EU
Data Protection and Open Standards
Published 13:44, 09
January 13
Bài được đưa lên
Internet ngày: 09/01/2013
Lời
người dịch: Người châu Âu tin tưởng rằng năm 2013 sẽ
là năm đấu tranh cho việc bảo vệ dữ liệu điện tử,
và để làm được điều này, điều cốt tử là phải
sử dụng các tiêu chuẩn mở đúng, để thực thi được
tính khả chuyển của dữ liệu cá nhân, bất kể nó được
sử dụng ở đâu, với công nghệ nào, của nhà cung cấp
dịch vụ nào. “Nhờ có bản chất tự nhiên toàn cầu
của các hoạt động những ngày này, hiếm khi khả thi để
thiết lập những hệ thống quá khác biệt cho các phần
khác nhau của thế giới mà vận hành theo các cách thức
khác nhau. Nếu các qui định của EU ép các công ty cung
cấp các dịch vụ cho những người dân châu Âu để áp
dụng các tiêu chuẩn mở để cho phép tính khả chuyển
dữ liệu đúng, thì những tiêu chuẩn mở y hệt đó sẽ
được triển khai toàn cầu. Đó là thứ gì đó thực sự
đáng giá để đấu tranh”. Và ở Việt Nam cũng sẽ
như vậy, dù có bất kỳ khó khăn nào giữa đường, cuối
cùng thì chuẩn mở thực sự cũng sẽ ngự trị tại Việt
Nam. Chắc chắn là như vậy!
Như đã xảy ra vào
năm ngoái, 2013 không nghi ngờ gì sẽ thấy khá nhiều trận
chiến trong các lĩnh vực các tiêu chuẩn mở, bản quyền
và bằng sáng chế phần mềm, nhưng cũng sẽ có chủ đề
mới: bảo vệ dữ liệu. Đó là hệ quả của một công
bố do Ủy ban châu Âu đã thực hiện hầu như chính xác
một năm trước: Ủy ban châu Âu hôm nay đã đề xuất
một cuộc cải cách tổng thể các qui định bảo vệ dữ
liệu năm 1995 của EU để tăng cường các quyền riêng tư
trực tuyến và thúc đẩy nền kinh tế số của châu Âu.
Sự tiến bộ và toàn cầu hóa của công nghệ đã thay
đổi sâu sắc cách mả các dữ liệu của chúng ta được
thu thập, được truy cập và được sử dụng. Hơn nữa,
27 nước thành viên EU đã triển khai các qui định 1995
khác nhau, gây ra những khác biệt trong sự ép tuân thủ.
Một luật duy nhất sẽ loại bỏ được những phân mảnh
và những gánh nặng hành chính tốn kém hiện nay, dẫn
tới những tiết kiệm cho các doanh nghiệp khoảng 2.3 tỷ
euro một năm. Sáng kiến đó sẽ giúp tăng cường lòng
tin của người tiêu dùng vào các dịch vụ trực tuyến,
đưa ra một sự khích lệ cần thiết nhiều cho sự tăng
trưởng, công ăn việc làm và đổi mới tại châu Âu.
…
Những đề xuất của
Ủy ban cập nhật và hiện đại hóa các nguyên tắc được
cất giữ trong Chỉ thị Bảo vệ Dữ liệu năm 1995 để
đảm bảo cho các quyền riêng tư trong tương lai. Chúng
bao gồm một sự thiết lập các mục tiêu của Ủy ban về
chính sách Truyền thông và 2 đề xuất pháp lý: một
thiết lập Qui định khung chung của EU về bảo vệ dữ
liệu và một Chỉ thị về bao vệ dữ liệu cá nhân được
xử lý cho các mục đích ngăn chặn, dò tìm, điều tra
hoặc tố cáo sự phạm tội của bọn tội phạm và các
hoạt động pháp lý có liên quan.
Chúng ta bây giờ đã
đề xuất văn bản Qui định đó, nó bao gồm nhiều sửa
đổi bổ sung do Jan Alobrecht, nghị sỹ quốc hội châu Âu
thuộc Đảng Xanh của Đức, người có trách nhiệm báo
cáo của nghị viện châu Âu về vấn đề này. Ông có
một trang hữu ích liên kết tới các tài liệu nền tảng
phù hợp và các video các cuộc gặp, nhưng chúng hầu hết
bằng tiếng Đức.
As
happened for last year, 2013 will doubtless see plenty of battles in
the domains of open standards, copyright and software patents, but
there will also be a new theme: data protection. That's a consequence
of an announcement
made by the European Commission almost exactly a year ago:
The
European Commission has today proposed a comprehensive reform of the
EU's 1995 data protection rules to strengthen online privacy rights
and boost Europe's digital economy. Technological progress and
globalisation have profoundly changed the way our data is collected,
accessed and used. In addition, the 27 EU Member States have
implemented the 1995 rules differently, resulting in divergences in
enforcement. A single law will do away with the current fragmentation
and costly administrative burdens, leading to savings for businesses
of around €2.3 billion a year. The initiative will help reinforce
consumer confidence in online services, providing a much needed boost
to growth, jobs and innovation in Europe.
…
The
Commission's proposals update and modernise the principles enshrined
in the 1995 Data Protection Directive to guarantee privacy rights in
the future. They include a policy Communication setting out the
Commission's objectives and two legislative proposals: a Regulation
setting out a general EU framework for data protection and a
Directive on protecting personal data processed for the purposes of
prevention, detection, investigation or prosecution of criminal
offences and related judicial activities.
We
now have the proposed text of the Regulation [.pdf],
which includes numerous amendments made by the German Green MEP Jan
Albrecht, who is the European Parliament's Rapporteur for this
matter. He has a useful page
linking to relevant background documents and videos of meetings, but
most of them are in German.
The
Regulation is quite long, and written in the form of the original
Commission text and the proposed changes, so it's not the easiest of
reading. A better place to start is the commentary
from the European Digital Rights organisation EDRI:
The
draft Report of the European Parliament on the European Commission's
proposed Data Protection Regulation was published today. The
Parliamentarian responsible, German Green MEP Jan Albrecht, has
sought to improve on the Commission's initial proposal and also to
address many of the concerns raised by his colleagues in the
discussions that have taken place so far in various Committees. The
draft text is therefore a mix of straightforward attempts at positive
improvements and attempts at compromise based on the opinions so far
expressed by his colleagues.
One
place where EDRI feels that Albrecht has improved the original text
regards “legitimate interest”:
Qui định đó khá
dài, và được viết ở dạng văn bản gốc của Ủy ban
và những thay đổi được đề xuất, nên nó không thật
dễ để đọc. Chỗ tốt hơn để bắt đầu là bình luận
từ tổ chức các Quyền Số châu Âu - EDRI (European Digital
Rights):
Báo cáo dự thảo của
Nghị viện châu Âu về Qui định Bảo vệ Dữ liệu được
EC đề xuất đã được xuất bản hôm nay. Nghị sỹ có
trách nhiệm, Jan Albrecht của Đảng Xanh của Đức, đã
tìm cách cải thiện về đề xuất ban đầu của Ủy ban
và cũng đề cập tới nhiều quan tâm nảy sinh từ các
đồng nghiệp của ông trong các thảo luận đã diễn ra
cho tới nay trong một loạt các Ủy ban. Văn bản phác thảo
vì thế là một sự pha trộn những ý định trực diện
trong những cải thiện tích cực và những ý định thỏa
hiệp dựa vào những ý kiến cho tới nay được các đồng
nghiệp của ông thể hiện.
Một địa điểm nơi
EDRI thấy Albrecht đã cải tiến văn bản gốc ban đầu về
“lợi ích pháp lý”:
Theo tiếp cận này,
các công ty có thể quyết định xử lý các dữ liệu cá
nhân mà không có phép và không có điều đang cần thiết
này cho kết luận của một hợp đồng. Họ có thể làm
thế nếu họ cảm thấy rằng những lý do của họ để
làm thế là quyến rũ hơn so với quyền về tính riêng tư
của các cá nhân (dù quyết định này có thể bị thách
thức tại các tòa án hoặc bởi một Nhà chức trách Bảo
vệ Dữ liệu). Các đề xuất đối nghịch từ các đồng
nghiệp đảng Xanh để xóa ngoại lệ này. Ông Albrechtgợi
ý một sự thỏa hiệp - cho phép tiếp cận một phía này
nếu đây là “ngoại lệ”. Người kiểm soát dữ liệu
có thể được yêu cầu chứng minh sử dụng tiếp cận
này và để thông báo chủ thể của dữ liệu 5 sự chứng
minh rộng rãi được liệt kê để sử dụng ngoại lệ
“lợi ích pháp lý” - một ví dụ là gửi các thư rác
từ một công ty đang cung cấp các dịch vụ ruồi cho chủ
thể của dữ liệu (như nó đang là theo luật EU về gửi
thư rác).
EDRI không thật vui
với câu hỏi về “việc định hình”:
theo sau logic của một
loạt các quyền cơ bản khác nhau hạn chế các biện pháp
được Ủy ban đề xuất trong lĩnh vực định hình cho
các mục đích làm chính sách, báo cáo của ông Albrecht'
gợi ý rằng các biện pháp mà đưa ra các hiệu ứng pháp
lý về chủ thể dữ liệu có thể không “chỉ” dựa
vào việc xử lý được tự động hóa. Câu chữ này quá
hẹp mà bất kỳ sự can thiệp nào của con người cũng
có thể đủ để làm thỏa mãn “sự bảo vệ” này.
Under
this approach, companies can decide to process personal data without
permission and without this being necessary for the conclusion of a
contract. They may do so if they feel that their reasons for doing so
are more compelling than the individual's right to privacy (although
this decision may be challenged in the courts or by a Data Protection
Authority). Contradicting proposals from Green colleagues to delete
this exception, Mr Albrecht suggests a compromise - permitting this
unilateral approach if it is “exceptional”. The data controller
would be required to justify the use of this approach and to inform
the data subject. Five broad justifications are listed for the use of
the “legitimate interest” exception - one example being the
sending of junk mail by a company that is already providing services
to the data subject (as is currently the case under EU law for
sending junk e-mail).
EDRI
is less happy with the question of "profiling":
following
the logic of various fundamental rights restricting measures proposed
by the Commission in the area of profiling for policing purposes, Mr
Albrecht's report suggests that measures that produce legal effects
on the data subject may not be based “solely” on automated
processing. This wording is so narrow that any human intervention at
all would be enough to satisfy this “safeguard”.
All-in-all,
though, EDRI feels that he has done a reasonable job in difficult
circumstances:
Generally,
many of the proposals from Mr Albrecht represent an improvement on
suggestions already been made by lobbyists and certain
Parliamentarians. However, it is far from certain whether his
colleagues will accept the draft report as a genuine first attempt at
compromise or simply a compromised position that can be further
eroded during the remainder of the legislative process.
One
of the vexed questions in this whole area is how the use of personal
data from the EU would be regulated when gathered and processed by US
companies. Indeed, there is something of a tussle going on here, as
two opposing world-views slug it out.
On
the European side, there is a greater focus on protecting the
public's data from misuse; on the US side, the main concern is that
US technology companies won't be inconvenienced when it comes to
providing their services in Europe. Here's how the New York Times
puts
it:
Although
the effort is intended to standardize and consolidate the enforcement
of data protection regulation across the 27 European Union countries,
some American regulators, industry groups and scholars have objected.
They say the draft rule was overly broad and burdensome for
technology companies to carry out.
Dù, tất cả, EDRI cảm
thấy rằng ông đã làm một công việc hợp lý trong những
hoàn cảnh khó khăn:
Nói chung, nhiều đề
xuất từ ông Albrecht thể hiện một sự cải thiện trong
các gợi ý đã được những người vận động hành lang
và các nghị sỹ nhất định thực hiện. Tuy nhiên, nó
còn xa với sự chắc chắn liệu các đồng nghiệp của
ông có chấp nhận báo cáo phác thảo đó như là một ý
định thực sự đầu tiên để thỏa hiệp hoặc đơn
giản chỉ là một vị thế thỏa hiệp có thể bị xói
mòn hơn nữa trong phần còn lại của quá trình làm luật.
Một
trong những câu hỏi gây tranh cãi trong toàn bộ lĩnh vực
này là làm thế nào sử dụng các dữ liệu cá nhân từ
EU có thể được điều chỉnh khi được thu thập và
được xử lý bởi các công ty Mỹ. Quả thực, có cái gì
đó của một cuộc ẩu đả đang diễn ra ở đây, khi 2
quan điểm đối nghịch nhau của thế giới chia tách nhau
ra.
Về
phía châu Âu, có một sự tập trung lớn hơn vào việc
bảo vệ dữ liệu công khỏi sử dụng sai; về phía Mỹ,
lo ngại chính là các công ty công nghệ của Mỹ sẽ không
thoải mái khi cung cấp các dịch vụ của họ ở châu Âu.
Đây là cách mà NYT nêu nó ra:
Dù nỗ lực được
mong đợi để tiêu chuẩn hóa và tăng cường ép tuân thủ
qui định bảo vệ dữ liệu kháp 27 nước thành viên của
EU, một số nhà điều chỉnh pháp luật của Mỹ, các
nhóm công nghiệp và các học giả đã phản đối. Họ
nói qui định phác thảo quá rộng và nặng nề đối với
các công ty công nghệ để triển khai.
Bài viết trên NYT dấy
lên một vấn đề cụ thể mà có thể trở thành mối
quan tâm đặc biệt đối với các độc giả của blog
này: tính khả chuyển các dữ liệu cá
nhân. Đây là văn banr phù hợp từ người có trách
nhiệm báo cáo:
2a. Ở những nơi mà
chủ thể dữ liệu sẽ có quyền truyền đi những dữ
liệu cá nhân đó, nơi mà về mặt kỹ thuật và khả thi
và phù hợp, và được hệ thống xử lý tự động tiếp
tục dùng, trong một nơi khác, ở định dạng điện tử
thường được sử dụng, không có trở ngại từ người
kiểm soát đối với những ai mà các dữ liệu cá nhân
đó sẽ được rút đi.
Điều
này là hợp lý, nó tạo nên một điểm chính:
Nếu
các chủ thể dữ liệu muốn thực thi quyền của họ để
truy cập các dữ liệu cá nhân của họ, thì nó nên được
cung cấp cho họ ở một dạng điện tử mà họ có thể
sử dụng. Sự sử dụng tiếp tục này bao gồm các quyền
để dịch chuyển nó tới các nền tảng và dịch vụ
khác nếu chủ thể dữ liệu muốn điều này. Quyền đối
với tính khả chuyển dữ liệu, vì thế, chỉ là một
đặc tả của quyền truy cập dữ liệu.
Nghĩa
là, thiếu tính khả chuyển dữ liệu thì không có sự
truy cập dữ liệu thực sự. Nhưng bài viết trên
NYT nêu:
Việc trao cho mọi
người quyền truyền các bản cập nhật và các ảnh chụp
mà họ đã đưa lên Facebook và Google Plus, ví dụ, có thể
là hợp lý tuyệt vời, Yianni Lagos, một đồng nghiệp về
pháp lý và chính sách tại Đại học Bang Ohio và là đồng
tác giả của phân tích gần đây về qui định phác thảo
của châu Âu được xuất bản trên Maryland Law Review.
Nhưng qui định được đề xuất đòi
hỏi một cách rộng rãi rằng một công ty truyền dữ
liệu của một cá nhân “không có cản trở” và ở
định dạng được sử dụng rộng rãi.
The
NYT article raises one specific issue that may well be of particular
interest to readers of this blog: personal data portability. Here's
the relevant text from the Rapporteur:
2a.
Where the data subject has provided the personal data and the
processing is based on consent or on a contract, the data subject
shall have the right to transmit those personal data, where
technically feasible and appropriate, and retained by an automated
processing system, into another one, in an electronic format which is
commonly used, without hindrance from the controller from whom the
personal data are withdrawn.
Here's
the rationale, which makes a key point:
If
data subjects want to exercise their right to access their personal
data, it should be provided to them in an electronic format which
they can use. This further use includes the right to move it to other
platforms and services if the data subject wants this. The right to
data portability, therefore, is a mere specification of the right to
data access.
That
is, without real data portability there is no real data access. But
as the New York Times post notes:
Granting
people the right to transfer the updates and photos they posted on
Facebook to Google Plus, for example, may sound perfectly reasonable,
said Yianni Lagos, a legal and policy fellow at Ohio State University
and the co-author of a recent analysis of the European draft
regulation published in the Maryland Law Review. But the proposed
rule broadly requires that a company transfer a person’s data
“without hindrance” and in a commonly used format.
“Chúng tôi không
chắc chắn điều đó có nghĩa gì”, ông Lagos nói.
“Thách
thức lớn nhất là khái niệm về tính tương hợp”, ông
Lagos nói. “Việc dịch từ định dạng được mã hóa
sang định dạng được sử dụng rộng rãi, đó là những
gì sẽ khó và đắt để đạt được”.
Tất
nhiên, điều này chính xác là những gì mọi người nên
sử dụng các tiêu chuẩn thực sự mở. Rồi thì sẽ
không cần phải “dịch” từ một định dạng được
mã hóa, vì nó đã ở dạng mà có thể được xuất đi
rồi. Vì thế quan trọng sống còn là Qui định mới về
Bảo vệ Dữ liệu của EU sẽ làm cho điều này là chắn
chắn, có lẽ bằng việc sửa đổi bổ sung phần phù hợp
sau đây:
2a.
Ở những nơi chủ thể dữ liệu đã cung cấp và xử lý
các dữ liệu cá nhân là dựa vào sự thỏa thuận hoặc
dựa vào một hợp đồng, chủ thể của dữ liệu sẽ có
quyền truyền các dữ liệu cá nhân đó, ở những nơi mà
khả thi và phù hợp về mặt kỹ thuật, và được hệ
thống xử lý tự động tiếp tục sử dụng, trong một
hệ thống khác, ở một định dạng diện tử dựa vào
các tiêu chuẩn mở, không có cản trở từ người
kiểm soát đối với những ai mà các dữ liệu cá nhân
đó sẽ được rút đi.
Làm
như vậy sẽ không chỉ đạt được các mục tiêu của
tính khả chuyển dữ liệu - một mặt chính của những
đề xuất đó - mà sẽ còn trao một sự khuyến khích hữu
dụng cho toàn bộ ý tưởng về các tiêu chuẩn mở, với
những lợi ích rộng lớn hơn cho điện toán tại EU.
“We’re
not exactly sure what that means,” Mr. Lagos said.
“The
largest challenge is the concept of interoperability,” Mr. Lagos
said. “Translating from a coded format to a commonly used format,
that is what will be difficult and costly to achieve.”
Of
course, this is precisely why people should use truly open standards.
Then there is no need to "translate" from a coded format,
because it's already in a form that can be readily exported. It is
therefore vitally important that the new EU Data Protection
Regulation make this explicit, perhaps by amending the relevant
section as follows:
2a.
Where the data subject has provided the personal data and the
processing is based on consent or on a contract, the data subject
shall have the right to transmit those personal data, where
technically feasible and appropriate, and retained by an automated
processing system, into another one, in an electronic format based
on open standards, without hindrance from the controller from
whom the personal data are withdrawn.
Doing
so will not only achieve the goals of data portability - a key facet
of the proposals - but will also give a useful fillip to the whole
idea of open standards, with wider knock-on benefits for computing in
the EU.
As
the EDRI piece notes, it's quite possible that the text will be
changed substantially as it passes through the EU legislative system.
Given the importance of this regulation, I'll be reporting on the key
stages as they happen, and noting when it might be useful to contact
your MEPs on the topic.
Data
protection is an area that affects everyone online, and so it's
important that we get a good solution here that offers protection to
users while permitting companies to use personal information as
easily as possible subject to basic rules. If, along the way, we can
boost the use of open standards by major companies like Facebook and
Google, that will be an added bonus.
Như mẩu tin của EDRI
lưu ý, hoàn toàn có khả năng là văn bản đó sẽ bị
thay đổi đáng kể khi nó truyền qua hệ thống làm luật
của EU. Biết rằng tầm quan trọng của qui định này,
tôi sẽ báo cáo về những bước chính khi chúng xảy ra,
và lưu ý khi nó có thể là hữu dụng để liên hệ với
các nghị sỹ nghị viện châu Âu (MEP) của các bạn về
chủ đề này.
Bảo vệ dữ liệu là
một lĩnh vực mà ảnh hưởng tới mọi người trên trực
tuyến, và vì thế nó quan trọng rằng chúng ta có được
một giải pháp tốt ở đây mà đưa ra sự bảo vệ cho
những người sử dụng trong khi cho phép các công ty sử
dụng thông tin cá nhân càng dễ dàng càng tốt tuân theo
các qui định cơ bản. Nếu, trong quá trình, chúng ta có
thể thúc đẩy sử dụng các tiêu chuẩn mở bởi các
công ty chính như Facebook và Google, thì điều đó sẽ là
một phần thưởng bổ sung thêm.
Sau tất cả, lý do mà
các công ty Mỹ và chính phủ của họ quá thực thi về
những gì được xem là một vấn đề thuần túy có tính
địa phương cho EU là vì nó có những hệ quả khổng lồ
ở mọi nơi trên thế giới. Nhờ có
bản chất tự nhiên toàn cầu của các hoạt động những
ngày này, hiếm khi khả thi để thiết lập những hệ
thống quá khác biệt cho các phần khác nhau của thế giới
mà vận hành theo các cách thức khác nhau. Nếu các qui
định của EU ép các công ty cung cấp các dịch vụ cho
những người dân châu Âu để áp dụng các tiêu chuẩn
mở để cho phép tính khả chuyển dữ liệu đúng, thì
những tiêu chuẩn mở y hệt đó sẽ được triển khai
toàn cầu. Đó là thứ gì đó thực sự đáng giá để
đấu tranh.
After
all, the reason that the US companies and their government are so
exercised about what looks to be a purely parochial issue for the EU
is that it has huge knock-on consequences for everywhere in the
world. Thanks to the global nature of operations these days, it's
rarely feasible to set up very different systems for different parts
of the world that operate in different ways. If EU regulations force
companies providing services to Europeans to adopt open standards in
order to allow true data portability, those same open standards will
be rolled out worldwide. That's something really worth striving for.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.