Liệu tham vọng bãi bỏ quy định của Donald Trump có ảnh hưởng đến dữ liệu cá nhân của chúng ta, đẩy gần 3.000 công ty vào tình trạng pháp lý bấp bênh không? Quyết định của Tổng thống Hoa Kỳ sa thải ba thành viên của một cơ quan chủ chốt của "DPF" hay "Khung bảo mật dữ liệu" vào cuối tháng 1 có thể đã làm suy yếu khuôn khổ này, vốn chi phối việc chuyển giao dữ liệu giữa Lục địa Cũ và Lục địa Mới.
"DPF" là văn bản hiện nay cho phép hàng nghìn công ty, dù lớn hay nhỏ (Google, Apple, Meta, Amazon, v.v.), chuyển giao hợp pháp dữ liệu cá nhân của công dân Pháp và châu Âu sang Hoa Kỳ. Mặc dù nó liên tục bị chỉ trích kể từ khi được thông qua - thậm chí đã bị đưa ra tòa bởi nghị sĩ Pháp Philippe Latombe, và sắp bị luật sư người Áo Max Schrems đưa ra tòa - nhưng nó vừa bị tước bỏ một sự bảo đảm rất được người châu Âu yêu thích. Một sự đảm bảo mà nếu thiếu nó, khuôn khổ hiện tại quản lý việc chuyển dữ liệu cá nhân của chúng ta sang Hoa Kỳ sẽ sụp đổ, theo các nhóm nhân quyền.
Mọi chuyện bắt đầu vào ngày 27 tháng 1: tổng thống đảng Cộng hòa đã sa thải ba thành viên đảng Dân chủ của "Ban giám sát quyền riêng tư và quyền tự do dân sự" (PCLOB), một cơ quan chủ chốt của DPF này. Vài ngày sau, một thành viên khác của cơ quan này cũng rời bỏ vị trí của mình, theo MLex đưa tin – không rõ liệu ông này đã từ chức hay bị sa thải. Kết quả: chỉ còn lại một thành viên Cộng hòa duy nhất trong ủy ban này, có nhiệm vụ xác minh rằng FBI hoặc CIA tôn trọng các nguyên tắc pháp lý khi họ truy cập vào dữ liệu cá nhân của người châu Âu (email, cuộc trò chuyện, tin nhắn, v.v.).
Nhưng với thành viên duy nhất này, người cũng là một nhân viên bán thời gian, liệu PCLOB này vẫn có thể hoạt động được không? Đây là câu hỏi mà chủ tịch Ủy ban LIBE (Tự do Dân sự, Tư pháp và Nội vụ) của Nghị viện Châu Âu, Javier Zarzalejos, đặt ra cho Ủy ban Châu Âu vào ngày 6 tháng 2 và bức thư của ông đã được luật sư Jean-Loup Guyot-Touscoz tiết lộ vào tuần này trên LinkedIn.
Để hiểu được tầm quan trọng của PCLOB, một văn bản quan trọng do chính quyền Hoa Kỳ đưa ra để "trấn an" người châu Âu, chúng ta phải quay trở lại năm 2022. Năm đó, các cuộc thảo luận về việc thay thế "Lá chắn bảo mật" đã bị đình trệ.
Tại châu Âu, dữ liệu của chúng tôi được bảo vệ bởi GDPR, quy định của châu Âu về dữ liệu cá nhân. Khi dữ liệu này được thu thập và gửi đi bởi những gã khổng lồ kỹ thuật số như Google hoặc Meta bên ngoài Liên minh Châu Âu, Ủy ban Châu Âu sẽ phân tích luật pháp của quốc gia đó. Nếu nó có tính bảo vệ như luật pháp châu Âu, nó sẽ thông qua cái gọi là quyết định đầy đủ, cho phép những chuyển giao này.
Vấn đề là hai quyết định trước đó từ Brussels đã bị Tòa án Công lý châu Âu hủy bỏ hai năm trước đó ("Lá chắn riêng tư") và bảy năm trước đó ("Bến cảng an toàn"). Mỗi lần, Tòa án Công lý EU đều phán quyết rằng dữ liệu cá nhân của chúng ta, một khi đã ở Hoa Kỳ, không được bảo vệ đầy đủ, đặc biệt là vì các cơ quan tình báo và chính quyền Hoa Kỳ đã (và vẫn đang) truy cập rất nhiều vào dữ liệu của chúng ta, đặc biệt là thông qua luật FISA hoặc Đạo luật Đám mây, dưới danh nghĩa "an ninh quốc gia". Ví dụ, không thể kháng cáo lên tòa án độc lập nếu việc truy cập dữ liệu bị coi là lạm dụng.
Đối với Tòa án Công lý, luật pháp Hoa Kỳ không cung cấp mức độ bảo vệ quyền riêng tư tương đương với các mức hiện hành trong Liên minh Châu Âu, điều này hoàn toàn không thể chấp nhận được.
Vào năm 2022, chính quyền Mỹ khi đó hiểu rằng họ sẽ phải đưa ra điều gì đó nhiều hơn để thay đổi tình hình. Sau đó, bà đề xuất với Ủy ban Châu Âu rằng PCLOB đóng vai trò là một tòa án độc lập, tương tự như một khu vực tài phán mà người châu Âu có thể kháng cáo nếu họ muốn phản đối việc truy cập dữ liệu của họ.
PCLOB cũng sẽ đảm bảo rằng bất kỳ quyền truy cập nào vào dữ liệu của chúng tôi bởi chính quyền Hoa Kỳ và các cơ quan tình báo của họ đều "cần thiết, tương xứng và phù hợp với các nguyên tắc quản lý quyền riêng tư tại Hoa Kỳ." Nói cách khác, ủy ban này sẽ có vai trò giám sát, đảm bảo CIA và FBI đang chơi đúng luật và không truy cập vào email, cuộc trò chuyện qua điện thoại hoặc dữ liệu cá nhân khác của chúng ta mà không có lý do. Đề xuất được đưa ra vào tháng 10 năm 2022 thông qua một sắc lệnh hành pháp đã được Brussels chấp thuận vào năm sau.
Với PCLOB mới này, dữ liệu của chúng tôi có thể được chuyển đến Hoa Kỳ một cách hoàn toàn an toàn, Ủy ban Châu Âu giải thích trong buổi trình bày DPF. Nhưng gần hai năm sau, Donald Trump trở lại nắm quyền và quyết định sa thải ba trong số năm thành viên, làm dấy lên nghi ngờ về tính độc lập thực sự của cơ quan này so với cơ quan hành pháp Hoa Kỳ. Việc bổ nhiệm người thay thế dường như đã bị hoãn lại. Tuy nhiên, báo cáo nhỏ nhất và việc mở cuộc điều tra nhỏ nhất cũng cần có sự tham gia của ba thành viên, điều này hiện nay là không thể. Trong khi đó, PCLOB dường như đang đứng im. Đủ để khiến Max Schrems, luật sư người Áo đứng sau hai lần hủy bỏ khuôn khổ xuyên Đại Tây Dương trước đó, phải chịu trách nhiệm.
Đối với trường hợp sau, "EU đã chấp nhận những lời hứa (...) có thể bị hủy bỏ trong vài giây. Bây giờ Trump đã hủy bỏ thỏa thuận này, nó có thể sớm bị giải thể (…). Điều này sẽ "đẩy nhiều công ty EU vào khoảng trống pháp lý", ông cho biết trong một thông cáo báo chí được công bố trên trang web của hiệp hội của ông, NOYB. Nếu không có thỏa thuận này, tất cả các công ty gửi dữ liệu cá nhân qua Đại Tây Dương, chỉ bằng cách sử dụng các nhà cung cấp của Mỹ (Apple, Google, Microsoft, Amazon, v.v.), sẽ phải chuẩn bị một kế hoạch, ông cảnh báo. Ngay cả khi cho đến hôm nay, họ vẫn có thể tiếp tục dựa vào DPF, vốn (vẫn chưa) chính thức bị hủy bỏ, ông nói thêm.
Câu chuyện tương tự cũng được nghe thấy trong Trung tâm Dân chủ và Công nghệ (CDT Châu Âu), một hiệp hội bảo vệ quyền, vào giữa tháng 2, cũng đã đặt câu hỏi về "Hiệu quả và sự tôn trọng đối với các bảo đảm của DPF, bị cắt bỏ khỏi phần lớn các thành viên của PCLOB.
"Việc sa thải gần đây các thành viên của PCLOB (...) đã làm tê liệt PCLOB với tư cách là một cơ quan giám sát và làm dấy lên những lo ngại nghiêm trọng về sự can thiệp của chính trị vào cơ chế giám sát độc lập," Silvia Lorenzo Perez, giám đốc chương trình an ninh, giám sát và nhân quyền của tổ chức tại Châu Âu, viết trong thông cáo báo chí.
Đối với hiệp hội, tất cả các công ty Hoa Kỳ sẽ không còn có thể "dựa vào DPF để chuyển dữ liệu từ Châu Âu sang Hoa Kỳ", một hoạt động chuyển giao đóng vai trò cốt lõi trong mô hình kinh doanh của họ. Kết quả là, các nhà cung cấp dịch vụ đám mây, mạng xã hội, công cụ tìm kiếm và khách hàng của Hoa Kỳ sẽ buộc phải chuyển sang cơ sở pháp lý nặng nề hơn cho việc chuyển dữ liệu theo GDPR, chẳng hạn như các điều khoản hợp đồng tiêu chuẩn hoặc các quy tắc ràng buộc của công ty, bản thân chúng đặt ra những thách thức đáng kể và có thể không khả thi trong thực tế, hiệp hội giải thích.Đối với Olivier Onidi, Phó Tổng giám đốc phụ trách Nội vụ tại Ủy ban, người đã trả lời các câu hỏi của các Nghị sĩ châu Âu (từ Ủy ban Tự do Dân sự) trong tuần này, vẫn còn quá sớm để nói liệu DPF có nên bị đình chỉ hay không, MLex đưa tin.
"Cho đến nay, chúng tôi vẫn chưa phát hiện ra bất kỳ thay đổi cơ bản nào khiến chúng tôi phải cân nhắc liệu thỏa thuận hiện tại hay bất kỳ thỏa thuận nào khác tạo điều kiện cho hợp tác có nên bị đình chỉ hay bị đặt dấu hỏi hay không", ông cho biết, đồng thời nói thêm rằng cơ quan hành pháp châu Âu đang theo dõi tình hình rất chặt chẽ.
Một số chính trị gia tự hỏi liệu Brussels có nên chấm hết vào chữ i và rút ra hậu quả không? Vấn đề: việc đập tay xuống bàn trước mặt Donald Trump rõ ràng không còn hợp thời nữa, khi Brussels đang tìm kiếm một phản ứng chung và thỏa đáng cho hàng nghìn thách thức/cuộc tấn công do người thuê Nhà Trắng đưa ra.
"DPF" là văn bản hiện nay cho phép hàng nghìn công ty, dù lớn hay nhỏ (Google, Apple, Meta, Amazon, v.v.), chuyển giao hợp pháp dữ liệu cá nhân của công dân Pháp và châu Âu sang Hoa Kỳ. Mặc dù nó liên tục bị chỉ trích kể từ khi được thông qua - thậm chí đã bị đưa ra tòa bởi nghị sĩ Pháp Philippe Latombe, và sắp bị luật sư người Áo Max Schrems đưa ra tòa - nhưng nó vừa bị tước bỏ một sự bảo đảm rất được người châu Âu yêu thích. Một sự đảm bảo mà nếu thiếu nó, khuôn khổ hiện tại quản lý việc chuyển dữ liệu cá nhân của chúng ta sang Hoa Kỳ sẽ sụp đổ, theo các nhóm nhân quyền.
Một cơ quan chủ chốt của DPF, được cho là kiểm soát CIA hoặc FBI, đã mất 4 trong số 5 thành viên
Mọi chuyện bắt đầu vào ngày 27 tháng 1: tổng thống đảng Cộng hòa đã sa thải ba thành viên đảng Dân chủ của "Ban giám sát quyền riêng tư và quyền tự do dân sự" (PCLOB), một cơ quan chủ chốt của DPF này. Vài ngày sau, một thành viên khác của cơ quan này cũng rời bỏ vị trí của mình, theo MLex đưa tin – không rõ liệu ông này đã từ chức hay bị sa thải. Kết quả: chỉ còn lại một thành viên Cộng hòa duy nhất trong ủy ban này, có nhiệm vụ xác minh rằng FBI hoặc CIA tôn trọng các nguyên tắc pháp lý khi họ truy cập vào dữ liệu cá nhân của người châu Âu (email, cuộc trò chuyện, tin nhắn, v.v.).
Nhưng với thành viên duy nhất này, người cũng là một nhân viên bán thời gian, liệu PCLOB này vẫn có thể hoạt động được không? Đây là câu hỏi mà chủ tịch Ủy ban LIBE (Tự do Dân sự, Tư pháp và Nội vụ) của Nghị viện Châu Âu, Javier Zarzalejos, đặt ra cho Ủy ban Châu Âu vào ngày 6 tháng 2 và bức thư của ông đã được luật sư Jean-Loup Guyot-Touscoz tiết lộ vào tuần này trên LinkedIn.
Tuy nhiên, PCLOB là "sự đảm bảo" do chính quyền Hoa Kỳ đưa ra để trấn an người châu Âu
Để hiểu được tầm quan trọng của PCLOB, một văn bản quan trọng do chính quyền Hoa Kỳ đưa ra để "trấn an" người châu Âu, chúng ta phải quay trở lại năm 2022. Năm đó, các cuộc thảo luận về việc thay thế "Lá chắn bảo mật" đã bị đình trệ.
Tại châu Âu, dữ liệu của chúng tôi được bảo vệ bởi GDPR, quy định của châu Âu về dữ liệu cá nhân. Khi dữ liệu này được thu thập và gửi đi bởi những gã khổng lồ kỹ thuật số như Google hoặc Meta bên ngoài Liên minh Châu Âu, Ủy ban Châu Âu sẽ phân tích luật pháp của quốc gia đó. Nếu nó có tính bảo vệ như luật pháp châu Âu, nó sẽ thông qua cái gọi là quyết định đầy đủ, cho phép những chuyển giao này.
Vấn đề là hai quyết định trước đó từ Brussels đã bị Tòa án Công lý châu Âu hủy bỏ hai năm trước đó ("Lá chắn riêng tư") và bảy năm trước đó ("Bến cảng an toàn"). Mỗi lần, Tòa án Công lý EU đều phán quyết rằng dữ liệu cá nhân của chúng ta, một khi đã ở Hoa Kỳ, không được bảo vệ đầy đủ, đặc biệt là vì các cơ quan tình báo và chính quyền Hoa Kỳ đã (và vẫn đang) truy cập rất nhiều vào dữ liệu của chúng ta, đặc biệt là thông qua luật FISA hoặc Đạo luật Đám mây, dưới danh nghĩa "an ninh quốc gia". Ví dụ, không thể kháng cáo lên tòa án độc lập nếu việc truy cập dữ liệu bị coi là lạm dụng.
Đối với Tòa án Công lý, luật pháp Hoa Kỳ không cung cấp mức độ bảo vệ quyền riêng tư tương đương với các mức hiện hành trong Liên minh Châu Âu, điều này hoàn toàn không thể chấp nhận được.
PCLOB, một cơ quan không mấy độc lập, đang đứng yên một chỗ?
Vào năm 2022, chính quyền Mỹ khi đó hiểu rằng họ sẽ phải đưa ra điều gì đó nhiều hơn để thay đổi tình hình. Sau đó, bà đề xuất với Ủy ban Châu Âu rằng PCLOB đóng vai trò là một tòa án độc lập, tương tự như một khu vực tài phán mà người châu Âu có thể kháng cáo nếu họ muốn phản đối việc truy cập dữ liệu của họ.
PCLOB cũng sẽ đảm bảo rằng bất kỳ quyền truy cập nào vào dữ liệu của chúng tôi bởi chính quyền Hoa Kỳ và các cơ quan tình báo của họ đều "cần thiết, tương xứng và phù hợp với các nguyên tắc quản lý quyền riêng tư tại Hoa Kỳ." Nói cách khác, ủy ban này sẽ có vai trò giám sát, đảm bảo CIA và FBI đang chơi đúng luật và không truy cập vào email, cuộc trò chuyện qua điện thoại hoặc dữ liệu cá nhân khác của chúng ta mà không có lý do. Đề xuất được đưa ra vào tháng 10 năm 2022 thông qua một sắc lệnh hành pháp đã được Brussels chấp thuận vào năm sau.
Với PCLOB mới này, dữ liệu của chúng tôi có thể được chuyển đến Hoa Kỳ một cách hoàn toàn an toàn, Ủy ban Châu Âu giải thích trong buổi trình bày DPF. Nhưng gần hai năm sau, Donald Trump trở lại nắm quyền và quyết định sa thải ba trong số năm thành viên, làm dấy lên nghi ngờ về tính độc lập thực sự của cơ quan này so với cơ quan hành pháp Hoa Kỳ. Việc bổ nhiệm người thay thế dường như đã bị hoãn lại. Tuy nhiên, báo cáo nhỏ nhất và việc mở cuộc điều tra nhỏ nhất cũng cần có sự tham gia của ba thành viên, điều này hiện nay là không thể. Trong khi đó, PCLOB dường như đang đứng im. Đủ để khiến Max Schrems, luật sư người Áo đứng sau hai lần hủy bỏ khuôn khổ xuyên Đại Tây Dương trước đó, phải chịu trách nhiệm.
"Can thiệp chính trị vào cơ chế giám sát độc lập"?
Đối với trường hợp sau, "EU đã chấp nhận những lời hứa (...) có thể bị hủy bỏ trong vài giây. Bây giờ Trump đã hủy bỏ thỏa thuận này, nó có thể sớm bị giải thể (…). Điều này sẽ "đẩy nhiều công ty EU vào khoảng trống pháp lý", ông cho biết trong một thông cáo báo chí được công bố trên trang web của hiệp hội của ông, NOYB. Nếu không có thỏa thuận này, tất cả các công ty gửi dữ liệu cá nhân qua Đại Tây Dương, chỉ bằng cách sử dụng các nhà cung cấp của Mỹ (Apple, Google, Microsoft, Amazon, v.v.), sẽ phải chuẩn bị một kế hoạch, ông cảnh báo. Ngay cả khi cho đến hôm nay, họ vẫn có thể tiếp tục dựa vào DPF, vốn (vẫn chưa) chính thức bị hủy bỏ, ông nói thêm.
Câu chuyện tương tự cũng được nghe thấy trong Trung tâm Dân chủ và Công nghệ (CDT Châu Âu), một hiệp hội bảo vệ quyền, vào giữa tháng 2, cũng đã đặt câu hỏi về "Hiệu quả và sự tôn trọng đối với các bảo đảm của DPF, bị cắt bỏ khỏi phần lớn các thành viên của PCLOB.
"Việc sa thải gần đây các thành viên của PCLOB (...) đã làm tê liệt PCLOB với tư cách là một cơ quan giám sát và làm dấy lên những lo ngại nghiêm trọng về sự can thiệp của chính trị vào cơ chế giám sát độc lập," Silvia Lorenzo Perez, giám đốc chương trình an ninh, giám sát và nhân quyền của tổ chức tại Châu Âu, viết trong thông cáo báo chí.
Đối với hiệp hội, tất cả các công ty Hoa Kỳ sẽ không còn có thể "dựa vào DPF để chuyển dữ liệu từ Châu Âu sang Hoa Kỳ", một hoạt động chuyển giao đóng vai trò cốt lõi trong mô hình kinh doanh của họ. Kết quả là, các nhà cung cấp dịch vụ đám mây, mạng xã hội, công cụ tìm kiếm và khách hàng của Hoa Kỳ sẽ buộc phải chuyển sang cơ sở pháp lý nặng nề hơn cho việc chuyển dữ liệu theo GDPR, chẳng hạn như các điều khoản hợp đồng tiêu chuẩn hoặc các quy tắc ràng buộc của công ty, bản thân chúng đặt ra những thách thức đáng kể và có thể không khả thi trong thực tế, hiệp hội giải thích.Đối với Olivier Onidi, Phó Tổng giám đốc phụ trách Nội vụ tại Ủy ban, người đã trả lời các câu hỏi của các Nghị sĩ châu Âu (từ Ủy ban Tự do Dân sự) trong tuần này, vẫn còn quá sớm để nói liệu DPF có nên bị đình chỉ hay không, MLex đưa tin.
"Cho đến nay, chúng tôi vẫn chưa phát hiện ra bất kỳ thay đổi cơ bản nào khiến chúng tôi phải cân nhắc liệu thỏa thuận hiện tại hay bất kỳ thỏa thuận nào khác tạo điều kiện cho hợp tác có nên bị đình chỉ hay bị đặt dấu hỏi hay không", ông cho biết, đồng thời nói thêm rằng cơ quan hành pháp châu Âu đang theo dõi tình hình rất chặt chẽ.
Một số chính trị gia tự hỏi liệu Brussels có nên chấm hết vào chữ i và rút ra hậu quả không? Vấn đề: việc đập tay xuống bàn trước mặt Donald Trump rõ ràng không còn hợp thời nữa, khi Brussels đang tìm kiếm một phản ứng chung và thỏa đáng cho hàng nghìn thách thức/cuộc tấn công do người thuê Nhà Trắng đưa ra.