Pháp áp mức phạt kỷ lục với Google và Shein vì vi phạm quy định về cookie
Cơ quan bảo vệ dữ liệu Pháp (CNIL) ngày 3/9 đã áp mức phạt kỷ lục đối với Google và nền tảng thời trang nhanh Shein vì không tuân thủ quy định về cookie trực tuyến.
Biểu tượng Google và Shein. Ảnh: Bnews
Theo đó, mức phạt đối với Google là 325 triệu euro (379 triệu USD), trong khi Shein bị phạt 150 triệu euro (175 triệu USD).
Theo CNIL, cả hai công ty, với hàng chục triệu người dùng tại Pháp, đã không đảm bảo người dùng đồng ý “tự nguyện và có thông tin đầy đủ” trước khi cài đặt cookie quảng cáo.
Cookie là các tệp nhỏ được website lưu vào trình duyệt, có thể thu thập dữ liệu về hoạt động trực tuyến của người dùng, và đóng vai trò quan trọng trong mô hình quảng cáo trực tuyến. Chúng giúp cá nhân hóa quảng cáo, nhưng cũng có nguy cơ xâm phạm quyền riêng tư nếu bị sử dụng mà không có sự đồng ý minh bạch.
CNIL cho biết Shein đã thu thập “khối lượng dữ liệu khổng lồ” từ 12 triệu người dùng hàng tháng tại Pháp, mà không xin phép hoặc thông tin đầy đủ cho họ, trong khi không có đủ lựa chọn trong trường hợp người dùng muốn rút lại ý kiến đồng ý.
Về phần mình, Shein nói đã cập nhật hệ thống để tuân thủ pháp luật, gọi mức phạt là “hoàn toàn không tương xứng” và tuyên bố sẽ kháng cáo.
Đối với Google, đây là lần thứ 3 công ty bị phạt tại Pháp liên quan đến cookie, sau các khoản phạt 100 triệu euro năm 2020 và 150 triệu euro năm 2021. CNIL lần này nhấn mạnh một loạt “thiếu sót”, trong đó có việc dựng “tường cookie” khi tạo tài khoản Google, buộc người dùng phải chấp nhận theo dõi để tiếp tục.
CNIL kết luận rằng người dùng không thể đưa ra sự đồng ý một cách sáng suốt vì những hệ quả không được giải thích rõ ràng. Ngoài ra, khoảng 53 triệu người dùng Gmail tại Pháp cũng bị ảnh hưởng khi Google chèn quảng cáo giữa các thư trong hộp thư đến mà không có sự chấp thuận trước - hành vi được coi là “quảng cáo trực tiếp” và cần có sự đồng ý theo luật châu Âu.
CNIL yêu cầu Google phải điều chỉnh hệ thống trong vòng 6 tháng, nếu không sẽ phải nộp thêm 100.000 euro (116.567 USD) mỗi ngày, áp dụng cả cho công ty mẹ và chi nhánh tại Ireland. Google cho biết sẽ “nghiên cứu quyết định” và khẳng định đã tuân thủ các yêu cầu trước đó của CNIL.
Cũng trong ngày 3/9, tại Mỹ, một bồi thẩm đoàn liên bang ở San Francisco tuyên Google phải trả khoảng 425 triệu USD trong một vụ kiện tập thể kéo dài.
Vụ kiện cáo buộc Google, trong suốt 8 năm, đã tiếp tục truy cập và sử dụng dữ liệu từ thiết bị di động của người dùng, ngay cả khi họ đã tắt tính năng “Hoạt động web & ứng dụng” trong tài khoản Google. Nguyên đơn ban đầu đòi bồi thường hơn 31 tỷ USD.
Bồi thẩm đoàn kết luận Google vi phạm hai trong ba cáo buộc về quyền riêng tư, song không hành động với “ác ý”, do đó không bị áp dụng thêm mức phạt. Google phủ nhận sai phạm, nói dữ liệu thu thập là “không định danh, được tách biệt, bảo mật và mã hóa”, và không gắn với tài khoản hay danh tính cá nhân.
Đây là vụ kiện tập thể gồm khoảng 98 triệu người dùng Google và 174 triệu thiết bị. Trong những năm gần đây, Google cũng từng phải dàn xếp nhiều vụ kiện khác liên quan đến quyền riêng tư, chẳng hạn như khoản gần 1,4 tỷ USD với bang Texas và thỏa thuận năm 2024 buộc phải xóa hàng tỷ bản ghi dữ liệu duyệt web của người dùng, kể cả trong chế độ “ẩn danh”.
