'Pay or okey' – khi Meta vào tầm ngắm của Ủy ban Bảo vệ dữ liệu châu Âu
Ngày 14-4-2024, Ủy ban Bảo vệ dữ liệu châu Âu (European Data Protection Board – EDPB) đã đưa ra Quyết định 08/2024 cấm Công ty Meta (chủ sở hữu Facebook và Instagram) bắt người dùng Facebook phải trả tiền phí sử dụng mạng xã hội này trong trường hợp người dùng từ chối cho phép Meta sử dụng dữ liệu cá nhân.
Xin nhắc lại rằng, vào tháng 7-2023, Tòa án Liên minh châu Âu (CJUE) đã xét xử rằng cơ quan quốc gia về cạnh tranh có thể ra quyết định về việc vi phạm các điều khoản của Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (General Data Protection Regulation – GDPR), trong khuôn khổ một vụ điều tra về hành vi lạm dụng vị trí độc quyền. Trong xét xử này, CJUE đã xem xét điều kiện sử dụng chung của Facebook.
Ở thời điểm đó, khi đăng ký tài khoản Facebook, người dùng phải chấp nhận các điều kiện do Facebook đặt ra, cụ thể là chính sách sử dụng dữ liệu cá nhân và cookies (tập tin cho phép trang web lưu trữ và ghi nhớ các cài đặt cá nhân của người dùng). Một khi người dùng “chấp nhận” các điều kiện này, Facebook có thể thu thập và sử dụng dữ liệu liên quan tới hoạt động trên mạng trong và cả ngoài Facebook (thông tin về việc người dùng vào các trang mạng và các ứng dụng trên mạng). Những dữ liệu cá nhân thu thập được này được Facebook sử dụng để cá nhân hóa các quảng cáo hiện lên trên feeds của người dùng.
Trước hành vi này, Cơ quan về chống cạnh tranh không lành mạnh của Cộng hòa liên bang Đức đã ra quyết định cấm Facebook được ra điều kiện với người dùng ở Đức về việc sử dụng thông tin ngoài Facebook nói trên. Theo cơ quan này, hành vi của Facebook vi phạm các quy định về dữ liệu cá nhân trong GDPR, và là một hành vi lạm dụng vị trí độc quyền trên thị trường mạng xã hội.
Vụ việc được đưa tới Tòa án Dusseldoft của Đức, và theo luật của Liên minh châu Âu (EU), tòa án này đã đặt câu hỏi cho Tòa án CJUE rằng liệu một cơ quan quốc gia về cạnh tranh có được đưa ra quyết định liên quan tới việc sử dụng dữ liệu cá nhân phù hợp hay không phù hợp với quy định của châu Âu trong GDPR. Tòa án CJUE đưa ra nhận định rằng dữ liệu của người dùng Facebook ở châu Âu (do Công ty Meta Platforms Ireland thu thập và xử lý) có thể liên quan tới nguồn gốc chủng tộc, dân tộc, quan điểm chính trị hoặc tôn giáo, hay khuynh hướng giới tính. Vì thế, việc thu thập những dữ liệu nói trên về nguyên tắc là bị GDPR nghiêm cấm.
Theo CJUE thì Meta cần phải có sự cho phép cụ thể và rõ ràng của người dùng Facebook trong việc thu thập và xử lý thông tin cá nhân. Việc chấp nhận các điều khoản sử dụng của Facebook, theo CJEU, không thể được coi là sự đồng ý của người dùng Facebook cho Meta sử dụng các thông tin nhạy cảm cá nhân.
Meta cũng từng bị nhiều cơ quan quốc gia thuộc EU xử phạt, mà lần gần đây nhất là vào tháng 5-2023, khi công ty này bị Chính phủ Ireland phạt 1,2 tỉ euro và bị cấm chuyển dữ liệu cá nhân sang Mỹ.
Sau quyết định nói trên của CJUE, Meta đã thay đổi điều khoản sử dụng Facebook, để tuân thủ các quy định của GDPR. Theo điều khoản mới (có hiệu lực từ tháng 11-2023), người dùng mạng xã hội này (cũng như Instagram) nếu như từ chối cho phép Meta khai thác dữ liệu cá nhân vì mục đích quảng cáo thì sẽ phải trả một khoản tiền phí dịch vụ hàng năm.
Trước động thái này, nhiều cơ quan quốc gia về bảo vệ dữ liệu cá nhân đã đệ trình yêu cầu tới EDPB để cơ quan này xem xét tính hợp pháp của chính sách mới nói trên của Meta. Cần phải nhấn mạnh rằng quyết định của EDPB có tính ràng buộc trong khuôn khổ EU, cụ thể là các cơ quan quốc gia thành viên EU sẽ phải áp dụng các chính sách phù hợp với các ý kiến mà EDPB đưa ra.
Chính vì thế, câu trả lời của EDPB lần này rất được mong đợi và mang tầm quan trọng lớn. Trước đó, vào tháng 10-2023, EDPB từng yêu cầu cơ quan bảo vệ dữ liệu cá nhân của Ireland thông qua những biện pháp cần thiết để nghiêm cấm Meta xử lý dữ liệu cá nhân người dùng, với mục đích quảng cáo.
Không chỉ thế, đầu năm nay, 26 tổ chức phi chính phủ hoạt động trong lĩnh vực bảo vệ thông tin cá nhân, đời sống riêng tư cũng đã gửi một “thư ngỏ” tới EDPB, nhấn mạnh rằng Meta đã cố tình “lách luật” về dữ liệu của châu Âu, vi phạm quyền tự do của người dùng Facebook trong việc chọn lựa cách sử dụng và khai thác thông tin cá nhân. Theo các tổ chức này, ý kiến đưa ra của EDPB sẽ “xây dựng tương lai bảo vệ dữ liệu và bảo vệ mạng Internet”.
Trong Quyết định 08/2024 nói trên, EDPB nhận định rằng các mạng xã hội không thể được coi là tuân thủ luật về dữ liệu của châu Âu nếu như người dùng chỉ có hai lựa chọn, giữa cho phép thu thập và xử lý thông tin cá nhân, và… trả tiền.
Bà Anu Talus, Chủ tịch EDPB, tuyên bố rằng “các nền tảng trên mạng cần phải cung cấp cho người dùng một mô hình lựa chọn đúng nghĩa khi họ chọn cho phép, hay trả tiền. Các mô hình hiện nay chỉ cho phép các cá nhân chọn giữa trả tiền hay cho phép sử dụng dữ liệu cá nhân. Hậu quả là phần lớn người dùng đồng ý cho phép sử dụng dữ liệu cá nhân để có thể sử dụng dịch vụ, mà không thực sự hiểu các tác động của lựa chọn này”.
Theo ủy ban này thì các mạng xã hội cần tạo ra một mô hình mới cho phép người dùng có một lựa chọn mới đối với việc sử dụng dữ liệu cá nhân, mà không tự động dẫn đến việc phải trả tiền. Cơ quan này cũng nhấn mạnh sự cần thiết có sự đồng ý rõ ràng của người dùng Facebook, những người được thông tin đầy đủ về hậu quả của việc cho phép sử dụng thông tin cá nhân. Cũng theo cơ quan này, những công ty xử lý dữ liệu cá nhân cần đánh giá từng trường hợp để xem xét quyết định không cho phép của người dùng có thể dẫn đến hậu quả tiêu cực hay không, chẳng hạn như việc không còn được sử dụng dịch vụ Facebook.
EU vốn có tiếng là đặc biệt đề cao việc bảo vệ dữ liệu cá nhân người dân của liên minh, vì thế luôn đi tiên phong trong vấn đề này. Luật của EU vì thế cũng luôn là hình mẫu để các nhà làm luật quốc gia khác học hỏi để xây dựng luật bảo vệ dữ liệu cá nhân một cách hiệu quả và hợp lý.
