‘Internet không bao giờ quên’ là lời cảnh báo rằng những gì bạn làm trực tuyến có thể quay lại ám ảnh bạn sau này. Đây cũng là một huyền thoại phổ biến , vì nội dung thường biến mất, do vô tình hoặc cố ý. Chỉ cần thử truy cập vào các diễn đàn thảo luận trực tuyến mà bạn từng đọc vào năm 1998. Hoặc nhiều thập kỷ của MTV News .
Tuy nhiên, trong một số trường hợp, mọi người có thể muốn thông tin kỹ thuật số của họ biến mất—đặc biệt là khi nó được lưu trữ bởi các công ty mà họ không còn tin tưởng nữa. FTC đã làm cho điều đó dễ dàng hơn một chút vào tháng 10 khi giải quyết một vụ kiện với Marriott International. Thỏa thuận giải quyết đó cho phép người tiêu dùng yêu cầu Marriott International xóa hồ sơ của họ. Liệu điều này có thể tạo ra tiền lệ ở Hoa Kỳ mà người tiêu dùng châu Âu đã được hưởng trong nhiều năm không?
Khi Tội Phạm Kiểm Tra – Và Kiểm Tra Hàng Triệu Hồ Sơ
Năm 2018, Marriott tiết lộ rằng những kẻ xâm nhập đã xâm phạm hệ thống đặt phòng của công ty con Starwood Hotels & Resorts. Trong hai vụ vi phạm, chúng đã đánh cắp 339 triệu hồ sơ khách hàng từ Starwood, bao gồm thông tin chi tiết về thẻ tín dụng và số hộ chiếu.
Các cuộc tấn công bắt đầu vào năm 2014 trước khi Marriott mua lại Starwood. Khi Marriott phát hiện ra vụ vi phạm hai năm sau khi mua lại vào năm 2016, họ vẫn chưa chuyển Starwood sang hệ thống đặt phòng của riêng mình. Sau đó, giữa năm 2018 và 2020, một vụ vi phạm thứ ba đã xảy ra, lần này ảnh hưởng đến các hệ thống của riêng Marriott. Vụ xâm nhập đó đã khiến 5,2 triệu hồ sơ khách hàng khác bị đánh cắp, chủ yếu là để đánh cắp điểm trung thành của họ.
Khiếu nại của FTC đối với Marriott tập trung vào hai vấn đề. Thứ nhất là cáo buộc không cung cấp các biện pháp bảo mật phù hợp, bao gồm kiểm soát mật khẩu, bản vá phần mềm và ghi nhật ký mạng. Thứ hai là những gì FTC coi là lừa dối người tiêu dùng thông qua các tuyên bố bảo mật gây hiểu lầm.
Điều mà FTC không nêu rõ trong khiếu nại của mình là việc Marriott quay ngoắt 180 độ về các khiếu nại mã hóa của mình. Vào thời điểm đó, chủ khách sạn cho biết số thẻ tín dụng và một số dữ liệu hộ chiếu trong vụ vi phạm của Starwood đã được mã hóa bằng AES-128, một giao thức mã hóa mạnh mẽ. Tuy nhiên, trong phiên điều trần pháp lý vào ngày 10 tháng 4 năm nay, họ tiết lộ rằng trên thực tế, dữ liệu đã được xử lý bằng thuật toán băm SHA-1. Đây không chỉ không phải là cơ chế mã hóa mà các nhà nghiên cứu bảo mật cũng đã phát hiện ra các lỗ hổng trong SHA-1 từ năm 2005. NSA hiện đã ngừng sử dụng hoàn toàn.
Người tiêu dùng sẽ sớm có thể xóa dữ liệu Marriott của họ
Marriott đã đồng ý thanh toán khoản tiền lớn 52 triệu đô la trong một thỏa thuận riêng với 50 tổng chưởng lý. Số tiền này chiếm 0,8% doanh thu của công ty hoặc chỉ hơn ba ngày thu nhập—hay nói cách khác, khoảng 15 xu cho mỗi khách hàng bị ảnh hưởng.
Có lẽ một kết quả quan trọng hơn đối với các nạn nhân thực sự của vụ vi phạm Marriott là thỏa thuận của chuỗi khách sạn với cả hai tiểu bang và FTC rằng họ sẽ cho phép khách hàng xóa thông tin cá nhân của họ khỏi hệ thống của mình. Marriott phải bao gồm một nút trên trang web của mình cho phép khách hàng yêu cầu xóa dữ liệu này. Sau đó, họ phải xác nhận đã nhận và giải thích quy trình xóa dữ liệu trong vòng 60 ngày kể từ mỗi yêu cầu.
Đây không phải là lần đầu tiên FTC đưa ra yêu cầu xóa dữ liệu như một phần trong các thỏa thuận của mình. Vào tháng 10 năm 2022, Ủy ban đã giải quyết với nhà cung cấp công nghệ giáo dục Chegg về những thiếu sót về an ninh mạng bị cáo buộc của họ và thỏa thuận bao gồm lệnh cho công ty để người tiêu dùng xóa dữ liệu của họ. Một thỏa thuận với công ty tiếp thị InMarket vào tháng 5 năm nay cũng bao gồm yêu cầu công ty xóa bất kỳ dữ liệu vị trí khách hàng nào theo yêu cầu của khách hàng.
Tuy nhiên, trong một phân tích về vụ việc của Marriott, Jim Dempsey, giám đốc điều hành của Trung tâm Luật An ninh mạng IAPP, cho biết thỏa thuận của Marriott có một số điểm mới. “Đây là lần đầu tiên FTC yêu cầu một công ty bị vi phạm an ninh cung cấp cho tất cả khách hàng một liên kết để yêu cầu xóa thông tin cá nhân liên quan đến địa chỉ email và/hoặc số tài khoản chương trình thưởng khách hàng thân thiết”, ông cho biết.
Phổ biến các yêu cầu xóa dữ liệu của người tiêu dùng
Những điều khoản xóa dữ liệu này có thể trở nên phổ biến hơn. Hoa Kỳ không có luật bảo mật liên bang. Tuy nhiên, rất nhiều luật xóa dữ liệu cấp tiểu bang đã có hiệu lực hoặc sắp có hiệu lực. Những người kinh doanh ở California, Colorado, Connecticut, Utah và Virginia hiện phải xóa dữ liệu người tiêu dùng theo yêu cầu, trong khi các luật tương tự ở Iowa và Nebraska sẽ có hiệu lực vào tháng 1 năm sau. Còn nhiều luật khác đang được thực hiện.
Ở Châu Âu, các công ty đã giải quyết vấn đề này trong một thời gian dài. Quy định bảo vệ dữ liệu chung (GDPR), có hiệu lực vào năm 2018, đã áp đặt quyền xóa dữ liệu cho người tiêu dùng.
Tất cả những điều này có nghĩa là thỏa thuận mới nhất và quyết liệt nhất về quyền xóa của FTC có thể không phải là thỏa thuận cuối cùng. Với một chính phủ mới, phần lớn là chống lại quy định đang trên đường vào, không rõ liệu Quốc hội có sớm thông qua luật toàn liên bang về quyền xóa hay không. Tuy nhiên, khi sự ủng hộ ở cấp tiểu bang đối với các biện pháp xóa ngày càng tăng, điều này sẽ cung cấp cho FTC nhiều cơ sở hơn để sử dụng khái niệm này trong các thỏa thuận với các công ty.
Cách Chuẩn Bị
Điều quan trọng đối với các tổ chức cho rằng họ có thể bị ảnh hưởng bởi các yêu cầu xóa dữ liệu là phải chuẩn bị cho chúng. Có cả khía cạnh pháp lý và kỹ thuật đối với điều này. Hiểu được trách nhiệm của họ xung quanh yêu cầu xóa dữ liệu đến có nghĩa là đánh giá các đặc điểm cụ thể của dữ liệu đó so với phạm vi của quy tắc—cho dù đó là giải quyết theo quy định, luật của tiểu bang hay quy định của khu vực. Điều này bao gồm việc hiểu mục đích lưu giữ dữ liệu của bạn có được miễn trừ theo quy tắc hay không và liệu bạn có cần dữ liệu để thực hiện hợp đồng với cá nhân đó hay không.
Nếu bạn phải xóa dữ liệu, điều đó liên quan đến việc xác định và thu thập thông tin đang được đề cập, thường là từ nhiều hệ thống. Việc tạo chiến lược quản trị dữ liệu hỗ trợ điều này có thể bao gồm sử dụng công nghệ để gắn thẻ và định vị dữ liệu theo yêu cầu, sau đó tạo hồ sơ xóa để tự động báo cáo.
Người tiêu dùng càng có nhiều quyền xóa dữ liệu của mình thì càng có thể khôi phục lại lòng tin vào hệ sinh thái trực tuyến đã làm họ thất vọng nặng nề. Các công ty chuẩn bị cho tình huống này ngay bây giờ sẽ làm nhiều hơn là đảm bảo họ có thể tuân thủ quy tắc cụ thể đó; họ sẽ nâng cao khả năng quản trị dữ liệu trong một thế giới đang rất cần điều đó.
