Việc rút khỏi thị trường EU là tổn thất đối với Meta. Ảnh: AFP

Meta là tên gọi mới của "gã khổng lồ" công nghệ Mỹ Facebook sau khi tập đoàn này thông báo chính thức đổi tên vào cuối tháng 10/2021. Trong báo cáo thường niên 2021 vừa công bố, Meta cho biết: "Nếu khuôn khổ pháp lý về truyền dữ liệu xuyên Đại Tây Dương mới không được thông qua và chúng tôi không thể tiếp tục dựa vào các SCC (các điều khoản hợp đồng tiêu chuẩn - BTV) hoặc dựa vào các phương tiện truyền dữ liệu thay thế khác từ châu Âu đến Mỹ, chúng tôi sẽ không thể để cung cấp một số sản phẩm và dịch vụ quan trọng nhất của chúng tôi, bao gồm Facebook và Instagram, ở châu Âu".

Meta cho rằng điều này sẽ ảnh hưởng nghiêm trọng và bất lợi đến hoạt động kinh doanh, tình trạng tài chính và kết quả hoạt động của họ.

Các cơ quan chức năng ở châu Âu đang soạn thảo dự luật mới quy định cách dữ liệu mà người dùng tại Liên minh châu Âu (EU) được chuyển qua Đại Tây Dương.

"Meta không thể gây sức ép buộc EU từ bỏ các tiêu chuẩn bảo vệ dữ liệu của mình", nghị sĩ châu Âu Axel Voss nêu trên Twitter, đồng thời cho rằng việc rút khỏi thị trường EU sẽ là tổn thất của Meta.

Phát biểu trên đài CNBC, một phát ngôn viên của Meta cho biết hôm 7/2 rằng công ty này không mong muốn và không có kế hoạch rút khỏi thị trường châu Âu, đồng thời bày tỏ những lo ngại tương tự đã nêu trong các hồ sơ nộp lên các cơ quan chức năng EU trước đó.

"Thực tế đơn giản là Meta và nhiều doanh nghiệp, tổ chức và dịch vụ khác, đều dựa vào việc truyền dữ liệu giữa EU và Mỹ để vận hành các dịch vụ toàn cầu", người phát ngôn Meta nói.

Vào tháng 8/2020, Ủy ban Bảo vệ Dữ liệu Ireland đã ra phán quyết sơ bộ yêu cầu Facebook ngừng chuyển dữ liệu người dùng từ EU về Mỹ, theo nguồn thạo tin của tờ Wall Street Journal.

Ông Nick Clegg, Phó chủ tịch phụ trách truyền thông và các vấn đề toàn cầu của Facebook khi đó cho biết: "Ủy ban Bảo vệ Dữ liệu Ireland đã bắt đầu tiến hành một cuộc điều tra về việc chuyển dữ liệu mà Facebook kiểm soát giữa Mỹ và EU, đồng thời đề xuất không thể được sử dụng các SCC (các điều khoản hợp đồng tiêu chuẩn - BTV) để chuyển dữ liệu giữa Mỹ và EU".

"Mặc dù cách tiếp cận này còn phải qua quá trình xử lý thêm, nhưng nếu được áp dụng, nó có thể có tác động sâu rộng đến các doanh nghiệp dựa vào các SCC và những dịch vụ trực tuyến", ông Nick Clegg nhận xét.

Theo kế hoạch, Ủy ban Bảo vệ Dữ liệu Ireland sẽ đưa ra phán quyết cuối cùng về vụ việc trong nửa đầu năm nay.

Nếu không thể sử dụng các điều khoản hợp đồng tiêu chuẩn (SCC) làm cơ sở pháp lý cho việc truyền dữ liệu, Facebook sẽ phải từ bỏ phần lớn dữ liệu mà họ thu thập về người dùng châu Âu. Ủy ban Bảo vệ Dữ liệu Ireland có thể xử phạt Facebook tới 4% doanh thu hàng năm, tương đương 2,8 tỷ USD nếu nền tảng mảng xã hội này không tuân thủ quy định.

Trước đó, vào tháng 7/2020, Tòa án công lý châu Âu (ECJ), tòa án cao nhất của EU, phán quyết rằng tiêu chuẩn truyền dữ liệu giữa EU và Mỹ không bảo vệ đầy đủ quyền riêng tư của công dân châu Âu.

Tòa án công lý châu Âu cũng ra quyết định vô hiệu hóa việc sử dụng khung pháp lý dịch chuyển dữ liệu qua Đại Tây Dương, gọi tắt là Privacy Shield. Tuy tuyên vô hiệu hóa khung pháp lý Privacy Shield, nhưng Tòa án công lý châu Âu vẫn duy trì hiệu lực của một số điều khoản hợp đồng tiêu chuẩn và đây được xem là một cơ chế giúp hoạt động dịch chuyển dữ liệu giữ EU và Mỹ trở nên hợp pháp.

Theo ông Ross McKean, Giám đốc phụ trách an ninh và bảo mật dữ liệu thị trường Anh tại Công ty luật DLA Piper (Vương quốc Anh), các công ty, tổ chức sẽ vẫn tiếp tục "đau đầu" trước sự không chắc chắn về vấn đề pháp lý cho việc dịch chuyển dữ liệu giữa EU và Mỹ. Chuyên gia này cho rằng các doanh nghiệp, tổ chức tham gia chuỗi cung ứng quốc tế đều cần truyền tải dữ liệu quốc tế, do đó phán quyết vô hiệu hóa khung pháp lý Privacy Shield đã tác động sâu sắc đến họ dưới mọi góc độ và quy mô.

Ngoài sự không chắc chắn về pháp lý, ông McKean dự đoán năm 2022 sẽ chứng kiến thêm các vụ kháng cáo đối với mức phạt vi phạm Quy định bảo vệ dữ liệu chung (GRPR) mà EU đang áp dụng.

Trong một báo cáo được Công ty luật DLA Piper công bố tháng trước, tổng số tiền mà EU xử phạt các vụ vi phạm quy định GRPR trong 1 năm qua, tính từ ngày 28/1/2021, đã lên tới 1,25 tỷ USD, tăng gần 7 lần so với con số 180 triệu USD của 1 năm trước đó. Cũng trong năm qua, số lượt báo cáo vi phạm bảo mật dữ liệu được phản ánh đến các cơ quan chức năng EU tăng trung bình 8% lên 356 vụ/ngày.

Quy định GRPR là luật bảo vệ dữ liệu mới của EU. Quy định này chính thức có hiệu lực từ năm 2018 với những thay đổi sâu rộng về các nguyên tắc bảo mật dữ liệu nhằm giúp người dùng châu Âu kiểm soát tốt hơn thông tin cá nhân. Theo quy định, các công ty phải chứng minh cơ sở pháp lý rõ ràng khi thu thập và xử lý dữ liệu cá nhân của người dùng. Đồng thời, họ phải thông báo đến cơ quan chức năng trong vòng 72 giờ kể từ khi xác định được bất kỳ vụ vi phạm dữ liệu nào.

Nếu không tuân thủ quy định GRPR, doanh nghiệp có thể bị phạt khoản tiền tương đương tới 4% doanh thu toàn cầu hàng năm của họ hoặc 20 triệu euro (22,8 triệu USD), tùy theo con số nào lớn hơn.