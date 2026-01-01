Những quy định bảo vệ dữ liệu, chống độc quyền trên thế giới từng khiến các hãng công nghệ lớn gặp khó trong việc tuân thủ.

Các hãng công nghệ như Apple đang đối diện nhiều quy định bảo vệ dữ liệu, chống độc quyền chặt chẽ trên toàn cầu. Ảnh: Bloomberg.

Từ hôm nay (1/1), Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực, dữ liệu cá nhân được bảo vệ trước pháp luật. Những đối tượng liên quan như chủ thể của dữ liệu cá nhân, bên kiểm soát, xử lý dữ liệu cá nhân hay bên thứ ba đều được quy định rõ ràng về quyền lợi, trách nhiệm, nghĩa vụ.

"Quyền được bảo vệ dữ liệu cá nhân, trước đây được hiểu là một phần của quyền riêng tư, nay đã trở thành một quyền độc lập, được pháp luật ghi nhận và bảo hộ", Đại tá Nguyễn Hồng Quân, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an (A05), cho biết trong tọa đàm về bảo vệ dữ liệu cá nhân, được Hiệp hội An ninh mạng Quốc gia tổ chức ngày 31/12.

Đại tá Nguyễn Hồng Quân, Phó Cục trưởng Cục A05 chia sẻ tại tọa đàm về bảo vệ dữ liệu cá nhân. Ảnh: Chí Hiếu.

Để hiểu rõ hơn câu chuyện bảo vệ dữ liệu cá nhân ở Việt Nam, có thể nhìn lại cách các nền tảng lớn như Apple, Facebook hay Google từng ứng xử và tuần thủ luật pháp về dữ liệu cá nhân tại các quóc gia, khu vực có quy định từ sớm.

Apple, Facebook tuân thủ luật như thế nào?

Các nền tảng lớn từng tự do thu thập dữ liệu người dùng cho nhiều mục đích mà không gặp rào cản pháp lý lớn.

Mọi thứ thay đổi sau những vụ rò rỉ dữ liệu lớn tại các tập đoàn công nghệ, nổi bật là sự việc tại Facebook và Cambridge Analytica năm 2018. Điều đó đặt ra nhiều lo ngại về cách thu thập, kiểm soát và xử lý dữ liệu người dùng trên Internet.

Châu Âu được xem là khu vực tiên phong trong các chính sách bảo vệ dữ liệu. Có hiệu lực từ năm 2018, Quy định Bảo vệ Dữ liệu chung (General Data Protection Regulation - GDPR) tạo ra khung pháp lý nghiêm ngặt về bảo vệ dữ liệu cá nhân, khởi đầu làn sóng pháp lý trên toàn cầu nhắm vào các công ty công nghệ lớn.

Về cơ bản, GDPR hạn chế các công ty hoạt động tại các quốc gia thuộc Liên minh châu Âu (EU) thu thập dữ liệu người dùng mà không có lý do chính đáng. Việc xử lý các dữ liệu có khả năng xác định danh tính (chẳng hạn như cookie) cần được người dùng đồng ý một cách tự nguyện.

Theo GDPR, việc xử lý dữ liệu cá nhân chỉ diễn ra trên 6 cơ sở pháp lý: sự đồng ý, sự cần thiết theo thỏa thuận, nghĩa vụ pháp lý theo luật của EU hoặc luật của quốc gia thành viên, lợi ích công cộng, bảo vệ lợi ích thiết yếu của cá nhân và lợi ích hợp pháp của bên xử lý.

Nếu vi phạm các nguyên tắc cơ bản về xử lý dữ liệu, bao gồm sự đồng ý, doanh nghiệp có thể bị phạt hành chính đến 20 triệu euro, hoặc 4% tổng doanh thu toàn cầu trong năm tài chính trước đó, tùy thuộc mức phạt nào cao hơn.

Thông báo xin cấp quyền theo dõi người dùng trên iPhone. Ảnh: AppleInsider.

Dưới sức ép của quy định, nhiều hãng công nghệ phải thay đổi chính sách để tránh những khoản phạt lớn. Apple là một trong những cái tên đầu tiên với tính năng App Tracking Transparency, buộc ứng dụng hỏi ý kiến người dùng trước khi theo dõi họ trên các ứng dụng và website khác, phục vụ hướng đối tượng quảng cáo và đo lường hiệu quả marketing.

Động thái của Apple khiến các nền tảng kiếm tiền từ quảng cáo như Facebook phải minh bạch hơn trong việc giải thích mục đích thu thập dữ liệu. Trước đó, Táo khuyết cũng áp dụng Privacy Nutrition Labels, liệt kê rõ các quyền truy cập của ứng dụng trên App Store, bên cạnh website riêng để trích xuất, chuyển và sửa dữ liệu trên tài khoản Apple.

Không chỉ EU, các tính năng bảo vệ quyền riêng tư của Apple cũng phát hành cho người dùng toàn cầu. Trong một hội nghị tại châu Âu năm 2020, đại diện hãng thừa nhận GDPR tạo điều kiện để khách hàng tại những quốc gia khác được bảo vệ dữ liệu với mức độ tương đương khách hàng ở EU.

Facebook từng "nhắc" người dùng kiểm tra lại quyền riêng tư và chấp nhận một số điều khoản để tuân thủ GDPR. Ảnh: Meta.

Facebook (sau này là Meta) cũng có những thay đổi ngay khi GDPR có hiệu lực vào tháng 5/2018. Ví dụ, người dùng được yêu cầu kiểm tra và chấp thuận một số hành động, chẳng hạn như theo dõi hành vi để tùy biến quảng cáo, tiếp tục chia sẻ tình trạng hôn nhân, sử dụng công nghệ nhận diện khuôn mặt và chấp nhận các điều khoản mới.

Tóm lại, người dùng có thêm các tùy chọn từ chối một số hành động thu thập dữ liệu.

Tương tự Apple, Facebook cũng bổ sung tính năng tải bản sao dữ liệu, giúp người dùng xem chính xác những thông tin được lưu trữ. Hãng cũng bổ sung tính năng kiểm tra quyền riêng tư dễ dàng hơn.

Lan rộng toàn cầu

GDPR không phải đạo luật duy nhất khiến các hãng công nghệ phải thay đổi cách hoạt động. Ngay tại châu Âu, Đạo luật Thị trường Kỹ thuật số (DMA) khiến nhiều công ty điều chỉnh để tạo ra sự công bằng trong cạnh tranh.

Ví dụ, Apple phải thay đổi cả phần cứng và phần mềm, gồm những cơ chế cốt lõi để tuân thủ DMA. Ví dụ, quy định về chuẩn sạc chung khiến hãng phải bỏ cổng Lightning, chuyển sang USB-C kể từ dòng iPhone 15.

Tiếp theo, Táo khuyết phải thay đổi iOS tại EU, cho phép người dùng cài đặt kho ứng dụng bên thứ ba, tạo các giải pháp thu phí nền tảng linh hoạt cho lập trình viên. Dù đôi lúc chỉ trích quy định, Apple vẫn phải chấp nhận để tránh bị phạt.

Để tuân thủ một đạo luật tại Trung Quốc năm 2017, Apple cũng đồng ý chuyển dữ liệu người dùng Trung Quốc về nước, lưu trữ trên các máy tính thuộc sở hữu và vận hành bởi một công ty nhà nước.

App Store trên iPhone đã không còn độc quyền tại nhiều quốc gia. Ảnh: TechCrunch.

Năm 2021, Hàn Quốc thông qua luật cấm công ty vận hành kho ứng dụng ép buộc nhà phát triển sử dụng hệ thống thanh toán độc quyền. Điều này đưa Hàn Quốc trở thành quốc gia đầu tiên trên thế giới phá bỏ thế độc quyền về hệ thống thanh toán trên các nền tảng lớn.

Với Apple, hãng cập nhật chính sách cho nhà phát triển vào tháng 6/2022, cho phép sử dụng cổng thanh toán bên thứ ba, song vẫn phải báo cáo doanh số mỗi tháng và trích 26% cho công ty. Gần đây, hãng cũng chấp nhận mở cửa kho ứng dụng bên thứ ba cho người dùng iPhone theo quy định của Hàn Quốc, Nhật Bản và Brazil.

Australia từng thông qua luật yêu cầu các nền tảng trả tiền cho cơ quan báo chí địa phương khi hiển thị nội dung tin tức. Gần đây nhất, quốc gia này cấm trẻ em dưới 16 tuổi tạo tài khoản mạng xã hội, khiến các nền tảng lớn phải cập nhật điều khoản sử dụng, thông báo khóa tài khoản nếu chưa đủ tuổi. Tuy vậy, độ hiệu quả của lệnh cấm vẫn gây tranh cãi khi các chiêu thức "lách luật" nhanh chóng xuất hiện.

Những hình phạt nặng

Tuy có quy định nghiêm ngặt và rõ ràng, nhiều công ty lớn vẫn bị phạt do vi phạm. Hình phạt kỷ lục hiện thuộc về Meta khi Ủy ban Bảo vệ Dữ liệu Ireland (DPC) tuyên phạt 1,2 tỷ euro vào năm 2023 do chuyển dữ liệu cá nhân của người dùng Facebook từ châu Âu sang Mỹ, vi phạm các điều khoản về chuyển dữ liệu quốc tế theo GDPR.

Đó không phải hình phạt duy nhất cho Meta. Năm 2022, DPC phạt công ty này 405 triệu euro khi Instagram cho phép trẻ em vận hành các tài khoản doanh nghiệp, dẫn đến địa chỉ email và số điện thoại bị công khai.

Một năm sau, Meta lại bị phạt 390 triệu euro, Facebook và Instagram bị cáo buộc sử dụng thông tin liên hệ làm cơ sở pháp lý cho hầu hết hoạt động xử lý dữ liệu, theo cách không rõ ràng với người dùng.

Năm 2021, Amazon bị phạt 746 triệu euro khi cơ quan bảo vệ dữ liệu Luxembourg cáo buộc công ty này theo dõi, xử lý dữ liệu người dùng mà không có sự đồng ý hợp lệ, hoặc không đưa ra cách thức từ chối.

DPC từng phạt TikTok 345 triệu euro vào năm 2023 do thu thập, xử lý trái phép dữ liệu cá nhân của trẻ em dưới 13 tuổi, mặc định tạo tài khoản trẻ em dưới chế độ công khai.

Hộp thoại xin thu thập cookie trên YouTube cập nhật năm 2022 (trái) với việc bổ sung nút "không chấp nhận tất cả". Ảnh: Google.

Google cũng từng bị phạt do vi phạm quy định. Tháng 1/2022, cơ quan CNIL của Pháp phạt công ty 90 triệu euro do không cung cấp cho người dùng phương thức dễ dàng để từ chối thu thập cookie. Hãng tiếp tục bị phạt 60 triệu euro với hành vi tương tự trên YouTube.

Gần đây, để đối phó những quy định khắt khe của EU, Meta thậm chí ra mắt gói thuê bao không quảng cáo. Còn gọi là "Pay or OK" hoặc "Pay or Consent", mô hình này cho người dùng 2 lựa chọn: trả tiền để không nhìn thấy quảng cáo, hoặc sử dụng miễn phí nhưng phải chấp nhận thu thập dữ liệu để hiển thị quảng cáo cá nhân hóa.

Mô hình của Meta và nhiều website gây tranh cãi về pháp lý. Ngày 23/4/2025, Ủy ban châu Âu (EC) kết luận mô hình được triển khai từ tháng 11/2023 đến tháng 11/2024 trên Facebook và Instagram không tuân thủ DMA, và phạt Meta 200 triệu euro.

EC cũng đang đánh giá phiên bản mới của mô hình trên, xoay quanh lựa chọn ít quảng cáo hơn và giảm giá lựa chọn không quảng cáo. Ngược lại, Cơ quan Bảo vệ Dữ liệu Anh (ICO) kết luận mô hình này không vi phạm luật bảo vệ dữ liệu trong nước, nếu người dùng tự nguyện tham gia với "một khoản phí phù hợp".

Apple cũng từng bị phạt 500 triệu euro do vi phạm DMA, cùng đợt với Facebook (tháng 4/2025). EC cáo buộc Táo khuyết ngăn cản nhà phát triển ứng dụng dẫn link từ App Store sang các nền tảng thanh toán bên ngoài. Đây là những án phạt đầu tiên được đưa ra do vi phạm DMA.