TS. Nguyễn Thị Lan Anh
Học viện Hành chính Quốc gia
(Quanlynhanuoc.vn) – Trong môi trường số, một trong những yêu cầu cấp thiết là làm thế nào để phát huy hiệu quả của dữ liệu, đồng thời bảo vệ quyền riêng tư trong hoạt động quản lý dữ liệu. Crowdsourcing (tạm dịch “nguồn lực cộng đồng”) được hiểu như một nguyên tắc tổ chức công việc, biểu hiện dưới những hình thức rất khác nhau và có rất nhiều hình thức huy động nguồn lực từ cộng đồng khác nhau trong thế giới phẳng. Bài viết giới thiệu một số nội dung về quyền riêng tư dữ liệu và nguồn lực cộng đồng ở Đức, một chủ đề có tính thời sự và còn ít được đề cập đến.
Từ khóa: Môi trường số, dữ liệu, quyền riêng tư, nguồn lực cộng đồng, Đức.
1. Đặt vấn đề
Dữ liệu được mệnh danh là “dầu mới” (“new oil”) thúc đẩy các mô hình kinh doanh của nền kinh tế kỹ thuật số, nhưng có những rủi ro đáng kể về quyền riêng tư đối với những người hoạt động trong không gian kỹ thuật số. Những người có sinh kế phụ thuộc vào hoạt động cộng đồng có thể bị ảnh hưởng đặc biệt vì việc sử dụng dữ liệu của họ.
Mặc dù đến thời điểm hiện tại chưa có quy định cụ thể nào về việc bảo vệ dữ liệu trên các nền tảng cung cấp nguồn lực cộng đồng trên thế giới, ở một số quốc gia, trong những năm gần đây, số lượng các luật và quy định được ban hành ngày càng tăng để giải quyết việc xử lý dữ liệu trên các nền tảng này. Một quốc gia trong số nền kinh tế lớn nhất thế giới, có số lượng nền tảng cung cấp dịch vụ cộng đồng lớn nhất cũng như đã đạt được những tiến bộ đáng kể về mặt lập pháp trong lĩnh vực bảo vệ dữ liệu là Đức. Quy định chung về bảo vệ dữ liệu của EU (GDPR) được áp dụng ở Đức thể hiện một bước quyết định về mặt bảo vệ dữ liệu và có hiệu lực ràng buộc từ ngày 25/5/2018.
Thuật ngữ Crowdsourcing được đặt ra như một từ ghép của các từ “crowd” và “outsourcing”. Nguồn lực cộng đồng được hiểu như việc thuê ngoài các hoạt động mà theo cách truyền thống do nhân viên nội bộ thực hiện cho một nhóm người không xác định và thường là nhóm lớn. Ngân hàng Thế giới định nghĩa “nguồn lực trực tuyến” là mối quan hệ hợp đồng giữa người lao động nước ngoài và khách hàng để cung cấp dịch vụ hoặc thực hiện nhiệm vụ thông qua các thị trường hoặc nền tảng dựa trên internet. “Đám đông” mà hoạt động được thuê ngoài không nhất thiết phải ở bên ngoài công ty. Nguồn lực cộng đồng nội bộ, trong đó lực lượng lao động hoạt động như một đám đông cũng rất phổ biến, chẳng hạn như tại IBM và Daimler.
Ở Đức, người lao động cộng đồng là những cá nhân kiếm được ít nhất một phần thu nhập bằng cách thực hiện công việc, được trả lương thông qua nền tảng internet hoặc ứng dụng điện thoại thông minh, được thực hiện trực tuyến hoặc ngoại tuyến. Định nghĩa này loại trừ công việc diễn ra trong một công ty, tức là công việc có thể được mô tả là nguồn lực cộng đồng nội bộ. Về tình trạng việc làm, nhân viên cộng đồng có thể là nhân viên tự kinh doanh, toàn thời gian hoặc bán thời gian cho một công ty khác nhưng cũng có thể là những người không có việc làm như sinh viên hoặc người về hưu. Ở Đức, một số lượng lớn các hoạt động có thể được gộp vào thuật ngữ hoạt động cộng đồng, bao gồm các tác vụ với thời gian xử lý ngắn, được thực hiện thông qua các nền tảng như Clickworker, Streetspotr và Testbirds. Nhưng cũng có hoạt động huy động nguồn lực từ cộng đồng dưới hình thức cạnh tranh cho các công việc thiết kế được thực hiện trên nền tảng jovoto, cũng như các nhiệm vụ giải quyết vấn đề phức tạp và sáng tạo nhằm vào các chuyên gia có trình độ cao như trên nền tảng twago.
Bằng chứng thực nghiệm ở Đức cho thấy những người làm việc theo nhóm không có khả năng là một phần của lực lượng lao động và người Đức thường theo đuổi việc sử dụng nguồn lực từ cộng đồng như một hoạt động thứ yếu. Tuy nhiên, nguồn lực cộng đồng đang gia tăng trong nhóm lao động truyền thống. Khoảng 8% công ty Đức trong nền kinh tế thông tin đã sử dụng phương pháp làm việc cộng đồng; 6% trong sản xuất. Khoảng một nửa số công ty coi việc tiếp cận các kỹ năng chuyên môn trong tương lai là mục tiêu khả thi khi sử dụng phương pháp làm việc cộng đồng. Tỷ lệ sử dụng dịch vụ cộng đồng đã tăng gần gấp đôi kể từ năm 2014 và theo các công ty sẽ tiếp tục tăng. Một phần của việc sử dụng nguồn lực cộng đồng ngày càng tăng là do những điều chỉnh trong tổ chức công việc liên quan đến Covid-19 và nhu cầu ngày càng tăng về các chuyên gia trong lĩnh vực công nghệ thông tin và các lĩnh vực liên quan.
2. Quy định về quyền riêng tư dữ liệu và nguồn lực cộng đồng ở Đức
(1) Cơ sở pháp lý về bảo vệ dữ liệu và nguồn lực cộng đồng.
Tại Đức, quy định chung về bảo vệ dữ liệu của EU (GDPR) là công cụ quản lý trung tâm để xử lý dữ liệu cá nhân của các doanh nghiệp sử dụng dịch vụ cộng đồng. Luật pháp EU không quy định cụ thể các công ty nền tảng, nhưng giống như bất kỳ công ty xử lý dữ liệu nào khác, họ phải tuân theo các yêu cầu pháp lý. Vào ngày 25/5/2018, GDPR có hiệu lực ràng buộc và được áp dụng theo mức độ ưu tiên trực tiếp ở tất cả các quốc gia thành viên EU.
Theo “nguyên tắc thị trường”, các công ty ngoài châu Âu cung cấp hàng hóa và dịch vụ cho khách hàng EU và khách truy cập trang web cũng phải tuân thủ GDPR. Trong chừng mực khuôn khổ siêu quốc gia tạo điều kiện thuận lợi cho các quy định quốc gia, Đạo luật bảo vệ dữ liệu liên bang của Đức (Bundesdatenschutzgesetz, BDSG) vẫn được áp dụng như một nguồn luật có liên quan hơn. Với vai trò là nhà cung cấp dịch vụ internet, các nền tảng cung cấp dịch vụ cộng đồng cũng phải xem xét các yêu cầu của Đạo luật Truyền thông Tele (Telekommunikationsgesetz, TKG) và Đạo luật Telemedia (Telemediengesetz, TMG).
Trong thực tế, thông tin về xử lý dữ liệu trên nền tảng cộng đồng thường được tích hợp vào các điều khoản và điều kiện chung. Các quy định tự chủ của tư nhân như vậy phải được so sánh với các điều khoản kiểm soát lạm dụng của Bộ luật Dân sự Đức (Bürgerliches Gesetzbuch, BGB) đối với các điều khoản và điều kiện chung. Họ không được đi chệch khỏi mô hình pháp lý – ví dụ: các yêu cầu của GDPR – theo cách gây bất lợi hoặc quá sâu rộng, bất lợi. Trong chừng mực người dùng nền tảng là người tiêu dùng, các yêu cầu đặc biệt nghiêm ngặt sẽ áp dụng cho các điều khoản bảo vệ dữ liệu được xây dựng trước; sau đó, các hành vi vi phạm bảo vệ dữ liệu cũng có thể bị các hiệp hội người tiêu dùng truy tố theo Đạo luật Hành động (Unterlassungsklagengesetz, UklaG).
Việc sử dụng dữ liệu cá nhân và phân tích bộ dữ liệu lớn trong các mô hình kinh doanh kỹ thuật số có thể mang lại lợi thế cạnh tranh mang tính quyết định. Mặt khác, xu hướng đáng chú ý trong thị trường cung cấp dịch vụ cộng đồng tập trung vào sức mạnh kinh tế và tài nguyên dữ liệu thông qua một số nền tảng lớn tiềm ẩn nguy cơ bóp méo cạnh tranh gây bất lợi cho khách hàng, người tiêu dùng và các nền tảng nhỏ hơn. Các vấn đề cạnh tranh liên quan đến “sức mạnh dữ liệu” của các công ty được giải quyết bằng luật chống độc quyền của châu Âu và Đức. Như trường hợp được chú ý nhiều của Văn phòng Cartel Liên bang Đức (Bundeskartellamt) chống lại Meta Facebook cho thấy, 7 yêu cầu chống độc quyền có thể là đòn bẩy để thực thi quyền bảo vệ dữ liệu.
Đạo luật số hóa GWB (GWB-Digitalisierungsgesetz) có hiệu lực vào tháng 1 năm 2021, có các quy định cụ thể nhằm hạn chế sức mạnh nền tảng. Khung pháp lý mới nêu rõ quyền truy cập vào dữ liệu liên quan đến cạnh tranh như một tiêu chí để xác định sức mạnh thị trường của các công ty, có thể bị chống lại bằng các biện pháp kiểm soát lạm dụng chống độc quyền. Văn phòng Cartel Liên bang Đức có thể cấm hành vi phản cạnh tranh trên các nền tảng lớn, chẳng hạn như từ chối khả năng di chuyển dữ liệu. Quy định này cũng quy định quyền truy cập dữ liệu trước sự phản đối của các công ty quyền lực.
Luật Cạnh tranh của Đức cũng có các điều khoản liên quan đến vấn đề quyền riêng tư. Hoạt động xử lý dữ liệu của nền tảng có thể gặp vấn đề từ quan điểm cạnh tranh không lành mạnh. Ví dụ: thông tin không đầy đủ về việc thu thập và sử dụng dữ liệu có thể bị đánh giá là phản cạnh tranh và có thể bị các hiệp hội và công ty cạnh tranh trừng phạt và ngăn chặn thông qua Đạo luật cạnh tranh không lành mạnh (Gesetz gegen den unlauteren Wettbewerb, UWG).
Quy định của EU về thúc đẩy sự công bằng và minh bạch cho người sử dụng thương mại các dịch vụ trung gian trực tuyến (Quy định (EU) 1150/2019 – Quy định ngang hàng với doanh nghiệp (P2B), có hiệu lực từ năm 2020 là một công cụ quan trọng khác liên quan đến các doanh nghiệp nền tảng. Quy định P2B bao gồm các yêu cầu về luật cạnh tranh và hợp đồng để bù đắp cho sự bất cân xứng về sức mạnh thị trường liên quan đến dữ liệu. Đặc biệt, các nền tảng có nghĩa vụ thiết lập tính minh bạch đối với người dùng thương mại của họ liên quan đến việc truy cập và xử lý dữ liệu cá nhân hoặc dữ liệu khác. Khách hàng có thể thực hiện hành động chống lại các điều khoản và điều kiện chung không minh bạch thông qua thủ tục khiếu nại nội bộ do nền tảng tạo ra. Ngoài ra, các hiệp hội cạnh tranh có thể truy tố các hành vi vi phạm nghĩa vụ minh bạch liên quan đến xử lý dữ liệu.
Đề xuất mới của Ủy ban châu Âu về hướng dẫn cải thiện điều kiện làm việc trong nền tảng đề cập cụ thể đến các vấn đề về quyền riêng tư liên quan đến nhân viên cộng đồng. Khung pháp lý theo kế hoạch có các hạn chế đối với việc xử lý dữ liệu cá nhân của nhân viên nền tảng (tự kinh doanh và được tuyển dụng) liên quan đến quản lý thuật toán.
Quy định về quyền riêng tư điện tử tiềm năng có thể mang lại các tiêu chuẩn bảo vệ dữ liệu mới ở các quốc gia thành viên EU liên quan đến việc sử dụng cookie và dịch vụ theo dõi web. Quy định về quyền riêng tư điện tử dự kiến sẽ thay thế, mở rộng và bổ sung các nghĩa vụ thông tin và yêu cầu về khả năng chấp nhận được đặt ra bởi GDPR và luật viễn thông của Đức.
(2) Bảo mật dữ liệu: Ranh giới giữa bảo vệ dữ liệu và Luật bảo mật công nghệ thông tin.
Các cuộc tấn công mạng, sử dụng phần mềm gián điệp và đánh cắp danh tính là những rủi ro đặc biệt cao trong các mô hình kinh doanh kỹ thuật số như huy động nguồn lực từ cộng đồng. Điều này dẫn đến những thách thức mới về bảo mật dữ liệu, nhằm mục đích bảo vệ khỏi sự thao túng, mất mát hoặc truy cập trái phép vào dữ liệu. Bảo mật dữ liệu được đảm bảo về mặt pháp lý trong GDPR. Mặc dù hiện tại không có quy định nào đặc biệt tính đến tình hình bảo mật trong các quy trình nền tảng nhưng các tiêu chuẩn khác nhau trong luật của Đức và châu Âu bắt buộc các công ty phải đảm bảo an ninh CNTT và bảo vệ dữ liệu người dùng khỏi bị mất, phá hủy, trộm cắp hoặc lạm dụng. Luật bảo mật CNTT chung và cụ thể theo khu vực của Đức có các điều khoản về các biện pháp bảo mật, nghĩa vụ thông tin và nghĩa vụ báo cáo trong trường hợp xảy ra trục trặc, cũng liên quan đến các nền tảng. Ngoài ra, còn có các quy định pháp luật cấp dưới như tiêu chuẩn DIN, tiêu chuẩn ISO. Ngoài ra còn có các quy định trong luật thuế và thương mại liên quan đến việc lưu trữ dữ liệu một cách an toàn.
Luật bảo vệ dữ liệu của EU cũng có các quy định cụ thể về bảo mật dữ liệu. Theo GDPR, các công ty nền tảng và bộ xử lý dữ liệu theo hợp đồng của họ có nghĩa vụ tiến hành phân tích rủi ro khi xử lý dữ liệu cá nhân và thực hiện các biện pháp bảo mật kỹ thuật và tổ chức cần thiết như mã hóa. Ngoài ra, GDPR quy định nghĩa vụ báo cáo cho cơ quan có thẩm quyền và những người bị ảnh hưởng trong trường hợp vi phạm dữ liệu. Vi phạm bảo mật dữ liệu có thể dẫn đến các biện pháp trừng phạt chính thức cũng như các hậu quả về hợp đồng và trách nhiệm pháp lý.
(3) Bảo vệ dữ liệu cá nhân và nhạy cảm.
Luật bảo vệ dữ liệu của Đức và châu Âu chỉ áp dụng nếu các nền tảng thu thập và xử lý dữ liệu cá nhân. Dữ liệu đó được định nghĩa trong GDPR là “tất cả thông tin liên quan đến một thể nhân đã được xác định hoặc có thể nhận dạng được”. Do đó, thông tin không nhất thiết phải xác định rõ ràng một người; chỉ cần có thể nhận dạng một người bằng các thông tin như ngày sinh và số an sinh xã hội là đủ. Địa chỉ IP cố định và động cũng có thể đại diện cho dữ liệu cá nhân.
Khi xử lý dữ liệu, các nền tảng phải xem xét rằng thông tin nhạy cảm của người dùng được bảo vệ đặc biệt về mặt pháp lý. Ví dụ: việc xử lý thông tin về màu da, đảng viên và công đoàn, tôn giáo hoặc dữ liệu sức khỏe về cơ bản bị cấm theo GDPR. Chỉ được phép xử lý dữ liệu trong các trường hợp đặc biệt, chẳng hạn như nếu người dùng đã đồng ý rõ ràng với việc xử lý thông tin nhạy cảm cho một mục đích cụ thể.
(4) Đặc điểm của việc bảo vệ dữ liệu: thông tin công ty, dữ liệu người tiêu dùng và nhân viên.
Luật Bảo vệ dữ liệu của Đức và châu Âu chỉ liên quan đến thông tin cá nhân của thể nhân. Trong trường hợp các nền tảng cung cấp dịch vụ cộng đồng thu thập và xử lý thông tin của công ty, các quy định bảo vệ dữ liệu hiện tại thường không thể áp dụng. Các trường hợp ngoại lệ được áp dụng nếu thông tin khách hàng doanh nghiệp cho phép đưa ra kết luận trực tiếp về cá nhân thể nhân. Những người hoạt động cộng đồng đang hoạt động với tư cách là doanh nhân solo trên các nền tảng cũng có thể dựa vào luật bảo vệ dữ liệu.
Phải tuân thủ các yêu cầu đặc biệt liên quan đến bảo vệ dữ liệu nếu người dùng nền tảng cung cấp dịch vụ cộng đồng là người tiêu dùng. Khách truy cập trang web và nhân viên cộng đồng thỉnh thoảng làm việc trên nền tảng sẽ thường xuyên phải được phân loại là người tiêu dùng. Do đó, trong một số trường hợp nhất định, các yêu cầu chặt chẽ hơn sẽ được áp dụng để hợp pháp hóa việc đồng ý xử lý dữ liệu.
Các công ty dạng nền tảng cũng phải mong đợi các hiệp hội người tiêu dùng thực hiện hành động pháp lý chống lại các vi phạm bảo vệ dữ liệu có thể xảy ra. Trong cuộc thảo luận pháp lý ở Đức, người ta đang tranh luận về việc liệu những người làm việc cộng đồng có được phân loại là nhân viên hay không, điều này sẽ ảnh hưởng đến các quy định về bảo vệ dữ liệu của nhân viên. Hầu hết các công ty nền tảng đều coi những người làm việc cộng đồng là những người tự kinh doanh. Tuy nhiên, năm 2020, Tòa án Lao động Liên bang (Bundesarbeitsgericht, BAG) gần đây đã phân loại nhân viên cộng đồng đang hoạt động trên nền tảng microtask là nhân viên theo luật lao động. Nếu nhân viên cộng đồng thuộc khái niệm nhân viên, thì các yêu cầu về tính pháp lý ngày càng tăng đối với việc xử lý dữ liệu trong quan hệ lao động. Theo đó, việc thu thập và sử dụng dữ liệu cá nhân chỉ được phép nếu cần thiết vì mục đích tuyển dụng. Đối với sự đồng ý hợp lệ đối với việc xử lý dữ liệu, các nghĩa vụ đánh giá và ghi chép nghiêm ngặt sẽ được áp dụng.
(5) Nguyên tắc cơ bản của xử lý dữ liệu.
Nền tảng cung cấp dịch vụ cộng đồng phải tuân thủ một số nguyên tắc bảo vệ dữ liệu cơ bản. Ngược lại với Mỹ, nguyên tắc trung tâm trong luật bảo vệ dữ liệu của Đức và châu Âu là nguyên tắc cấm có bảo lưu quyền. Theo đó, dữ liệu cá nhân chỉ có thể được thu thập và xử lý nếu có sự đồng ý hợp lệ hoặc cơ sở pháp lý khác. Tòa án Công lý châu Âu (ECJ) luôn cho rằng mọi hoạt động xử lý dữ liệu cá nhân đều phải đáp ứng các yêu cầu về tính chấp nhận hợp pháp theo GDPR và các nguyên tắc liên quan đến chất lượng xử lý theo GDPR.
GDPR quy định một số nguyên tắc bảo vệ dữ liệu chung. Trong trường hợp không tuân thủ, cơ quan giám sát có thể phạt tiền. Theo đó, các nền tảng phải xử lý dữ liệu người dùng một cách hợp pháp, minh bạch và công bằng. Về nguyên tắc minh bạch, GDPR nêu rõ rằng chủ thể dữ liệu phải luôn được biết ai đang thu thập dữ liệu, dữ liệu cá nhân có được thu thập hay không và ở mức độ nào cũng như dữ liệu nào được lưu trữ và xử lý. Nó còn nêu rõ rằng mọi thông tin và thông tin liên lạc liên quan đến quá trình xử lý phải dễ tiếp cận và dễ hiểu, đồng thời phải sử dụng ngôn ngữ rõ ràng và dễ hiểu. Nguyên tắc minh bạch được thể hiện cụ thể hơn trong các nghĩa vụ thông tin chi tiết theo GDPR. Theo đó, các nền tảng thu thập dữ liệu trực tiếp hoặc lấy dữ liệu từ nguồn của bên thứ ba có nghĩa vụ chỉ định mục đích và tất cả các cơ sở pháp lý của việc xử lý, nêu tên người nhận hoặc danh mục người nhận dữ liệu và giải thích thời gian lưu trữ hoặc tiêu chí để xác định nó. Quyền của chủ thể dữ liệu – chẳng hạn như quyền truy cập, xóa và di chuyển dữ liệu – cũng phải được liệt kê trong điều khoản về quyền riêng tư.
Một nguyên tắc trọng tâm khác của luật bảo vệ dữ liệu là yêu cầu giới hạn mục đích. Theo đó, thông tin cá nhân chỉ có thể được thu thập và lưu trữ cho các mục đích cụ thể, rõ ràng và hợp pháp. Không được phép thu thập và lưu trữ dữ liệu mà không xác định trước mục đích. Nếu các nền tảng tiếp tục sử dụng dữ liệu đã thu thập cho các mục đích đã thay đổi – chẳng hạn như tiếp thị hoặc quản lý khiếu nại – việc sử dụng này cần có lý do biện minh mới.
Nguyên tắc giảm thiểu dữ liệu của GDPR quy định rằng dữ liệu cá nhân được thu thập phải đầy đủ và phù hợp với mục đích thực tế. Ngoài ra, việc xử lý phải được giới hạn ở những gì cần thiết cho mục đích. Một mối quan tâm chính khác của luật bảo vệ dữ liệu là nguyên tắc về độ chính xác của dữ liệu. Nguyên tắc này nêu rõ rằng dữ liệu cá nhân phải chính xác và cập nhật về mặt thực tế. Nền tảng với tư cách là bên kiểm soát phải thực hiện tất cả các bước hợp lý để sửa hoặc xóa dữ liệu cá nhân không chính xác. Khi tạo hồ sơ cá nhân và người dùng cá nhân, chẳng hạn như cho mục đích quảng cáo, điều quan trọng là phải đảm bảo rằng thông tin là chính xác. Nguyên tắc giới hạn lưu trữ có mối liên hệ chặt chẽ với các nguyên tắc của giảm thiểu dữ liệu và độ chính xác của dữ liệu. Theo đó, các nền tảng được yêu cầu không lưu trữ dữ liệu lâu hơn mức cần thiết. Dữ liệu lỗi thời hoặc không chính xác phải được xóa. Với mục đích này, các khái niệm kiểm tra và xóa phù hợp phải được phát triển. Nguyên tắc giới hạn lưu trữ cũng có nghĩa là dữ liệu cá nhân được ẩn danh hoặc ít nhất là được đặt bí danh nếu có thể.
Trong GDPR, các khái niệm về bảo vệ dữ liệu thông qua “quyền riêng tư theo thiết kế” và “quyền riêng tư theo mặc định” đã được thiết lập lần đầu tiên trên khắp EU. Các quy tắc về quyền riêng tư theo thiết kế và quyền riêng tư theo mặc định chỉ rõ các nguyên tắc được nêu trong GDPR, đặc biệt là nguyên tắc giảm thiểu dữ liệu. Nghĩa vụ về quyền riêng tư theo thiết kế có nghĩa là các nền tảng phải thực hiện các biện pháp bảo vệ dữ liệu kỹ thuật và tổ chức phù hợp trước khi xử lý dữ liệu, có tính đến tình trạng hiện đại và chi phí triển khai. Vì vậy, có sự chậm trễ về mặt pháp lý cho các công ty trong việc lựa chọn các biện pháp phòng ngừa cụ thể. Ví dụ: kỹ thuật ẩn danh, bí danh và mã hóa được xem xét. Quyền riêng tư theo mặc định bắt buộc các công ty phải cung cấp các cài đặt thân thiện với quyền riêng tư đã chọn trước trong các chương trình, ứng dụng và các ứng dụng khác. Do đó, người dùng sẽ được tự động bảo vệ khỏi việc sử dụng dữ liệu quá mức. Nếu vi phạm nghĩa vụ về quyền riêng tư theo thiết kế và quyền riêng tư theo mặc định, cơ quan giám sát có thể phạt tiền lên tới 10 triệu EUR hoặc lên tới 2% doanh thu hàng năm trên toàn thế giới của công ty trong năm tài chính trước đó, tùy theo mức nào cao hơn. Các công ty nền tảng có thể sử dụng chứng nhận bảo vệ dữ liệu để chứng minh sự tuân thủ các yêu cầu được nêu trong GDPR.
(6) Bí danh và ẩn danh là biện pháp bảo vệ dữ liệu
Bí danh và ẩn danh là phương tiện trọng tâm của khuôn khổ bảo vệ dữ liệu châu Âu. Trong GDPR, bí danh được đề cập rõ ràng như một cách để thực hiện quyền riêng tư theo thiết kế. GDPR mô tả bí danh như một công cụ để thiết lập bảo mật dữ liệu, là “xử lý dữ liệu cá nhân theo cách mà dữ liệu cá nhân không còn có thể được quy cho một chủ thể dữ liệu cụ thể mà không sử dụng thông tin bổ sung, miễn là thông tin bổ sung đó được lưu giữ riêng biệt và tuân theo các quy định về kỹ thuật và các biện pháp tổ chức để đảm bảo rằng dữ liệu cá nhân không được quy cho một thể nhân đã được xác định hoặc có thể nhận dạng.” Do đó, việc đặt bí danh thành công sẽ gây khó khăn cho việc gán dữ liệu cho một người; việc xác định lại chỉ có thể thực hiện được nếu biết được một số thông tin bổ sung nhất định. Nếu các nền tảng xử lý và sử dụng dữ liệu ở dạng biệt danh, chẳng hạn như khi tạo hồ sơ người dùng, rủi ro về bảo vệ dữ liệu có thể giảm đáng kể. Việc sử dụng bí danh thành công có thể được tính đến khi biện minh cho việc xử lý dữ liệu có lợi cho các nền tảng. Việc ẩn danh dữ liệu đảm bảo sự bảo vệ quyền riêng tư tốt hơn nữa. Trong trường hợp dữ liệu ẩn danh, tham chiếu cá nhân sẽ bị xóa theo cách không thể nhận dạng lại hoặc chỉ có thể thực hiện được với một lượng thời gian và tiền bạc quá lớn. Nếu nền tảng sử dụng dữ liệu người dùng ở dạng ẩn danh, tổng hợp, chẳng hạn như cho mục đích thống kê và nghiên cứu thị trường, thì các yêu cầu của luật bảo vệ dữ liệu sẽ không được áp dụng.
(7) Sự đồng ý là cơ sở hợp pháp trung tâm cho việc xử lý dữ liệu.
Ngoài lợi ích kinh doanh hợp pháp theo GDPR, các nền tảng cung cấp dịch vụ cộng đồng thường sẽ sử dụng sự đồng ý của người dùng làm cơ sở pháp lý cho việc xử lý dữ liệu của họ. Trong GDPR, sự đồng ý là khái niệm trọng tâm về hợp pháp hóa việc thu thập dữ liệu. Là một quyết định tự nguyện, nó được ưu tiên hơn các quy định pháp lý về khả năng được chấp nhận. Đồng thời, khả năng chấp nhận theo luật định đối với các nền tảng với tư cách là bộ xử lý dữ liệu có trách nhiệm sẽ chắc chắn hơn về mặt pháp lý. Khi được sự đồng ý, có một số yêu cầu pháp lý phải được tuân thủ. Sự đồng ý phải được đưa ra một cách tự nguyện, tùy từng trường hợp cụ thể và một cách có hiểu biết. Hơn nữa, các nền tảng phải có khả năng chứng minh rằng người dùng đã đồng ý xử lý dữ liệu. Nếu người dùng với tư cách là nhân viên hoặc người tiêu dùng bị mất cân bằng quyền lực so với nền tảng thì sự đồng ý tự nguyện có thể gặp vấn đề.
Sự đồng ý chỉ có thể được tự do đưa ra nếu việc xử lý dữ liệu vì lợi ích của người dùng hoặc nếu người dùng không gặp bất kỳ bất lợi nào khi từ chối đưa ra sự đồng ý. Nếu các nền tảng thu thập dữ liệu không cần thiết cho việc cung cấp dịch vụ của họ thì lệnh cấm “ràng buộc” cũng phải được tuân thủ. Theo đó, quyền truy cập vào dịch vụ có thể không được thực hiện phụ thuộc vào sự đồng ý đối với việc sử dụng dữ liệu không cần thiết, theo nghĩa “cầm lấy hoặc bỏ đi”.
Quyết định tự nguyện cũng bị nghi ngờ nếu một nhà cung cấp lớn có thị phần đáng kể yêu cầu người dùng của họ phải đồng ý sử dụng dữ liệu rộng rãi như một điều kiện để sử dụng dịch vụ. Nếu có được sự đồng ý, như thường lệ, thông qua các điều khoản và điều kiện chung, thì phần đồng ý xử lý dữ liệu phải được đặc biệt nhấn mạnh. Không thể coi đó là sự đồng ý nếu thông tin về xử lý dữ liệu được viết bằng “tiếng Pháp”. Việc đồng ý sử dụng quá nhiều dữ liệu cá nhân có thể không hợp lệ nếu được yêu cầu thông qua một điều khoản bất ngờ theo luật điều khoản và điều kiện chung. Tương tự như vậy, các ô được đánh dấu trước sẽ không cấu thành sự đồng ý.
Theo án lệ của Đức và Châu Âu, việc sử dụng cookie để phân tích hành vi của người dùng và cho mục đích quảng cáo cũng cần có sự đồng ý tích cực theo nghĩa chọn tham gia.
(8) Ra quyết định dựa trên thuật toán: rủi ro phân biệt đối xử, cách tiếp cận giải pháp.
Các nền tảng cung cấp dịch vụ cộng đồng sử dụng các quyết định dựa trên dữ liệu, được hỗ trợ bằng thuật toán theo nhiều cách khác nhau. Ví dụ: các nền tảng cung cấp dịch vụ cộng đồng thường sử dụng thuật toán để lựa chọn, sắp xếp và đánh giá hiệu suất của cộng đồng. Ngoài ra, các phương pháp khai thác dữ liệu dựa trên thuật toán và phân tích dữ liệu lớn có thể được sử dụng để tạo hồ sơ khách hàng và khách truy cập rộng rãi, chẳng hạn như cho mục đích tiếp thị.
Các nghiên cứu hiện tại cho thấy việc ra quyết định và đánh giá dựa trên thuật toán trên các nền tảng cung cấp dịch vụ cộng đồng có thể gây ra những bất lợi bất hợp pháp cho các nhóm có nguy cơ bị phân biệt đối xử, chẳng hạn như vì giới tính hoặc nguồn gốc dân tộc của họ. Rủi ro về thuật toán phân biệt đối xử chưa được giải quyết một cách toàn diện và cụ thể trong luật chống phân biệt đối xử và bảo vệ dữ liệu của Đức và châu Âu. Tuy nhiên, có một số điểm khởi đầu để điều chỉnh sự phân biệt đối xử theo thuật toán.
Đặc biệt đáng chú ý là quy định của GDPR, theo đó chủ thể dữ liệu thường có quyền không phải tuân theo “quyết định chỉ dựa trên quá trình xử lý tự động – bao gồm cả việc tạo hồ sơ”. Nếu quyết định đó được cho phép trong các trường hợp đặc biệt (trong trường hợp thực hiện hợp đồng hoặc đồng ý), những người bị ảnh hưởng có quyền phản đối quyết định đó. Các yêu cầu thậm chí còn khắt khe hơn cũng được áp dụng nếu, trong khuôn khổ các quyết định tự động, dữ liệu mang tính phân biệt đối xử được xử lý.
GDPR còn quy định các nghĩa vụ thông tin mở rộng và quyền tiếp cận thông tin cho những người bị ảnh hưởng về logic liên quan và tác động của việc ra quyết định tự động. Theo đó, các công ty phải cung cấp thông tin về chức năng và các phương án ra quyết định của thuật toán. Hơn nữa, GDPR bắt buộc các công ty phải thực hiện đánh giá tác động của việc bảo vệ dữ liệu nếu – trong trường hợp các quyết định tự động, dựa trên thuật toán – các khía cạnh cá nhân của một người được đánh giá một cách toàn diện và có hệ thống.
Ngoài ra, Đạo luật chung của Đức về đối xử bình đẳng (Allgemeines Gleichbehandlungsgesetz, AGG) đưa ra biện pháp khắc phục pháp lý cho cá nhân và tập thể để thực hiện hành động chống lại các quyết định phân biệt đối xử bằng thuật toán. Với chiến lược hiện tại về trí tuệ nhân tạo, Ủy ban châu Âu đã đề xuất các quy định mới sâu rộng nhằm đưa ra các quyết định dựa trên thuật toán một cách công bằng, xuyên suốt và không phân biệt đối xử. Cũng đáng đề cập là các thông số kỹ thuật liên quan đến quản lý thuật toán trong hướng dẫn dự kiến của EU về cải thiện điều kiện làm việc trong công việc nền tảng đã đề cập ở trên. Đặc biệt, trong hướng dẫn được đề xuất quy định rằng các công ty nền tảng không được tự động xử lý bất kỳ dữ liệu cá nhân nào liên quan đến trạng thái tâm lý, tình trạng sức khỏe hoặc các cuộc trò chuyện riêng tư của nhân viên nền tảng.
(9) Quyền của chủ thể dữ liệu.
GDPR mô tả các quyền mà người dùng có thể yêu cầu đối với các nền tảng với tư cách là bên xử lý dữ liệu có trách nhiệm. Các công ty nền tảng phải cung cấp thông tin về mục đích xử lý, danh mục dữ liệu, người nhận, thời lượng lưu trữ và quyền khiếu nại lên cơ quan giám sát theo yêu cầu. GDPR bắt buộc các tổ chức phải cung cấp bản sao miễn phí của dữ liệu cá nhân đang được xử lý theo yêu cầu của chủ thể dữ liệu.
Theo GDPR, người dùng có thể ngay lập tức yêu cầu chỉnh sửa thông tin không chính xác liên quan đến họ. GDPR xác định quyền xóa hoặc lãng quên dữ liệu. Việc xóa dữ liệu phải được thực hiện đặc biệt nếu dữ liệu đó không còn cần thiết hoặc người liên quan đã thu hồi sự đồng ý ban đầu của họ. Câu hỏi liệu các công ty có thể thực hiện nghĩa vụ xóa dữ liệu một cách hợp pháp bằng cách ẩn danh dữ liệu hay không đang gây tranh cãi về mặt pháp lý. Điều này theo đuổi mục tiêu của luật chống độc quyền và bảo vệ người tiêu dùng, đồng thời nhằm ngăn chặn các hiệu ứng khóa trong ý nghĩa giữ chân khách hàng đối với một nhà cung cấp. Do đó, người dùng có quyền nhận tất cả dữ liệu cá nhân của mình ở định dạng được sử dụng phổ biến và có thể đọc được bằng máy.
Ngoài ra, những người bị ảnh hưởng có quyền chuyển dữ liệu của họ cho bên thứ ba, miễn là các quyền và quyền tự do của bên thứ ba không bị ảnh hưởng. Tuy nhiên, phạm vi chính xác, thiết kế kỹ thuật và ý nghĩa thực tế của quyền di chuyển dữ liệu vẫn chưa rõ ràng. GDPR cho người dùng quyền phản đối việc xử lý dữ liệu hợp pháp trong một số điều kiện nhất định. Sau đó, các nền tảng có thể không còn được phép xử lý dữ liệu được đề cập nữa. Quyền được tiêu chuẩn hóa để phản đối việc xử lý không hợp lý riêng lẻ – bao gồm cả việc tạo hồ sơ – trên cơ sở quy định của GDPR. Ngoài ra, việc xử lý dữ liệu cho mục đích quảng cáo trực tiếp có thể bị ngăn chặn bởi những người dùng bị ảnh hưởng khẳng định quyền phản đối của họ. Trong trường hợp vi phạm quyền của người dùng theo quy định của GDPR, các nền tảng phải xem xét các yêu cầu bồi thường thiệt hại và tiền phạt.
(10) Đánh giá tác động bảo vệ dữ liệu: tự đánh giá trong trường hợp xử lý dữ liệu có rủi ro cao.
Trong những trường hợp xử lý dữ liệu có thể dẫn đến rủi ro cao đối với quyền và tự do của thể nhân, các công ty phải tiến hành đánh giá tác động bảo vệ dữ liệu, đánh giá trước hậu quả của việc xử lý dữ liệu, sau đó lựa chọn và thực hiện các biện pháp bảo mật và bảo vệ dữ liệu thích hợp. Là một phần của đánh giá tác động bảo vệ dữ liệu, các rủi ro đối với việc bảo vệ dữ liệu cá nhân phải được xác định và đánh giá. Các khuyến nghị của Văn phòng An toàn thông tin Liên bang Đức về nhu cầu bảo vệ có thể hữu ích trong vấn đề này. Hơn nữa, phải lập kế hoạch xử lý rủi ro.
Tự đánh giá theo GDPR có thể cần thiết cho việc cung cấp dịch vụ cộng đồng vì nhiều lý do. Cụ thể, các công ty nền tảng có thể có nghĩa vụ thực hiện đánh giá tác động đến quyền riêng tư nếu họ sử dụng công nghệ theo dõi trang web, thực hiện phân tích dữ liệu lớn hoặc tham gia vào việc lập hồ sơ. Ngoài ra còn có một nghĩa vụ nếu một lượng lớn dữ liệu có độ nhạy cảm cao được xử lý. Nếu đánh giá tác động bảo vệ dữ liệu cho thấy có nguy cơ rủi ro cao thì phải tham khảo ý kiến của cơ quan giám sát bảo vệ dữ liệu có thẩm quyền trước khi xử lý dữ liệu. Vi phạm các yêu cầu có thể bị phạt lên tới 10 triệu EUR hoặc lên tới 2% doanh thu hàng năm trên toàn thế giới của công ty trong năm tài chính trước đó.
(11) Kiểm soát bảo vệ dữ liệu bên trong và bên ngoài.
Yếu tố trọng tâm của hoạt động tự giám sát của công ty trong các vấn đề về quyền riêng tư là nhân viên bảo vệ dữ liệu của công ty, người có nhiệm vụ chính là tư vấn, giám sát việc tuân thủ các tiêu chuẩn, đào tạo, hợp tác với các cơ quan giám sát và trả lời các câu hỏi từ những người bị ảnh hưởng. Các nền tảng có thể có nghĩa vụ chỉ định nhân viên bảo vệ dữ liệu của công ty nếu họ sử dụng ứng dụng theo dõi GPS hoặc xử lý số lượng lớn dữ liệu nhạy cảm theo GDPR. Yêu cầu chỉ định cũng có thể áp dụng theo luật của Đức nếu cần phải đánh giá tác động bảo vệ dữ liệu đối với các dịch vụ cung cấp nguồn lực từ cộng đồng. Ngoài ra, các nền tảng nên tự nguyện chỉ định một nhân viên bảo vệ dữ liệu ở để đáp ứng tốt hơn nghĩa vụ bảo vệ dữ liệu của họ.
Việc tự giám sát riêng tư theo luật bảo vệ dữ liệu trong một công ty được hỗ trợ bởi các cơ chế giám sát cấp tiểu bang và quốc gia. Theo GDPR, mỗi quốc gia thành viên EU phải thành lập một hoặc nhiều cơ quan bảo vệ dữ liệu độc lập. Ở Đức, việc giám sát bảo vệ dữ liệu được tổ chức trên cơ sở liên bang với Ủy ban bảo vệ dữ liệu Liên bang và Ủy ban bảo vệ dữ liệu Tiểu bang.
Cơ quan bảo vệ dữ liệu quốc gia có trách nhiệm và quyền hạn kiểm soát rộng rãi. Nhiệm vụ chính của họ bao gồm giám sát và thực thi GDPR, giúp các công ty nhận thức được nghĩa vụ của mình theo luật bảo vệ dữ liệu cũng như xử lý các câu hỏi và khiếu nại từ những người bị ảnh hưởng.
Cơ quan giám sát cũng chịu trách nhiệm về các câu hỏi liên quan đến bảo vệ dữ liệu của nhân viên. GDPR quy định quyền điều tra, hành động khắc phục và phê duyệt. Ví dụ: cơ quan giám sát bảo vệ dữ liệu có thể cấm xử lý dữ liệu bất hợp pháp, xóa dữ liệu cá nhân và ngăn chặn việc chuyển dữ liệu sang các quốc gia ngoài EU. Các quốc gia thành viên EU phải cấp cho cơ quan giám sát quyền “tham gia vào các thủ tục pháp lý”. Các quyền hạn bổ sung của nhân viên bảo vệ dữ liệu liên bang và nhân viên bảo vệ dữ liệu của tiểu bang theo luật quốc gia, chẳng hạn như quyền truy cập, được quy định trong BDSG.
(12) Chế tài xử phạt.
Để truy tố và xử phạt các hành vi vi phạm bảo vệ dữ liệu, GDPR quy định các khoản tiền phạt, yêu cầu bồi thường thiệt hại và quyền thực hiện các hành động tập thể. Trong trường hợp vi phạm nghĩa vụ bảo vệ dữ liệu, cơ quan giám sát có thể phạt tiền lên tới 10 triệu EUR hoặc lên tới 2% tổng doanh thu hàng năm trên toàn thế giới của công ty trong năm tài chính trước đó, mức phạt này cao hơn bao giờ hết. Trong trường hợp vi phạm bảo vệ dữ liệu đặc biệt nghiêm trọng, có thể áp dụng mức phạt thậm chí còn nghiêm khắc hơn.
Trong trường hợp vi phạm các nguyên tắc xử lý của GDPR, bao gồm các điều kiện để có được sự đồng ý hợp pháp, vi phạm quyền của chủ thể dữ liệu và coi thường hướng dẫn của cơ quan giám sát, mức phạt thậm chí có thể lên tới 20 triệu EUR hoặc 4 % doanh thu hàng năm. Ngoài ra, GDPR còn quy định các yêu cầu bồi thường thiệt hại vật chất và phi vật chất đối với người chịu trách nhiệm hoặc bên xử lý dữ liệu theo hợp đồng trong trường hợp vi phạm bảo vệ dữ liệu.
Nguồn: Data Privacy and Crowdsourcing A Comparison of Selected Problems in China, Germany and the United States, https://doi.org/10.1007/978-3-031-32064-4.
