Ủy ban Thương mại Liên bang Mỹ phát triển các quy tắc về Quyền riêng tư và Bảo mật

15:50 | 31/08/2022
Nguyễn Anh Tuấn (theo LawFare Blog)

Vào ngày 11/8, Ủy ban Thương mại Liên bang Mỹ (FTC) đã ban hành Thông báo trước Quy tắc Đề xuất (ANPRM) về giám sát thương mại và bảo mật dữ liệu. Thông báo mở đầu cho một quá trình dài để phát triển các quy tắc điều chỉnh thương mại. Thời hạn chót cho các góp ý của công chúng về giai đoạn đầu tiên của quá trình xây dựng quy tắc là vào giữa tháng 10/2022.

ANPRM không chứa bất kỳ quy định đề xuất nào. Điều đó sẽ xuất hiện trong Thông báo tiếp theo về việc xây dựng quy tắc. Thay vào đó, ANPRM mời công chúng bình luận về ba chủ đề lớn: (1) Bản chất và mức độ phổ biến của hoạt động giám sát thương mại có hại và các hoạt động bảo mật dữ liệu lỏng lẻo; (2) Sự cân bằng giữa chi phí và lợi ích của các hoạt động đó đối với người tiêu dùng và cạnh tranh, cũng như chi phí và lợi ích của bất kỳ quy tắc quản lý thương mại tiềm năng nào; (3) Các đề xuất để bảo vệ người tiêu dùng khỏi hoạt động giám sát thương mại có hại và phổ biến cũng như các biện pháp bảo mật dữ liệu lỏng lẻo.

Trong khuôn khổ này, Thông báo đặt ra 95 câu hỏi được đánh số, với một số câu hỏi có các phần phụ. Trong đó, nhiều câu hỏi liên quan đến quyền riêng tư, 6 câu liên quan đặc biệt đến bảo mật dữ liệu, được định nghĩa trong Thông báo là giảm thiểu rủi ro vi phạm, quản lý và lưu trữ dữ liệu, giảm thiểu dữ liệu, cũng như thông báo về các sự cố xâm phạm dữ liệu. Các vấn đề được nêu ra bao gồm những ý chính sau:

  • Các quy tắc mới có nên yêu cầu các tổ chức, doanh nghiệp thực hiện các biện pháp bảo mật dữ liệu vật lý, kỹ thuật và hành chính, bao gồm cả các kỹ thuật mã hóa, để bảo vệ trước các rủi ro đối với an ninh, tính bảo mật hoặc tính toàn vẹn của dữ liệu được bao phủ hay không?
  • Nếu như vậy, các biện pháp đó phải cụ thể đến mức thế nào?
  • Các yêu cầu bảo mật dữ liệu theo “Đạo luật bảo vệ quyền riêng tư của trẻ em trên mạng” hoặc Quy tắc bảo vệ của “Đạo luật Gramm-Leach-Bliley” có đưa ra bất kỳ hướng dẫn mang tính xây dựng nào cho quy tắc quy định thương mại chung hơn về bảo mật dữ liệu giữa các lĩnh vực không?
  • Nếu ở mức độ nào đó, Ủy ban nên yêu cầu các tổ chức, doanh nghiệp chứng nhận rằng cách thực hành dữ liệu của họ đáp ứng các tiêu chuẩn bảo mật rõ ràng không? Nếu vậy, ai sẽ đặt ra các tiêu chuẩn đó, FTC hay một tổ chức bên thứ ba?

Ngoài những vấn đề này, 2 bộ câu hỏi cuối cùng trong ANPRM tập trung vào các biện pháp khắc phục và khả năng quy định bị lỗi thời. Chúng được tham chiếu cụ thể đến giám sát thương mại, nhưng đều có thể áp dụng cho bảo mật dữ liệu. Có thể hy vọng rằng những góp ý cho FTC thảo luận về những biện pháp xử lý nào nên có cho các sự cố an ninh mạng (ví dụ: liệu có thể ra lệnh áp dụng các biện pháp an ninh mạng vượt ra ngoài các thông lệ cụ thể được yêu cầu theo một quy tắc) và cách một quy tắc an ninh mạng có thể theo kịp với những thay đổi nhanh chóng về cả các mối đe dọa và phòng thủ.

Theo Mục 18 (a) (1) của Đạo luật Ủy ban Thương mại Liên bang, 15 USC § 57a (a) (1), Ủy ban có thể quy định “các quy tắc xác định với các hành vi hoặc thực tiễn cụ thể là hành vi hoặc thực hành không công bằng, lừa đảo hay ảnh hưởng đến thương mại”. Như Thông báo chỉ ra, Ủy ban phải đối mặt với 2 giới hạn đáng kể trong việc áp dụng các quy tắc. Thứ nhất, phải có lý do để tin rằng các hành vi hoặc thực tiễn không công bằng hoặc lừa đảo là đối tượng của việc xây dựng quy tắc được đề xuất là phổ biến. Thứ hai, Ủy ban không được tuyên bố bất kỳ hành động hoặc thực hành nào là không công bằng trừ khi hành vi hoặc thực hành đó (i) gây ra hoặc có khả năng gây ra thiệt hại đáng kể cho người tiêu dùng (ii) mà bản thân họ không thể tránh được và (iii) không vượt trội bởi lợi ích đối với người tiêu dùng hoặc cạnh tranh.

Trong nhiều thập kỷ, các thủ tục duy nhất để xây dựng quy tắc mà Quốc hội Hoa Kỳ áp dụng cho FTC đã được cho là phức tạp đến mức không thể sử dụng được. Tuy nhiên, vào năm 2020, ủy viên Rebecca Kelly Slaughter bắt đầu tranh luận rằng những trở ngại thực sự đối với việc xây dựng quy tắc hiệu quả không đến từ quy chế, mà do các yêu cầu tự áp đặt. Vào tháng 7/2021, FTC đã bỏ phiếu để hợp lý hóa các thủ tục xây dựng quy tắc của mình, về cơ bản thông qua tầm nhìn của Slaughter. Ngày 11/5/2022, việc xác nhận Alvaro Bedoya là ủy viên đảng Dân chủ thứ ba của FTC đã cho phép thông qua ANPRM với tỷ lệ 3-2.

Như ANPRM lưu ý, một quy tắc quản lý thương mại có thể cung cấp khả năng dự đoán và rõ ràng hơn nhiều so với việc FTC buộc (các tổ chức, doanh nghiệp) thực thi an ninh mạng theo từng trường hợp cụ thể, nhưng điều đó sẽ không dễ dàng. Hiện tại, các vụ việc về bảo mật dữ liệu của FTC bao gồm các khiếu nại với danh sách dài các lỗi của các công ty bị cho rằng khoản tiền thưởng bị cáo buộc là không công bằng và lừa đảo, nhưng không có dấu hiệu về việc vượt ngưỡng khiến hoạt động của bị đơn bị đưa vào phạm vi không hợp lý, do đó là bất hợp pháp, và các thỏa thuận với danh sách dài các biện pháp an ninh mà bị đơn đồng ý, mà không có phán quyết của FTC rằng mọi thông lệ là cần thiết. Thử thách tương tự sẽ đối đầu với FTC trong việc xây dựng quy tắc: Dù danh sách các biện pháp an ninh mà FTC yêu cầu dài đến đâu, vẫn có thể tranh luận rằng việc thiếu một biện pháp bảo mật không được liệt kê khác khiến các hoạt động của một tổ chức trở nên không hợp lý và do đó là bất hợp pháp. Cuối cùng bất kỳ quy tắc nào cũng sẽ phải bao gồm một số loại kiểm tra cân bằng cho phép xem xét tổng thể của các tình huống cho từng trường hợp riêng lẻ.