Chủ Nhật, 20 tháng 1, 2013

Bảo vệ dữ liệu và các tiêu chuẩn mở của EU


EU Data Protection and Open Standards
Published 13:44, 09 January 13
Bài được đưa lên Internet ngày: 09/01/2013
Lời người dịch: Người châu Âu tin tưởng rằng năm 2013 sẽ là năm đấu tranh cho việc bảo vệ dữ liệu điện tử, và để làm được điều này, điều cốt tử là phải sử dụng các tiêu chuẩn mở đúng, để thực thi được tính khả chuyển của dữ liệu cá nhân, bất kể nó được sử dụng ở đâu, với công nghệ nào, của nhà cung cấp dịch vụ nào. “Nhờ có bản chất tự nhiên toàn cầu của các hoạt động những ngày này, hiếm khi khả thi để thiết lập những hệ thống quá khác biệt cho các phần khác nhau của thế giới mà vận hành theo các cách thức khác nhau. Nếu các qui định của EU ép các công ty cung cấp các dịch vụ cho những người dân châu Âu để áp dụng các tiêu chuẩn mở để cho phép tính khả chuyển dữ liệu đúng, thì những tiêu chuẩn mở y hệt đó sẽ được triển khai toàn cầu. Đó là thứ gì đó thực sự đáng giá để đấu tranh”. Và ở Việt Nam cũng sẽ như vậy, dù có bất kỳ khó khăn nào giữa đường, cuối cùng thì chuẩn mở thực sự cũng sẽ ngự trị tại Việt Nam. Chắc chắn là như vậy!
Như đã xảy ra vào năm ngoái, 2013 không nghi ngờ gì sẽ thấy khá nhiều trận chiến trong các lĩnh vực các tiêu chuẩn mở, bản quyền và bằng sáng chế phần mềm, nhưng cũng sẽ có chủ đề mới: bảo vệ dữ liệu. Đó là hệ quả của một công bố do Ủy ban châu Âu đã thực hiện hầu như chính xác một năm trước: Ủy ban châu Âu hôm nay đã đề xuất một cuộc cải cách tổng thể các qui định bảo vệ dữ liệu năm 1995 của EU để tăng cường các quyền riêng tư trực tuyến và thúc đẩy nền kinh tế số của châu Âu. Sự tiến bộ và toàn cầu hóa của công nghệ đã thay đổi sâu sắc cách mả các dữ liệu của chúng ta được thu thập, được truy cập và được sử dụng. Hơn nữa, 27 nước thành viên EU đã triển khai các qui định 1995 khác nhau, gây ra những khác biệt trong sự ép tuân thủ. Một luật duy nhất sẽ loại bỏ được những phân mảnh và những gánh nặng hành chính tốn kém hiện nay, dẫn tới những tiết kiệm cho các doanh nghiệp khoảng 2.3 tỷ euro một năm. Sáng kiến đó sẽ giúp tăng cường lòng tin của người tiêu dùng vào các dịch vụ trực tuyến, đưa ra một sự khích lệ cần thiết nhiều cho sự tăng trưởng, công ăn việc làm và đổi mới tại châu Âu.
Những đề xuất của Ủy ban cập nhật và hiện đại hóa các nguyên tắc được cất giữ trong Chỉ thị Bảo vệ Dữ liệu năm 1995 để đảm bảo cho các quyền riêng tư trong tương lai. Chúng bao gồm một sự thiết lập các mục tiêu của Ủy ban về chính sách Truyền thông và 2 đề xuất pháp lý: một thiết lập Qui định khung chung của EU về bảo vệ dữ liệu và một Chỉ thị về bao vệ dữ liệu cá nhân được xử lý cho các mục đích ngăn chặn, dò tìm, điều tra hoặc tố cáo sự phạm tội của bọn tội phạm và các hoạt động pháp lý có liên quan.
Chúng ta bây giờ đã đề xuất văn bản Qui định đó, nó bao gồm nhiều sửa đổi bổ sung do Jan Alobrecht, nghị sỹ quốc hội châu Âu thuộc Đảng Xanh của Đức, người có trách nhiệm báo cáo của nghị viện châu Âu về vấn đề này. Ông có một trang hữu ích liên kết tới các tài liệu nền tảng phù hợp và các video các cuộc gặp, nhưng chúng hầu hết bằng tiếng Đức.
As happened for last year, 2013 will doubtless see plenty of battles in the domains of open standards, copyright and software patents, but there will also be a new theme: data protection. That's a consequence of an announcement made by the European Commission almost exactly a year ago:
The European Commission has today proposed a comprehensive reform of the EU's 1995 data protection rules to strengthen online privacy rights and boost Europe's digital economy. Technological progress and globalisation have profoundly changed the way our data is collected, accessed and used. In addition, the 27 EU Member States have implemented the 1995 rules differently, resulting in divergences in enforcement. A single law will do away with the current fragmentation and costly administrative burdens, leading to savings for businesses of around €2.3 billion a year. The initiative will help reinforce consumer confidence in online services, providing a much needed boost to growth, jobs and innovation in Europe.
The Commission's proposals update and modernise the principles enshrined in the 1995 Data Protection Directive to guarantee privacy rights in the future. They include a policy Communication setting out the Commission's objectives and two legislative proposals: a Regulation setting out a general EU framework for data protection and a Directive on protecting personal data processed for the purposes of prevention, detection, investigation or prosecution of criminal offences and related judicial activities.
We now have the proposed text of the Regulation [.pdf], which includes numerous amendments made by the German Green MEP Jan Albrecht, who is the European Parliament's Rapporteur for this matter. He has a useful page linking to relevant background documents and videos of meetings, but most of them are in German.
The Regulation is quite long, and written in the form of the original Commission text and the proposed changes, so it's not the easiest of reading. A better place to start is the commentary from the European Digital Rights organisation EDRI:
The draft Report of the European Parliament on the European Commission's proposed Data Protection Regulation was published today. The Parliamentarian responsible, German Green MEP Jan Albrecht, has sought to improve on the Commission's initial proposal and also to address many of the concerns raised by his colleagues in the discussions that have taken place so far in various Committees. The draft text is therefore a mix of straightforward attempts at positive improvements and attempts at compromise based on the opinions so far expressed by his colleagues.
One place where EDRI feels that Albrecht has improved the original text regards “legitimate interest”:
Qui định đó khá dài, và được viết ở dạng văn bản gốc của Ủy ban và những thay đổi được đề xuất, nên nó không thật dễ để đọc. Chỗ tốt hơn để bắt đầu là bình luận từ tổ chức các Quyền Số châu Âu - EDRI (European Digital Rights):
Báo cáo dự thảo của Nghị viện châu Âu về Qui định Bảo vệ Dữ liệu được EC đề xuất đã được xuất bản hôm nay. Nghị sỹ có trách nhiệm, Jan Albrecht của Đảng Xanh của Đức, đã tìm cách cải thiện về đề xuất ban đầu của Ủy ban và cũng đề cập tới nhiều quan tâm nảy sinh từ các đồng nghiệp của ông trong các thảo luận đã diễn ra cho tới nay trong một loạt các Ủy ban. Văn bản phác thảo vì thế là một sự pha trộn những ý định trực diện trong những cải thiện tích cực và những ý định thỏa hiệp dựa vào những ý kiến cho tới nay được các đồng nghiệp của ông thể hiện.
Một địa điểm nơi EDRI thấy Albrecht đã cải tiến văn bản gốc ban đầu về “lợi ích pháp lý”:
Theo tiếp cận này, các công ty có thể quyết định xử lý các dữ liệu cá nhân mà không có phép và không có điều đang cần thiết này cho kết luận của một hợp đồng. Họ có thể làm thế nếu họ cảm thấy rằng những lý do của họ để làm thế là quyến rũ hơn so với quyền về tính riêng tư của các cá nhân (dù quyết định này có thể bị thách thức tại các tòa án hoặc bởi một Nhà chức trách Bảo vệ Dữ liệu). Các đề xuất đối nghịch từ các đồng nghiệp đảng Xanh để xóa ngoại lệ này. Ông Albrechtgợi ý một sự thỏa hiệp - cho phép tiếp cận một phía này nếu đây là “ngoại lệ”. Người kiểm soát dữ liệu có thể được yêu cầu chứng minh sử dụng tiếp cận này và để thông báo chủ thể của dữ liệu 5 sự chứng minh rộng rãi được liệt kê để sử dụng ngoại lệ “lợi ích pháp lý” - một ví dụ là gửi các thư rác từ một công ty đang cung cấp các dịch vụ ruồi cho chủ thể của dữ liệu (như nó đang là theo luật EU về gửi thư rác).
EDRI không thật vui với câu hỏi về “việc định hình”:
theo sau logic của một loạt các quyền cơ bản khác nhau hạn chế các biện pháp được Ủy ban đề xuất trong lĩnh vực định hình cho các mục đích làm chính sách, báo cáo của ông Albrecht' gợi ý rằng các biện pháp mà đưa ra các hiệu ứng pháp lý về chủ thể dữ liệu có thể không “chỉ” dựa vào việc xử lý được tự động hóa. Câu chữ này quá hẹp mà bất kỳ sự can thiệp nào của con người cũng có thể đủ để làm thỏa mãn “sự bảo vệ” này.
Under this approach, companies can decide to process personal data without permission and without this being necessary for the conclusion of a contract. They may do so if they feel that their reasons for doing so are more compelling than the individual's right to privacy (although this decision may be challenged in the courts or by a Data Protection Authority). Contradicting proposals from Green colleagues to delete this exception, Mr Albrecht suggests a compromise - permitting this unilateral approach if it is “exceptional”. The data controller would be required to justify the use of this approach and to inform the data subject. Five broad justifications are listed for the use of the “legitimate interest” exception - one example being the sending of junk mail by a company that is already providing services to the data subject (as is currently the case under EU law for sending junk e-mail).
EDRI is less happy with the question of "profiling":
following the logic of various fundamental rights restricting measures proposed by the Commission in the area of profiling for policing purposes, Mr Albrecht's report suggests that measures that produce legal effects on the data subject may not be based “solely” on automated processing. This wording is so narrow that any human intervention at all would be enough to satisfy this “safeguard”.
All-in-all, though, EDRI feels that he has done a reasonable job in difficult circumstances:
Generally, many of the proposals from Mr Albrecht represent an improvement on suggestions already been made by lobbyists and certain Parliamentarians. However, it is far from certain whether his colleagues will accept the draft report as a genuine first attempt at compromise or simply a compromised position that can be further eroded during the remainder of the legislative process.
One of the vexed questions in this whole area is how the use of personal data from the EU would be regulated when gathered and processed by US companies. Indeed, there is something of a tussle going on here, as two opposing world-views slug it out.
On the European side, there is a greater focus on protecting the public's data from misuse; on the US side, the main concern is that US technology companies won't be inconvenienced when it comes to providing their services in Europe. Here's how the New York Times puts it:
Although the effort is intended to standardize and consolidate the enforcement of data protection regulation across the 27 European Union countries, some American regulators, industry groups and scholars have objected. They say the draft rule was overly broad and burdensome for technology companies to carry out.
Dù, tất cả, EDRI cảm thấy rằng ông đã làm một công việc hợp lý trong những hoàn cảnh khó khăn:
Nói chung, nhiều đề xuất từ ông Albrecht thể hiện một sự cải thiện trong các gợi ý đã được những người vận động hành lang và các nghị sỹ nhất định thực hiện. Tuy nhiên, nó còn xa với sự chắc chắn liệu các đồng nghiệp của ông có chấp nhận báo cáo phác thảo đó như là một ý định thực sự đầu tiên để thỏa hiệp hoặc đơn giản chỉ là một vị thế thỏa hiệp có thể bị xói mòn hơn nữa trong phần còn lại của quá trình làm luật.
Một trong những câu hỏi gây tranh cãi trong toàn bộ lĩnh vực này là làm thế nào sử dụng các dữ liệu cá nhân từ EU có thể được điều chỉnh khi được thu thập và được xử lý bởi các công ty Mỹ. Quả thực, có cái gì đó của một cuộc ẩu đả đang diễn ra ở đây, khi 2 quan điểm đối nghịch nhau của thế giới chia tách nhau ra.
Về phía châu Âu, có một sự tập trung lớn hơn vào việc bảo vệ dữ liệu công khỏi sử dụng sai; về phía Mỹ, lo ngại chính là các công ty công nghệ của Mỹ sẽ không thoải mái khi cung cấp các dịch vụ của họ ở châu Âu. Đây là cách mà NYT nêu nó ra:
Dù nỗ lực được mong đợi để tiêu chuẩn hóa và tăng cường ép tuân thủ qui định bảo vệ dữ liệu kháp 27 nước thành viên của EU, một số nhà điều chỉnh pháp luật của Mỹ, các nhóm công nghiệp và các học giả đã phản đối. Họ nói qui định phác thảo quá rộng và nặng nề đối với các công ty công nghệ để triển khai.
Bài viết trên NYT dấy lên một vấn đề cụ thể mà có thể trở thành mối quan tâm đặc biệt đối với các độc giả của blog này: tính khả chuyển các dữ liệu cá nhân. Đây là văn banr phù hợp từ người có trách nhiệm báo cáo:
2a. Ở những nơi mà chủ thể dữ liệu sẽ có quyền truyền đi những dữ liệu cá nhân đó, nơi mà về mặt kỹ thuật và khả thi và phù hợp, và được hệ thống xử lý tự động tiếp tục dùng, trong một nơi khác, ở định dạng điện tử thường được sử dụng, không có trở ngại từ người kiểm soát đối với những ai mà các dữ liệu cá nhân đó sẽ được rút đi.
Điều này là hợp lý, nó tạo nên một điểm chính:
Nếu các chủ thể dữ liệu muốn thực thi quyền của họ để truy cập các dữ liệu cá nhân của họ, thì nó nên được cung cấp cho họ ở một dạng điện tử mà họ có thể sử dụng. Sự sử dụng tiếp tục này bao gồm các quyền để dịch chuyển nó tới các nền tảng và dịch vụ khác nếu chủ thể dữ liệu muốn điều này. Quyền đối với tính khả chuyển dữ liệu, vì thế, chỉ là một đặc tả của quyền truy cập dữ liệu.
Nghĩa là, thiếu tính khả chuyển dữ liệu thì không có sự truy cập dữ liệu thực sự. Nhưng bài viết trên NYT nêu:
Việc trao cho mọi người quyền truyền các bản cập nhật và các ảnh chụp mà họ đã đưa lên Facebook và Google Plus, ví dụ, có thể là hợp lý tuyệt vời, Yianni Lagos, một đồng nghiệp về pháp lý và chính sách tại Đại học Bang Ohio và là đồng tác giả của phân tích gần đây về qui định phác thảo của châu Âu được xuất bản trên Maryland Law Review. Nhưng qui định được đề xuất đòi hỏi một cách rộng rãi rằng một công ty truyền dữ liệu của một cá nhân “không có cản trở” và ở định dạng được sử dụng rộng rãi.
The NYT article raises one specific issue that may well be of particular interest to readers of this blog: personal data portability. Here's the relevant text from the Rapporteur:
2a. Where the data subject has provided the personal data and the processing is based on consent or on a contract, the data subject shall have the right to transmit those personal data, where technically feasible and appropriate, and retained by an automated processing system, into another one, in an electronic format which is commonly used, without hindrance from the controller from whom the personal data are withdrawn.
Here's the rationale, which makes a key point:
If data subjects want to exercise their right to access their personal data, it should be provided to them in an electronic format which they can use. This further use includes the right to move it to other platforms and services if the data subject wants this. The right to data portability, therefore, is a mere specification of the right to data access.
That is, without real data portability there is no real data access. But as the New York Times post notes:
Granting people the right to transfer the updates and photos they posted on Facebook to Google Plus, for example, may sound perfectly reasonable, said Yianni Lagos, a legal and policy fellow at Ohio State University and the co-author of a recent analysis of the European draft regulation published in the Maryland Law Review. But the proposed rule broadly requires that a company transfer a person’s data “without hindrance” and in a commonly used format.
Chúng tôi không chắc chắn điều đó có nghĩa gì”, ông Lagos nói.
Thách thức lớn nhất là khái niệm về tính tương hợp”, ông Lagos nói. “Việc dịch từ định dạng được mã hóa sang định dạng được sử dụng rộng rãi, đó là những gì sẽ khó và đắt để đạt được”.
Tất nhiên, điều này chính xác là những gì mọi người nên sử dụng các tiêu chuẩn thực sự mở. Rồi thì sẽ không cần phải “dịch” từ một định dạng được mã hóa, vì nó đã ở dạng mà có thể được xuất đi rồi. Vì thế quan trọng sống còn là Qui định mới về Bảo vệ Dữ liệu của EU sẽ làm cho điều này là chắn chắn, có lẽ bằng việc sửa đổi bổ sung phần phù hợp sau đây:
2a. Ở những nơi chủ thể dữ liệu đã cung cấp và xử lý các dữ liệu cá nhân là dựa vào sự thỏa thuận hoặc dựa vào một hợp đồng, chủ thể của dữ liệu sẽ có quyền truyền các dữ liệu cá nhân đó, ở những nơi mà khả thi và phù hợp về mặt kỹ thuật, và được hệ thống xử lý tự động tiếp tục sử dụng, trong một hệ thống khác, ở một định dạng diện tử dựa vào các tiêu chuẩn mở, không có cản trở từ người kiểm soát đối với những ai mà các dữ liệu cá nhân đó sẽ được rút đi.
Làm như vậy sẽ không chỉ đạt được các mục tiêu của tính khả chuyển dữ liệu - một mặt chính của những đề xuất đó - mà sẽ còn trao một sự khuyến khích hữu dụng cho toàn bộ ý tưởng về các tiêu chuẩn mở, với những lợi ích rộng lớn hơn cho điện toán tại EU.
We’re not exactly sure what that means,” Mr. Lagos said.
The largest challenge is the concept of interoperability,” Mr. Lagos said. “Translating from a coded format to a commonly used format, that is what will be difficult and costly to achieve.”
Of course, this is precisely why people should use truly open standards. Then there is no need to "translate" from a coded format, because it's already in a form that can be readily exported. It is therefore vitally important that the new EU Data Protection Regulation make this explicit, perhaps by amending the relevant section as follows:
2a. Where the data subject has provided the personal data and the processing is based on consent or on a contract, the data subject shall have the right to transmit those personal data, where technically feasible and appropriate, and retained by an automated processing system, into another one, in an electronic format based on open standards, without hindrance from the controller from whom the personal data are withdrawn.
Doing so will not only achieve the goals of data portability - a key facet of the proposals - but will also give a useful fillip to the whole idea of open standards, with wider knock-on benefits for computing in the EU.
As the EDRI piece notes, it's quite possible that the text will be changed substantially as it passes through the EU legislative system. Given the importance of this regulation, I'll be reporting on the key stages as they happen, and noting when it might be useful to contact your MEPs on the topic.
Data protection is an area that affects everyone online, and so it's important that we get a good solution here that offers protection to users while permitting companies to use personal information as easily as possible subject to basic rules. If, along the way, we can boost the use of open standards by major companies like Facebook and Google, that will be an added bonus.
Như mẩu tin của EDRI lưu ý, hoàn toàn có khả năng là văn bản đó sẽ bị thay đổi đáng kể khi nó truyền qua hệ thống làm luật của EU. Biết rằng tầm quan trọng của qui định này, tôi sẽ báo cáo về những bước chính khi chúng xảy ra, và lưu ý khi nó có thể là hữu dụng để liên hệ với các nghị sỹ nghị viện châu Âu (MEP) của các bạn về chủ đề này.
Bảo vệ dữ liệu là một lĩnh vực mà ảnh hưởng tới mọi người trên trực tuyến, và vì thế nó quan trọng rằng chúng ta có được một giải pháp tốt ở đây mà đưa ra sự bảo vệ cho những người sử dụng trong khi cho phép các công ty sử dụng thông tin cá nhân càng dễ dàng càng tốt tuân theo các qui định cơ bản. Nếu, trong quá trình, chúng ta có thể thúc đẩy sử dụng các tiêu chuẩn mở bởi các công ty chính như Facebook và Google, thì điều đó sẽ là một phần thưởng bổ sung thêm.
Sau tất cả, lý do mà các công ty Mỹ và chính phủ của họ quá thực thi về những gì được xem là một vấn đề thuần túy có tính địa phương cho EU là vì nó có những hệ quả khổng lồ ở mọi nơi trên thế giới. Nhờ có bản chất tự nhiên toàn cầu của các hoạt động những ngày này, hiếm khi khả thi để thiết lập những hệ thống quá khác biệt cho các phần khác nhau của thế giới mà vận hành theo các cách thức khác nhau. Nếu các qui định của EU ép các công ty cung cấp các dịch vụ cho những người dân châu Âu để áp dụng các tiêu chuẩn mở để cho phép tính khả chuyển dữ liệu đúng, thì những tiêu chuẩn mở y hệt đó sẽ được triển khai toàn cầu. Đó là thứ gì đó thực sự đáng giá để đấu tranh.
After all, the reason that the US companies and their government are so exercised about what looks to be a purely parochial issue for the EU is that it has huge knock-on consequences for everywhere in the world. Thanks to the global nature of operations these days, it's rarely feasible to set up very different systems for different parts of the world that operate in different ways. If EU regulations force companies providing services to Europeans to adopt open standards in order to allow true data portability, those same open standards will be rolled out worldwide. That's something really worth striving for.
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.