất hợp pháp từ trẻ em.

Một số đạo luật về quyền riêng tư ở cấp tiểu bang có quy định về trách nhiệm giải trình và quyền minh bạch xung quanh đưa ra quyết định và lập hồ sơ tự động, tương tự như GDPR. Luật riêng tư của California yêu cầu quyền từ chối đối với việc sử dụng tính năng ra quyết định tự động, bao gồm cả việc lập hồ sơ. Ngoài ra, họ yêu cầu doanh nghiệp tiết lộ thông tin về logic làm cơ sở cho quá trình ra quyết định đó cũng như những hậu quả dự kiến ​​của chúng đối với người tiêu dùng. Các quy tắc tương tự có thể được tìm thấy trong luật riêng tư mới của Virginia. Các nền tảng sử dụng thuật toán cũng nên xem xét luật chống phân biệt đối xử của Hoa Kỳ, chủ yếu tập trung vào bối cảnh việc làm, chẳng hạn, như: Đạo luật Dân quyền năm 1964 và Đạo luật Không phân biệt đối xử về thông tin di truyền (FTC, 2016).

Nhìn chung, rủi ro phân biệt đối xử thông qua các thuật toán cho đến nay vẫn chưa được luật pháp Hoa Kỳ giải quyết cụ thể và đầy đủ. Ví dụ, luật cơ hội bình đẳng tập trung vào những người ra quyết định là con người mà không tính đến sự phân biệt đối xử không chủ ý của các thuật toán. Ngược lại với luật pháp châu Âu, một số quy tắc cụ thể về trách nhiệm giải trình thuật toán và tính minh bạch trong luật quyền riêng tư của Hoa Kỳ được giới hạn trong các đạo luật của tiểu bang và do đó có phạm vi tương đối hẹp.

6. Yêu cầu đánh giá, các bước thực thi và chế tài

Đánh giá tác động đến quyền riêng tư đáng tin cậy có thể giúp các nền tảng cung cấp dịch vụ cộng đồng chủ động đánh giá và quản lý rủi ro về quyền riêng tư, đồng thời giảm bớt mối lo ngại của khách hàng trong lĩnh vực này. FTC đã nhiều lần yêu cầu các công ty thiết lập các quy trình đánh giá rủi ro theo luật pháp của mình. Ở cấp tiểu bang, CPRA mới quy định rằng các doanh nghiệp phải tiến hành kiểm tra an ninh mạng hằng năm và nộp cho Cơ quan bảo vệ quyền riêng tư các đánh giá rủi ro thường xuyên nếu “việc xử lý thông tin cá nhân của người tiêu dùng gây ra rủi ro đáng kể đối với quyền riêng tư hoặc bảo mật”. Các luật an ninh nhà nước khác cũng yêu cầu các công ty tiến hành đánh giá rủi ro định kỳ. Do đó, hợp lý khi kết luận rằng các yêu cầu pháp lý đối với việc thực hiện đánh giá tác động đến quyền riêng tư trong khu vực tư nhân còn hạn chế. Đánh giá rủi ro hiếm khi được pháp luật yêu cầu. Các quy định liên quan thường chỉ mang tính khuyến nghị và thiếu cơ chế kiểm soát, thực thi.

Luật về quyền riêng tư của liên bang Hoa Kỳ yêu cầu các công ty phải bổ nhiệm các nhân viên bảo vệ dữ liệu chuyên trách. Một số quy định về an ninh của tiểu bang thiết lập nghĩa vụ chỉ định nhân viên hoặc nhà cung cấp bên ngoài chịu trách nhiệm cụ thể về việc quản lý bảo mật dữ liệu. Tuy nhiên, không giống như ở Đức và châu Âu, không có nghĩa vụ pháp lý chung nào trong việc bổ nhiệm các nhân viên bảo mật hoặc bảo mật dữ liệu nội bộ hoặc bên ngoài. Mặc dù vậy, việc tạo ra những vị trí như vậy vẫn là một thông lệ phổ biến trong thế giới kinh doanh và một tỷ lệ lớn các công ty Hoa Kỳ đã đề cử các giám đốc quyền riêng tư để đánh giá và bảo đảm việc tuân thủ quyền riêng tư trong tổ chức của họ.

Cơ quan bảo vệ dữ liệu là trụ cột cơ bản của luật bảo vệ dữ liệu của Đức và châu Âu. Ngược lại, ở Hoa Kỳ không có cơ quan thực thi đặc biệt nào có thể so sánh được. Các hành vi vi phạm bảo vệ dữ liệu chủ yếu bị FTC trừng phạt là cạnh tranh không lành mạnh. Ở cấp tiểu bang, tổng chưởng lý tiểu bang đóng một vai trò thiết yếu liên quan đến việc tuân thủ quyền riêng tư dữ liệu trong phạm vi bảo vệ người tiêu dùng. CPRA thành lập Cơ quan bảo vệ quyền riêng tư California mới. Đây là lần đầu tiên một cơ quan có thẩm quyền được thành lập ở Hoa Kỳ với mục đích duy nhất là bảo vệ quyền riêng tư của công dân một bang. Cơ quan bảo vệ quyền riêng tư California sẽ có chức năng xây dựng quy tắc, giải thích, giáo dục và thực thi.

Luật về quyền riêng tư của Hoa Kỳ được các cơ quan chức năng và nguyên đơn tư nhân thực thi tương đối nghiêm ngặt, với các hình phạt và tiền phạt cao, đồng thời yêu cầu bồi thường thiệt hại thường lên tới hàng triệu nếu không muốn nói là hàng tỷ đô la Hoa Kỳ trong các vụ kiện tập thể.

FTC đã áp dụng các hình phạt cao đối với các công ty nền tảng lớn, ở mức độ nghiêm trọng chưa từng có trong hệ thống pháp luật của Đức. Chẳng hạn, vào năm 2019, trong lệnh dàn xếp lịch sử, FTC đã đưa ra mức phạt 5 tỷ USD đối với Facebook vì vi phạm quyền riêng tư của người tiêu dùng. FTC đã thách thức Facebook sử dụng cài đặt quyền riêng tư gây hiểu lầm và chia sẻ dữ liệu với bên thứ ba bất chấp sở thích của người dùng. Sau khi Google bỏ qua cài đặt quyền riêng tư Safari của Apple, FTC đã phạt công ty này hơn 22 triệu USD (2014). Apple đã đồng ý trả hơn 32 triệu USD để giải quyết khiếu nại FTC vì trẻ em mua hàng trong ứng dụng mà không có sự đồng ý của cha mẹ. Theo GDPR, mức độ phạt vi phạm là vào khoảng hàng triệu euro. Ở châu Âu, các mức phạt cao gần đây đã được áp dụng đối với các tập đoàn kỹ thuật số như Google vì vi phạm quyền riêng tư. Nhìn chung, việc thực thi luật về quyền riêng tư ở Hoa Kỳ với mức phạt có thể lên tới hàng tỷ đô la Hoa Kỳ, mạnh mẽ hơn nhiều.

Nguồn: Data Privacy and Crowdsourcing A Comparison of Selected Problems in China, Germany and the United States. https://doi.org/10.1007/978-3-031-32064-4