PGS.TS. Nguyễn Văn Hậu
Học viện Hành chính Quốc gia
(Quanlynhanuoc.vn) – Khung pháp lý để bảo vệ dữ liệu trên nền tảng cung cấp nguồn lực cộng đồng ở Đức, Hoa Kỳ và Trung Quốc – ba quốc gia đi đầu trong lĩnh vực quyền riêng tư dữ liệu và nguồn lực cộng đồng – cho thấy những khác biệt đáng kể nhưng cũng có một số điểm tương đồng. Kết quả nghiên cứu nâng cao về số hóa của các nhà khoa học Đức và Hoa Kỳ liên quan đến quyền riêng tư dữ liệu và nguồn lực cộng đồng có thể cung cấp thông tin quan trọng cho các nhà hoạch định chính sách, bản thân các nền tảng và các tác nhân khác có liên quan về những vấn đề bảo vệ dữ liệu thực sự tồn tại trong thị trường cung cấp nguồn lực cộng đồng toàn cầu và cần được giải quyết trong tương lai.
Từ khóa: Khung pháp lý, bảo vệ dữ liệu, quyền riêng tư, chính sách.
1. Điểm tương đồng và khác biệt trong cách tiếp cận quy định
(1) Đặc thù của việc thiết lập quy chuẩn trong lĩnh vực bảo mật dữ liệu
Tại Đức, quy định chung về bảo vệ dữ liệu của EU (GDPR) cung cấp một khuôn khổ bắt buộc toàn diện để xử lý dữ liệu cá nhân của các doanh nghiệp cung cấp nguồn lực cộng đồng. Kể từ khi có hiệu lực vào năm 2018, GDPR tự động áp dụng cho các quốc gia thành viên EU mà không cần chuyển thành luật quốc gia. Trong phạm vi quy định của EU mang lại cho các nhà lập pháp quốc gia quyền tự do, các công ty nền tảng cũng phải tuân thủ Đạo luật bảo vệ dữ liệu liên bang và các quy định về quyền riêng tư của từng ngành cụ thể. Các quy định mới trong luật cạnh tranh và chống độc quyền của Đức và châu Âu đề cập đến thị trường và sức mạnh dữ liệu của các nền tảng lớn. Hướng dẫn được đề xuất của EU về cải thiện điều kiện làm việc trong công việc nền tảng đề cập cụ thể đến các vấn đề về quyền riêng tư liên quan đến nhân viên cộng đồng.
Trung Quốc bắt đầu phát triển luật về quyền riêng tư muộn hơn nhiều so với Đức và Hoa Kỳ. Cách tiếp cận của Trung Quốc được đặc trưng bởi chế độ bảo vệ khác nhau về quyền riêng tư đối với các chủ thể tư nhân và quyền riêng tư đối với chính phủ. Trong khi quyền bảo vệ dữ liệu trong khu vực tư nhân đã được mở rộng, các mối đe dọa đối với quyền riêng tư từ các chủ thể nhà nước vẫn tương đối bị bỏ qua trong luật pháp Trung Quốc. Việc tạo ra Hệ thống tín nhiệm xã hội của Trung Quốc, sử dụng công nghệ kỹ thuật số để giám sát và đánh giá hành vi của công dân và công ty đã làm dấy lên mối lo ngại nghiêm trọng về những tác động tiêu cực đến quyền riêng tư của các học giả và nhà bình luận phương Tây. Người ta thảo luận rằng việc bảo vệ dữ liệu của Trung Quốc đối với các chủ thể tư nhân có thể làm tăng thêm khả năng truy cập và giám sát dữ liệu của nhà nước. Các kết quả nghiên cứu được công bố chỉ giới hạn ở việc mô tả luật bảo vệ dữ liệu liên quan đến các nền tảng.
Các yêu cầu pháp lý về bảo vệ dữ liệu và bảo mật dữ liệu trong nguồn lực cộng đồng thực sự tồn tại theo luật pháp Trung Quốc. Các điều khoản về quyền riêng tư có liên quan có thể ảnh hưởng đến hoạt động kinh doanh nền tảng được tìm thấy trong nhiều đạo luật, luật cụ thể theo ngành và quy tắc điều hành. Là cơ quan thiết lập quy chuẩn chính thức, Quốc hội Trung Quốc, Ủy ban Thường vụ và Đại hội Nhân dân địa phương đang hoạt động tích cực trong lĩnh vực bảo mật dữ liệu. Ngoài ra, các quy định hành chính của Hội đồng Nhà nước và các cơ quan điều hành khác có tầm quan trọng rất lớn. Trong những năm gần đây, cơ quan lập pháp Trung Quốc đã nỗ lực thống nhất khung pháp lý rời rạc, rải rác để bảo vệ dữ liệu và bảo mật dữ liệu. Luật Bảo vệ thông tin cá nhân (PIPL) mới, có hiệu lực vào năm 2021, lần đầu tiên đưa ra một bộ quy tắc toàn diện để bảo vệ dữ liệu cá nhân trong nền kinh tế kỹ thuật số. PIPL được cho là có nhiều điểm tương đồng với GDPR. Hơn nữa, tương tự như châu Âu, các cuộc cải cách chống độc quyền gần đây đã được thực hiện để hạn chế sức mạnh thị trường của nền tảng công nghệ lớn bằng sự kiểm soát dữ liệu.
Tại Hoa Kỳ, chưa có quy định chung của liên bang về bảo vệ dữ liệu cá nhân. Các cơ quan lập pháp theo truyền thống có xu hướng nhấn mạnh lợi ích của luồng thông tin tự do và tự do kinh doanh đối với quyền riêng tư của cá nhân. Các điều khoản về quyền riêng tư liên quan đến hoạt động kinh doanh nguồn lực cộng đồng nằm rải rác trong nhiều luật về quyền riêng tư của ngành và tiểu bang. Tiểu bang California gần đây đã thông qua luật bảo vệ người tiêu dùng tương đương với GDPR.
Không giống như ở Đức và châu Âu, sự tự điều chỉnh tự nguyện của ngành (ví dụ: thông qua con dấu quyền riêng tư hoặc việc áp dụng tự phát các công nghệ nâng cao quyền riêng tư) đóng một vai trò quan trọng trong chế độ bảo vệ dữ liệu ở Mỹ. Các nhà lập pháp nhìn chung có xu hướng ủng hộ những quy định khá tối thiểu trong lĩnh vực bảo mật dữ liệu. Tuy nhiên, việc tuân thủ các quy tắc về quyền riêng tư của người tiêu dùng được hỗ trợ bởi cơ quan thực thi công mạnh mẽ. FTC với tư cách là cơ quan bảo vệ người tiêu dùng chính của quốc gia đã thực hiện hành động pháp lý chống lại các nền tảng kỹ thuật số quyền lực. Ngoài ra, mối đe dọa của các vụ kiện tập thể ở Hoa Kỳ tiềm ẩn rủi ro tài chính cao cho các doanh nghiệp nền tảng.
(2) Tiêu chuẩn bảo mật dữ liệu.
Các quy định khác nhau trong luật pháp của Đức và châu Âu bắt buộc các công ty nền tảng phải đảm bảo an ninh công nghệ thông tin và bảo vệ dữ liệu người dùng khỏi bị mất, phá hủy, trộm cắp hoặc sử dụng sai mục đích. Theo GDPR, các công ty nền tảng phải triển khai các biện pháp bảo mật kỹ thuật và tổ chức phù hợp như mã hóa. Hơn nữa, GDPR còn có các quy tắc để thông báo cho nạn nhân và chính quyền trong trường hợp vi phạm dữ liệu.
Ở Trung Quốc, các điều khoản liên quan đến bảo mật dữ liệu được nêu trong Luật An ninh mạng (CSL), Luật Bảo mật dữ liệu (DSL) và Luật Bảo vệ thông tin cá nhân (PIPL). Theo đó, các công ty nền tảng “sẽ áp dụng các biện pháp cần thiết để bảo vệ tính bảo mật của thông tin cá nhân mà họ xử lý” (Điều 9 PIPL) và “ngăn chặn truy cập trái phép cũng như rò rỉ, bóp méo hoặc mất thông tin cá nhân” (Điều 51 PIPL). Luật pháp Trung Quốc thúc đẩy nhiều biện pháp bảo mật dữ liệu cụ thể, bao gồm mã hóa, đào tạo nhân viên và kế hoạch ứng phó sự cố bảo mật thông tin cá nhân.
Tại Hoa Kỳ, tất cả 50 bang đều ban hành luật thông báo vi phạm dữ liệu. Những luật này yêu cầu các công ty phải thông báo cho khách hàng khi thông tin cá nhân của họ bị lộ. Một số tiểu bang, như California, đã thông qua các quy định bổ sung về bảo mật dữ liệu mang tính quy định. Ở cấp liên bang, quy định bảo vệ người tiêu dùng đóng vai trò chủ đạo trong khuôn khổ bảo mật dữ liệu. FTC đã thực hiện một số biện pháp cưỡng chế đối với các công ty không áp dụng các biện pháp bảo mật hợp lý. Ngoài ra, các tiêu chuẩn ngành tự nguyện như Khung An ninh mạng do Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) ban hành đã được chứng minh là có ảnh hưởng lớn đến thực tiễn kinh doanh.
(3) Bảo vệ dữ liệu cá nhân và nhạy cảm.
GDPR bảo vệ rộng rãi tất cả dữ liệu liên quan đến một thể nhân đã được xác định hoặc có thể nhận dạng. Luật bảo vệ dữ liệu mới của Trung Quốc có định nghĩa về thông tin cá nhân tương tự như định nghĩa trong GDPR. Ngược lại, Mỹ có cách tiếp cận thông tin cá nhân khá mâu thuẫn, khác nhau giữa luật cụ thể của ngành và luật cụ thể của tiểu bang và thiếu định nghĩa bao quát.
Luật bảo vệ dữ liệu của châu Âu có các yêu cầu cụ thể như các biện pháp bảo vệ an toàn bổ sung để bảo vệ dữ liệu nhạy cảm. Cơ sở pháp lý chính cho việc xử lý dữ liệu đó là sự đồng ý rõ ràng; dữ liệu nhạy cảm được liệt kê rõ ràng. PIPL của Trung Quốc cũng yêu cầu mức độ bảo vệ cao hơn đối với thông tin nhạy cảm. Các nền tảng phải nhận được sự đồng ý rõ ràng riêng biệt từ người dùng internet trước khi xử lý thông tin đó. Ngược lại với GDPR, PIPL chứa danh sách dữ liệu nhạy cảm không đầy đủ.
Định nghĩa của Trung Quốc tương đối rộng, ví dụ: dữ liệu tài chính và dữ liệu theo dõi vị trí cũng được phân loại là thông tin nhạy cảm. Ở Mỹ, pháp luật không có nguyên tắc bao quát cung cấp mức độ bảo vệ cao hơn cho dữ liệu nhạy cảm. Tuy nhiên, cần lưu ý rằng luật về quyền riêng tư của California nâng cao khái niệm rộng rãi về thông tin nhạy cảm. Các biện pháp bảo vệ bổ sung được cung cấp để bảo vệ thông tin tài chính, nội dung email hoặc dữ liệu vị trí địa lý của người tiêu dùng.
(4) Thu thập thông tin công ty cũng như dữ liệu người tiêu dùng và nhân viên trong GDPR trên diện rộng.
Khi các nền tảng cung cấp nguồn lực cộng đồng thu thập thông tin doanh nghiệp từ khách hàng của họ, các chế độ bảo vệ dữ liệu ở Đức, Trung Quốc và Hoa Kỳ sẽ bị hạn chế, nói chung là không áp dụng. Luật bảo vệ dữ liệu của Đức và châu Âu chỉ áp dụng cho thể nhân chứ không áp dụng cho các tổ chức doanh nghiệp. Tương tự, dữ liệu công ty được thu thập bởi các nền tảng không được bảo vệ theo PIPL của Trung Quốc. Tuy nhiên, khi các nền tảng xử lý thông tin về một công ty nhỏ để đưa ra kết luận về thể nhân, thông tin này sẽ nằm trong chế độ bảo vệ dữ liệu. Do đó, những người hoạt động cộng đồng hoạt động với tư cách là doanh nhân có thể dựa vào luật bảo vệ dữ liệu.
Khi các nền tảng thu thập thông tin về người tiêu dùng, họ phải tuân thủ các yêu cầu pháp lý cụ thể. Luật về quyền riêng tư của châu Âu, Trung Quốc và Hoa Kỳ đều cung cấp các điều khoản cụ thể để bảo vệ dữ liệu của người tiêu dùng. Theo luật pháp Đức và Trung Quốc, các hiệp hội người tiêu dùng có thể thực hiện hành động pháp lý chống lại hành vi vi phạm quyền riêng tư của người tiêu dùng. Tại Hoa Kỳ, các vụ kiện tập thể và thủ tục tố tụng của FTC là những công cụ mạnh mẽ để bảo vệ quyền riêng tư của người tiêu dùng.
Khi các nền tảng thu thập và sử dụng thông tin cá nhân của nhân viên cộng đồng, các quy tắc cụ thể về bảo vệ dữ liệu của nhân viên có thể được áp dụng. Việc nhân viên cộng đồng là người tự kinh doanh hay nhân viên là một vấn đề gây nhiều tranh cãi. Ở Đức, Trung Quốc và Hoa Kỳ, tất cả các luật đều có quy định cụ thể về quyền riêng tư trong bối cảnh việc làm. Tuy nhiên, chỉ có luật pháp của Đức mới có các quy định đầy đủ và yêu cầu chấp thuận nghiêm ngặt nhằm giải quyết sự mất cân bằng quyền lực giữa các công ty nền tảng và người lao động.
(5) Nguyên tắc chung về xử lý dữ liệu, quyền riêng tư theo thiết kế và theo mặc định.
Đặc điểm chính của khuôn khổ bảo vệ dữ liệu châu Âu là nguyên tắc “cấm trừ khi được phép”. Điều 5 GDPR bao gồm một số nguyên tắc bảo vệ dữ liệu cốt lõi như tính hợp pháp, giới hạn mục đích, tính minh bạch trong quá trình xử lý, giảm thiểu dữ liệu và độ chính xác của dữ liệu. Các công ty nền tảng phải tuân thủ các yêu cầu chung này về xử lý dữ liệu. Nếu họ không tuân thủ các nguyên tắc quy định trong Điều 5 GDPR, họ có thể bị phạt. Một số nguyên tắc và yêu cầu này cũng tồn tại ở Hoa Kỳ trong luật riêng tư của ngành và tiểu bang cụ thể, nhưng một số nguyên tắc đơn giản là không có. Ngược lại với GDPR, luật pháp Mỹ thường cho phép xử lý dữ liệu cá nhân. Do đó, cách tiếp cận của châu Âu ngày càng chặt chẽ hơn. PIPL của Trung Quốc bao gồm một số nguyên tắc bảo vệ dữ liệu cốt lõi tương tự như GDPR như tính hợp pháp, sự cần thiết, giới hạn mục đích, tính minh bạch trong quá trình xử lý và độ chính xác của dữ liệu. Liên quan đến các nguyên tắc bảo vệ dữ liệu cơ bản áp dụng cho các tổ chức và công ty tư nhân, do đó, Trung Quốc dường như đang tiến gần hơn đến luật pháp châu Âu.
Theo GDPR, các công ty nền tảng phải tuân thủ nguyên tắc bảo mật theo thiết kế và mặc định. Ví dụ: kỹ thuật ẩn danh, bí danh và mã hóa là các biện pháp bảo vệ thuộc quyền riêng tư theo thiết kế. Quyền riêng tư theo mặc định có nghĩa là người xử lý dữ liệu chọn trước lựa chọn ít xâm phạm quyền riêng tư nhất. PIPL của Trung Quốc thiếu các điều khoản về bảo vệ dữ liệu theo thiết kế và mặc định. Tại Hoa Kỳ, quyền riêng tư theo thiết kế không phải là một quy tắc ràng buộc và chỉ giới hạn ở việc bảo vệ quyền riêng tư của người tiêu dùng.
(6) Ẩn danh và bí danh.
Luật bảo vệ dữ liệu ở cả ba quốc gia đều khuyến khích các công ty và nền tảng cung cấp nguồn lực cộng đồng ẩn danh và đặt bí danh cho dữ liệu cá nhân của người dùng của họ. Ẩn danh và bí danh là công cụ trung tâm của khuôn khổ bảo vệ dữ liệu châu Âu. GDPR xác định rõ ràng dữ liệu ẩn danh và bí danh. Các kỹ thuật ẩn danh được nhà lập pháp EU đề cập rõ ràng như một cách để thực hiện bảo mật dữ liệu và quyền riêng tư theo thiết kế. Các khái niệm về ẩn danh và bí danh cũng được áp dụng trong luật về quyền riêng tư ở Trung Quốc và Mỹ. Tuy nhiên, so với GDPR, phương pháp tiếp cận của Trung Quốc và Hoa Kỳ bộc lộ một số hạn chế. Luật pháp Trung Quốc không đưa ra bất kỳ cách nào có thể đạt được việc ẩn danh thông tin cá nhân. Luật pháp Hoa Kỳ không áp đặt bất kỳ yêu cầu bổ sung nào đối với việc đặt bí danh, trong đó rủi ro tái nhận dạng cao hơn nhiều so với việc ẩn danh.
(7) Đồng ý hợp pháp hóa việc xử lý dữ liệu.
Sự đồng ý có hiểu biết thể hiện cơ sở pháp lý chính để xử lý dữ liệu cá nhân theo GDPR. Luật pháp châu Âu yêu cầu sự đồng ý phải được đưa ra một cách tự do, rõ ràng, cụ thể, rõ ràng và được ghi chép đầy đủ. Nếu người dùng là nhân viên hoặc người tiêu dùng và do đó phải đối mặt với sự mất cân bằng quyền lực trên các nền tảng, thì sự đồng ý tự nguyện có thể bị nghi ngờ.
Ở Trung Quốc, khái niệm về sự đồng ý của chủ thể dữ liệu cũng tồn tại. Tuy nhiên, các yêu cầu của luật pháp Trung Quốc tương đối mơ hồ. PIPL của Trung Quốc không có định nghĩa rõ ràng về “sự đồng ý”. Ở Hoa Kỳ, có một cách hiểu khá tự do về những gì tạo nên sự đồng ý. Ví dụ: sự đồng ý ngụ ý thường được coi là cơ sở pháp lý đầy đủ cho việc xử lý dữ liệu cá nhân. Theo luật riêng tư của Hoa Kỳ, việc truy cập trang web hoặc chỉ sử dụng dịch vụ nền tảng cấu thành sự đồng ý hợp lệ.
(8) Quy định về việc ra quyết định bằng thuật toán.
Một khung pháp lý đặc biệt, mạch lạc nhằm giải quyết các rủi ro trong quản lý thuật toán trên các nền tảng cung cấp dịch vụ cộng đồng hiện vẫn còn thiếu ở cả ba quốc gia. Tuy nhiên, ở Đức cũng như ở Trung Quốc và Hoa Kỳ đều có các yêu cầu về khả năng tài khoản, tính minh bạch và quyền cá nhân đối với các quyết định tự động bao gồm cả việc tạo lập hồ sơ.
GDPR cho phép ra quyết định tự động chỉ được xác định bằng máy trong những trường hợp đặc biệt. Hơn nữa, GDPR hạn chế nghiêm ngặt việc ra quyết định tự động dựa trên dữ liệu nhạy cảm. Hướng dẫn được đề xuất của EU về công việc nền tảng yêu cầu các công ty nền tảng phải thông báo cho người lao động về hệ thống giám sát và ra quyết định tự động. PIPL của Trung Quốc tuân theo GDPR trong các hạn chế đối với các quyết định tự động, bao gồm cả việc tạo lập hồ sơ. Tại Hoa Kỳ, FTC đã có hành động chống lại các tập đoàn vi phạm quyền riêng tư của người tiêu dùng và trẻ em trong bối cảnh thuật toán.
(9) Quyền cá nhân.
GDPR mã hóa một số quyền cá nhân mà người dùng và người tiêu dùng có thể yêu cầu đối với các nền tảng cung cấp nguồn lực cộng đồng. Chúng bao gồm quyền truy cập và chỉnh sửa cũng như quyền xóa dữ liệu. Quyền di chuyển dữ liệu theo đuổi mục tiêu của luật chống độc quyền và bảo vệ người tiêu dùng, đồng thời nhằm ngăn chặn các hiệu ứng khóa theo nghĩa là giữ chân khách hàng trên một nền tảng.
Luật Bảo vệ dữ liệu mới của Trung Quốc lặp lại GDPR về quyền cá nhân. Tuy nhiên, điểm khác biệt lớn so với Đức và châu Âu là Trung Quốc quy định quyền bảo vệ dữ liệu cá nhân chủ yếu được khẳng định ở khu vực tư nhân chứ không phải chống lại nhà nước. Tại Hoa Kỳ, không có luật pháp quốc gia toàn diện nào quy định các quyền cá nhân của người dùng đối với các nền tảng. Ở Mỹ, cách tiếp cận quyền cá nhân kém nhất quán và ít bảo vệ hơn GDPR.
(10) Đánh giá tác động bảo vệ dữ liệu.
Các nền tảng cung cấp nguồn lực cộng đồng có thể được yêu cầu theo GDPR để thực hiện đánh giá tác động bảo vệ dữ liệu chính thức. Nghĩa vụ tồn tại trong các trường hợp có rủi ro cao như sử dụng công nghệ phân tích dữ liệu lớn và theo dõi web. Đánh giá tác động bảo vệ dữ liệu có thể được chia thành hai giai đoạn khác nhau: phân tích trước các rủi ro và hậu quả của việc xử lý dữ liệu và xác định các biện pháp dự kiến để giải quyết những rủi ro này.
PIPL của Trung Quốc cũng yêu cầu đánh giá tác động bảo vệ dữ liệu trong một số tình huống có rủi ro cao được xác định, chẳng hạn như xử lý thông tin nhạy cảm hoặc sử dụng thông tin cá nhân cho các quyết định tự động. Tại Hoa Kỳ, một số luật về quyền riêng tư của tiểu bang yêu cầu các công ty thực hiện đánh giá rủi ro định kỳ hoặc kiểm tra an ninh mạng. Tuy nhiên, gộp chung lại, luật pháp khá lỏng lẻo. Đánh giá rủi ro hiếm khi được pháp luật yêu cầu và các điều khoản liên quan thường chỉ bao gồm các khuyến nghị không mang tính ràng buộc.
(11) Cơ chế thực thi.
Theo luật bảo vệ dữ liệu của châu Âu và Đức, các nền tảng có thể có nghĩa vụ chỉ định một nhân viên bảo vệ dữ liệu chịu trách nhiệm về các vấn đề tuân thủ. Ví dụ: đối với các nền tảng, việc chỉ định nhân viên bảo vệ dữ liệu là bắt buộc nếu họ xử lý dữ liệu nhạy cảm ở mức độ lớn hoặc sử dụng trình theo dõi GPS. Tương tự, PIPL của Trung Quốc yêu cầu các công ty phải có nhân viên bảo vệ dữ liệu trong trường hợp xử lý rộng rãi dữ liệu cá nhân.
Mặt khác, tại Hoa Kỳ, không có nghĩa vụ pháp lý chung nào trong việc bổ nhiệm các nhân viên bảo mật dữ liệu nội bộ hoặc bên ngoài. Sự tồn tại của nhân viên bảo vệ dữ liệu trong các công ty thường hoàn toàn là tự nguyện. Ở cả ba quốc gia, cơ quan bảo vệ dữ liệu nhà nước có thể áp dụng các hình phạt và hình phạt nghiêm khắc đối với các công ty nền tảng vì vi phạm bảo vệ dữ liệu. Nhìn chung, có thể nói rằng luật về quyền riêng tư của Hoa Kỳ được các cơ quan có thẩm quyền và nguyên đơn tư nhân thực thi tương đối nghiêm ngặt với các hình phạt, tiền phạt và yêu cầu bồi thường thiệt hại cao thường lên tới hàng triệu đô la nếu không muốn nói là hàng tỷ đô la Mỹ trong các hoạt động tập thể. FTC đã áp dụng các hình phạt cao đối với các tập đoàn kỹ thuật số như Google và Meta Facebook.
2. Kết quả nghiên cứu khía cạnh pháp lý
Phân tích pháp lý so sánh của các nghiên cứu đã chỉ ra, hiện tại không có khung pháp lý cụ thể cho việc thu thập dữ liệu cá nhân trên các nền tảng cung cấp dịch vụ cộng đồng ở Đức, Hoa Kỳ và Trung Quốc. Tuy nhiên, ở cả ba quốc gia, có thể nhận thấy những thay đổi về mặt pháp lý nhằm giải quyết có chọn lọc các vấn đề về quyền riêng tư trên thị trường nền tảng. Việc thiết lập chuẩn mực theo định hướng vấn đề trong lĩnh vực này đã tăng lên trong những năm gần đây. Ở Đức, GDPR của EU cung cấp các tiêu chuẩn pháp lý tương đối nghiêm ngặt để bảo vệ quyền riêng tư của người dùng trên nền tảng. Trung Quốc gần đây đã áp dụng PIPL, có các điều khoản gần giống với yêu cầu của GDPR. Tại Hoa Kỳ, Bang California có thể được coi là nơi tiên phong trong việc quản lý quyền riêng tư trong kỷ nguyên kỹ thuật số.
Một khái niệm được thảo luận nhiều trong quá trình phát triển nền kinh tế toàn cầu hóa và số hóa là cạnh tranh pháp lý. Cạnh tranh quy định nói chung có thể được định nghĩa là hoạt động của những người thiết lập quy tắc công hoặc tư, những người có ý định đưa ra luật mới hoặc thay đổi luật hiện hành để ứng phó với áp lực cạnh tranh từ những người thiết lập quy tắc khác. Đã có những cuộc tranh luận sâu rộng về việc liệu toàn cầu hóa và cạnh tranh pháp lý có thể gây ra “cuộc đua lên đỉnh” hay “cuộc đua xuống đáy” trong việc thiết lập tiêu chuẩn hay không. Giả thuyết “chạy đua lên đỉnh” cho thấy, dưới sự cạnh tranh về quy định, các chính phủ đưa ra luật tốt hơn và chặt chẽ hơn. Theo lập luận “chạy đua xuống đáy”, áp lực của việc xây dựng luật cạnh tranh có thể khiến những người thiết lập quy chuẩn hạ thấp các tiêu chuẩn quy định của họ.
Trong lĩnh vực quyền riêng tư kỹ thuật số, có những dấu hiệu cho thấy sự cạnh tranh về quy định giữa các cơ quan quản lý thực sự tồn tại và có khả năng tạo ra một cuộc đua giành vị trí dẫn đầu trong việc thiết lập tiêu chuẩn công. GDPR của EU, cũng áp dụng cho các nền tảng cung cấp dịch vụ cộng đồng, đã tác động đến các quốc gia khác áp dụng luật tương tự.
Phạm vi rộng lớn bên ngoài lãnh thổ của chế độ bảo mật của EU gây áp lực lên các quốc gia và công ty bên ngoài châu Âu để thực hiện những thay đổi phù hợp với các tiêu chuẩn khắt khe hơn của EU. Các quy định của khuôn khổ bảo vệ dữ liệu của châu Âu cũng đã được phổ biến sang luật về quyền riêng tư của Trung Quốc và Hoa Kỳ. Ngày càng có nhiều nghiên cứu điều tra tác động lan tỏa quy định của GDPR về mặt lý thuyết và thực nghiệm. Do đó, “Hiệu ứng Brussels” có thể định hình quy định về quyền riêng tư trong tương lai của nền kinh tế nền tảng.
Tại Hoa Kỳ, Bang California đã áp dụng luật bảo mật giống như GDPR như một phần của quy định thị trường kỹ thuật số. Các tiểu bang khác đã noi gương California và thông qua luật bảo mật trực tuyến chặt chẽ hơn. Đạo luật tiên phong về quyền riêng tư của California, do đó đã lan rộng khắp nước Mỹ. Điều này dường như hỗ trợ thêm cho luận điểm về cuộc đua dẫn đầu trong lĩnh vực bảo mật dữ liệu.
Áp lực từ khách hàng, người lao động và người tiêu dùng có thể thúc đẩy hơn nữa sự hài hòa hóa toàn cầu về các tiêu chuẩn bảo vệ dữ liệu. Nhận thức về quyền riêng tư dữ liệu của người dùng kỹ thuật số đã tăng lên trên toàn thế giới trong những năm gần đây. Như các nghiên cứu hiện tại đã chỉ ra, khách hàng và người lao động cũng có kỳ vọng cao về quyền riêng tư dữ liệu và bảo mật dữ liệu trong hoạt động kinh doanh cung ứng nguồn lực cộng đồng.
Đặc biệt trong số những người làm việc trong cộng đồng, mối lo ngại về quyền riêng tư và nỗi sợ bị giám sát đang lan rộng. Lời kêu gọi về các biện pháp bảo vệ dữ liệu mạnh mẽ hơn trên nền tảng trực tuyến ngày càng trở nên lớn hơn, khiến các nhà nghiên cứu có lý do để kỳ vọng rằng các cơ quan quản lý nhà nước sẽ ban hành thêm các quy định về quyền riêng tư cụ thể và chặt chẽ hơn trong lĩnh vực huy động nguồn lực từ cộng đồng trong tương lai.
Nguồn: Data Privacy and Crowdsourcing A Comparison of Selected Problems in China, Germany and the United States, https://doi.org/10.1007/978-3-031-32064-4
