Chính sách và những vấn đề chính trị liên quan đến dữ liệu mở
Thật không may, bạn không thể chỉ vẫy một cây đũa thần là có thể khiến các chính phủ công bố dữ liệu của họ. Nhiều bộ máy hành chính quan liêu chậm áp dụng công nghệ, hoặc do dự công bố thông tin, vì những thông tin đó có thể khiến hình ảnh của họ trở nên xấu xí trước công chúng. Rất may, nhiều chính phủ đã bắt đầu có chủ trương hành động. Chính phủ Vương quốc Anh đã ký Hiến chương Dữ liệu mở vào năm 2013, theo đó các cơ quanh chính phủ cam kết mặc định công bố dữ liệu của họ.
Năm 2013, Chính phủ Mỹ cũng có động thái tương tự với Chính sách Dữ liệu mở, yêu cầu tất cả cơ quan chính phủ phải công khai dữ liệu mới trên một website có địa chỉ data.gov. Website này có dữ liệu miễn phí về mọi lĩnh vực, từ học phí đại học đến nông nghiệp cho đến những khiếu nại của người tiêu dùng gửi đến các doanh nghiệp lớn. Và vào đầu năm 2014, chính phủ Mỹ đã có yêu cầu bắt buộc: theo đạo luật Trách nhiệm giải trình và minh bạch kỹ thuật số (Đạo luật DATA) tất cả dữ liệu chi tiêu phải được công khai tại website usaspend.gov. Các thành phố như San Francisco và Boston cũng làm theo và tạo ra các cổng dữ liệu mở của riêng họ, các quốc gia như Canada và Nhật Bản cũng có những hành động tương tự.
Tuy nhiên, các chính sách này không tránh khỏi sự phản kháng mang tính quan liêu. Ví dụ, các cơ quan chính phủ của Vương quốc Anh ban đầu miễn cưỡng thực hiện việc công bố dữ liệu mở của họ, khi cho rằng họ không nhìn thấy những bằng chứng về lý do tại sao dữ liệu mở lại mang lại lợi ích tốt nhất cho chính họ. Và dữ liệu mở cũng rất dễ dẫn đến thay đổi thái độ chính trị. Trong khi Vương quốc Anh trở thành quốc gia dẫn đầu về dữ liệu mở vào năm 2015, thì năm 2016, những người ủng hộ dữ liệu mở lo ngại rằng Brexit sẽ đe dọa nền văn hóa dữ liệu mở đang ngày càng phát triển ở Anh. Họ lo sợ rằng các biện pháp thắt lưng buộc bụng có thể khiến các cơ quan chính phủ ngừng chi tiêu số tiền cần thiết để công bố và duy trì các file dữ liệu mở, cho dù thực tế là những vấn đề chính trị xung quanh Brexit có thể khiến người ta xao lãng việc công bố dữ liệu mở.
| Cấp độ | Định dạng |
| * | Luôn cung cấp sẵn dữ liệu trên web (với bất cứ định dạng nào) |
| * * | Luôn cung cấp sẵn dữ liệu có cấu trúc (ví dụ, Microsoft Excel thay vì ảnh scan bảng) |
| * * * | Luôn cung cấp sẵn dữ liệu dạng mở, không độc quyền (ví dụ, CSV hoặc XML thay vì Mircosoft Excel) |
| * * * * | Ngoài việc sử dụng những định dạng mở, còn sử dụng URLs để xác định những thứ sử dụng các khuyến nghị hoặc tiêu chuẩn mở từ W3C, để những người khác có thể trỏ vào dữ liệu của bạn |
| * * * * * | Ngoài việc sử dụng những định dạng mở và URLs để xác định mọi thứ, còn liên kết dữ liệu của bạn với dữ liệu của mọi người để cung cấp ngữ cảnh |
Sir Tim Berners-Lee, người sáng tạo ra Internet, lập luận rằng có năm cấp độ dữ liệu mở, như được hiển thị trong bảng này. Các chính phủ nên mong muốn đạt được mức cao nhất có thể.
Cũng đã có một số cuộc tranh luận về chính sách liên quan đến tính hợp pháp xung quanh dữ liệu mở. Chính phủ không thể chỉ công bố mọi thứ; họ cần đảm bảo rằng dữ liệu họ công bố không xâm phạm đến quyền riêng tư hoặc an ninh quốc gia. Đôi khi, việc sử dụng dữ liệu được công bố có thể vô tình gây hại cho người dân. Ví dụ, đạo luật bầu cử Help America năm 2002 yêu cầu tất cả 50 tiểu bang và DC phải duy trì một cơ sở dữ liệu trung tâm về tất cả cử tri đã đăng ký, trong đó chứa các thông tin bao gồm tên, tuổi và địa chỉ của cử tri. Nhiều tiểu bang bắt đầu bán dữ liệu này cho người dân; các ứng cử viên chính trị và nhà nghiên cứu nhận thấy những thông tin này đặc biệt có giá trị. Nhưng Neel, một trong những tác giả của cuốn sách này, đã thực hiện một nghiên cứu và phát hiện: bọn tội phạm có thể kết hợp danh sách cử tri công khai này với thông tin danh sách khách hàng trên Airbnb – ứng dụng kết nối trực tiếp chủ phòng trọ với người thuê phòng – để tìm ra tên và địa chỉ chính xác của hàng triệu máy chủ của Airbnb. Chính phủ cần phải cẩn thận hơn khi quyết định công bố bất cứ dữ liệu cá nhân nào.
Tóm lại, dữ liệu mở có tiềm năng to lớn, và các chính phủ có lý do chính đáng để mở rộng phạm vi công bố dữ liệu. Nhưng các nhà hoạch định chính sách cũng cần làm việc với các công ty và người dân để giải quyết các vấn đề về quyền riêng tư và bảo mật.
Các công ty có thể chịu trách nhiệm thế nào khi vi phạm dữ liệu?
Khi các công ty mắc sai lầm và gây hại cho người dân, họ thường phải chịu trách nhiệm. Khi giàn khoan dầu Deepwater Horizon của BP phát nổ ở Vịnh Mexico vào năm 2010, gây ra sự tàn phá trên diện rộng cho môi trường xung quanh đó, BP đã phải trả 18,7 tỷ USD tiền phạt cho chính phủ Mỹ. Sau khi công ty Enron của Mỹ sụp đổ do gian lận, họ đã phải chi trả 7,2 tỷ USD cho các cổ đông bị mất tiền.
Các công ty đã bắt đầu đối mặt với một mối đe dọa mới: vi phạm dữ liệu. Ví dụ, tin tặc đã làm rò rỉ tên, địa chỉ email, ngày sinh và số điện thoại của một tỷ người dùng Yahoo vào năm 2016. Và vào năm 2017, tin tặc đã tấn công Equifax – văn phòng tín dụng Mỹ và đánh cắp số an ninh xã hội của 143 triệu người dùng, tương đương hơn một nửa dân số trưởng thành của Mỹ.
Vấn đề là gì? Không giống như BP hay Enron, các công ty vi phạm dữ liệu thường không bị trừng phạt và những người dùng bị ảnh hưởng thường không được bồi thường. Ví dụ, sau khi gã khổng lồ bảo hiểm sức khỏe Anthem bị tấn công và làm rò rỉ thông tin của 80 triệu tài khoản, khách hàng đã đệ đơn kiện tập thể nhưng chỉ nhận được số tiền đền bù không đến 1 USD cho mỗi người. Như một chuyên gia đã thất vọng nói sau vụ vi phạm dữ liệu ở Equifax:
Tôi không nghi ngờ khi cho rằng các công ty hối tiếc vì những vi phạm đó, nhưng tôi nghĩ họ cũng chẳng quan tâm đến chuyện đó đâu. Đối với họ, điều đó chỉ có nghĩa là họ sẽ bị báo chí bêu rếu trong vài ngày, và nhiều nhất là phải nộp một khoản tiền phạt, và số tiền đó chỉ chiếm một phần rất nhỏ trong số lợi nhuận của họ. Với số tiền phạt ít ỏi như vậy, tại sao các công ty phải bận tâm làm sao để khiến mọi việc tốt hơn?
Các chuyên gia đang kêu gọi các công ty phải chịu trách nhiệm nhiều hơn đối với các vi phạm dữ liệu, và điều đó đang bắt đầu xảy ra – ít nhất là ở một vài quốc gia. Năm 2016, EU ban hành một đạo luật mang tính bước ngoặt có tên là Quy định chung về bảo vệ dữ liệu (GDPR). Theo đạo luật này, các công ty vi phạm phải trả một khoản tiền phạt lên tới 20 triệu euro hoặc 4% doanh thu hàng năm của họ, tùy theo con số nào cao hơn. Vương quốc Anh cũng đã thông qua một đạo luật tương tự có tên là Đạo luật Bảo vệ Dữ liệu, yêu cầu các công ty phải bảo vệ dữ liệu của bạn “an toàn và bảo mật” và “trong khoảng thời gian không lâu hơn khoảng thời gian tuyệt đối cần thiết”.
Trong khi đó, luật bảo vệ dữ liệu và quyền riêng tư của Mỹ nhẹ nhàng hơn nhiều. Mặc dù Quốc hội đã ban hành một số quy tắc bảo vệ dữ liệu chuyên ngành, nhưng như vậy vẫn chưa đủ. Ví dụ, vào năm 2014, Quốc hội đã đề xuất Đạo luật về thông báo và vi phạm dữ liệu, theo đó yêu cầu các công ty thông báo cho khách hàng sau khi vi phạm, thực hiện giám sát tín dụng miễn phí cho những khách hàng bị ảnh hưởng bởi vi phạm, và báo cáo những vụ vi phạm lớn cho chính phủ. Nhưng dự luật này thậm chí chưa bao giờ được đưa ra bỏ phiếu. Tuy nhiên, dù sao đó cũng là một sự khởi đầu.
Luật bảo vệ dữ liệu cũng khác nhau đáng kể giữa các quốc gia, đặc biệt là giữa Mỹ và EU. Các chuyên gia đã kêu gọi “hiến chương dữ liệu xuyên Đại Tây Dương”, theo đó các cơ quan quản lý của Mỹ và châu Âu sẽ ban hành các chính sách chung về phương thức các công ty lưu trữ, chia sẻ và bảo vệ dữ liệu của họ. Thật không may, các cuộc đàm phán giữa Mỹ và EU về vấn đề này đã bị sa lầy trước những bất đồng rộng rãi.
Nhưng cuối cùng, nếu cả hai bờ Đại Tây Dương có thể nhất trí với nhau, các công ty quốc tế sẽ được dung thứ trước những nhầm lẫn và rắc rối kéo theo khi phải tuân theo nhiều luật bảo vệ dữ liệu thường là xung đột nhau. Hiến chương dữ liệu xuyên Đại Tây Dương này sẽ đặc biệt hữu ích với các công ty nhỏ hơn; hiện tại, các công ty lớn có thể dễ dàng thuê cả một đội quân luật sư để kiểm tra và nghiên cứu nhiều điều luật bảo vệ dữ liệu nặng nề phiền toái, nhưng những công ty khởi nghiệp không có những nguồn lực đó thì hẳn là sẽ không gặp may như vậy.
Khi luật bảo vệ dữ liệu trở nên phổ biến, một số công ty bảo hiểm đang bắt đầu cung cấp bảo hiểm vi phạm dữ liệu. Giống như với bảo hiểm y tế và ô tô thông thường, hàng năm, các công ty sẽ trả một số tiền nhỏ, và đổi lại, công ty bảo hiểm sẽ chi trả chi phí nếu một vụ vi phạm dữ liệu nghiêm trọng xảy ra.
Chúng ta sẽ quay lại câu hỏi ban đầu: làm thế nào các công ty có thể chịu trách nhiệm về vi phạm dữ liệu? Vâng, các nhà hoạch định chính sách có thể cho phép – hoặc thậm chí ép buộc – những hình phạt nghiêm khắc như đã thấy ở châu Âu; họ cũng có thể yêu cầu một số hình thức bảo hiểm dữ liệu cho các công ty nắm giữ những dữ liệu nhạy cảm. Nhưng đến lúc đó, dữ liệu về người tiêu dùng Mỹ vẫn tiếp tục ở trong tình trạng rủi ro.
TH: T.Giang – CSCI
Nguồn tham khảo: Neel Mehta, Aditya Agashe & Parth Detroja – Gạt mở chiến lược kinh doanh ẩn sau thế giới công nghệ – NXB CT 2021
CSCI INDOCHINA 