Bản gốc: GDPR ở mức Hai — Sàn toàn cầu hay Trần toàn cầu?

Bởi Elizabeth M. Renieris

Bản dịch của Zhou Yuhan

Hiệu đính: Phala Team

Như Mạng Omidyar“Các con đường và cạm bẫy của việc bảo vệ dữ liệu toàn cầu"[1] Một phần của loạt chủ đề, bài viết này khám pháQuy định chung về bảo vệ dữ liệu của Châu Âu(Quy định chung về bảo vệ dữ liệu, sau đây gọi là GDPR) [2] đã có tác động đến bối cảnh bảo vệ dữ liệu toàn cầu kể từ khi nó có hiệu lực vào tháng 5 năm 2018. Đúng là GDPR đã mở ra những con đường mới cho sự thay đổi pháp lý trong các khu vực tài phán toàn cầu, thúc đẩy sự chú ý của công chúng đối với quản trị dữ liệu và quyền riêng tư, và do đó ảnh hưởng lớn đến bối cảnh bảo vệ dữ liệu toàn cầu; Trong khi mở rộng ảnh hưởng của chính nó, nó cũng phóng đại những sai sót và hạn chế của nó , dẫn đến việc thừa hưởng những thiếu sót này trong mã của các quốc gia khác.

Những xiềng xích nổi lên trong hai năm qua bao gồm: tỷ lệ đòn bẩy của một số điều khoản quá thấp/quá cao và không thể phủ nhậnthực hiện không đầy đủ[3], và sự đối đầu đang diễn ra giữa luật và sự đổi mới (chẳng hạn như thách thức áp dụng luật đối với các công nghệ mới nổi). Tiếp theo, bài viết này khám phá bản chất, phạm vi và các hạn chế cốt lõi của tác động của GDPR, đồng thời xem xét liệu luật này có phải là một mô hình bảo vệ dữ liệu toàn cầu hay không.

Trên toàn cầu, tác động trực tiếp của khả năng áp dụng ngoài lãnh thổ của GDPR đang được cảm nhận ở khắp mọi nơi. Với hơn nửa tỷ người tiêu dùng, Liên minh châu Âu là thị trường lớn nhất thế giớithị trường duy nhất[4], vì vậy GDPR có thể ảnh hưởng đến hầu hết mọi khu vực trên thế giới có hoạt động kinh doanh với EU. Dù có mạnh như ông lớn công nghệ Mỹ cũng khó lòng không đụng đến chiếc bánh ngon như vậy. Theo cách này, GDPR đặt ra một tiêu chuẩn thực tế cho nhiều tập đoàn lớn và tập đoàn đa quốc gia. Lý do là, thứ nhất, GDPR là một tiêu chuẩn hoặc khuôn khổ duy nhất thuận tiện cho các công ty thực hiện, thay vì luật bảo vệ dữ liệu địa phương hoặc quốc gia; thứ hai, quản trị dữ liệu toàn cầu thiếu một mô hình linh hoạt. Hiện tại, rất khó để tìm thấy một khuôn khổ có thể so sánh với khuôn khổ bảo vệ dữ liệu của EU.

Chúng tôi cũng đã quan sát thấy tác động gián tiếp của “Hiệu ứng Brussels” (tạm dịch: đề cập đến khả năng của EU trong việc đơn phương điều chỉnh thị trường toàn cầu bằng các lực lượng thị trường): một số quốc gia sao chép trực tiếp GDPR bằng cách phổ biến rộng rãi các luật mới được ban hành và điều chỉnh tại các khu vực pháp lý trên khắp thế giới. Từ đó, chúng ta có thể thấy trái tim của GDPR của Sima Zhao: cốt lõi của các nguyên tắc, nền tảng của lợi ích và cơ chế thực hiện. Kể từ khi có hiệu lực, GDPR đã thúc đẩy các quốc gia như Kenya và Uganda ban hành luật bảo vệ dữ liệu quốc gia đầu tiên của họ, đồng thời thúc đẩy các quốc gia khác cải thiện hoặc sửa đổi luật hiện hành của họ. Ví dụ, Argentina đã đưa ra luật bảo vệ dữ liệu vào năm 2018, một phần chỉ để bảo vệ quyền lợi của mình đối với Chỉ thị bảo vệ dữ liệu châu Âu (tiền thân của GDPR) vào năm 2003. GDPR cũng đã thúc đẩy các quốc gia như Ấn Độ, Nigeria và Brazil mở rộng các quy định bảo vệ dữ liệu "áp dụng một phần" thành các luật chung hơn.

"Hiệu ứng Brussels" cũng là một biểu hiện của mong muốn của Ủy ban Châu Âu nhằm hội tụ các luật bảo vệ dữ liệu và quyền riêng tư thông qua các diễn đàn đa phương/song phương và các chính sách thương mại."Chiến lược toàn diện của EU cho châu Phi"[5] là một ví dụ. Trong số một số hạng mục nổi bật được liệt kê trong chiến lược là chiến lược chuyển đổi kỹ thuật số trên khắp lục địa châu Phi, chiến lược này sẽ chịu ảnh hưởng sâu sắc của GDPR và ảnh hưởng đến thương mại xuyên biên giới và đầu tư quốc tế ở cấp quốc gia. Tuy nhiên, trên thực tế, sự phối hợp ở cấp độ toàn cầu có thể dẫn đến việc thực thi các tiêu chuẩn và nguyên tắc ít nghiêm ngặt hơn ở một số quốc gia. Các doanh nghiệp vừa và nhỏ gặp khó khăn trong việc tuân thủ, trong khi các công ty công nghệ toàn cầu như Facebook và Google được hưởng lợi từ sự cạnh tranh do khả năng đáp ứng toàn cầu của họ. Trên thực tế, nội dung của chiến lược đã dẫn đếnsự chú ý của liên minh châu phi[6], AU nhắc lại rằng điều khoản này nên được AU và EU cùng xây dựng.

Trong báo cáo đánh giá việc áp dụng và vận hành GDPR trong hai năm qua[7], Ủy ban châu Âu nhấn mạnh rằng cần tập trung vào việc làm thế nào để giúp các doanh nghiệp vừa và nhỏ tuân thủ quy định này. Tuy nhiên, về tổng thể, Ủy ban Châu Âu tự đánh giá tương đối cao và tin rằng "GDPR đã đạt được thành công các mục tiêu của mình: tăng cường quyền bảo vệ dữ liệu cá nhân và đảm bảo luồng dữ liệu cá nhân tự do trong EU." Báo cáo cũng ca ngợi tính linh hoạt của khung GDPR, cho rằng nó đã hoàn thành tốt công việc tương thích với các biện pháp chống dịch mới của vương miện.

Nhưng ủy ban cũng thừa nhận rằng vẫn còn chỗ để cải thiện, đặc biệt là về truyền dữ liệu quốc tế, hợp tác và hài hòa hóa, chẳng hạn như“Cơ chế một cửa”[8]; Cơ quan bảo vệ dữ liệu (DPAs) không có đủ tài nguyên và quyền di chuyển dữ liệu chưa được thực hiện đầy đủ; việc áp dụng GDPR cho các công nghệ mới nổi như chuỗi khối và trí tuệ nhân tạo vẫn chưa rõ ràng. Cuối cùng, Ủy ban lưu ý rằng các quốc gia thành viên đã không nhất quán trong các nghị quyết của họ để giải quyết căng thẳng giữa quyền cơ bản là bảo vệ dữ liệu và quyền tự do ngôn luận.

Mặc dù điều này không được khám phá trong báo cáo của Ủy ban Châu Âu, nhưng điều quan trọng là phải chỉ ra những thiếu sót khác trong khuôn khổ của nó, đặc biệt là khi GDPR được xuất khẩu rộng rãi thông qua tác động đáng kể của nó đối với bối cảnh toàn cầu. Lý do của một số hạn chế này là GDPR phần lớn giống với quy định tiền thân của nó, Quy định bảo vệ dữ liệu năm 1995. Nhưng môi trường kỹ thuật số hồi đó khác xa so với ngày nay. Một lý do khác là thiếu một mô hình thay thế có ý nghĩa.

Đầu tiên, GDPR và các luật lấy cảm hứng từ GDPR phụ thuộc quá nhiều vào "sự đồng ý" làm cơ sở hợp pháp để xử lý dữ liệu. Đặc biệt là trong lĩnh vực kỹ thuật số ngày nay, sự đồng ý có ý nghĩa thường khó nắm bắt. Có một sự bất đối xứng rất lớn trong thế giới kỹ thuật số ngày nay, một số ít doanh nghiệp lớn thường chiếm phần lớn tri thức và quyền lực, trong khi các cá nhân không chỉ thiếu nhận thức và khả năng quản lý, hiểu biết về dữ liệu ra quyết định mà còn có rất ít lựa chọn thực sự có ý nghĩa . .

Nó cũng cho thấy những thiếu sót của khung bảo vệ dữ liệu như GDPR, không giải quyết được các động lực trên thị trường và cần được bổ sung bởi các lĩnh vực khác, chẳng hạn như luật cạnh tranh hoặc luật chống độc quyền. Ví dụ, trong một tiếng Đức gần đâytrường hợp chống độc quyền[9], Tòa án tối cao đã phán quyết rằng Facebook đã lạm dụng vị trí thống lĩnh của mình trên mạng xã hội để lấy dữ liệu người dùng một cách bất hợp pháp bằng cách trộn dữ liệu trên các nền tảng của Facebook như Instagram, WhatsApp và Messenger. Mặc dù việc trộn dữ liệu này có thể bị thách thức trên cơ sở GDPR, phán quyết cho thấy rằng môi trường thị trường có quyền bảo vệ dữ liệu cũng hạn chế các lựa chọn của chúng tôi trên thị trường và do đó hạn chế quyền tự do và quyền tự chủ của chúng tôi. Điều này cũng minh họa bản chất bổ sung của luật bảo vệ dữ liệu và luật chống độc quyền.

Trong một số quy định liên quan đến GDPR, một số phần thô được giữ lại quá nhiều (chẳng hạn như xử lý dữ liệu dựa trên thỏa thuận người dùng "Tôi đồng ý"), trong khi một số nội dung cốt lõi chưa được quan tâm đúng mức, chẳng hạn nhưGDPR Điều 25[10] - Các tùy chọn bảo vệ quyền riêng tư dựa trên thiết kế ứng dụng và cài đặt mặc định, thu thập dữ liệu tự động và ra quyết định cũng như các biện pháp hiệu quả cho tính di động của dữ liệu cá nhân.

Ngoài ra, các quy định dựa trên GDPR tương đối khoan dung trong việc tăng cường an ninh quốc gia, bảo vệ lợi ích của chính phủ và cơ quan pháp lý, chẳng hạn như cách cân bằng lợi ích công cộng và các cuộc khủng hoảng sức khỏe cộng đồng xảy ra trong giai đoạn COVID-19. Bất chấp các biện pháp cơ bản của Ủy ban châu Âu, khả năng chống lại việc áp dụng rộng rãihệ thống nhận dạng khuôn mặt[11] và các công nghệ xâm lấn khác, phản ứng của ủy ban yếu hơn nhiều. Nếu không có một bộ quy tắc truyền thống mạnh mẽ và được thiết lập tốt làm cơ sở cho luật pháp theo kiểu GDPR, các cuộc khủng hoảng như hiện tại sẽ làm suy yếu đáng kể văn bản và tinh thần của luật. Hơn nữa, ở những nơi thiếu cơ sở hạ tầng pháp lý, chính trị, thể chế và các cơ sở hạ tầng khác tương ứng, các luật theo kiểu GDPR được sao chép và dán hoặc chuyển đổi trực tiếp thành luật quốc gia, hoặc tác hại lớn hơn lợi ích và "sự thiếu sót" được minh oan bằng "sự bảo vệ" “.

May mắn thay, chúng ta đã có thể thấy một số xu hướng hậu GDPR trong lĩnh vực bảo vệ dữ liệu toàn cầu. Sau khi GDPR nâng cao ngưỡng bảo vệ dữ liệu cá nhân, một trong số đó là khuyến khích và thúc đẩy chia sẻ dữ liệu nhiều hơn trong các lĩnh vực công cộng và nghiên cứu. Việc lặp lại như vậy có thể được thúc đẩy bởi chính EU, xemĐịnh hình tương lai kỹ thuật số của châu Âu[12]"Sách trắng về trí tuệ nhân tạo"[13] vàChiến lược dữ liệu châu Âu[14]. Là một phần của chiến lược này, sau đó, Ủy ban có thể giới thiệu phiên bản 2021 của Đạo luật dữ liệu để tạo điều kiện thuận lợi cho việc chia sẻ và lưu chuyển dữ liệu, đồng thời giúp các cá nhân mở rộng ranh giới của quyền di chuyển dữ liệu. Rõ ràng, EU cũng rất quan tâm đến việc bảo vệ dữ liệu trong trí tuệ nhân tạo và các lĩnh vực mới nổi khác, đồng thời lo lắng rằng các tiêu chuẩn bảo vệ dữ liệu và quyền riêng tư của mình sẽ khiến EU gặp bất lợi.

Mặc dù Hoa Kỳ không có luật riêng tư toàn diện liên bang cho đến nay, một mô hình linh hoạt có thể xuất hiện. Đối mặt với những bài học rút ra từ quá khứ, Hoa Kỳ có lợi thế của kẻ đến sau. Các mô hình thu thập dữ liệu, đẩy thông báo và các tùy chọn dựa trên nút "đồng ý" sẽ đối mặt với những thách thức lớn hơn. Ví dụ, Thượng nghị sĩ Hoa Kỳ Sherrod Brown gần đây đã đưa raMột đề nghị[15], đề xuất sẽ cấm thu thập, sử dụng hoặc chia sẻ dữ liệu theo mặc định, ngoại trừ một số mục đích nhỏ đã được người dùng đồng ý trước và thông báo. Các tiểu bang và thành phố trên khắp Hoa Kỳ đã dần dần đình chỉ việc sử dụng công nghệ nhận dạng khuôn mặt và trong một số trường hợp, nó bị cấm hoàn toàn. Đề xuất cũng đề cập đến việc thành lập các công ty ủy thác hoặc trung gian thông tin để đàm phán về quyền của chủ thể dữ liệu và giới thiệu các thực thể thương lượng tập thể như ủy thác dữ liệu hoặc tập thể dữ liệu.

GDPR đã được triển khai trong hai năm. Cho dù đó là điểm mấu chốt của việc bảo vệ dữ liệu hay mức trần của pháp luật vẫn chưa chắc chắn. Từ quan điểm này, nguyên nhân của quản trị dữ liệu toàn cầu vẫn còn một chặng đường dài phía trước.

Về Phala

Mạng Phala là một chuỗi song song điện toán riêng trên Polkadot. Dựa trên mô hình khuyến khích kinh tế giống như pow, nó giải phóng sức mạnh tính toán riêng tư của vô số CPU và áp dụng nó vào chuỗi song song Polkadot, từ đó phục vụ các ứng dụng khác như Defi và dịch vụ dữ liệu trên Chấm bi. Các ứng dụng dựa trên Phala pLibra và Web3 Analytics đã nhận được tài trợ từ web3 Foundation. Vào tháng 3 năm 2020, Phala trở thành một trong những dự án đầu tiên tham gia Substrate Builders Program. Vào tháng 7 năm 2020, Phala đã được tổ chức tư vấn sức mạnh điện toán trao tặng giải thưởng "Lực lượng ban đầu mới nổi về máy tính về quyền riêng tư".

Reference

[1]"Con đường và Cạm bẫy của Bảo vệ Dữ liệu Toàn cầu"；

[2]Quy định chung về bảo vệ dữ liệu của Châu Âu (GDPR)；

[3]thực hiện không đầy đủ；

[4]thị trường duy nhất；

[5]Chiến lược toàn diện của EU đối với châu Phi；

[6]Báo cáo；

[7]Báo cáo；

[8]“Cơ chế một cửa”；

[9]Một vụ kiện chống độc quyền gần đây ở Đức；

[10]Điều 25 của GDPR；

[11]hệ thống nhận dạng khuôn mặt；

[12]Định hình tương lai kỹ thuật số của châu Âu；

[13]"Sách trắng về trí tuệ nhân tạo"；

[14]Chiến lược dữ liệu châu Âu；

[15]Đề xuất của Sherrod Brown。