Luật internet là gì?
Luật về internet – đôi khi được gọi là luật mạng – đề cập đến các nguyên tắc và quy định pháp lý chi phối việc sử dụng internet. Luật về internet không phải lúc nào cũng rõ ràng và dễ hiểu vì:
- Internet khá mới và đang tiếp tục phát triển, điều này có nghĩa là các khung pháp lý có thể khó theo kịp.
- Luật về internet thường kết hợp và áp dụng các nguyên tắc từ nhiều lĩnh vực pháp lý khác nhau – chẳng hạn như luật về quyền riêng tư hoặc luật hợp đồng – có từ trước khi có internet và có thể được diễn giải theo nhiều cách khác nhau.
- Không có luật duy nhất quy định về quyền riêng tư trực tuyến. Thay vào đó, luật liên bang và tiểu bang được áp dụng chắp vá. Ngoài ra, các khu vực tài phán khác nhau trên thế giới có thể có cách diễn giải khác nhau về cách áp dụng luật về quyền riêng tư internet.
Liên minh Châu Âu có một luật về quyền riêng tư dữ liệu toàn diện được gọi là GDPR – Quy định bảo vệ dữ liệu chung. Ngược lại, Hoa Kỳ không có luật về quyền riêng tư internet ở cấp liên bang trung ương. Thay vào đó, có một số luật về quyền riêng tư liên bang tập trung theo ngành dọc và một số luật về quyền riêng tư hướng đến người tiêu dùng giữa các tiểu bang khác nhau. Bài tổng quan này sẽ xem xét một số luật bảo mật internet quan trọng mà bạn nên biết.
Đạo luật về quyền riêng tư của Hoa Kỳ năm 1974
Mặc dù ra đời trước internet, Đạo luật về quyền riêng tư năm 1974 được cho là nền tảng của nhiều luật liên quan đến dữ liệu và quyền riêng tư internet tại Hoa Kỳ. Đạo luật này được thông qua nhằm ghi nhận lượng dữ liệu cá nhân được các cơ quan chính phủ Hoa Kỳ lưu trữ trong cơ sở dữ liệu máy tính. Đạo luật bao gồm:
- Quyền của công dân Hoa Kỳ trong việc truy cập dữ liệu do các cơ quan chính phủ nắm giữ và quyền sao chép dữ liệu đó.
- Quyền của công dân trong việc sửa lỗi thông tin.
- Các cơ quan chỉ cần thu thập thông tin tối thiểu có liên quan và cần thiết để hoàn thành mục đích của mình.
- Hạn chế quyền truy cập vào dữ liệu dựa trên cơ sở “cần biết”.
- Hạn chế chia sẻ thông tin giữa các cơ quan liên bang (và phi liên bang) – nghĩa là chỉ được phép trong một số điều kiện nhất định.
Tuy nhiên, việc phát minh ra internet đã thay đổi định nghĩa về quyền riêng tư và khiến việc ban hành các luật mới về quyền riêng tư dữ liệu liên quan liên lạc điện tử trở nên cần thiết.
Đạo luật Ủy ban Thương mại Liên bang
Đạo luật Ủy ban Thương mại Liên bang năm 1914 đã thành lập Ủy ban Thương mại Liên bang Hoa Kỳ và được thiết kế để cấm các phương thức cạnh tranh không lành mạnh và các hành vi hoặc thực tiễn không công bằng ảnh hưởng đến thương mại.
Ngày nay, mặc dù FTC không quy định rõ ràng thông tin nào cần đưa vào chính sách về quyền riêng tư trang web, nhưng cơ quan này sử dụng thẩm quyền của mình để ban hành các quy định, thực thi luật về quyền riêng tư và bảo vệ người tiêu dùng. Ví dụ, FTC có thể hành động chống lại các tổ chức:
- Không tuân theo chính sách về quyền riêng tư đã công bố.
- Chuyển giao thông tin cá nhân theo cách không được nêu rõ trong chính sách về quyền riêng tư.
- Đưa ra những tuyên bố không đúng về quyền riêng tư và bảo mật cho người tiêu dùng và trong chính sách về quyền riêng tư.
- Không thực hiện và duy trì các biện pháp bảo mật dữ liệu hợp lý.
- Không tuân theo các nguyên tắc tự điều chỉnh có thể áp dụng cho ngành nghề của tổ chức.
FTC đóng vai trò trong quy định internet, đặc biệt vì nó kiểm tra các tuyên bố gây hiểu lầm của các công ty truyền thông xã hội và công nghệ hàng đầu về quyền riêng tư của dữ liệu người tiêu dùng mà họ thu thập. Ví dụ, trước đây, FTC đã điều tra các khiếu nại chống lại Facebook về việc sử dụng dữ liệu khách hàng của công ty này.
Đạo luật bảo vệ quyền riêng tư trực tuyến của trẻ em
Đạo luật bảo vệ quyền riêng tư trực tuyến của trẻ em năm 1998 – còn được gọi là COPPA – là một luật liên bang của Hoa Kỳ. Mục tiêu của đạo luật là giúp cha mẹ kiểm soát thông tin nào được thu thập từ các con nhỏ của họ trực tuyến. COPPA áp dụng cho các nhà điều hành trang web thương mại và dịch vụ trực tuyến (bao gồm các ứng dụng di động và thiết bị Internet vạn vật) khi hướng đến trẻ em dưới 13 tuổi và thu thập thông tin cá nhân từ trẻ em.
Một số yêu cầu chính của COPPA bao gồm:
- Các trang web, ứng dụng và công cụ trực tuyến dành cho trẻ em dưới 13 tuổi phải thông báo và có được sự đồng ý của phụ huynh trước khi thu thập thông tin từ trẻ.
- Họ phải có chính sách về quyền riêng tư rõ ràng và toàn diện.
- Họ phải giữ an toàn và bảo mật mọi thông tin mà họ thu thập được từ trẻ.
Mặc dù luật này có xuất xứ từ những ngày đầu của internet, nó trở nên đặc biệt phù hợp trong thời đại truyền thông xã hội và quảng cáo theo chương trình. Một câu hỏi quan trọng với COPPA là mức độ mà một trang web được "hướng đến" trẻ em dưới 13 tuổi. Tại Hoa Kỳ, Ủy ban Thương mại Liên bang đánh giá các trang web dựa trên nhiều tiêu chí khác nhau, bao gồm:
- Chủ đề
- Nội dung
- Sử dụng các nhân vật hoạt hình
- Sử dụng các hoạt động hoặc ưu đãi hướng đến trẻ em
- Tuổi của người mẫu
- Sự hiện diện của những người nổi tiếng là trẻ em hoặc những người nổi tiếng có sức thu hút trẻ em
- Quảng cáo trên trang web nhằm vào trẻ em
Một số trang web hoặc dịch vụ sàng lọc người dùng của họ theo độ tuổi nên họ không phải tuân thủ các quy định của COPPA. Ví dụ, nhiều mạng xã hội có mô hình kinh doanh dựa trên việc thu thập và kiếm tiền từ dữ liệu người dùng được quy định tối thiểu 13 tuổi đối với người dùng đã đăng ký.
Một câu hỏi khác được COPPA đặt ra là điều gì cấu thành "việc thu thập thông tin cá nhân". Việc thu thập tên, địa chỉ và ảnh thuộc loại này. Nhưng quảng cáo theo hành vi ít rõ ràng hơn – đó là quảng cáo theo dõi hành vi của người dùng trên các trang web và ứng dụng – nó cũng cấu thành việc thu thập thông tin cá nhân theo COPPA. Kể cả khi một nhà cung cấp bên thứ ba cung cấp các quảng cáo theo hành vi đó, chủ sở hữu trang web vẫn phải chịu trách nhiệm nếu chúng xuất hiện trên trang web nhằm vào trẻ em. Do quảng cáo theo hành vi chiếm một phần lớn trong hệ sinh thái internet, điều này có ý nghĩa quan trọng đối với các trang web nhằm vào trẻ em.
Đạo luật về quyền riêng tư của người tiêu dùng California
Đạo luật về quyền riêng tư của người tiêu dùng California hay CCPA đã được ký thành luật vào năm 2018. Mục tiêu của đạo luật là giải quyết vấn đề quyền riêng tư của người tiêu dùng cho cư dân California bằng cách mở rộng phạm vi bảo vệ quyền riêng tư của người tiêu dùng trên internet. CCPA được coi là luật về quyền riêng tư dữ liệu tập trung vào internet toàn diện nhất ở Hoa Kỳ, không có luật tương đương ở cấp liên bang.
Giống như GDPR của EU, luật này trao cho người tiêu dùng quyền truy cập dữ liệu của họ, cùng với quyền xóa và từ chối xử việc lý dữ liệu bất cứ lúc nào. Tuy nhiên, CCPA khác với GDPR ở chỗ GDPR cấp cho người tiêu dùng quyền sửa hoặc hiệu chỉnh dữ liệu cá nhân không đúng còn CCPA thì không. GDPR cũng yêu cầu sự đồng ý rõ ràng tại thời điểm khi người tiêu dùng chuyển giao dữ liệu của họ. Ngược lại, CCPA chỉ nêu ra có ghi chú về quyền riêng tư trên các trang web, thông báo cho người tiêu dùng rằng họ có quyền từ chối thu thập một số dữ liệu nhất định. Các tính năng khác của CCPA bao gồm:
- Người tiêu dùng có quyền truy cập dữ liệu của họ thông qua yêu cầu truy cập dữ liệu của chủ thể dữ liệu.
- Các doanh nghiệp không được bán thông tin cá nhân của người tiêu dùng nếu không thông báo trên web và cho người tiêu dùng cơ hội từ chối không tham gia.
- Nếu người tiêu dùng là nạn nhân của vi phạm dữ liệu, họ có quyền khởi kiện hạn chế.
- Tổng chưởng lý tiểu bang có khả năng bao quát hơn trong việc khởi kiện các công ty thay mặt cho cư dân.
CCPA có định nghĩa rộng về thông tin cá nhân: "đó là thông tin nhận dạng, liên quan đến, mô tả, có khả năng được liên kết với, hoặc có thể được liên kết hợp lý, trực tiếp hoặc gián tiếp, với một người tiêu dùng hoặc hộ gia đình cụ thể". Điều này tương tự như quan điểm mở rộng của GDPR về dữ liệu cá nhân.
Quy định về bảo vệ dữ liệu chung
Quy định về bảo vệ dữ liệu chung của EU – GDPR – có hiệu lực năm 2018. Đó là một khung pháp lý đặt ra các hướng dẫn để thu thập và xử lý thông tin cá nhân từ các cá nhân sống tại Liên minh Châu Âu. Việc áp dụng GDPR được thực hiện cho dù các trang web có trụ sở ở đâu, nghĩa là tất cả các trang web thu hút khách truy cập châu Âu đều phải tuân thủ quy định này. GDPR được coi là một trong những luật bảo mật dữ liệu nghiêm ngặt nhất trên thế giới.
GDPR quy định rằng người dùng trang web phải được thông báo về dữ liệu mà trang web đang thu thập và người dùng cần đồng ý rõ ràng về việc thu thập dữ liệu đó. Đây là lý do tại sao nhiều trang web có cửa sổ bật lên yêu cầu người dùng đồng ý với việc thu thập của cookie – đó là các tập tin nhỏ chứa thông tin cá nhân như cài đặt và tùy chọn của trang web.
Các tính năng chính của GDPR bao gồm:
- Người tiêu dùng có quyền biết dữ liệu của họ được thu thập và sử dụng như thế nào.
- Người tiêu dùng có thể hỏi các trang web những thông tin nào đã được thu thập về họ (mà không phải trả phí).
- Nếu có sai sót trong dữ liệu của người tiêu dùng, họ có thể yêu cầu sửa đúng.
- Người tiêu dùng có thể yêu cầu xóa dữ liệu của họ khỏi hồ sơ.
- Người tiêu dùng có quyền từ chối việc xử lý dữ liệu – ví dụ, cho mục đích tiếp thị.
- Các trang web phải thông báo cho người dùng trong trường hợp dữ liệu của họ đã bị xâm phạm hoặc bị vi phạm.
Ủy ban Châu Âu giải thích chi tiết về GDPR trên trang web chính thức của cơ quan này.. Đã có một số hình phạt đáng chú ý dành cho các công ty lớn vì vi phạm GDPR – bao gồm Google bị phạt 57 triệu đô la vì thông tin quan trọng bị ẩn khi người dùng thiết lập điện thoại Android mới, nghĩa là người dùng không biết họ đang đồng ý với chính sách thu thập dữ liệu nào và Hãng hàng không Anh bị phạt 28 triệu đô la khi 500.000 hồ sơ đặt chỗ của khách hàng bị đánh cắp trong một cuộc tấn công.
Đạo luật về khả năng chuyển đổi và trách nhiệm giải trình bảo hiểm y tế
Đạo luật về khả năng chuyển đổi và trách nhiệm giải trình bảo hiểm y tế năm 1996 – HIPAA – là một luật liên bang của Hoa Kỳ tập trung vào quy định về bảo hiểm y tế, bao gồm các phần về quyền riêng tư và bảo mật dữ liệu. Đạo luật này ngăn các nhà cung cấp dịch vụ chăm sóc sức khỏe, các doanh nghiệp và những người làm việc với họ tiết lộ thông tin sức khỏe của người tiêu dùng mà không được sự cho phép.
Khi nói về HIPAA, mọi người thường đề cập đến điều khoản Quy tắc về quyền riêng tư được ban hành năm 2003. Quy định này được đưa ra một phần vì Quốc hội Hoa Kỳ thừa nhận rằng internet đã khiến việc vi phạm quyền riêng tư về sức khỏe có nhiều khả năng xảy ra hơn. Quy tắc về quyền riêng tư của HIPAA trao cho người tiêu dùng quyền kiểm soát việc tiết lộ thông tin về sức khỏe của họ, vì vậy họ có thể nói với nhà cung cấp dịch vụ chăm sóc sức khỏe của họ những gì cần chia sẻ.
Tuy nhiên, HIPAA chỉ bảo vệ thông tin chăm sóc sức khỏe mà một số nhà cung cấp dịch vụ chăm sóc sức khỏe cụ thể nắm giữ. Ví dụ: dữ liệu chăm sóc sức khỏe trên thiết bị theo dõi thể dục của bạn thường không được HIPAA bảo vệ. Dữ liệu di truyền mà bạn nhập trên các trang web như Ancestry.com cũng không được HIPAA bảo vệ. Các luật hoặc thỏa thuận khác có thể bảo vệ thông tin như tiết lộ quyền riêng tư được yêu cầu trên nhiều ứng dụng, nhưng HIPAA thì không.
Đạo luật Gramm-Leach-Bliley
Đạo luật Gramm-Leach-Bliley (GLBA) – còn được gọi là Đạo luật Hiện đại hóa Dịch vụ Tài chính năm 1999 – là một luật ngân hàng và tài chính có chứa các yếu tố bảo mật và quyền riêng tư dữ liệu. Việc bảo vệ thông tin cá nhân của đạo luật được xây dựng dựa trên các luật dữ liệu tài chính của người tiêu dùng trước đây chẳng hạn như Đạo luật Báo cáo Tín dụng Công bằng (FCRA).
Về cơ bản, GLBA bảo vệ các thông tin cá nhân không công khai, được định nghĩa là mọi "thông tin được thu thập về một cá nhân liên quan đến việc cung cấp một sản phẩm hoặc dịch vụ tài chính, trừ khi thông tin đó có sẵn công khai". Việc nói đến "có sẵn công khai" có nghĩa là hồ sơ tài sản hoặc một số thông tin thế chấp có thể thuộc phạm vi công cộng.
Quy tắc bảo vệ GLBA yêu cầu bên thu thập dữ liệu phải bảo vệ thông tin cá nhân và tạo ra các hệ thống bảo mật dữ liệu có quy mô phù hợp. Nói cách khác, các ngân hàng quốc gia lớn cần các biện pháp bảo vệ tinh vi hơn so với các tổ chức tín dụng địa phương.
Quy tắc này yêu cầu các doanh nghiệp kiểm tra thường xuyên. Hơn nữa, họ phải thực hiện các biện pháp bảo mật trong hoạt động hàng ngày, chẳng hạn như thực hiện kiểm tra lý lịch nhân viên và thiết lập kế hoạch hành động ứng phó vi phạm trong trường hợp bị tấn công.
GLBA quy định hành vi giả vờ là bất hợp pháp. Giả vờ đề cập việc ai đó giành quyền truy cập không đúng vào thông tin không công khai. Thuật ngữ này thường liên quan đến các vụ xâm nhập bằng công nghệ xã hội – ví dụ, khi ai đó mạo danh là người quản lý hoặc nhân viên thực thi pháp luật để lấy thông tin. Lừa đảo giả mạo, đôi khi liên quan đến việc thiết lập các trang web giả mạo để lừa mọi người tiết lộ thông tin riêng tư, là một ví dụ khác về hành vi giả vờ. GLBA yêu cầu các tổ chức tài chính thiết lập các biện pháp ngăn chặn hành vi giả vờ là một phần trong kế hoạch bảo mật của họ.
Luật về quyền riêng tư internet: Kết luận
Mỗi khu vực tài phán trên thế giới đều có luật riêng về quyền riêng tư trên internet và bảo mật dữ liệu. Ví dụ, Brazil có Lei Geral de Proteção de Dados (LGPD) trong khi Canada có Đạo luật bảo vệ quyền riêng tư của người tiêu dùng (CPPA), cả hai đều có phạm vi tương tự như GDPR của EU hoặc CCPA của California.
Ở Hoa Kỳ, không có luật liên bang toàn diện nào quản lý quyền riêng tư dữ liệu. Quy định về internet là một sự chắp vá phức tạp của các luật cụ thể theo từng lĩnh vực và từng phương tiện, bao gồm các luật và quy định liên quan đến viễn thông, thông tin y tế, thông tin tín dụng, tổ chức tài chính và tiếp thị.
Một trong những cách tốt nhất để bảo vệ quyền riêng tư trực tuyến và bảo mật dữ liệu của bạn là sử dụng một giải pháp diệt virus toàn diện. Một sản phẩm như Kaspersky Premium có thể chặn các mối đe dọa phổ biến và phức tạp như virus, phần mềm độc hại, mã độc tống tiền, ứng dụng gián điệp và các hoạt động mới nhất của tin tặc.
Sản phẩm được khuyến cáo:
