TRÌNH DUYỆT COOKIE[1]: TÔI ĐÃ XEM 50 TRANG WEB NỔI TIẾNG VÀ HẦU HẾT HỌ ĐANG THU THẬP DỮ LIỆU CỦA CHÚNG TA MỘT CÁCH BẤT HỢP PHÁP
Tác giả: Asress Adimi Gikay
 |
| Thật là quá chán. Ảnh: stockwerk-fotodesign |
Chủ sở hữu của Google và Facebook đều đã bị phạt nặng vì sử dụng cookie bất hợp pháp vào cuối năm 2021 bởi cơ quan bảo vệ dữ liệu của Pháp, Ủy ban Quốc gia về Công nghệ thông tin và Quyền tự do (Commission Nationale de l’Informatique et des Libertés - CNIL). Trên các phiên bản tiếng Pháp của Google, nền tảng chị em của nó là YouTube và Facebook, người dùng được yêu cầu đồng ý với cookie theo cách mà họ dễ dàng chấp nhận hơn là từ chối yêu cầu. Người dùng có thể chấp nhận cookie chỉ với một cú nhấp chuột nhưng quá trình từ chối thì lại tốn nhiều công sức hơn.
Chủ sở hữu Google, Alphabet đã bị phạt 150 triệu euro (125 triệu bảng Anh) và chủ sở hữu Facebook, Meta bị phạt 60 triệu euro. Alphabet bị phạt nhiều hơn vì vi phạm của họ ảnh hưởng đến nhiều người hơn và Alphabet đã từng gặp rắc rối vì vi phạm trong quá khứ. Cả hai công ty cũng được cho ba tháng để thay đổi hệ thống của họ nhằm giúp người dùng dễ dàng từ chối các yêu cầu về cookie.
Meta và Alphabet vẫn chưa tuân thủ, mặc dù họ còn thời hạn để thay đổi cho đến tháng 4. Luật pháp ở Vương Quốc Anh và phần còn lại của Liên minh Châu Âu cũng giống như ở Pháp, vì vậy sẽ rất thú vị khi xem họ làm gì trong các khu vực pháp lý này.
Trong khi chờ đợi, tôi đã xem xét những gì nhiều công ty khác đang làm và nhận thấy rằng nhiều công ty vẫn đang thu thập dữ liệu bằng cách sử dụng cookie theo những cách tương tự. Vì vậy có những gì đang xảy ra?
Luật về cookie và cách giải quyết
Cookie là các tệp văn bản nhỏ được lưu trữ bởi các trang web trên trình duyệt internet của chúng ta, cho phép trang web thu thập thông tin về chúng ta. Một số cookie là cần thiết để chúng ta có thể duyệt trang web đang tham khảo - ví dụ: để lấy thêm các mặt hàng vào giỏ mua hàng.
Những cookie hay gây tranh cãi hơn thì theo dõi hành vi duyệt web của người dùng. Có những cookie ở vị trí người thứ nhất, khi chính trang web đang tham khảo theo dõi hành vi của người dùng để cung cấp cho họ các sản phẩm phù hợp; và có những cookie ở vị trí bên thứ ba, tức do một công ty khác tiến hành việc theo dõi này để cho một bên thứ ba quảng cáo với người dùng - ví dụ cổ điển là Google Ads.
Cookie thu thập nhiều thông tin đến mức thường là thừa sức để xác định ai là người dùng thiết bị. Bên cạnh các lượt truy cập vào các trang web cụ thể, cookie cũng có thể ghi lại các truy vấn tìm kiếm, hàng hóa hoặc dịch vụ đã mua, địa chỉ IP và vị trí chính xác của người dùng.
Từ đó, có thể suy ra tên, quốc tịch, ngôn ngữ, tôn giáo, khuynh hướng tình dục và các chi tiết riêng tư khác của một người - hầu hết trong số đó là các danh mục đặc biệt về dữ liệu cá nhân không thể được xử lý nếu không có sự đồng ý rõ ràng của cá nhân thể theo Chỉ thị về quyền riêng tư điện tử của Liên minh Châu Âu và Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu và Vương quốc Anh.
GDPR yêu cầu sự đồng ý đó phải cụ thể, đầy đủ thông tin, rõ ràng và được nêu lên một cách tự do - đòi hỏi người dùng phải có hành động xác nhận. Thật không may, điều này không mang lại cho chúng ta nhiều sự bảo vệ.
Có xứng
đáng với công sức bỏ ra để viết bài trên đó không? Ảnh: Olivier
le Moal
Các trang web đã sử dụng nhiều phương pháp khác nhau để né tránh các yêu cầu. Hầu hết các yêu cầu đồng ý về cookie thường được trình bày bằng các hộp đánh dấu được chọn trước, theo mặc định, làm cho các cá nhân chấp nhận cookie trên thiết bị của họ. Vào năm 2019, Tòa án Công lý của Liên minh Châu Âu (CJEU) đã quyết định các trang web không được làm như vậy nữa, vì làm như vậy là tránh né các yêu cầu hành động xác nhận của GDPR. Nhưng vì giá trị quá lớn của dữ liệu có thể thu thập được bằng cách sử dụng cookie nên các trang web chỉ đơn giản chuyển sang các cách giải quyết khác để thay thế.
Phương án phổ biến là phương án đã chứng kiến Facebook và Google bị CNIL ở Pháp trừng phạt. CNIL chủ yếu nói rằng khi liên quan đến việc từ chối đồng ý cookie, hai lần nhấp chuột là quá nhiều: điều đó có nghĩa là mọi người đang bị áp lực phải đồng ý và do đó trái với yêu cầu về sự đồng ý một cách thoải mái của GDPR. Điều này có lẽ giải thích tại sao, theo một nghiên cứu thực nghiệm năm 2020 về những người dùng đã từng sống ở Liên minh Châu Âu, 93% đã chấp nhận cookie bất kể có tùy chọn cửa sổ thứ hai để quản lý cookie.
Vấn đề rộng hơn
Cách giải thích của Pháp về GDPR không ràng buộc đối với các tòa án Anh Quốc, CJEU hoặc các cơ quan quản lý khác ở Châu Âu. Vì vậy, khi hết thời hạn ba tháng của CNIL, các trang web có những biểu ngữ không cân đối về đồng ý cookie ở các quốc gia GDPR khác có thể cho rằng có sự mơ hồ trong luật về những gì được coi là đồng ý. Nhưng thực sự luật pháp khá rõ ràng và cách giải thích của Pháp sẽ là một tín hiệu mạnh mẽ cho thấy các cơ quan bảo vệ quyền riêng tư khác sẽ đạt được kết luận tương tự.
Chưa hết, khi tôi xem xét 50 trang web nổi tiếng được chọn ngẫu nhiên, chỉ có 15 trang web (30%) dường như tuân thủ luật bảo mật dữ liệu của Liên minh Châu Âu/Vương quốc Anh. Một số trang web tuân thủ, chẳng hạn như ebay.co.uk, cung cấp các nút “Chấp nhận” và “Từ chối” trong cùng một biểu ngữ. Những trang khác như bbc.co.uk khiến việc từ chối cookie trở nên khó khăn hơn nhưng lại cho phép người dùng có thể duyệt web mà không cần phải đồng ý.
Có tới 32 (64%) trang web dường như không tuân thủ luật cookie của Liên minh Châu Âu và Vương quốc Anh. Đó là Google, Facebook và Twitter, cũng như các doanh nghiệp lớn khác như Ryanair và trang web của Daily Mirror.
Twitter, chẳng hạn, chỉ thông báo cho người dùng về sự đồng ý trong một biểu ngữ có nội dung: “Bằng cách sử dụng các dịch vụ của Twitter, bạn đồng ý với việc sử dụng cookie của chúng tôi”. Các công ty khác, bao gồm cả Google và Facebook, ẩn giấu nút từ chối trong cửa sổ thứ hai. Vẫn còn những trang web khác, chẳng hạn như Ryanair, tạo một bức tường cookie mà khách truy cập có thể sử dụng trang web chỉ khi họ chọn “Có, tôi đồng ý” hoặc đi tới “Xem cài đặt cookie” để lựa chọn các tùy chọn của họ.
Ảnh:
Trang web của Ryanair
Có thêm ba trang web không rõ ràng hoặc nằm giữa ranh giới không rõ liệu họ có nằm trong các quy tắc hay không. Spotify, giống như BBC, có biểu ngữ cookie điển hình nhưng cho phép người dùng duyệt web mà không đồng ý cookie. Nhưng biểu ngữ cookie của Spotify che một nửa màn hình của thiết bị. Điều này làm giảm chất lượng trải nghiệm duyệt web của người dùng và có thể được coi là một hành vi ép buộc.
Việc các công ty công nghệ lớn không tuân thủ luật cookie cho thấy hàng triệu công dân có khả năng bị thu thập dữ liệu cá nhân một cách bất hợp pháp. Thật khó để không thắc mắc liệu một số công ty có cố ý vi phạm các quy tắc hay không vì họ tạo ra nhiều doanh thu từ cookie của mình đến mức đáng để mạo hiểm bị xử phạt nếu vi phạm quyền riêng tư.
Họ cũng có thể đánh cược rằng các cơ quan thẩm quyền có liên quan thì quá thiếu tài chính hoặc thiếu nhân lực để thực thi các quy tắc. Ví dụ, một báo cáo gần đây của ombudsman[2] (thanh tra) Hà Lan đã nhấn mạnh rằng cơ quan có thẩm quyền ở nước này có 9.800 khiếu nại về quyền riêng tư chưa được giải quyết vào cuối năm 2020. Và theo Hội đồng Tự do Dân sự Ireland, “gần như tất cả (98%) các trường hợp GDPR chủ yếu được đề cập đến ở Ireland vẫn chưa được giải quyết” - một phần do thiếu ngân sách và nhân viên chuyên môn. Tình hình khó có thể hoàn toàn khác ở các nước EU khác.
Nếu Vương quốc Anh và Liên minh Châu Âu nghiêm túc trong việc bảo vệ quyền riêng tư của công dân, thì họ cần sửa đổi các quy tắc để cụ thể hơn về việc một ô cửa sổ chấp thuận sẽ trông như thế nào và thực hiện các chiến dịch thông tin để người dân hiểu rằng việc không đồng ý không thể giới hạn trải nghiệm duyệt web của người dùng theo bất kỳ cách nào. Vương quốc Anh và Liên minh Châu Âu cũng nên phân bổ các nguồn lực cần thiết để thực thi các quy tắc. Chỉ khi đó, các luật xung quanh những công cụ ít được hiểu này để thu thập dữ liệu cá nhân của chúng ta mới phù hợp với mục đích của luật.
_________________________
Chúng tôi đã hỏi Meta, Alphabet, Ryanair, Twitter và nhà xuất bản Reach của tờ báo Daily Mirror nếu họ muốn bình luận. Reach đã từ chối còn Alphabet, Twitter và Ryanair không phản hồi. Meta nói:
 |
| Asress Adimi Gikay |
Chúng tôi đang xem xét quyết định [của CNIL] và vẫn cam kết làm việc với các cơ quan thẩm quyền có liên quan. Các biện pháp kiểm soát đồng ý cookie của chúng tôi cung cấp cho mọi người quyền kiểm soát tốt hơn đối với dữ liệu của họ, bao gồm menu cài đặt mới trên Facebook và Instagram, mà mọi người có thể truy cập lại và quản lý các quyết định của họ bất kỳ lúc nào, đồng thời chúng tôi tiếp tục phát triển và cải thiện các kiểm soát này.
Vài nét về tác giả
Asress Adimi Gikay là Giảng viên về Trí tuệ nhân tạo (AI), Đổi mới đột phá và Luật, Đại học Brunel London. Ông không làm việc, tư vấn, sở hữu cổ phần hoặc nhận tài trợ từ bất kỳ công ty hoặc tổ chức nào có thể hưởng lợi từ bài viết này và không có liên quan nào khác ngoài những liên quan đến công việc học thuật.
Người dịch: Lê Thị Hạnh
Nguồn: Cookies: I looked at 50 well-known websites and most are gathering our data illegally, The Conversation, 07.02.2022
Chú
thích: [1]
Cookie là một đoạn văn bản (file) do web server lưu thông tin cá nhân và hoạt động sử dụng trên ổ cứng của người dùng, chẳng hạn tài khoản đăng nhập, để sử dụng cho lần sau (ND). [2]
đại diện cho lợi ích cộng đồng thẩm quyền để điều tra và giải quyết các khiếu nại đối với các hành vi lạm quyền hay xâm phạm các quyền lợi của cộng đồng https://vi.wikipedia.org/wiki/Ombudsman
