TikTok bị phạt 5 triệu euro vì thao túng quy trình đồng ý cookie

Pháp phạt TikTok 5,4 triệu USD vì thiếu sót khi theo dõi trực tuyến người dùng

Cụ thể, hôm 12/1 Cơ quan giám sát bảo vệ dữ liệu của Pháp (CNIL) cho biết, cuộc điều tra của họ chỉ liên quan đến trang web tiktok.com chứ không liên quan đến ứng dụng điện thoại thông minh được sử dụng nhiều hơn của dịch vụ này.

Từ tháng 5 năm 2020 đến tháng 6 năm 2022, CNIL đã thực hiện một số nhiệm vụ kiểm soát trực tuyến trên trang web "tiktok.com" và trên các tài liệu mà CNIL yêu cầu từ công ty.

Kết quả điều tra cho thấy, CNIL cho biết công ty đã vi phạm Điều 82 của Đạo luật Bảo vệ Dữ liệu vì không có các biện pháp thích hợp để chấp nhận và từ chối 'cookie'. CNIL nhận thấy rằng đối với người dùng tiktok.com, người dùng từ chối cookie không dễ dàng như cách chấp nhận chúng. Hay nói rõ hơn thì Tiktok.com cung cấp tùy chọn một lần nhấp để người dùng chấp nhận tất cả cookie, nhưng không có tùy chọn nhấp một lần để từ chối chúng. Vì vậy, về cơ bản, nó thao túng sự đồng ý bằng cách giúp khách truy cập trang web dễ dàng nếu chấp nhận theo dõi cookie hơn là từ chối.

Cơ quan này cũng phát hiện ra rằng người dùng internet không được thông báo đầy đủ về việc sử dụng cookie của TikTok.

Ở đây, CNIL nhận thấy rằng TikTok đã không thông báo cho người dùng "một cách đầy đủ chính xác" về mục đích của cookie — cả trên biểu ngữ thông tin được trình bày ở cấp độ đầu tiên của sự đồng ý với cookie, và trong khuôn khổ của "giao diện lựa chọn" có thể truy cập được sau khi nhấp vào liên kết được hiển thị trong biểu ngữ. Do đó, TikTok đã mắc một số vi phạm trong Điều 82 của Đạo luật Bảo vệ Dữ liệu.

Người phát ngôn của TikTok cho biết: "Những phát hiện này liên quan đến các phương pháp trước đây mà chúng tôi đã giải quyết vào năm ngoái, bao gồm việc giúp từ chối các cookie không cần thiết dễ dàng hơn và cung cấp thông tin tức bổ sung về mục đích của một số cookie nhất định".

"Bản thân CNIL đã nêu bật sự hợp tác của chúng tôi trong quá trình điều tra, và quyền riêng tư của người dùng vẫn là ưu tiên hàng đầu của TikTok", người phát ngôn này nói thêm.

Theo các quy tắc của Liên minh Châu Âu, các trang web phải yêu cầu rõ ràng sự đồng ý trước của người dùng internet đối với bất kỳ việc sử dụng cookie nào. Họ cũng nên được dễ dàng từ chối chúng khi sử dụng dịch vụ, theo các quy tắc của EU.

Cookie vốn là các mẩu dữ liệu nhỏ được lưu trữ khi điều hướng trên Web. Việc theo dõi Cookie thường được sử dụng để phục vụ quảng cáo theo hành vi nhưng cũng có thể được sử dụng cho hoạt động khác của trang web, chẳng hạn như phân tích dữ liệu web...

Việc thực thi của Pháp đã được thực hiện theo Chỉ thị về quyền riêng tư điện tử của Liên minh châu Âu — không giống như Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu yêu cầu các khiếu nại phải phản án mức ảnh hưởng đến người dùng trên toàn khối, mà chỉ cần ở một quốc gia thuộc Liên minh châu Âu dựa trên cơ sở chính.

Điều này đã cho phép cơ quan quản lý của Pháp ban hành một loạt biện pháp thực thi đối với các vi phạm cookie của Big Tech trong những năm gần đây — đánh vào các công ty như Amazon, Google, Facebook và Microsoft bằng một số khoản tiền phạt nặng (và lệnh điều chỉnh) kể từ năm 2020.

Mặc dù các biện pháp thực thi theo Quyền riêng tư điện tử chỉ áp dụng trong thị trường riêng của cơ quan quản lý (trong trường hợp này là Pháp), nhưng tác động của các quyết định này có thể rộng hơn. Ví dụ: Google đã tuân theo lệnh trừng phạt từ CNIL bằng cách sửa đổi cách Google thu thập sự đồng ý đối với cookie trên toàn Liên minh Châu Âu. Quyết định của cơ quan giám sát Pháp được đưa ra chỉ vài ngày sau khi giám đốc điều hành TikTok Shou Zi Chew gặp các phó chủ tịch EU Margrethe Vestager và Vera Jourova và nhận được sự thay đổi từ họ.

Jourova nói sau cuộc họp: "Tôi tin tưởng TikTok sẽ thực hiện đầy đủ các cam kết của mình để tiến xa hơn trong việc tôn trọng luật pháp EU và lấy lại niềm tin của các cơ quan quản lý châu Âu".

Đáng chú ý, vào tháng 11 năm ngoái, công ty thuộc sở hữu của ByteDance đã thừa nhận rằng một số nhân viên của họ ở Trung Quốc đã truy cập vào dữ liệu của người dùng châu Âu.

Công ty đã phải đối mặt với bản quyền âm nhạc từ các cơ quan quản lý quyền riêng tư của Ireland vì cáo buộc vi phạm luật bảo vệ dữ liệu của EU, GDPR. Trong khi đó, chính phủ Hoa Kỳ đã cấm sử dụng và tải xuống ứng dụng từ tất cả các thiết bị của chính phủ liên bang, ngoại trừ một số trường hợp ngoại lệ.