Cuộc chiến về dữ liệu: Noyb khẳng định danh sách người xem hồ sơ LinkedIn thuộc về người dùng

Một tính năng trên LinkedIn mà phần lớn người dùng miễn phí thường lờ đi có thể sẽ tạo ra một tiền lệ pháp lý quan trọng tại Liên minh Châu Âu (EU), liên quan đến cách thức các công ty xử lý dữ liệu khách hàng mà họ đã lưu trữ.

Nếu bạn mở hồ sơ LinkedIn của mình, bạn sẽ thấy một khu vực hiển thị những ai đã xem trang của mình. Với những người dùng trả phí (Premium), danh sách này truy xuất được trong vòng 365 ngày, bao gồm tên, chức danh, công ty và đường dẫn trực tiếp đến hồ sơ của họ — trừ khi người đó đã bật chế độ ẩn danh vì lý do riêng tư.

Danh sách người xem hồ sơ LinkedIn cho người dùng Premium

Tuy nhiên, người dùng miễn phí lại không nhận được sự minh bạch tương tự. Nếu bạn không trả tiền hàng tháng cho Microsoft (công ty mẹ của LinkedIn), bạn chỉ sẽ thấy các thông tin chung chung như "12 người đã tìm thấy bạn qua trang chủ" hoặc rằng "một ai đó có chức danh X tại công ty Y" đã ghé thăm trang của bạn.

Giao diện người xem hồ sơ cho tài khoản miễn phí

Bất kỳ mục nào trong danh sách của người dùng miễn phí khi được nhấp vào đều sẽ chuyển hướng đến trang đăng ký gói Premium hoặc kết quả tìm kiếm nhân viên của các công ty được đề cập.

Một người dùng LinkedIn ẩn danh đã không chấp nhận sự phân biệt đối xử này và đã yêu cầu Microsoft thực hiện quyền của mình theo Điều 15 của GDPR (Quy định bảo vệ dữ liệu chung của EU) để nhận một bản sao dữ liệu cá nhân mà LinkedIn đã xử lý. Thuật ngữ "xử lý" ở đây có nghĩa rất rộng, bao gồm cả việc lưu trữ một loại thông tin cụ thể.

LinkedIn ban đầu đã từ chối yêu cầu này với lý do cần bảo vệ dữ liệu. Tuy nhiên, các chiến binh bảo mật dữ liệu tại tổ chức Noyb (viết tắt của "none of your business" — "không phải chuyện của bạn") tại EU đã bắt đầu tham gia vào vụ việc.

"Việc bán dữ liệu lại cho chính người dùng là một thực tế phổ biến của các công ty," luật sư bảo mật dữ liệu của Noyb, Martin Baumann, nhận định về vụ việc. "Tuy nhiên, trên thực tế, mọi người có quyền nhận lại dữ liệu của mình miễn phí."

Nếu xem xét ngôn ngữ của Điều 15, quy định này khá rõ ràng: chủ thể dữ liệu (tức là người dùng) có quyền nhận bản sao của bất kỳ và tất cả dữ liệu liên quan đến họ được nhà cung cấp xử lý. Danh sách đầy đủ những người đã xem hồ sơ dường như phải thuộc phạm vi dữ liệu theo Điều 15 — ngay cả khi thông tin này thường được dành cho người dùng trả phí và được trình bày đẹp mắt hơn, nó vẫn phải có thể truy cập được đối với người dùng miễn phí khi họ đưa ra yêu cầu.

LinkedIn dường như không tin rằng mình đang làm sai gì cả. Trong một tuyên bố bác bỏ các sự thật hiển nhiên đối với bất kỳ người dùng miễn phí nào, người phát ngôn của LinkedIn cho biết: "Không chỉ việc chỉ có thành viên Premium mới xem được ai đã xem hồ sơ là không đúng, mà chúng tôi còn đáp ứng Điều 15 của GDPR bằng cách công bố thông tin liên quan qua Chính sách quyền riêng tư của chúng tôi."

Phần đầu của tuyên bố này hoàn toàn sai lệch, như bạn có thể thấy trong ảnh chụp màn hình ở trên. Cho thấy tính đáng tin cậy thấp của một nửa tuyên bố đó, chúng tôi không mất thời gian để đánh giá phần sau.

Noyb thừa nhận có một chút mơ hồ pháp lý trong góc khuất của GDPR khi liên quan đến các gói dịch vụ trả phí.

"Nếu bất kỳ doanh nghiệp nào xử lý dữ liệu cá nhân của một người, thông tin này thường được bao gồm trong quyền truy cập của họ theo GDPR," Baumann nói với The Register. "Việc doanh nghiệp đó muốn bán dữ liệu cho chủ thể dữ liệu hay việc làm vậy sẽ gây hại cho mô hình kinh doanh của họ không phải là lý do để từ chối."

Chỉ có một ngoại lệ trong Điều 15 có thể giúp LinkedIn thoát khỏi tình thế khó khăn, theo Baumann, đó là đoạn cuối cùng, quy định rằng quyền của một người đối với dữ liệu của họ không được ảnh hưởng tiêu cực đến quyền và tự do của người khác. Nếu LinkedIn lập luận rằng họ cần bảo vệ danh tính của những người đã ghé thăm hồ sơ của chủ thể dữ liệu, họ có thể có một cái cớ. Nhưng theo quan điểm của Baumann, đó không phải là một lý do thuyết phục.

"Vì LinkedIn thực sự cung cấp thông tin về các lượt truy cập hồ sơ cho các thành viên Premium trả phí, họ không thể cho rằng việc công bố dữ liệu sẽ ảnh hưởng tiêu cực đến quyền của những người truy cập có dữ liệu bị công bố," luật sư của Noyb giải thích. "Nếu không, việc cung cấp thông tin này cho người dùng Premium cũng sẽ là bất hợp pháp."

Vấn đề mấu chốt ở đây là xác định nơi bắt đầu quyền truy cập và nơi kết thúc quyền kiếm tiền từ dữ liệu mà họ nắm giữ (dữ liệu mà người dùng đã cung cấp) của một công ty. Baumann cho biết ông hy vọng vụ việc này có thể làm rõ bầu không khí pháp lý.

"Chúng tôi mong muốn một sự làm rõ về thực tế là dữ liệu cá nhân có thể được truy cập khi người dùng trả tiền thì cũng được bao gồm trong quyền truy cập của họ," ông giải thích.

Hãy tưởng tượng như thế này: LinkedIn có mọi quyền theo GDPR để lấy dữ liệu họ có về những người xem hồ sơ, đóng gói lại, thêm phân tích và trình bày dưới dạng hữu ích nhất cho những người sẵn sàng trả tiền cho nền tảng này để sử dụng dịch vụ Premium như vậy. Nhưng một người dùng nào đó muốn nhận tệp CSV thô của cùng một dữ liệu đó cũng nên có quyền làm vậy — và Điều 15 của GDPR trao cho họ quyền đó.

Không chỉ riêng LinkedIn đâu. Baumann cho biết có nhiều trường hợp khác nữa cần sự làm rõ pháp lý tương tự, ví dụ như một ngân hàng từ chối cung cấp sao kê tài khoản để phản hồi yêu cầu GDPR, nhưng lại vui vẻ đưa ra dữ liệu tương tự với mức phí nhất định.

"Việc thiết lập một tiền lệ sẽ được hoan nghênh," Baumann nói.