Pháp phạt kỷ lục Google và Shein vì vi phạm quyền riêng tư qua cookie
Ngày 3/9 (giờ địa phương), Cơ quan Bảo vệ Dữ liệu Pháp (CNIL) đã công bố quyết định xử phạt hai 'ông lớn' công nghệ và thương mại điện tử - Google và Shein vì vi phạm nghiêm trọng các quy định về cookie, đánh dấu mức phạt kỷ lục từ trước đến nay tại châu Âu trong lĩnh vực này.
Theo CNIL, Google bị phạt 325 triệu euro (379 triệu USD), còn Shein chịu phạt 150 triệu euro (175 triệu USD). Cả hai bị cáo buộc không đảm bảo người dùng đưa ra sự đồng ý “một cách tự nguyện và có thông tin đầy đủ” trước khi cài đặt cookie quảng cáo trên thiết bị cá nhân.
Cookie - các tệp nhỏ do website lưu vào trình duyệt là công cụ phổ biến để theo dõi hành vi người dùng nhằm phục vụ cá nhân hóa quảng cáo. Tuy nhiên, nếu được triển khai mà thiếu sự đồng thuận minh bạch, cookie có thể vi phạm nghiêm trọng quyền riêng tư người dùng.
Theo điều tra của CNIL, Shein đã thu thập khối lượng dữ liệu lớn từ khoảng 12 triệu người dùng mỗi tháng tại Pháp, nhưng không cung cấp đầy đủ thông tin hoặc cơ chế rõ ràng để người dùng có thể rút lại sự đồng ý. Đặc biệt, nền tảng thời trang nhanh này thiếu lựa chọn từ chối rõ ràng, gây lo ngại về tính hợp pháp trong quản lý dữ liệu cá nhân.
Shein cho biết đã cập nhật lại hệ thống cookie theo đúng quy định và phản đối mức phạt mà họ cho là “hoàn toàn không tương xứng”, đồng thời tuyên bố sẽ kháng cáo.
Trong khi đó, đây là lần thứ ba Google bị xử phạt tại Pháp liên quan đến cookie, sau các khoản phạt 100 triệu euro năm 2020 và 150 triệu euro năm 2021. CNIL lần này chỉ ra một loạt thiếu sót trong cách Google thu thập dữ liệu, đáng chú ý là việc dựng “tường cookie” ép người dùng chấp nhận theo dõi khi tạo tài khoản Google.
Ngoài ra, khoảng 53 triệu người dùng Gmail tại Pháp cũng bị ảnh hưởng khi quảng cáo được chèn trực tiếp vào hộp thư đến mà không có sự chấp thuận trước. CNIL kết luận đây là hình thức quảng cáo trực tiếp và phải tuân thủ quy định xin ý kiến người dùng theo luật châu Âu.
Google hiện có 6 tháng để điều chỉnh hệ thống cookie, nếu không sẽ đối mặt với mức phạt bổ sung 100.000 euro (116.567 USD) mỗi ngày, áp dụng cho cả công ty mẹ và chi nhánh tại Ireland. Phản hồi chính thức, Google cho biết sẽ “nghiên cứu kỹ quyết định” và khẳng định đã thực hiện nhiều bước tuân thủ yêu cầu trước đó của CNIL.
Cũng trong ngày 3/9, một bồi thẩm đoàn liên bang tại San Francisco (Mỹ) ra phán quyết buộc Google phải bồi thường khoảng 425 triệu USD trong một vụ kiện tập thể kéo dài suốt 8 năm, liên quan đến hành vi theo dõi dữ liệu trái phép trên thiết bị di động.
Nguyên đơn cáo buộc Google vẫn âm thầm thu thập và sử dụng dữ liệu cá nhân ngay cả khi người dùng đã tắt tính năng “Hoạt động web & ứng dụng” trong tài khoản. Ban đầu, vụ kiện yêu cầu bồi thường tới 31 tỷ USD cho 98 triệu người dùng và 174 triệu thiết bị bị ảnh hưởng.
Bồi thẩm đoàn kết luận Google đã vi phạm hai trong ba cáo buộc về quyền riêng tư, nhưng không có hành vi “ác ý”, nên không bị áp dụng mức phạt bổ sung. Google phủ nhận các sai phạm, cho rằng dữ liệu thu thập là không định danh, đã được tách biệt, mã hóa và không gắn với tài khoản hay danh tính cụ thể.
Trong những năm gần đây, Google liên tục vướng vào các vụ kiện lớn về quyền riêng tư, bao gồm khoản dàn xếp gần 1,4 tỷ USD với bang Texas, và thỏa thuận năm 2024 buộc xóa hàng tỷ bản ghi dữ liệu duyệt web người dùng, kể cả khi ở chế độ “ẩn danh”.
