Những lời kêu gọi xây dựng luật liên bang cùng với sắc lệnh điều hành trí tuệ nhân tạo (AI) của tổng thống Hoa Kỳ Joe Biden và khoảng 12 chế độ khác nhau chỉ riêng trong nước đã làm nổi bật môi trường pháp lý toàn cầu về quyền riêng tư dữ liệu vốn được coi là một thứ gì đó hỗn tạp.
Alex Hazell, người đứng đầu bộ phận quyền riêng tư và pháp lý của Vương quốc Anh tại nhà cung cấp nền tảng tiếp thị đám mây Acxiom, cho biết các chế độ khác nhau tiếp tục xuất hiện ở cả trong và trên các quốc gia khác nhau, với khả năng hợp lý hóa hoặc đồng thuận trên toàn thế giới rất khó xảy ra.
Ông nói: “Việc đạt được sự tuân thủ đầy đủ là vô cùng khó khăn và phức tạp. “Bạn chỉ cần xem bộ giấy tờ của Amazon Web Services (AWS) để truyền và xử lý Quy định bảo vệ dữ liệu chung (GDPR) – nhiều tài liệu, chứa các liên kết đến các tài liệu khác, v.v.”
Đến năm 2021, theo Liên hợp quốc, ít nhất 137 quốc gia đã có luật có hiệu lực.
Việc kết hợp thực tiễn, chính sách và quy định cụ thể có thể đồng nghĩa với việc phải tham gia sâu hơn với các luật sư và chuyên gia tuân thủ để tìm hiểu chi tiết về hai phương pháp tiếp cận chính – một điều khó có thể lọt vào tai các công ty.
Hazell nói: “Bạn có thể hướng tới tiêu chuẩn pháp lý cao nhất, tuân thủ tiêu chuẩn đó như một biện pháp tuân thủ nội bộ”. “Vấn đề khi làm điều đó là bạn sẽ mất lợi thế cạnh tranh ở những quốc gia có cách tiếp cận lỏng lẻo hơn. Hoặc bạn có thể tuân thủ các tiêu chuẩn pháp lý ở mỗi quốc gia.”
Cách tiếp cận thứ hai có thể là lựa chọn duy nhất nếu và khi các tiêu chuẩn pháp lý ở một khu vực tài phán liên quan khác biệt hoàn toàn với một khu vực tài phán khác, đặc biệt khi sự khác biệt xoay quanh triết lý quốc gia, chính trị và “các đánh giá về giá trị”. Tất nhiên, điều này cũng có thể khiến việc tuân thủ không chỉ tốn kém và phức tạp hơn mà thậm chí còn bị cấm đối với các công ty nhỏ hơn hoặc các công ty khởi nghiệp.
Phương pháp tiếp cận dựa trên rủi ro
Tuy nhiên, ông nói thêm rằng “thực tế thực tế” là các tổ chức đôi khi áp dụng cách tiếp cận dựa trên rủi ro không chỉ đối với cách họ kinh doanh mà còn đối với các khía cạnh tuân thủ, đặc biệt là khi có các khu vực màu xám hoặc “chưa quyết định”.
“Ví dụ, nếu một đạo luật hiếm khi được thi hành và bị bỏ qua rộng rãi – cái gọi là ‘luật xấu’ – thì một số người có thể, như vốn dĩ, đi theo đám đông, cho rằng số lượng sẽ an toàn,” Hazell nói.
“Một doanh nghiệp có thể có một quan điểm khác, một doanh nghiệp khác có thể có một quan điểm khác. Miễn là điều đó hợp lý, không có sự xác minh của cơ quan tư pháp, các tổ chức sẽ tiếp tục hoạt động trong vùng xám đó.”
Ví dụ: trong Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh Châu Âu (EU), tiền lệ tư pháp đang được thiết lập, nhưng vẫn có một số lĩnh vực mà việc thực thi có thể chưa được quyết định, ngay cả trước khi bạn bắt đầu nghĩ về luật mới của EU như Luật Kỹ thuật số. Đạo luật Dịch vụ, nơi vẫn chưa có bất kỳ tiền lệ tư pháp nào.
Các tổ chức có đang gặp rủi ro với một khoản “tiền phạt cực lớn”, như trong phần trăm hình phạt doanh thu toàn cầu tối đa của GDPR hay chỉ là một lời buộc tội không chính thức? Chẳng hạn, khả năng xảy ra vụ kiện tập thể do lệnh trừng phạt của cơ quan quản lý là gì?
Khi phát triển chế độ tuân thủ của bạn, hãy xem xét khả năng gây ra vấn đề. Hazell nói: “Đặt cá nhân làm trung tâm của mọi cân nhắc về chính sách nội bộ. “Có tác hại thực sự nào có thể xảy ra do một phần quá trình xử lý không và nếu có thì cần áp dụng biện pháp giảm thiểu nào?”
Jonathan Joseph, người đứng đầu các giải pháp tại công ty phần mềm bảo mật dữ liệu Ketch, đồng ý rộng rãi, nhưng vẫn khẳng định rằng bằng cách nào đó quyền riêng tư dữ liệu phải được chính thức công nhận trên toàn thế giới, ngay cả khi chỉ được nêu trong một dự luật về cách tiếp cận kiểu nhân quyền, như một đối trọng với chính sách tuyệt đối. tốc độ đổi mới công nghệ.
Sự lan truyền của AI và ML làm tăng tiền cược
Mặc dù AI có những mục đích hợp lệ và hữu ích nhưng việc sử dụng quá nhiều dữ liệu có thể gây ra mối đe dọa cho các cá nhân, bao gồm cả quyền riêng tư của họ. Joseph nói: “Chúng ta nên thừa nhận rằng mọi người có quyền dữ liệu.
Quy định thường đóng vai trò bắt kịp với sự đổi mới công nghệ. Ông nói, thay vì cản trở sự đổi mới, các khu vực pháp lý nên tiến hành vấn đề này nhanh hơn, mang lại cho các tổ chức và các thực thể khác cơ hội thực sự để lập kế hoạch và giải quyết mọi vấn đề.
Joseph nói: “Nếu quyền về quyền riêng tư dữ liệu được công nhận trên toàn thế giới, thì chỉ cần để các quốc gia với tư cách là các thực thể có chủ quyền tự quyết định chi tiết về quyền tài phán của họ”. “Ví dụ: ở Châu Âu, bạn có lưu trữ dữ liệu công dân Châu Âu trên các đám mây Châu Âu không?”
Ông lưu ý rằng GDPR “đã mở ra cánh cửa” về quyền riêng tư, nhưng “có những vết nứt trong mô hình (chọn tham gia)”. Làm thế nào việc chọn tham gia có thể thực sự có ý nghĩa khi có nhiều trang văn bản pháp lý thường đi kèm với các lựa chọn tham gia cũng như các điều khoản và điều kiện dành cho phần mềm mới hoặc cập nhật?
Một phân tích cho thấy các điều khoản và điều kiện dành cho ứng dụng trên “điện thoại thông thường” có thể mất 17 giờ chỉ để đọc nếu được in ra, nêu bật sự cần thiết phải suy nghĩ lại về “tất cả những nguyên tắc này”.
Joseph cho biết: “Sự mệt mỏi của người dùng là có thật. “Đó có phải là sự đồng ý có hiểu biết không? Cần phải có một lựa chọn thực sự để nói không.”
Sophie Stalla-Bourdillon, cố vấn cấp cao về quyền riêng tư và kỹ sư pháp lý tại công ty bảo mật dữ liệu toàn cầu Immuta, cho biết các nguyên tắc quản lý và xử lý dữ liệu nhằm hỗ trợ quyền riêng tư vẫn cần tập trung vào các vấn đề bao gồm thiệt hại do đột biến dữ liệu, hạn chế lưu trữ, độ chính xác của dữ liệu và chất lượng dữ liệu, phù hợp hơn chặt chẽ với thực tiễn.
Cô nói: “Nếu bạn là người có tinh thần xây dựng và cởi mở, bạn nên khám phá các biện pháp kiểm soát những nguyên tắc này. “Nếu bạn đang làm việc với một danh sách khá đầy đủ các nguyên tắc như GDPR, thì bạn nên tuân thủ nhiều luật.”
Các cơ quan quản lý cần nguồn lực để dành nhiều thời gian hơn cho các vấn đề, tìm ra cách điều chỉnh cách tiếp cận dựa trên rủi ro phù hợp với các nguyên tắc nhân quyền hiện tại, với quan điểm ở cấp độ quốc tế chuyển từ thương mại tự do “truyền thống”, không hạn chế, dòng chảy tự do của vị trí dữ liệu.
Stalla-Bourdillon cho biết, điều này có vẻ giống như “một bước đi đúng hướng” vì những gì được quyết định có thể gây ra những hậu quả nghiêm trọng, Stalla-Bourdillon nói, vì vậy các cơ quan liên bang cần có cách tiếp cận ngay cả khi không có nghĩa vụ theo luật định. GDPR vẫn là “một cách” để tiếp cận quyền riêng tư và bảo vệ dữ liệu, với quyền nhận dạng và quyền sở hữu trí tuệ có khả năng nổi lên để giải quyết các rủi ro do AI và các mô hình ngôn ngữ lớn gây ra.
Minh bạch với dữ liệu
Cô nói thêm: “Điều quan trọng là các đội thực sự nói chuyện với nhau ngay bây giờ. Minh bạch về các hoạt động của chính họ, bắt đầu tạo ra một bức tranh trung thực về các hoạt động mua hàng trong tổ chức và sau đó là về lĩnh vực công nghệ.
Stalla-Bourdillon cho biết: “Trong thực tế, bạn muốn có các luồng dữ liệu và dữ liệu tập trung, hồ, v.v., nhưng bạn cần các giải pháp cho cả yêu cầu quản trị và kỹ thuật”. “Và trên thực tế, công nghệ thường không cho phép các luồng dữ liệu trở nên minh bạch.”
Rick Goud, giám đốc thông tin và đồng sáng lập của nhà cung cấp bảo mật email và truyền tệp Zivver, xác nhận rằng việc tuân thủ có thể trở thành “một mớ hỗn độn”, đặc biệt là đối với các tổ chức làm việc theo các yêu cầu khác nhau. Các C-Suite đang gặp khó khăn, ngay cả khi có khả năng phải tuân theo chế độ nghiêm ngặt của Châu Âu.
Goud nói: “Hãy hy vọng vào một biến thể hoặc một phần mở rộng cho những gì chúng ta có thay vì một thứ gì đó hoàn toàn mới, bởi vì khi đó nó thực sự sẽ là một thách thức”. “May mắn thay, khi trò chuyện dựa trên nội dung, bạn có thể thấy nhiều điểm chung và hiểu rõ quan điểm của nhau”.
Ông khẳng định rằng việc tạo ra công nghệ cực kỳ an toàn, tập trung vào quyền riêng tư không phải là một vấn đề, với những xung đột điển hình, nếu có, liên quan nhiều hơn đến sự cân bằng giữa bảo vệ quyền riêng tư của ai đó và quản lý quyền riêng tư trong thực tế. Ông chỉ ra rằng các nhà cung cấp có thể có xung đột lợi ích ở đây, với các mô hình kinh doanh “công nghệ lớn” thường phụ thuộc vào việc truy cập dữ liệu “theo ý muốn của họ”.
Goud cho biết: “Đối với tôi, luật pháp nên tập trung vào những gì bạn được phép lưu trữ thay mặt cho người dùng của mình và cách bạn có thể sử dụng những thứ được lưu trữ đó”. Ông nói thêm rằng nguyên nhân chính gây rò rỉ dữ liệu vẫn là gửi email sai địa chỉ. “Các phương tiện truyền thông đưa tin về hack, phần mềm độc hại hoặc ransomware, bởi vì điều đó hấp dẫn hơn.”