Câu hỏi thường gặp về hoạt động chuyển dữ liệu trên Workplace

Tại Workplace, chúng tôi cam kết đảm bảo quyền riêng tư và bảo mật của bạn, với cơ sở hạ tầng đẳng cấp thế giới cùng các tính năng bảo mật dành cho doanh nghiệp nhằm giữ an toàn cho cộng đồng Workplace của bạn. Chúng tôi muốn giải thích cụ thể hơn về cam kết của mình là bảo vệ dữ liệu của khách hàng trong quá trình chuyển từ Khu vực kinh tế châu Âu (EEA) sang Hoa Kỳ. Do đó, chúng tôi đã tổng hợp phần Câu hỏi thường gặp này cho khách hàng để giải thích cách thức và lý do chúng tôi chuyển dữ liệu, cũng như các biện pháp bảo vệ mà chúng tôi áp dụng trong quá trình nói trên.

Dữ liệu trên Workplace có được chuyển ra bên ngoài Khu vực Kinh tế châu Âu (EEA) không?

Có. Để cung cấp được dịch vụ Workplace, chúng tôi cần chuyển dữ liệu ra bên ngoài EEA và sử dụng cơ sở hạ tầng toàn cầu của mình. Chúng tôi thực hiện hoạt động này theo Điều khoản trực tuyến của Workplace và cụ thể là Phụ lục về việc chuyển dữ liệu tại châu Âu của Workplace. Đối với dữ liệu khách hàng của Workplace do Meta Ireland xử lý, chúng tôi sẽ chuyển đến các quốc gia bên ngoài EEA (trong đó có Hoa Kỳ) cho những mục đích đã mô tả trong Điều khoản trực tuyến của Workplace. Chúng tôi cần thực hiện những hoạt động chuyển dữ liệu này để vận hành và cung cấp dịch vụ Workplace.

Workplace dùng cơ chế nào để chuyển dữ liệu từ Liên minh châu Âu (EU) sang Hoa Kỳ?

Từ ngày 07/09/2023, Meta sẽ dựa vào Khung bảo vệ quyền riêng tư đối với dữ liệu (DPF) mới để chuyển dữ liệu khách hàng của Workplace từ EU sang Hoa Kỳ. DPF sẽ giải quyết xung đột lâu dài về luật giữa EU và Hoa Kỳ. Qua đó, chúng tôi có thể nắm rõ hơn về khía cạnh pháp lý nhằm tiếp tục cung cấp dịch vụ của mình ở châu Âu trong tương lai gần.

DPF có hiệu lực vào đầu mùa hè này sau khi Ủy ban châu Âu thông qua quyết định về khả năng bảo vệ đầy đủ. Đây là thỏa thuận nghiêm ngặt để đảm bảo sự bảo vệ liên tục cho dữ liệu của người châu Âu, đồng thời gia hạn hình thức bảo vệ pháp lý cho hàng nghìn công ty xuyên Đại Tây Dương có hoạt động chuyển dữ liệu giữa châu Âu và Hoa Kỳ. Thỏa thuận này đảm bảo những quan hệ kết nối kỹ thuật số quan trọng giữa các doanh nghiệp ở cả hai bờ Đại Tây Dương có thể tiếp tục mà không bị gián đoạn.

Chúng tôi đã áp dụng những biện pháp và hình thức bảo vệ nào để bảo vệ dữ liệu trên Workplace khi chuyển dữ liệu đó ra bên ngoài EEA?

Chúng tôi đã áp dụng một số hình thức bảo vệ và biện pháp đối với hoạt động chuyển dữ liệu trên Workplace ra ngoài bên ngoài EEA, trong đó có:

Bảo mật:

Meta duy trì Hệ thống quản lý bảo mật thông tin (ISMS) cho Workplace. Meta triển khai ISMS để thiết lập, duy trì và liên tục cải thiện tính bí mật, toàn vẹn và sẵn có của tài sản thông tin trên Workplace, đồng thời đảm bảo sự tin cậy của người dùng đang sử dụng nền tảng Workplace. Nhờ đó, Meta có thể duy trì cả ISO27001 lẫn ISO27018 cho Workplace, đồng thời duy trì báo cáo SOC2 và các hình thức bảo vệ kỹ thuật nghiêm ngặt như đã nêu trong Phụ lục bảo mật dữ liệu thuộc Điều khoản trực tuyến của Workplace. Bằng cách tuân thủ ISO27001 và ISO27018, Workplace thể hiện được cam kết bảo vệ hoạt động và thông tin của mình khỏi các mối đe dọa từ cả bên trong lẫn bên ngoài.

Mã hóa dữ liệu trong quá trình chuyển để không ai đọc được dữ liệu:

Meta sử dụng các thuật toán và giao thức mã hóa theo tiêu chuẩn ngành, nhằm bảo vệ cũng như duy trì tính bảo mật của dữ liệu khi chuyển qua mạng công cộng. Nhờ các thuật toán mã hóa nâng cao, Meta có thể ngăn chặn các bên thứ ba truy cập vào dữ liệu trên Workplace trong quá trình chuyển.

Chính sách và quy trình vận hành:

Chúng tôi áp dụng các chính sách và quy trình nghiêm ngặt để đảm bảo dữ liệu trên Workplace được bảo vệ đầy đủ trong trường hợp các cơ quan chính phủ yêu cầu cung cấp. Ví dụ: Chúng tôi sẽ chỉ đáp ứng yêu cầu của chính phủ về dữ liệu người dùng trên Workplace sau khi xác nhận rằng yêu cầu đó phù hợp với luật hiện hành, cũng như chính sách của chúng tôi. Nếu yêu cầu bất hợp pháp (ví dụ: quá rộng hoặc thiếu cơ sở pháp lý theo bất kỳ cách nào), chúng tôi sẽ từ chối hoặc kháng nghị yêu cầu đó. Chúng tôi phát hành nguyên tắc dành cho yêu cầu của chính phủ để khuyến khích các cơ quan chính phủ chỉ gửi những yêu cầu cần thiết, phù hợp, cụ thể và tuân thủ nghiêm ngặt luật hiện hành. Thông tin chi tiết hơn liên quan đến cách chúng tôi phản hồi yêu cầu của chính phủ nằm trong phần Câu hỏi thường gặp về hoạt động xem xét yêu cầu của chính phủ.

Không có quyền truy cập "cửa sau" cho chính phủ: Chúng tôi không cung cấp cho bất kỳ chính phủ nào "cửa sau" để truy cập trực tiếp hoặc truy cập dữ liệu được mã hóa. Chúng tôi tin rằng hoạt động cố ý làm suy yếu các dịch vụ của chúng tôi theo cách này sẽ làm giảm tính bảo mật cần thiết để bảo vệ những người sử dụng dịch vụ toàn cầu của mình.

Giám sát:

Chúng tôi có một Đội ngũ phản hồi cơ quan hành pháp (LERT) chuyên trách, đã qua đào tạo. Họ có nhiệm vụ xem xét và đánh giá từng yêu cầu của chính phủ về việc cung cấp dữ liệu người dùng, xem yêu cầu đó có liên quan đến tình huống khẩn cấp hay văn kiện tống đạt mà cơ quan hành pháp/cơ quan an ninh quốc gia nhận được hay không. Đội ngũ này đảm bảo mọi yêu cầu đều tuân thủ luật hiện hành và các chính sách của chúng tôi.

Báo cáo minh bạch của Meta:

Chúng tôi công bố thông tin về các yêu cầu của chính phủ mà mình nhận được trong Báo cáo minh bạch. Báo cáo này bao gồm thông tin liên quan đến các yêu cầu được đưa ra theo Đạo luật giám sát tình báo nước ngoài (FISA) của Hoa Kỳ ở mức chi tiết cao nhất mà luật pháp Hoa Kỳ cho phép.

Vận động:

Chúng tôi đánh giá cao việc chính phủ các nước trên toàn cầu chú trọng bảo vệ và đảm bảo an toàn cho dữ liệu của mọi người, trong đó có dữ liệu tại Hoa Kỳ và châu Âu, đồng thời nỗ lực thực hiện nhiệm vụ của mình. Chúng tôi tích cực phối hợp với chính phủ các nước để thúc đẩy những cách thức bảo vệ quyền của mọi người. Chúng tôi tham gia các nhóm vận động như Sáng kiến Mạng lưới Toàn cầu (Global Network Initiative) - tổ chức có sứ mệnh nâng cao quyền tự do biểu đạt và quyền riêng tư của người dùng Internet trên toàn thế giới. Ngoài ra, chúng tôi còn là thành viên sáng lập của liên minh Cải cách Hoạt động Giám sát của Chính phủ (Reform Government Surveillance). Đây là tổ chức kêu gọi các yêu cầu của chính phủ về việc cung cấp dữ liệu phải tuân thủ luật lệ, có phạm vi sát gọn, minh bạch, có sự giám sát và bảo vệ chặt chẽ bằng tính năng mã hóa đầu cuối. Chúng tôi ủng hộ cải cách hoạt động giám sát và thường xuyên phối hợp với nhiều cơ quan chính phủ và cơ quan quản lý để kêu gọi việc làm này.

Quyền cá nhân:

Ngoài các quyền theo luật pháp EU và Hoa Kỳ, cá nhân còn có quyền gửi khiếu nại hoặc câu hỏi về chứng nhận DPF của Meta thông qua TRUSTe - nhà cung cấp dịch vụ giải quyết tranh chấp thay thế có trụ sở tại Hoa Kỳ.

Meta xử lý các yêu cầu của cơ quan hành pháp liên quan đến Workplace như thế nào?

Chính sách của Meta là chuyển hướng người yêu cầu thuộc chính phủ đến khách hàng của Workplace ngay từ đầu. Nếu Meta cần phản hồi yêu cầu cung cấp thông tin liên quan đến dữ liệu khách hàng của Workplace, chính sách và quy trình mà chúng tôi áp dụng nằm trong phần Câu hỏi thường gặp về yêu cầu của chính phủ này.

Meta xem xét kỹ lưỡng mọi yêu cầu của chính phủ mà mình nhận được - bất kể đó là chính phủ nào - để đảm bảo yêu cầu này có giá trị pháp lý. Nếu xác định thấy một yêu cầu của chính phủ không phù hợp với luật hiện hành hay chính sách của mình, chúng tôi sẽ từ chối yêu cầu đó và đề nghị cơ quan chính phủ xử lý mọi thiếu sót rõ ràng. Nếu yêu cầu bất hợp pháp (ví dụ: quá rộng hoặc thiếu cơ sở pháp lý theo bất kỳ cách nào), chúng tôi sẽ từ chối hoặc kháng nghị yêu cầu đó. Chúng tôi phát hành nguyên tắc dành cho yêu cầu của chính phủ để khuyến khích các cơ quan chính phủ chỉ gửi những yêu cầu cần thiết, phù hợp, cụ thể và tuân thủ nghiêm ngặt luật hiện hành.

Chúng tôi áp dụng các chính sách nghiêm ngặt để đảm bảo mọi yêu cầu của chính phủ đều được xem xét kỹ lưỡng, cho dù là chính phủ nước nào đưa ra yêu cầu đó. Meta phải tuân thủ các yêu cầu pháp lý bắt buộc và hợp lệ của cơ quan chính phủ tại Hoa Kỳ. Những yêu cầu này phải phù hợp với luật hiện hành và các chính sách của chúng tôi. Đồng thời, chúng tôi sẽ chỉ phản hồi bằng thông tin sát gọn với từng yêu cầu.