Bức tranh quyền riêng tư tại Vương quốc Anh sau Brexit

Khi Vương quốc Anh rời Liên minh Châu Âu, quốc gia này không rời bỏ bảo vệ dữ liệu. Vương quốc Anh đã nội luật hóa EU GDPR vào pháp luật trong nước dưới tên gọi UK GDPR, song hành với Đạo luật Bảo vệ Dữ liệu 2018 (Data Protection Act 2018). Riêng đối với cookie, Quy định về Quyền riêng tư và Truyền thông Điện tử (Privacy and Electronic Communications Regulations – PECR) — bản triển khai Chỉ thị ePrivacy của EU tại Vương quốc Anh — vẫn tiếp tục được áp dụng. Kết quả là một khung pháp lý về quyền riêng tư gần như phản chiếu EU nhưng được thực thi độc lập bởi Văn phòng Ủy viên Thông tin Vương quốc Anh (Information Commissioner's Office – ICO).

Đối với các đơn vị vận hành website, điều này có nghĩa là việc phục vụ khách truy cập từ Vương quốc Anh đòi hỏi phải chú ý tới một tập hợp quy tắc, hướng dẫn và mô hình thực thi riêng biệt. Mặc dù nội dung cốt lõi tương tự EU GDPR, các khác biệt nhỏ lại rất quan trọng.

UK GDPR so với EU GDPR: Những khác biệt chính

UK GDPR về cơ bản là giống với EU GDPR ở các nguyên tắc và yêu cầu cốt lõi. Tuy nhiên, một số khác biệt đã xuất hiện kể từ sau Brexit:

• Cơ quan giám sát: ICO là cơ quan giám sát duy nhất đối với UK GDPR, thay thế vai trò của các cơ quan bảo vệ dữ liệu tại EU. Bạn sẽ không bị phạt đồng thời bởi ICO và một cơ quan bảo vệ dữ liệu EU cho cùng một hoạt động xử lý dữ liệu chỉ ảnh hưởng đến cư dân Vương quốc Anh.
• Đánh giá mức độ đầy đủ (data adequacy): EU đã cấp cho Vương quốc Anh một quyết định về mức độ đầy đủ vào tháng 6/2021, cho phép dữ liệu cá nhân được chuyển tự do từ EU sang Vương quốc Anh. Quyết định này sẽ được xem xét định kỳ. Vương quốc Anh cũng công nhận EEA là khu vực có mức độ bảo vệ đầy đủ.
• Chuyển dữ liệu quốc tế: Vương quốc Anh có khung riêng cho các chuyển giao dữ liệu quốc tế, trong đó Bộ trưởng Ngoại giao (Secretary of State) — chứ không phải Ủy ban Châu Âu — đưa ra các quyết định về mức độ đầy đủ. Vương quốc Anh đã phát tín hiệu về một cách tiếp cận linh hoạt hơn đối với chuyển giao quốc tế, dù các biện pháp bảo vệ cốt lõi vẫn được giữ nguyên.
• Cách tiếp cận thực thi: ICO trong lịch sử ưu tiên trao đổi và hướng dẫn hơn là phạt nặng. Mức phạt tối đa theo UK GDPR tương tự EU: lên tới 17,5 triệu GBP hoặc 4% tổng doanh thu toàn cầu hằng năm, tùy theo mức nào cao hơn.
• Khả năng khác biệt trong tương lai: Chính phủ Vương quốc Anh đã xem xét cải cách thông qua Dự luật Bảo vệ Dữ liệu và Thông tin Kỹ thuật số (Data Protection and Digital Information Bill), có thể mang lại thay đổi đối với đánh giá lợi ích hợp pháp, ngoại lệ cho nghiên cứu và vai trò của Nhân sự Bảo vệ Dữ liệu (Data Protection Officers). Các đơn vị vận hành website nên theo dõi dự luật này để nắm bắt các thay đổi trong tương lai.

PECR: Luật cookie của Vương quốc Anh

Trong khi UK GDPR cung cấp khung chung cho việc xử lý dữ liệu cá nhân, PECR điều chỉnh cụ thể cookie và các công nghệ tương tự. PECR có trước GDPR và triển khai Chỉ thị ePrivacy của EU vào luật Vương quốc Anh. Các yêu cầu chính của PECR đối với cookie gồm:

• Phải có sự đồng ý trước khi cài đặt bất kỳ cookie không thiết yếu nào trên thiết bị của người dùng. Điều này bao gồm cookie phân tích, cookie quảng cáo và cookie mạng xã hội.
• Phải cung cấp thông tin về những cookie nào được cài đặt và chúng được dùng để làm gì, bằng ngôn ngữ rõ ràng, dễ hiểu.
• Sự đồng ý phải được đưa ra một cách tự do, cụ thể và có thông tin. Các ô được tích sẵn không cấu thành sự đồng ý hợp lệ.
• Cookie thực sự cần thiết được miễn trừ. Cookie cần thiết cho một dịch vụ mà người dùng yêu cầu một cách rõ ràng (như cookie phiên cho chức năng đăng nhập hoặc cookie giỏ hàng) không cần phải xin đồng ý.

Tiêu chuẩn đồng ý của PECR phù hợp với định nghĩa về đồng ý trong GDPR, nghĩa là trên thực tế, các yêu cầu rất giống với dưới Chỉ thị ePrivacy của EU. Một banner cookie tuân thủ quy định EU thường cũng sẽ tuân thủ PECR.

Hướng dẫn của ICO về banner cookie

ICO đã công bố hướng dẫn chi tiết về tuân thủ cookie, vượt ra ngoài nội dung văn bản PECR. Một số điểm chính từ hướng dẫn của ICO gồm:

Sự đồng ý phải mang tính khẳng định

Chỉ đơn thuần tiếp tục duyệt website không cấu thành sự đồng ý. ICO nêu rõ rằng đồng ý ngầm không hợp lệ. Người dùng phải thực hiện một hành động rõ ràng, tích cực (như nhấp nút "Chấp nhận") trước khi cookie không thiết yếu được cài đặt.

Từ chối phải dễ dàng tương đương

ICO ngày càng lên tiếng mạnh mẽ về dark patterns trong banner cookie. Cụ thể:

• Tùy chọn "Từ chối tất cả" hoặc tương đương phải xuất hiện cùng cấp với "Chấp nhận tất cả". Việc ẩn tùy chọn từ chối sau màn hình "Quản lý tùy chọn" là không chấp nhận được.
• Thiết kế giao diện không được sử dụng màu sắc, kích thước hoặc vị trí để thao túng người dùng hướng tới việc chấp nhận.
• Ngôn ngữ phải trung lập, không được thiết kế để gây cảm giác tội lỗi hoặc gây áp lực buộc người dùng phải đồng ý.

Kiểm soát theo danh mục một cách chi tiết

Người dùng nên có khả năng đồng ý với các danh mục cookie cụ thể (phân tích, tiếp thị, chức năng) thay vì bị buộc vào lựa chọn tất cả hoặc không gì cả. Dù ICO không quy định số lượng danh mục cụ thể, việc cung cấp kiểm soát chi tiết thể hiện thực hành tốt và có thể được yêu cầu theo nguyên tắc giới hạn mục đích của GDPR.

Cookie wall là vấn đề

ICO cho rằng cookie wall — nơi người dùng bị từ chối truy cập website nếu không chấp nhận tất cả cookie — khó có thể tạo ra sự đồng ý hợp lệ vì sự đồng ý khi đó không được đưa ra một cách tự do. Có thể có ngoại lệ đối với nội dung trả phí, nơi có cung cấp một lựa chọn thay thế thực sự không dùng cookie.

Các biện pháp thực thi gần đây của ICO

ICO đã đều đặn tăng cường tập trung vào tuân thủ cookie trong những năm gần đây. Một số động thái đáng chú ý gồm:

• Kiểm toán trên diện rộng theo ngành: ICO đã tiến hành kiểm toán 100 website hàng đầu tại Vương quốc Anh trên nhiều lĩnh vực, công bố các phát hiện cho thấy tình trạng không tuân thủ phổ biến. Các vấn đề thường gặp gồm cookie được cài đặt trước khi có đồng ý, thiếu tùy chọn từ chối và thông tin không đầy đủ về mục đích cookie.
• Thư cảnh báo: Sau các cuộc kiểm toán, ICO đã gửi thư cảnh báo tới các tổ chức có thực hành cookie chưa đạt yêu cầu. Phần lớn tổ chức đã điều chỉnh để tuân thủ sau khi nhận được thư.
• Điều tra adtech: ICO đã tiến hành các cuộc điều tra liên tục về hệ sinh thái đấu giá thời gian thực (real-time bidding), bày tỏ lo ngại về khối lượng dữ liệu cá nhân được chia sẻ thông qua cookie quảng cáo theo chương trình mà không có sự đồng ý đầy đủ.
• Thực thi trong khu vực công: ICO không miễn trừ website của chính phủ, mà đã ban hành hướng dẫn và cảnh báo cho các tổ chức khu vực công về thực hành cookie của họ.

Mặc dù ICO chưa áp dụng các khoản phạt tài chính lớn chỉ riêng cho vi phạm cookie, xu hướng rõ ràng là hướng tới thực thi nghiêm ngặt hơn. Cơ quan quản lý đã tuyên bố rằng họ kỳ vọng các tổ chức hiện nay phải tuân thủ, và các biện pháp thực thi sẽ được áp dụng với những đơn vị không cải thiện.

Chuyển dữ liệu quốc tế: Từ Vương quốc Anh sang EU và xa hơn

Đồng ý cookie giao thoa với chuyển dữ liệu quốc tế theo một cách quan trọng. Khi cookie phân tích hoặc quảng cáo gửi dữ liệu tới máy chủ bên ngoài Vương quốc Anh — như Google Analytics gửi dữ liệu tới máy chủ của Google, và Facebook Pixel gửi dữ liệu tới máy chủ của Meta — các hoạt động này được coi là chuyển dữ liệu quốc tế theo UK GDPR.

Các sắp xếp hiện tại:

• Vương quốc Anh tới EEA: Dữ liệu được chuyển tự do theo việc Vương quốc Anh công nhận EEA là khu vực có mức độ bảo vệ đầy đủ.
• Vương quốc Anh tới Hoa Kỳ: Phần mở rộng của Vương quốc Anh đối với EU-US Data Privacy Framework cung cấp cơ chế chuyển dữ liệu tới các tổ chức Hoa Kỳ đã được chứng nhận. Google và Meta đã được chứng nhận theo khuôn khổ này.
• Vương quốc Anh tới các quốc gia khác: Cần có các biện pháp bảo vệ thích hợp như Các điều khoản hợp đồng mẫu (phiên bản Vương quốc Anh) hoặc quy tắc nội bộ ràng buộc.

Về mặt thực tiễn, nếu bạn đang sử dụng Google Analytics, Google Ads hoặc các nền tảng quảng cáo lớn khác, các cơ chế chuyển giao quốc tế đã sẵn có. Tuy nhiên, bạn nên ghi nhận các chuyển giao này trong chính sách quyền riêng tư và đảm bảo banner cookie của bạn đề cập rằng dữ liệu có thể được chuyển ra quốc tế.

Geo-targeting của FlexyConsent cho tuân thủ riêng tại Vương quốc Anh

FlexyConsent cung cấp geo-targeting chuyên biệt cho khách truy cập từ Vương quốc Anh, bảo đảm tuân thủ với khung pháp lý riêng của quốc gia này:

• Banner tuân thủ PECR: Khách truy cập từ Vương quốc Anh sẽ thấy banner xin đồng ý đáp ứng yêu cầu của ICO, bao gồm tùy chọn từ chối nổi bật tương đương và kiểm soát chi tiết theo danh mục. Không cookie nào được cài đặt cho đến khi nhận được sự đồng ý mang tính khẳng định.
• Tách biệt với cấu hình EU: Dù yêu cầu tương tự nhau, FlexyConsent vẫn cho phép cấu hình trải nghiệm xin đồng ý riêng cho Vương quốc Anh và EU. Điều này giúp triển khai của bạn sẵn sàng trước khả năng khung pháp lý Vương quốc Anh và EU tách biệt trong tương lai.
• Thiết kế phù hợp với ICO: Các mẫu banner mặc định của FlexyConsent tuân theo hướng dẫn của ICO về tránh dark patterns. Tùy chọn chấp nhận và từ chối được thể hiện ngang nhau, ngôn ngữ trung lập và thiết kế không thao túng lựa chọn của người dùng.
• Tích hợp Consent Mode V2: Là một Google-certified CMP, FlexyConsent gửi các tín hiệu đồng ý phù hợp tới các dịch vụ Google cho khách truy cập từ Vương quốc Anh. Điều này đảm bảo mô hình hóa chuyển đổi và Smart Bidding tiếp tục hoạt động chính xác đồng thời vẫn tôn trọng yêu cầu đồng ý tại Vương quốc Anh.
• Hỗ trợ IAB TCF 2.3: Đối với các nhà xuất bản sử dụng quảng cáo theo chương trình, FlexyConsent tạo ra chuỗi đồng ý TCF phù hợp với Vương quốc Anh, được các nền tảng phía cầu (demand-side platforms) và phía cung (supply-side platforms) hoạt động tại thị trường Vương quốc Anh công nhận.

FlexyConsent được cung cấp với các gói bắt đầu từ 0 EUR mỗi tháng, với tích hợp gốc cho WordPress, Shopify và PrestaShop. Đặc biệt đối với các doanh nghiệp đặt tại Vương quốc Anh, triển khai một CMP được chứng nhận thể hiện nỗ lực tuân thủ chủ động với ICO — một yếu tố mà cơ quan quản lý cho biết họ cân nhắc khi quyết định biện pháp thực thi.

Điểm mấu chốt: Khung quyền riêng tư hậu Brexit của Vương quốc Anh gần như phản chiếu EU nhưng vận hành dưới cơ quan quản lý riêng, mô hình thực thi riêng và có thể là định hướng lập pháp riêng trong tương lai. Đối xử với khách truy cập từ Vương quốc Anh như chịu cùng quy tắc với khách từ EU hiện vẫn là cách an toàn, nhưng duy trì khả năng cấu hình trải nghiệm xin đồng ý riêng cho Vương quốc Anh sẽ giúp website của bạn linh hoạt thích ứng nếu hai khung pháp lý này tách biệt hơn. Một CMP có khả năng geo-aware là cách thực tiễn nhất để quản lý sự phức tạp này.