DSB Áo: Schrems và Chuyển Dữ Liệu Quốc Tế
Datenschutzbehörde (DSB) của Áo là cơ quan chủ quản của NOYB. NOYB là viết tắt của None of Your Business. Max Schrems thành lập tổ chức này. Tổ chức đã nộp hơn 1.000 khiếu nại GDPR từ năm 2018. DSB xử lý 422 trong số các vụ đó từ năm 2022 đến 2024.
Hồ sơ này rất quan trọng. DSB đang đứng ở trung tâm của hai vụ kiện đã định hình lại luật chuyển dữ liệu của EU.
NOYB và DSB: Một Khuôn Mẫu
Schrems I (2015): Schrems nộp khiếu nại về luồng dữ liệu EU-Mỹ của Facebook. Tòa án Công lý EU bãi bỏ Safe Harbor. Hơn 4.000 công ty đang sử dụng cơ chế đó.
Schrems II (2020): Một thách thức mới nhắm vào Privacy Shield. Hơn 5.000 công ty dựa vào nó. Sự sụp đổ của Privacy Shield buộc phải đàm phán lại. Kết quả là EU-US Data Privacy Framework (DPF). DPF có hiệu lực năm 2023.
Schrems III dự kiến (2025-2026): NOYB đã thách thức quyết định tương đương DPF. Lý lẽ: FISA Section 702 vẫn xung đột với GDPR. Dự kiến sẽ có yêu cầu phán quyết sơ bộ gửi đến Tòa án Công lý EU.
78% các vụ DSB liên quan đến chuyển dữ liệu xuyên biên giới hoặc công cụ bên thứ ba. Trọng tâm này phân biệt cơ quan quản lý Áo với các cơ quan EU khác.
Quyết Định Google Analytics của DSB
Quyết định của DSB về Google Analytics vào tháng 1 năm 2022 đã thiết lập tiêu chuẩn cho các vụ chuyển dữ liệu.
Ba kết luận then chốt được rút ra:
- Địa chỉ IP là dữ liệu cá nhân. Ngay cả địa chỉ IP đã rút gọn cũng có thể cho phép tái nhận dạng trong hệ thống Google. Bản ghi phiên làm trầm trọng thêm vấn đề này.
- Quyền truy cập của nhà cung cấp Mỹ cấu thành chuyển dữ liệu. Khi kỹ sư Mỹ có thể truy cập dữ liệu người dùng EU, việc truy cập đó cấu thành một lần chuyển theo GDPR. Điều này áp dụng cho hỗ trợ, bảo trì và các lệnh của tòa án.
- SCC không có TIA là không đủ. Các điều khoản hợp đồng tiêu chuẩn yêu cầu Đánh giá Tác động Chuyển dữ liệu. TIA phải chứng minh rằng luật gián điệp của Mỹ không vô hiệu hóa các biện pháp bảo vệ SCC.
DSB xác định người vận hành Áo chịu trách nhiệm — không phải Google. Người vận hành là bên kiểm soát dữ liệu. Điều này áp dụng cho mọi công ty EU tích hợp script bên thứ ba. Xem hướng dẫn tuân thủ GDPR để biết về nghĩa vụ của bên kiểm soát dữ liệu.
Các Biện Pháp Kỹ Thuật Bổ Sung
Sau Schrems II, EDPB đã công bố hướng dẫn về các biện pháp kỹ thuật bổ sung. Các biện pháp này áp dụng khi SCC đơn thuần là không đủ. DSB thực thi hướng dẫn này.
Ba phương pháp được DSB chấp nhận:
Mã hóa với khóa lưu trữ tại EU. Mã hóa dữ liệu trước khi rời EU. Lưu trữ khóa giải mã trong EU. Nếu cơ quan Mỹ yêu cầu nhà cung cấp giao nộp hồ sơ, họ nhận được bản mã hóa mà họ không thể đọc.
Giả danh hóa trước khi chuyển. Chỉ gửi các token giả danh qua biên giới. Lưu trữ khóa tái nhận dạng trong EU. Các hồ sơ được chuyển không chứa dữ liệu cá nhân trực tiếp.
Xử lý cục bộ. Chạy toàn bộ quá trình xử lý trên máy chủ đặt tại EU. Chỉ chuyển thống kê tổng hợp, ẩn danh thực sự. Không có dữ liệu cá nhân nào vượt qua biên giới.
DSB đã xác nhận lập trường này. Các tổ chức sử dụng nhà cung cấp SaaS Mỹ cho dữ liệu cá nhân EU phải áp dụng ít nhất một trong các phương pháp này. Hoặc họ phải chứng minh rằng nội dung được chuyển là ẩn danh thực sự.
Rủi Ro Schrems III
Các công ty chỉ dựa vào DPF đang đối mặt với rủi ro rõ ràng. Nếu thách thức của NOYB tại Tòa án Công lý EU thành công, các công ty này sẽ phải nhanh chóng tìm công cụ chuyển dữ liệu mới. Điều đó đã xảy ra chính xác vào các năm 2015 và 2020.
Các tổ chức có biện pháp kỹ thuật bổ sung được bảo vệ. Nếu nội dung thực sự ẩn danh, không có việc chuyển dữ liệu GDPR nào xảy ra. Sự sụp đổ của DPF không thay đổi gì với họ.
Với hoạt động tại Áo: công cụ phân tích (Google Analytics, Mixpanel, Amplitude) đều tạo ra nguy cơ bị DSB điều tra. Hệ thống CRM với công ty mẹ Mỹ (Salesforce, HubSpot) cũng vậy. Các nền tảng cloud nơi nhân viên Mỹ có quyền truy cập quản trị mang rủi ro tương tự.
Giải pháp là như nhau trong mọi trường hợp. Đảm bảo dữ liệu cá nhân thực sự ẩn danh trước khi đến nhà cung cấp. Hoặc mã hóa chúng bằng khóa chỉ bên kiểm soát EU nắm giữ. Tổng quan về bảo mật và tuân thủ của chúng tôi giải thích cách thiết kế zero-knowledge loại bỏ vấn đề chuyển dữ liệu ngay từ nguồn.