Từ chối xóa dữ liệu: Flock Safety khẳng định khách hàng mới là chủ sở hữu thông tin của bạn

Từ chối xóa dữ liệu: Flock Safety khẳng định khách hàng mới là chủ sở hữu thông tin của bạn

Flock Safety, một công ty công nghệ nổi tiếng trong lĩnh vực an ninh với các hệ thống camera nhận dạng biển số xe (LPR) tự động, đang trở thành tâm điểm của một cuộc tranh luận về quyền riêng tư dữ liệu. Gần đây, một cư dân tại bang California (Mỹ) đã chia sẻ trải nghiệm của mình khi cố gắng sử dụng luật pháp để yêu cầu công ty này xóa hoàn toàn thông tin cá nhân và phương tiện của ông khỏi cơ sở dữ liệu của họ.

Yêu cầu xóa dữ liệu theo CCPA

Người dùng này, với tư cách là cư dân California, đã gửi email trực tiếp đến bộ phận phụ trách quyền riêng tư của Flock Safety. Ông dựa vào Đạo luật Quyền riêng tư của người tiêu dùng California (CCPA) - một trong những luật bảo vệ dữ liệu nghiêm ngặt nhất tại Hoa Kỳ - để đưa ra yêu cầu chính thức.

Nội dung email yêu cầu nêu rõ:

"Tôi là cư dân của California. Vì vậy và vì các bạn chịu sự điều chỉnh của CCPA, hãy xóa mọi thông tin về tôi, phương tiện của tôi và các thành viên khác trong hộ gia đình khỏi tất cả cơ sở dữ liệu của các bạn. Tôi không cho phép các bạn thu thập hoặc lưu trữ dữ liệu về tôi, phương tiện của tôi hoặc người thân của tôi trong bất kỳ tình huống nào trong tương lai."

Tuy nhiên, câu trả lời mà ông nhận được không phải là một xác nhận xóa dữ liệu, mà là một lời từ chối.

Phản hồi từ Flock Safety: Chúng tôi chỉ là bộ xử lý dữ liệu

Trong email phản hồi, đội ngũ quyền riêng tư của Flock Safety đã giải thích rằng họ không thể trực tiếp thực hiện yêu cầu này. Lý do chính được đưa ra là vai trò của họ trong chuỗi cung ứng dữ liệu.

Theo Flock Safety:

"Flock Safety cung cấp dịch vụ cho khách hàng của mình, và khách hàng của chúng tôi là những người sở hữu và kiểm soát dữ liệu mà Flock Safety xử lý thay mặt họ. Flock Safety xử lý dữ liệu với tư cách là nhà cung cấp dịch vụ và bộ xử lý (processor) cho khách hàng, do đó chúng tôi không thể trực tiếp đáp ứng yêu cầu của bạn."

Công ty khuyên người dùng nên liên hệ trực tiếp với tổ chức đã thuê dịch vụ của Flock Safety (ví dụ: hiệp chủ cư dân, sở cảnh sát địa phương) để gửi yêu cầu, vì những đơn vị này mới là bên có quyền quyết định đối với dữ liệu.

Các lập luận về quyền riêng tư và dữ liệu

Để bảo vệ quan điểm của mình, Flock Safety đã đưa ra một số điểm về chính sách thu thập dữ liệu:

• Hợp đồng khách hàng: Hoạt động xử lý dữ liệu của Flock Safety bị ràng buộc bởi hợp đồng với khách hàng, nơi khách hàng nắm giữ quyền sở hữu dữ liệu và đưa ra các chỉ dẫn về cách sử dụng.
• Không bán dữ liệu: Flock khẳng định họ không được phép bán, công bố hoặc trao đổi dữ liệu vì mục đích thương mại của riêng mình mà chỉ xử lý theo hướng dẫn của khách hàng.
• Thông tin thu thập: Công nghệ LPR không xử lý thông tin nhạy cảm như tên hay địa chỉ, mà chỉ chụp ảnh các đặc điểm phương tiện có thể nhìn thấy được trong không gian công cộng.
• Mục đích: Dữ liệu được sử dụng cho mục đích an ninh, quản lý an toàn công cộng hoặc hỗ trợ giải quyết tội phạm.
• Thời gian lưu trữ: Theo mặc định, hệ thống chỉ lưu giữ dữ liệu trong 30 ngày trước khi xóa vĩnh viễn, mặc dù khách hàng có thể điều chỉnh khoảng thời gian này tùy theo luật địa phương.

Tranh chấp về tính pháp lý

Mặc dù Flock Safety đưa ra các giải thích kỹ thuật và pháp lý dựa trên vai trò "bộ xử lý dữ liệu", nhưng người dùng trong câu chuyện này cho rằng lập luận đó là không chính xác về mặt pháp lý.

Ông cho rằng Flock Safety là thực thể trực tiếp thu thập và xử lý thông tin nhận dạng cá nhân (PII) của ông. Theo cách hiểu của ông về CCPA, công ty thu thập dữ liệu có nghĩa vụ phải tuân thủ yêu cầu xóa dữ liệu của chủ thể dữ liệu, bất kể việc họ chuyển dữ liệu đó cho ai sau đó.

Người dùng này chưa quyết định sẽ thuê luật sư để kiện tụng, nhưng cũng chưa loại bỏ khả năng đó. Vụ việc này làm nổi bật sự phức tạp trong việc xác định ai chịu trách nhiệm bảo vệ dữ liệu cá nhân trong hệ sinh thái công nghệ giám sát hiện đại, nơi ranh giới giữa nhà cung cấp dịch vụ và chủ sở hữu dữ liệu ngày càng trở nên mơ hồ.