- Tổng quan chiến lược của Liên minh châu Âu nhắm đến một "xã hội hướng dữ liệu"
- Các sản phẩm và dịch vụ trong phạm vi của Data Act
- Các sản phẩm IoT và dịch vụ liên quan
- Các dịch vụ Cloud
- Dữ liệu cá nhân và phi cá nhân
- Nghĩa vụ chính của nhà cung cấp IoT
- Chuyển đổi giữa các dịch vụ đám mây
- Bảo vệ dữ liệu bên trong châu Âu - Hạn chế chia sẻ ra quốc tế với dữ liệu phi cá nhân
- Thực thi Data Act
- Vấn đề pháp lý của Vương quốc Anh?
- Kết luận
IoT, Cloud và Ảnh hưởng của Đạo luật EU Data Act
Dự thảo Data Act được Ủy ban Liên minh châu Âu ban hành nhằm hoàn thiện khung pháp lý về nền kinh tế dữ liệu EU. Đạo luật này sẽ ảnh hưởng thế nào đến các giải pháp công nghệ?
Tổng quan chiến lược của Liên minh châu Âu nhắm đến một "xã hội hướng dữ liệu"
Với nền kinh tế B2C, B2B hay G2B, việc xử lý và chia sẻ dữ liệu hiệu quả luôn là nhân tố quan trọng đóng góp vào thành quả chuyển đổi số của doanh nghiệp tư nhân và chính phủ. Sự phát triển của công nghệ Internet vạn vật (IoT) đã góp phần kết nối thế giới thực và kỹ thuật số, tạo ra những thiết bị, giải pháp hiện đại như ứng dụng nhà thông minh, thiết bị theo dõi sức khỏe từ xa, sản xuất tự động kết nối với máy móc và robot, quản lý năng lượng và bảo mật cho tòa nhà hay những giải pháp quản lý chuỗi cung ứng. Công nghệ này đóng vai trò quyết định trong việc kiến tạo ngành kinh tế dữ liệu tương lai.
Ủy ban Liên Minh châu Âu đã nhận thấy tiềm năng của những phát kiến theo hướng dữ liệu từ các giải pháp IoT đối với thị trường EU và theo đuổi tham vọng biến EU "trở thành hình mẫu tiên phong cho một xã hội hướng dữ liệu, dựa vào dữ liệu để đưa ra quyết định trong kinh doanh và quản lý nhà nước" trong Chiến lược châu Âu về dữ liệu được công bố vào tháng 2/2020.
Tổng quan chiến lược châu Âu về dữ liệu
Theo đó, vào tháng 2/2020, Ủy ban châu Âu đã ban hành kiến nghị về Data Act (Đạo luật Dữ liệu), kiến nghị chính thứ hai theo sau Data Governance Act/DGA (Đạo luật Quản trị Dữ liệu). Giống với Data Governance Act, dự thảo Data Act được tạo ra nhằm hoàn thiện khung pháp lý hiện có về nền kinh tế dữ liệu Liên minh châu Âu. Khung pháp lý này bao gồm:
- General Data Protection Regulation/GDPR (Quy định chung về Bảo vệ Dữ liệu) trên phương diện dữ liệu cá nhân.
- ePrivacy Directive (Chỉ thị Bảo mật điện tử) quy định việc dữ liệu được lưu trữ và truy cập từ các thiết bị đầu cuối.
- Free Flow of Non-Personal Data Regulation (Quy định tự do trao đổi dữ liệu phi cá nhân) nhằm đảm bảo các dữ liệu phi cá nhân có thể được lưu trữ cũng như trao đổi tại mọi nơi trong Liên minh châu Âu và tuân theo các quy tắc ứng xử tự điều chỉnh cho chuyển đổi đám mây.
- Cuối cùng là Open Data Directive (Chỉ thị Dữ liệu mở).
Trong khi Open Data Directive và Data Governance Act hướng tới việc khuyến khích sử dụng dữ liệu cộng đồng và các nguồn dữ liệu được kiểm soát bởi các cơ quan nhà nước thì Data Act lại muốn xây dựng một bộ quy chuẩn để chia sẻ các dữ liệu được tạo ra từ các thiết bị kết nối và các dịch vụ liên quan.
Dự thảo Data Act đã được các nhà chức trách tranh luận rất nhiều tại Liên minh châu Âu, bao gồm đại diện của các chính quyền thành viên Liên minh châu Âu là Ủy ban và Hội đồng Liên Minh châu Âu cùng với Nghị viện châu Âu. Kết quả là phạm vi và yêu cầu của Đạo luật này có thể sẽ thay đổi. Chủ tịch Hội đồng Liên Minh châu Âu đã ban hành văn bản đồng thuận đầu tiên và vào ngày 3/11/2022, sau đó, văn bản đồng thuận thứ hai đã được công bố nhằm sửa đổi một số mục của bản đầu tiên. Bản chính thức của Data Act dự kiến được chấp thuận vào nửa cuối năm 2023 và bắt đầu có hiệu lực vào cuối năm 2024. Data Act sẽ được áp dụng trực tiếp cho tất cả thành viên Liên Minh châu Âu mà không cần phải chuyển đổi thành luật nhà nước sau khi được thông qua.
Data Act đem lại thay đổi hướng tới xã hội EU tương lai
Các sản phẩm và dịch vụ trong phạm vi của Data Act
Data Act áp dụng đối với:
- Các nhà sản xuất sản phẩm IoT và nhà cung cấp dịch vụ IoT đang hoạt động trên thị trường EU.
- Các nhà cung cấp dịch vụ xử lý dữ liệu bao gồm các dịch vụ đám mây và cận biên cho tệp khách hàng ở EU.
- Những người sở hữu dữ liệu hoặc người cung cấp dữ liệu được tạo ra từ công nghệ IoT cho người nhận dữ liệu ở EU.
Tương tự các luật dữ liệu khác ở EU, bao gồm GDPR, Data Act không chỉ áp dụng cho các công ty có trụ sở tại EU mà còn áp dụng xuyên biên giới. Theo đó, đạo luật luật này sẽ được áp dụng mà không cần biết địa điểm của nhà cung cấp dịch vụ dữ liệu là ở đâu miễn là sản phẩm và dịch vụ IoT của họ được cung ứng đến lãnh thổ EU. Ví dụ, nếu một công ty Mỹ, Anh hay các nước không thuộc EU tiến hành sản xuất hoặc nhắm vào thị trường thiết bị kết nối, dịch vụ số liên quan đến các thiết bị ứng dụng cho bất kỳ quốc gia nào tại EU thì Data Act sẽ được áp dụng, đồng nghĩa với việc các công ty này phải tuân thủ chặt chẽ yêu cầu của đạo luật này.
Các sản phẩm IoT và dịch vụ liên quan
Data Act định nghĩa một sản phẩm kết nối là “một sản phẩm hữu hình, có thể di chuyển được và có thể nhận, tạo hoặc thu thập dữ liệu, đồng thời có thể truyền dữ liệu thông qua các phương tiện truyền thông điện tử và có chức năng chính không phải là lưu trữ hay xử lý dữ liệu.”
Định nghĩa này bao gồm mọi thiết bị IoT B2B và B2C vật lý:
- Sử dụng cảm biến và/hoặc thiết bị truyền động để thu thập và xử lý dữ liệu dựa trên hiệu suất, cách sử dụng hoặc điều kiện môi trường của sản phẩm.
hoặc
- Được kết nối với bất kỳ hệ thống máy tính nào thông qua mạng truyền thông như Internet, LANs, mạng di động 5G và NFC.
Theo bản dự thảo, các thiết bị người dùng cuối được thiết kế chủ yếu để giải trí, hiển thị, ghi hình hay truyền tải nội dung như TV thông minh, loa, máy chụp ảnh, webcam, máy ghi âm và máy scan văn bản, cùng những thiết bị dùng để xử lý và lưu trữ dữ liệu được liệt kê như máy tính cá nhân, máy chủ, máy tính bảng và điện thoại di động đều sẽ nằm ngoài phạm vi áp dụng của Data Act.
Bên cạnh những sản phẩm IoT vật lý nêu trên, “những dịch vụ liên quan” - được định nghĩa là “dịch vụ số bao gồm một hay nhiều phần mềm được tích hợp hoặc liên kết với một sản phẩm mà khi thiếu chúng thì những sản phẩm này sẽ không thực hiện được chức năng vốn có” - cũng nằm trong phạm vi áp dụng của Data Act, bất kể chúng được cung cấp bởi nhà sản xuất sản phẩm IoT hay bởi các nhà phát triển chỉ sử dụng những giao diện có sẵn.
Trong thực tế, rất khó để có thể phân định rõ ràng những loại hình sản phẩm hay dịch vụ sau đây có nằm trong phạm vi áp dụng của Data Act hay không. Đó là những sản phẩm có chức năng thu thập và truyền dữ liệu thông qua mạng truyền thông và ứng dụng phần mềm có chức năng xử lý những dữ liệu được nhận từ sản phẩm kết nối khác. Ví dụ, một camera an ninh thông minh cho phép người dùng ghi hình và lưu trữ video ngay trên bộ nhớ camera hoặc trên tài khoản cloud sẽ không chịu ảnh hưởng của dự thảo Data Act. Tuy nhiên, văn bản đồng thuận lại chỉ rõ đồng hồ thông minh cần phải chịu ảnh hưởng của đạo luật này bởi chúng “có chức năng thu thập dữ liệu chỉ số cơ thể và chuyển động của con người”. Lí do đó cũng được đưa ra để liệt kê điện thoại thông minh vào Data Act, tùy thuộc vào loại ứng dụng mà người dùng tải về. Một số người chỉ dùng điện thoại cho mục đích liên lạc và ghi hình hay xem video, ảnh và nghe nhạc, trong khi số khác lại tải các ứng dụng thể hình để theo dõi dữ liệu về các hoạt động của họ.
Đối với dịch vụ số của các nhà phát triển bên thứ ba, cụ thể là những dịch vụ không được nhúng vào mà chỉ được liên kết với thiết bị thông qua giao diện được cung cấp để mang đến các dịch vụ nâng cao khác, có một câu hỏi được đặt ra là liệu các dịch vụ được cung cấp theo yêu cầu của người mua thì có nằm trong phạm vi ảnh hưởng của đạo luật không. Lí do là bởi thiết bị đã được bán mà không hề có những tính năng nâng cao này và thiết bị cũng sẽ không mất đi chức năng ban đầu nếu người dùng xóa đi những tính năng cài thêm. Dự thảo Data Act cho rằng điều này sẽ tùy thuộc vào việc liệu những dịch vụ đó có “thường được cung cấp cho các sản phẩm cùng loại và người dùng có thể mong đợi chúng được cung cấp dựa trên bản chất của sản phẩm” hay không. Đồng thời xem xét liệu thông tin bán hàng và quảng cáo được công bố từ người bán hay nhà sản xuất sản phẩm. Chính những tiêu chí mơ hồ và không rõ ràng này sẽ gây nên các lỗ hổng về mặt pháp lý.
Chính vì vậy, những định nghĩa cần phải được xem xét lại và hoàn thiện để tránh các rủi ro về mặt pháp lý. Văn bản đồng thuận giới hạn định nghĩa “dịch vụ liên quan” đối với các thiết bị IoT tại thời điểm thiết bị đó được mua, thuê hoặc cho thuê. Bên cạnh đó, cũng nên loại trừ “các thiết bị xử lý dữ liệu cho mục đích chung” như điện thoại thông minh sở hữu những ứng dụng dùng để lưu trữ và truyền dữ liệu cho các mục đích khác nhau.
Các công ty nhỏ có ít hơn 50 nhân sự và lợi nhuận hàng năm hoặc tổng giá trị của bảng cân đối kế toán không vượt quá 10 triệu EUR được miễn một số nghĩa vụ. Ít nhất là trong EU, đây là một đặc quyền đối với một lượng lớn công ty.
Các dịch vụ Cloud
Tất cả các dịch vụ điện toán đám mây bao gồm IaaS, PaaS và SaaS sẽ là những đối tượng chịu ảnh hưởng từ Data Act vì chúng được định nghĩa là một “dịch vụ xử lí dữ liệu” trích từ “một dịch vụ kỹ thuật số không phải là một dịch vụ nội dung trực tuyến cung cấp cho khách hàng như định nghĩa trong Điều 2(5) của Quy định (EU) 2017/1128, cho phép quản trị theo yêu cầu và truy cập từ xa vào các nguồn điện toán có thể chia sẻ linh hoạt và mở rộng tài nguyên có tính chất tập trung, phân tán hoặc phân tán cao.”
Dữ liệu cá nhân và phi cá nhân
Dữ liệu được định nghĩa là “bất kỳ loại hình kỹ thuật số về hành vi, sự kiện hoặc thông tin và bất kỳ hình thức tổng hợp nào của các hành vi, sự kiện hoặc thông tin đó, kể cả ở dạng ghi âm, hình ảnh hoặc cả âm thanh và hình ảnh.” Định nghĩa này bao quát cả dữ liệu cá nhân và phi cá nhân. Dữ liệu cá nhân được thu thập và xử lý bởi các sản phẩm IoT hoặc các dịch vụ liên quan và được quản lý bởi các luật lệ hiện hành của Quy định chung về Bảo vệ Dữ liệu và không chịu ảnh hưởng bởi Data Act. Tuy nhiên, Data Act sẽ nâng cao các nghĩa vụ của người sở hữu dữ liệu và quyền của chủ thể dữ liệu đối với dữ liệu cá nhân. Định nghĩa dữ liệu cá nhân này cũng sẽ bao gồm bất kỳ dữ liệu mà người dùng ghi lại một cách có chủ ý bằng việc sử dụng sản phẩm hoặc dịch vụ IoT, cùng với bất kỳ dữ liệu nào được thu thập trong trạng thái chờ của thiết bị. Văn bản đồng thuận chỉ rõ những dữ liệu thô, dữ liệu đã sàng lọc (đã được xử lý) và siêu dữ liệu đều nằm trong phạm vi của định nghĩa này.
Nghĩa vụ chính của nhà cung cấp IoT
Theo dự thảo Data Act, các nhà sản xuất và nhà cung cấp sản phẩm và dịch vụ IoT, cùng với người dùng của họ sẽ phải tuân theo một số nghĩa vụ nhằm đảm bảo quyền truy cập, chia sẻ và tính di động của dữ liệu liên quan đến việc sử dụng các sản phẩm và dịch vụ này.
Dễ dàng truy cập dữ liệu
Trước hết, các nhà sản xuất và nhà phát triển sẽ có nghĩa vụ thiết kế các sản phẩm và dịch vụ IoT theo cách cho phép người dùng truy cập trực tiếp, dễ dàng và an toàn vào dữ liệu được tạo ra. Chủ sở hữu dữ liệu có thể là nhà sản xuất, nhà cung cấp sản phẩm, dịch vụ IoT hoặc bên thứ ba, chẳng hạn như người bán hoặc bên cho thuê thiết bị IoT. Nếu không thể truy cập trực tiếp dữ liệu sử dụng, người dùng có thể yêu cầu chủ sở hữu dữ liệu cung cấp dữ liệu đó ở định dạng phổ biến, cấu trúc theo định dạng máy tính có thể đọc được mà không bị chậm trễ quá mức, thậm chí là trong thời gian thực nếu có thể. Chủ sở hữu dữ liệu không được phép tính phí cho việc truy cập hoặc cung cấp dữ liệu đó.
Chủ sở hữu dữ liệu còn có nghĩa vụ tiết lộ các bí mật thương mại có thể được bao gồm trong dữ liệu sử dụng đó, với điều kiện các biện pháp cụ thể được thiết lập để bảo vệ tính bảo mật của chúng, chẳng hạn như bằng các thỏa thuận không tiết lộ. Điều này được cho là không thể đảm bảo hiệu quả việc bảo vệ các bí mật thương mại liên quan đến một sản phẩm nhất định khi thông tin bí mật đó phải được tiết lộ cho tất cả người dùng sản phẩm.
Việc truy cập vào bất kỳ dữ liệu cá nhân nào đều cần có cơ sở pháp lý hợp lệ theo Điều 6 GDPR hoặc Điều 9 GDPR, chẳng hạn như sự đồng ý của cá nhân, xác lập hợp đồng hoặc lợi ích hợp pháp. Điều này đặt toàn bộ gánh nặng và rủi ro trách nhiệm pháp lý lên chủ sở hữu dữ liệu trong việc phải đảm bảo có đáp ứng đầy đủ các yêu cầu của GDPR hay không. Ngoài ra, điểm này đặt ra câu hỏi liệu chủ sở hữu dữ liệu có thể từ chối chia sẻ các bộ dữ liệu hỗn hợp để tuân thủ GDPR hay không, nếu dữ liệu cá nhân và phi cá nhân không được tách biệt và không thể tách rời bằng các nỗ lực hợp lý về mặt thương mại. Cuối cùng, Data Act dường như có xu hướng chuyển quyền kiểm soát dữ liệu phi cá nhân được tạo ra bằng việc sử dụng sản phẩm hoặc dịch vụ IoT từ chủ sở hữu dữ liệu sang người dùng thiết bị và dịch vụ đó. Đạo luật này quy định rằng chủ sở hữu dữ liệu chỉ có thể sử dụng dữ liệu sử dụng phi cá nhân theo các điều khoản như trên hợp đồng với người dùng. Ngoài ra, nó cũng loại trừ khả năng chủ sở hữu dữ liệu sử dụng dữ liệu đó để thu thập thông tin về tình hình kinh tế, tài sản và phương thức sản xuất.
Nghĩa vụ tiết lộ thông tin trước hợp đồng
Ngoài các yêu cầu trên, "các yêu cầu tiết lộ trước hợp đồng" phải được đáp ứng trước khi bán, cho thuê hoặc cho thuê sản phẩm hoặc dịch vụ IoT cho người dùng, bao gồm tiết lộ thông tin cụ thể về loại và khối lượng dữ liệu được thu thập, cách truy cập vào dữ liệu được cấp và danh tính của chủ sở hữu dữ liệu, ví dụ, có thể là người bán sản phẩm, dịch vụ hoặc nhà sản xuất, nhà phát triển hoặc nhà cung cấp sản phẩm hoặc dịch vụ đó.
Chia sẻ dữ liệu
Theo các điều kiện nêu trên, người dùng cũng có thể yêu cầu chủ sở hữu dữ liệu cung cấp dữ liệu sử dụng cho bên thứ ba do người dùng chỉ định. Các nhà cung cấp nền tảng trực tuyến lớn đủ điều kiện làm người kiểm soát quyền truy cập theo Đạo luật Thị trường Kỹ thuật số (Digital Markets Act) không đủ điều kiện làm bên thứ ba về mặt này. Cả người dùng và bên thứ ba đều không được dùng dữ liệu sử dụng được cung cấp để phát triển các sản phẩm hoặc dịch vụ IoT cạnh tranh. Mặc dù bên thứ ba có thể không cung cấp dữ liệu đó cho bên thứ ba khác, trừ trường hợp điều này là bắt buộc để cung cấp dịch vụ như đã thỏa thuận với người dùng. Trên thực tế, chủ sở hữu dữ liệu khó có thể hạn chế hoặc giám sát việc sử dụng dữ liệu của mình một khi nó được cung cấp cho tổ chức khác.
Điều khoản và Điều kiện Chia sẻ Dữ liệu
Data Act tác động đáng kể đến quyền tự do của chủ sở hữu dữ liệu trong việc xác định các điều khoản hợp đồng để chia sẻ dữ liệu:
Trong trường hợp chủ sở hữu dữ liệu được yêu cầu chia sẻ dữ liệu với bên thứ ba ("người nhận dữ liệu") bởi Data Act hoặc theo các luật khác của EU, dự thảo Data Act có nêu rõ quy định về các quy tắc mở rộng cho các điều khoản và điều kiện. Theo đó, dữ liệu phải được chia sẻ, bao gồm cả việc các điều khoản đó và bất kỳ khoản phí nào phải công bằng và hợp lý, đồng thời không phân biệt đối xử theo một cách minh bạch. Trong trường hợp dữ liệu phải được cung cấp cho các doanh nghiệp vừa và nhỏ, phí được yêu cầu không được vượt quá chi phí liên quan trực tiếp đến việc cung cấp dữ liệu.
Data Act hướng đến việc bảo vệ các doanh nghiệp vừa và nhỏ có hợp đồng với chủ sở hữu dữ liệu lớn hơn bằng cách thiết lập một bộ điều khoản hợp đồng cụ thể để ngăn chủ sở hữu dữ liệu đơn phương áp đặt mà không trong thương lượng hay mang tính bất công. Đối với những hợp đồng B2C, các quy tắc hạn chế điều khoản hợp đồng không công bằng như vậy đã được áp dụng theo luật bảo vệ người tiêu dùng của EU.
Theo dự thảo Data Act hiện tại, không rõ liệu các quy tắc ảnh hưởng đến quyền tự do hợp đồng của doanh nghiệp cũng sẽ ảnh hưởng thế nào đến các hợp đồng chia sẻ dữ liệu B2B mà các bên ký kết đã đồng thuận chọn một luật ngoài EU với các điều khoản không tuân thủ.
Chuyển đổi giữa các dịch vụ đám mây
Các nhà cung cấp dịch vụ xử lý dữ liệu bao gồm cả dịch vụ đám mây và cận biên phải đối mặt với một loạt các yêu cầu, bắt buộc họ phải tạo điều kiện cho khách hàng chuyển sang các nhà cung cấp dịch vụ tương tự khác như một điều kiện chính để có thị trường cạnh tranh hơn. Các yêu cầu được đề xuất cũng áp dụng cho quá trình chuyển đổi của khách hàng từ đám mây sang môi trường on-premise.
Ví dụ: Các nhà cung cấp được yêu cầu không áp đặt bất kỳ hạn chế kỹ thuật hoặc hợp đồng nào có thể ngăn cản khách hàng:
- Chấm dứt hợp đồng dịch vụ hiện tại khi có thông báo trước không quá 30 ngày hoặc tối đa 2 tháng theo văn bản thỏa hiệp.
- Chuyển dữ liệu sang một dịch vụ đám mây hoặc hệ thống on-premise.
- Duy trì tính tương đương về chức năng của dịch vụ trong môi trường của nhà cung cấp mới.
Sau thời gian đề xuất là ba năm, các nhà cung cấp dịch vụ đám mây sẽ không được tính phí khách hàng của họ đối với quá trình chuyển đổi và sẽ buộc phải tính toán lại phí dịch vụ chung bao gồm cả chi phí phát sinh từ việc khách hàng chuyển sang nhà cung cấp khác. Cuối cùng, các nhà cung cấp được yêu cầu đưa vào hợp đồng dịch vụ đám mây của họ nhiều điều khoản hợp đồng tiêu chuẩn được quy định trong Data Act để tạo điều kiện chuyển đổi.
Để cải thiện khả năng tương tác và tính khả chuyển, Data Act ủy quyền cho Ủy ban yêu cầu các tổ chức tiêu chuẩn hóa của EU phát triển các tiêu chuẩn châu Âu cho từng dịch vụ đám mây cụ thể và bắt buộc các nhà cung cấp phải đảm bảo khả năng đáp ứng các tiêu chuẩn này.
Bảo vệ dữ liệu bên trong châu Âu - Hạn chế chia sẻ ra quốc tế với dữ liệu phi cá nhân
Data Act bổ sung cho GDPR và áp đặt các hạn chế quan trọng đối với việc truyền tải quốc tế của dữ liệu phi cá nhân. Động lực chính đằng sau các yêu cầu này là mối lo ngại ngày càng tăng của EU về việc các cơ quan chính phủ nước ngoài tiếp cận dữ liệu nhạy cảm có thể ảnh hưởng đến an ninh, quốc phòng cùng lợi ích thương mại của các quốc gia và công ty thành viên EU hoặc các quyền cơ bản của cá nhân. Các nhà cung cấp dịch vụ đám mây phải thực hiện tất cả các biện pháp kỹ thuật, pháp lý và tổ chức hợp lý để tránh truyền tải quốc tế hoặc quyền truy cập của chính phủ vào những dữ liệu phi cá nhân được lưu giữ ở Liên minh châu Âu có thể mâu thuẫn với luật pháp quốc gia hoặc Liên minh châu Âu. Ngoài ra, các yêu cầu truy cập dữ liệu của các nước thứ ba, chẳng hạn như theo phán quyết của tòa án nước ngoài hoặc lệnh hành chính, sẽ chỉ được công nhận hoặc có hiệu lực thi hành nếu dựa trên thỏa thuận quốc tế hoặc nếu hệ thống pháp luật cung cấp các biện pháp bảo vệ pháp lý tương tự như các yêu cầu trong Data Act.
Thực thi Data Act
Giống như GDPR, Data Act sẽ được thực thi bởi từng Quốc gia thành viên EU, thông qua việc chỉ định các cơ quan quốc gia có thẩm quyền thực hiện nhiệm vụ này. Các quốc gia thành viên cũng sẽ phải thiết lập một khung phạt hiệu quả, tương xứng và có tính răn đe đối với các hành vi vi phạm Data Act. Tuy nhiên, khác với GDPR, Data Act không đề xuất các khoản tiền phạt dựa trên doanh thu.
Vấn đề pháp lý của Vương quốc Anh?
Sau khi Vương quốc Anh rời EU vào năm 2020, các doanh nghiệp có hoạt động trải rộng trên cả EU và Vương quốc Anh phải đối mặt với rào cản bổ sung về bối cảnh pháp lý khác nhau gây khó khăn cho việc tuân thủ xuyên biên giới.
Chính phủ Vương quốc Anh không có ý định tích cực kết hợp Data Act vào khung pháp lý liên quan đến chính sách dữ liệu của mình. Trên thực tế, Vương quốc Anh hiện có kế hoạch “cập nhật và đơn giản hóa” chế độ bảo vệ dữ liệu hiện tại của mình (hiện dựa trên GDPR của EU) bằng cách đưa ra dự luật riêng về chia sẻ dữ liệu: UK Data Protection and Digital Information Bill, hay còn được biết đến tới tên gọi Data Reform Bill (the "Bill"). The Bill quy định quyền truy cập vào “dữ liệu kinh doanh”, bao gồm thông tin:
- Liên quan đến “việc cung cấp hoặc cung cấp hàng hóa, dịch vụ và nội dung số”
Hoặc - “về hàng hóa, dịch vụ và nội dung kỹ thuật số được cung cấp.”
Về cơ bản, the "Bill" cho phép các nhà hành pháp được ban hành các quy định yêu cầu chủ sở hữu dữ liệu cung cấp dữ liệu khách hàng và dữ liệu kinh doanh cho khách hàng hoặc bên thứ ba thông qua “sơ đồ dữ liệu thông minh”. Đáng chú ý, dữ liệu do người dùng cuối tạo ra từ “việc sử dụng sản phẩm” hiện đang không được làm rõ có nằm trong định nghĩa hiện tại về “dữ liệu kinh doanh” hay không. Hơn nữa, “sơ đồ dữ liệu thông minh” dường như chỉ bao gồm việc chuyển dữ liệu trong phạm vi cho khách hàng hoặc doanh nghiệp bên thứ ba theo yêu cầu của khách hàng; the "Bill" dường như không có ý định tạo điều kiện đổi mới thương mại thông qua chia sẻ dữ liệu giữa các công ty.
The "Bill" vẫn đang ở giai đoạn đầu của quá trình lập pháp và có thể thay đổi nhiều khi nó có hiệu lực. Vẫn chưa chắc chắn liệu có bất kỳ thay đổi nào sẽ được thực hiện cụ thể đối với các phần chia sẻ dữ liệu phi cá nhân hay không và liệu những thay đổi đó có phù hợp hay khác biệt với Data Act của châu Âu hay không.
Kết luận
Việc thực hiện các yêu cầu về truy cập và chia sẻ dữ liệu của Data Act sẽ gây tiêu tốn nguồn lực đối với các công ty IoT và rất có thể sẽ phá thế kiểm soát độc quyền trên thực tế đối với dữ liệu phi cá nhân của các nhà sản xuất thiết bị và các nhà cung cấp dịch vụ liên quan. Quyền truy cập vào dữ liệu từ đó có thể sẽ thúc đẩy các mô hình kinh doanh mới dựa trên dữ liệu, đặc biệt là đối với các công ty mới nổi ở EU được hưởng lợi từ các ngoại lệ cho doanh nghiệp vừa và nhỏ. Điều này làm dấy lên lo ngại với Đạo luật khi các bí mật thương mại của các nhà cung cấp không được bảo vệ đầy đủ để chống lại việc sử dụng trái phép - một vấn đề cần được cơ quan lập pháp EU giải quyết.
Khách hàng của các dịch vụ đám mây cũng như các nhà cung cấp đám mây mới sẽ có thể thu được lợi nhuận từ các điều kiện chuyển đổi dễ dàng hơn trong không gian dịch vụ đám mây. Các hạn chế về truyền tải dữ liệu quốc tế có thể sẽ ảnh hưởng đáng kể đến luồng dữ liệu hiện tại của các dịch vụ đám mây quốc tế cùng các cơ hội kinh doanh ở EU đối với các công ty dịch vụ đám mây và IoT ngoài EU. Quan ngại trước vấn đề này, có ý kiến cho rằng, trong mọi trường hợp, những hạn chế này không nên vượt quá những hạn chế đã được triển khai đối với việc truyền dữ liệu cá nhân theo GDPR dựa trên hướng dẫn của Ủy ban bảo vệ dữ liệu châu Âu. Một cách tiếp cận dễ dàng hơn sẽ là chỉ áp đặt hạn chế đối với một số loại dữ liệu nhạy cảm hoặc đối với một số tổ chức, chẳng hạn như các cơ quan chính phủ và nhà điều hành cơ sở hạ tầng quan trọng, nơi mà sự bảo vệ bổ sung đó thực sự có thể được yêu cầu để bảo vệ lợi ích chung của cộng đồng.