Liên minh châu Âu có luật mới về sách bảo vệ quyền riêng tư dữ liệu. Đó là Quy định bảo vệ dữ liệu chung, thường được gọi là GDPR. Thứ sáu này, nó sẽ có hiệu lực tại 28 quốc gia thành viên của EU.
Luật thay đổi các quy tắc đối với các công ty thu thập, lưu trữ hoặc xử lý một lượng lớn thông tin về cư dân của EU, đòi hỏi phải cởi mở hơn về những dữ liệu họ có và những người họ chia sẻ dữ liệu đó.
Điều đó có nghĩa là bạn, Facebook.
Điều đó cũng có nghĩa là bất kỳ công ty nào có sự hiện diện kỹ thuật số tại EU (mà hiện tại vẫn bao gồm Vương quốc Anh) sẽ phải tuân thủ luật pháp hoặc phải đối mặt với các hình phạt dốc.
Thời hạn tuân thủ luật pháp đã xuất hiện trong hai năm, kể từ khi Nghị viện châu Âu thông qua vào tháng 4 năm 2016. Khi vụ bê bối Cambridge Analytica tại Facebook xuất hiện vào tháng 3, những người ủng hộ quyền riêng tư đã tìm thấy một ví dụ bắt mắt về lý do người dùng internet có thể muốn kiểm soát nhiều hơn những người có thể truy cập dữ liệu của họ.
Tôi nghĩ rằng GDPR nói chung sẽ là một bước rất tích cực cho Internet. Giám đốc điều hành Facebook Mark ZuckerbergGDPR đã tăng nhiều lần trong lời khai của Giám đốc điều hành Facebook Mark Zuckerberg trước Quốc hội Hoa Kỳ vào tháng Tư, và đó là một trọng tâm lớn vào thứ ba khi các thành viên của Nghị viện Châu Âu đặt câu hỏi với Zuckerberg tại Brussels. Các quan chức EU cho biết họ không hài lòng với câu trả lời của CEO Facebook cho các câu hỏi về GDPR và ông hứa sẽ tiếp tục trả lời bằng văn bản.
"Tôi nghĩ rằng GDPR nói chung sẽ là một bước rất tích cực cho Internet, " Zuckerberg nói với các nhà lập pháp Hoa Kỳ, tiếp tục thảo luận về kế hoạch của Facebook để thắt chặt chính sách dữ liệu, bảo vệ người dùng khỏi bị rò rỉ và minh bạch hơn về việc quảng cáo trên ai trang web.
Không chỉ các tên hộ gia đình của Internet như Facebook sẽ phải tuân thủ. Các nhà cung cấp dịch vụ chăm sóc sức khỏe, công ty bảo hiểm, ngân hàng và bất kỳ công ty nào khác kinh doanh dữ liệu cá nhân nhạy cảm cũng sẽ gặp khó khăn. Đó là lý do tại sao hộp thư đến của bạn đang tràn ngập các chính sách bảo mật được cập nhật.
GDPR sẽ có tác động đáng kể đến dấu chân trực tuyến của chúng tôi và cách các ứng dụng và dịch vụ chúng tôi sử dụng bảo vệ hoặc khai thác chúng. Đây là những gì bạn cần biết.
Đọc: EU để điều tra việc lạm dụng dữ liệu của Facebook và Cambridge Analytica
GDPR là gì?
Quy định bảo vệ dữ liệu chung là một đạo luật sâu rộng giúp cư dân của Liên minh châu Âu kiểm soát nhiều hơn dữ liệu cá nhân của họ và tìm cách làm rõ các quy tắc và trách nhiệm đối với các dịch vụ trực tuyến với người dùng châu Âu. Nó thay thế luật trước đây của EU điều chỉnh bảo vệ dữ liệu, được thông qua vào năm 1995 và thực hiện một số thay đổi mạnh mẽ đối với các công ước hiện có.
Quy định mở rộng phạm vi những gì các công ty phải xem xét dữ liệu cá nhân và nó yêu cầu họ theo dõi chặt chẽ dữ liệu họ đã lưu trữ trên cư dân EU. Nếu ai đó ở EU muốn một công ty xóa dữ liệu của mình, gửi bản sao dữ liệu hoặc sửa lỗi trong dữ liệu, các công ty phải tuân thủ.
Luật pháp còn đi xa hơn thế. Hiện tại cư dân EU có thể phản đối những cách cụ thể mà các công ty đang sử dụng dữ liệu của họ, nói rằng họ không phiền nếu một công ty giữ dữ liệu miễn là họ ngừng sử dụng thông tin cho một mục đích cụ thể.
Hơn nữa, luật pháp yêu cầu các công ty thông báo cho người dùng trong vòng 72 giờ kể từ khi vi phạm dữ liệu - điều mà rất ít công ty hiện đang làm. Ví dụ, trong vụ vi phạm Equachus làm lộ thông tin cá nhân của hàng triệu người ở Mỹ và hơn thế nữa, công ty đã mất nhiều tuần để ngăn chặn cuộc tấn công và sau đó lên kế hoạch xử lý thiệt hại trước khi thông báo cho công chúng.
EU sẽ thực thi GDPR như thế nào?
Mỗi quốc gia thành viên của EU sẽ có cơ chế thực thi riêng, với một giám sát viên GDPR mỗi quốc gia.
Người dân có thể khiếu nại với cơ quan chủ quản ở quốc gia tương ứng của họ. Các công ty bị phát hiện vi phạm luật sẽ phải đối mặt với mức phạt có thể rất cao. Mức phạt tối đa cho vi phạm GDPR là 20 triệu euro hoặc 4% doanh thu toàn cầu hàng năm của công ty từ năm trước, tùy theo mức nào cao hơn.
Khi nào GDPR có hiệu lực?
Thứ sáu. Quy định đã được phê chuẩn vào năm 2016 và các tổ chức đã được đưa ra "thời gian thực hiện" hai năm để chuẩn bị. Thời gian ân hạn này kết thúc vào ngày 25 tháng 5 năm 2018, khi việc thi hành bắt đầu một cách nghiêm túc.
Có luật này chỉ áp dụng cho các công ty có trụ sở tại Liên minh châu Âu?
Không - và đây là lý do tại sao nó là tin tức quốc tế lớn. GDPR áp dụng cho bất kỳ tổ chức nào thu thập, xử lý, quản lý hoặc lưu trữ dữ liệu của công dân châu Âu. Điều này bao gồm hầu hết các dịch vụ và doanh nghiệp trực tuyến lớn thu thập, xử lý, quản lý hoặc lưu trữ dữ liệu. Do đó, GDPR về cơ bản thiết lập một tiêu chuẩn toàn cầu mới để bảo vệ dữ liệu.
Vào thứ Sáu, một số trang web tin tức có trụ sở tại Hoa Kỳ đã ngừng hoạt động ở châu Âu, với một số người nói rằng họ đang tìm cách quay trở lại trực tuyến tại các quốc gia EU.
GDPR bảo vệ loại dữ liệu nào?
Quy định áp dụng cho một loạt dữ liệu cá nhân, bao gồm tên người và số ID chính phủ. Nó cũng bảo vệ thông tin có thể hiển thị hoạt động của một người cả trực tuyến và trong thế giới thực. Điều đó bao gồm thông tin vị trí, cũng như địa chỉ IP, cookie và các dữ liệu khác cho phép các công ty theo dõi người dùng khi họ duyệt internet.
Điều này sẽ ảnh hưởng đến Facebook và các công ty truyền thông xã hội khác như thế nào?
Nhiều dịch vụ trực tuyến lớn và các công ty truyền thông xã hội đang cập nhật các chính sách bảo mật và điều khoản dịch vụ để chuẩn bị cho luật mới. Phản ứng của Facebook chắc chắn sẽ được các nhà quản lý châu Âu xem xét kỹ lưỡng, vì vụ bê bối Cambridge Analytica cũng như những lo ngại trong quá khứ về việc thu thập dữ liệu của công ty. Những người ủng hộ quyền riêng tư của Áo đã đệ đơn khiếu nại vào thứ Sáu, ngày đầu tiên GDPR có hiệu lực, chống lại Google và Facebook, cũng như Instagram và WhatsApp (cả hai đều thuộc sở hữu của Facebook.)
Chúng bao gồm kerfuffle vào năm 2007 về chương trình quảng cáo Beacon gây tranh cãi của công ty phát sóng hoạt động của người dùng trên các trang đối tác. Và đừng quên sự náo động của người dùng khi Facebook và công ty con Instagram của họ tuyên bố sở hữu dữ liệu và hình ảnh hồ sơ người dùng. GDPR làm cho rõ ràng hơn nhiều rằng các loại hoạt động này không ổn.
Trong lời khai của mình trong phiên điều trần chung của Ủy ban Tư pháp và Thương mại của Thượng viện vào ngày 10 tháng 4, Zuckerberg đã tuyên bố sự hỗ trợ của mình "về nguyên tắc" đối với một tiêu chuẩn chọn tham gia giống như GDPR cho người dùng trước khi họ từ bỏ dữ liệu của họ - nhưng anh ta đã không cam kết, thêm "chi tiết vấn đề." (Ghi chú của Zuckerberg, mà anh ấy đã bỏ ngỏ trong thời gian nghỉ ngắn, bao gồm một cảnh báo: "Đừng nói rằng chúng tôi đã làm những gì GDPR yêu cầu.")
Đọc: Zuck trước Quốc hội: Tôi hoan nghênh quy định - nếu đó là quy định đúng
Điều này sẽ ảnh hưởng đến tôi như thế nào, một cư dân ngoài EU?
Facebook, Microsoft, Twitter, Apple và những người khác đều đã cung cấp cho người dùng ngoài Liên minh châu Âu một số quyền bổ sung đối với dữ liệu của họ.
Nhưng những quyền đó không có lực lượng pháp luật đằng sau chúng, điều đó có nghĩa là bạn không thể nộp đơn khiếu nại chống lại Microsoft vì vi phạm GDPR nếu bạn không phải là cư dân EU. Mặc dù bạn chỉ được hưởng các quyền này miễn là một công ty nói bạn làm, nhưng điều đó cho thấy các quy định của châu Âu đang định hình lại cách các công ty lớn tiếp cận dữ liệu người dùng.
Một cách khác điều này ảnh hưởng đến bạn là với hàng loạt các cập nhật chính sách bảo mật mà bạn có thể đã nhận được trong vài tháng qua. Nhiều công ty xây dựng các chính sách bảo mật mới trước khi GDPR có hiệu lực, và sau đó họ nói với bạn về tất cả cùng một lúc.
Đọc: Cách xóa tài khoản Facebook của bạn
EU có thể phạt Facebook vì những điều sơ sài mà họ đã làm trong quá khứ?
Có vẻ không. Trong một cuộc phỏng vấn với Bloomberg, Ủy viên Tư pháp EU Vera Jourova nói rằng các quy tắc GDPR mới "không thể được áp dụng trong [vụ bê bối Cambridge Analytica] này, bởi vì không có khả năng hồi tố."
Làm thế nào để các quy định ảnh hưởng đến hack và vi phạm?
GDPR yêu cầu các công ty đã mất quyền kiểm soát dữ liệu khách hàng hoặc đã bị hack, phải thông báo cho người dùng trong vòng 72 giờ. Đó là một trong những quy tắc mang hình phạt tối đa. Chẳng hạn, nếu Facebook bị phát hiện là không tuân thủ, họ có thể phải chịu trách nhiệm hình phạt 1, 6 tỷ đô la (dựa trên doanh thu hàng năm 2016 là 40 tỷ đô la).
Có bảo vệ đặc biệt cho trẻ vị thành niên?
GDPR yêu cầu các doanh nghiệp và tổ chức phải có được sự đồng ý của phụ huynh để xử lý dữ liệu cá nhân của trẻ em dưới 16 tuổi.
Tin tức hàng ngày của CNET
Nhận tin tức hàng đầu và đánh giá thu thập cho bạn.
Mỹ có bất kỳ pháp lý tương đương với GDPR?
Không. Hầu hết các bang đều có luật riêng điều chỉnh các vi phạm dữ liệu và yêu cầu thông báo, và hầu hết chỉ áp dụng cho một loại dữ liệu hạn chế: Số An sinh Xã hội và thông tin tài chính hoặc y tế.
SEC gần đây đã ban hành hướng dẫn về cách các công ty đại chúng nên tiết lộ các vi phạm và rủi ro.
Người dân California có thể bỏ phiếu về luật bảo mật dữ liệu trong năm nay, Sáng kiến tiết lộ và bán thông tin cá nhân của người tiêu dùng California. Điều đó sẽ cho phép cư dân yêu cầu bản sao dữ liệu của họ từ các công ty, tìm hiểu các công ty bên thứ ba đã bán dữ liệu của họ và yêu cầu các công ty không bán hoặc chia sẻ dữ liệu cá nhân của họ.
Xuất bản lần đầu ngày 4 tháng 4 lúc 6:00 sáng theo giờ PT.
Cập nhật ngày 11 tháng 4 lúc 1:24 chiều PT: Đã thêm dấu ngoặc kép của Mark Zuckerberg và các thông tin khác từ lần xuất hiện trước Quốc hội
Cập nhật ngày 24 tháng 5 lúc 5:00 sáng giờ PT: Đã thêm thông tin chi tiết về luật pháp và tác động của nó bên ngoài EU và về sự xuất hiện của Zuckerberg trước Quốc hội EU.
Cập nhật ngày 25 tháng 5 lúc 11:58 sáng PT : Đã thêm thông tin về chính sách bảo mật và khiếu nại GDPR đối với Google và Facebook.
Cambridge Analytica: Mọi thứ bạn cần biết về vụ bê bối khai thác dữ liệu của Facebook.
Bảo vệ chính mình: Hướng dẫn về các cách khác nhau mà bạn có thể bảo vệ quyền riêng tư trực tuyến của mình.
Để LạI Bình LuậN CủA BạN