Noyb khẳng định: Danh sách người xem hồ sơ LinkedIn thuộc về người dùng, không phải tính năng trả phí

Một tính năng trên LinkedIn có vẻ tầm thường nhưng có thể sẽ thiết lập một tiền lệ pháp lý quan trọng tại Liên minh Châu Âu (EU) liên quan đến cách các công ty xử lý dữ liệu khách hàng.

Nếu bạn truy cập vào hồ sơ LinkedIn của mình, bạn sẽ thấy một phần hiển thị những người đã xem hồ sơ đó. Đối với người dùng trả phí (Premium), danh sách này lưu trữ lịch sử trong 365 ngày, bao gồm tên, chức danh công việc, công ty hiện tại và liên kết trực tiếp đến trang cá nhân của họ — trừ khi họ đã bật chế độ ẩn danh.

Giao diện danh sách người xem hồ sơ đối với tài khoản LinkedIn trả phí

Tuy nhiên, người dùng miễn phí lại không được hưởng đặc quyền này. Nếu bạn không chịu trả tiền hàng tháng cho Microsoft — chủ sở hữu của LinkedIn — bạn chỉ nhìn thấy những thông tin chung chung như "12 người đã tìm thấy bạn qua trang chủ" hoặc "một ai đó có chức danh XYZ từ công ty ABC đã xem hồ sơ của bạn".

Bất kỳ hành động nào nhấp vào danh sách của người dùng miễn phí đều sẽ chuyển hướng bạn đến trang đăng ký gói Premium hoặc kết quả tìm kiếm nhân viên của các công ty đó.

Giao diện hạn chế mà người dùng LinkedIn miễn phí nhìn thấy

Một người dùng LinkedIn (giấu tên) đã không chấp nhận sự phân biệt đối xử này và đã yêu cầu Microsoft cung cấp bản sao dữ liệu cá nhân của mình được LinkedIn xử lý, dựa trên Điều 15 của GDPR. Thuật ngữ "được xử lý" ở đây có nghĩa là rất nhiều thứ, bao gồm cả việc lưu trữ một loại thông tin cụ thể.

LinkedIn đã từ chối yêu cầu này với lý do cần bảo vệ dữ liệu. Giờ đây, các "chiến binh bảo vệ dữ liệu" tại tổ chức bảo mật quyền riêng tư Noyb của EU (tên viết tắt của "none of your business" — "không phải chuyện của ông") đã can thiệp vào vụ việc.

"Bán dữ liệu cho chính người dùng của họ là một hành động phổ biến của các công ty," luật sư bảo vệ dữ liệu của Noyb, Martin Baumann, nói về vụ việc. "Tuy nhiên, trên thực tế, người dùng có quyền nhận lại dữ liệu của họ miễn phí."

Nếu xem xét ngôn ngữ của Điều 15, điều này khá rõ ràng: đối tượng dữ liệu (tức là người dùng) có quyền nhận bản sao của bất kỳ và tất cả dữ liệu liên quan đến họ đã được nhà cung cấp xử lý. Danh sách đầy đủ những người xem hồ sơ dường như phải thuộc loại dữ liệu theo Điều 15 — ngay cả khi nó thường được dành riêng cho người dùng trả phí và được trình bày đẹp mắt hơn, nó vẫn phải có thể truy cập được đối với người dùng miễn phí thực sự yêu cầu nó.

LinkedIn dường như không tin rằng họ đang làm điều gì sai cả. Trong một lời phủ nhận rõ ràng các sự thật mà người dùng miễn phí nào cũng nhận ra được — bao gồm cả tác giả và các biên tập viên của bài viết này — một phát ngôn viên của LinkedIn cho biết: "Không chỉ là sai sự thật khi nói rằng chỉ có thành viên Premium mới có thể xem ai đã xem hồ sơ của họ, mà chúng tôi còn đáp ứng Điều 15 GDPR bằng cách công bố thông tin liên quan qua Chính sách quyền riêng tư của chúng tôi."

Phần đầu tiên của tuyên bố này là sai sự thật, như bạn có thể thấy trong ảnh chụp màn hình ở trên. Cho thấy sự không đáng tin cậy rõ ràng của một nửa tuyên bố, chúng tôi không tốn thời gian để đánh giá nửa còn lại.

Noyb thừa nhận có một chút "mơ hồ" về mặt pháp lý trong góc độ này của GDPR khi liên quan đến các dịch vụ trả phí.

"Nếu bất kỳ doanh nghiệp nào xử lý dữ liệu cá nhân của một người, thông tin này thường được bao phủ trong quyền truy cập của họ theo GDPR," Baumann chia sẻ với The Register. "Việc doanh nghiệp đó muốn bán dữ liệu cho đối tượng dữ liệu hay việc đó sẽ gây hại cho mô hình kinh doanh của họ là không quan trọng."

Chỉ có một ngoại lệ trong Điều 15 có thể giúp LinkedIn thoát thân, Baumann cho biết, đó là đoạn cuối cùng, quy định rằng quyền của một người đối với dữ liệu của họ không được ảnh hưởng tiêu cực đến quyền và tự do của người khác. Nếu lập luận rằng LinkedIn cần bảo vệ danh tính của những người đã xem hồ sơ của đối tượng dữ liệu, họ có thể có một cái cớ. Nhưng không phải là một cái cớ tốt theo ý kiến của Baumann.

"Do LinkedIn cung cấp thông tin về các lượt truy cập hồ sơ cho các thành viên Premium trả phí, họ không thể cho rằng việc công bố dữ liệu sẽ ảnh hưởng tiêu cực đến quyền của những khách truy cập có dữ liệu bị công bố," luật sư của Noyb giải thích. "Nếu không, việc cung cấp thông tin này cho người dùng Premium cũng sẽ là bất hợp pháp."

Vấn đề cốt lõi ở đây là xác định ranh giới giữa quyền truy cập dữ liệu và quyền kiếm tiền từ dữ liệu họ nắm giữ (dữ liệu mà chính người dùng đã cung cấp) của một công ty. Baumann cho biết ông hy vọng vụ việc này sẽ làm rõ bầu không khí pháp lý.

"Chúng tôi mong đợi một sự làm rõ về thực tế rằng dữ liệu cá nhân có thể được truy cập khi người dùng trả tiền cũng được bao phủ trong quyền truy cập của họ," ông giải thích.

Hãy hình dung như thế này: LinkedIn có hoàn toàn quyền theo GDPR để lấy dữ liệu họ có về những người xem hồ sơ, đóng gói lại, thêm phần phân tích và trình bày ở dạng hữu ích nhất cho những người sẵn sàng trả tiền cho dịch vụ Premium cao cấp đó. Nhưng một người dùng nào đó muốn nhận một file dữ liệu thô (CSV) của cùng một dữ liệu đó cũng nên có quyền làm vậy — và Điều 15 GDPR bảo vệ quyền đó.

Không chỉ riêng LinkedIn đâu. Baumann cho biết có nhiều trường hợp khác mà sự làm rõ pháp lý tương tự sẽ được hoan nghênh, ví dụ như một ngân hàng không sẵn lòng cung cấp sao kê tài khoản để phản hồi yêu cầu GDPR, nhưng lại vui vẻ cung cấp dữ liệu tương tự để lấy phí.

"Một tiền lệ sẽ được hoan nghênh," Baumann nói.