là Xung đột Thếgiới
Các luật về thu thập, xử lý, lưu giữ, sử dụng, theo dõi, truy cập và huỷ dữ liệu không chỉ đột nhiên khác về quyền thực thi pháp lý bên ngoài mà còn trong một số trường hợp đối lập trực tiếp bên trong luật của Hoa Kỳ. Đối với các công ty hoạt động trong phạm vi quốc tế, thật sự cần thiết để họ hiểu cả việc tuân thủ dữ liệu địa phương và luật liên quốc gia áp dụng cho dữ liệu điện tử.
Ví dụ ở EU, mỗi quốc gia có, chiểu theo Hướng dẫn về Bảo mật Dữ liệu của EU, triển khai luật chi phối việc thu thập, ghi lại, tổ chức, lưu trữ, phóng tác, thay đổi, thu hồi, ngăn chặn, theo dõi, sử dụng, tiết lộ, chuyển giao, truyền và huỷ “thông tin nhận diện cá nhân” và trong một vài trường hợp còn bảo vệ nhiều hơn thông tin “nhận diện cá nhân nhạy cảm”. Không giống ở Hoa Kỳ ở EU “thông tin nhận diện cá nhân” được xác định rộng rãi và nói chung không giới hạn bởi ngành công nghiệp và khu vực nhưng thay vì bảo vệ tránh các xử lý không được cho quyền hoặc chuyển các thông tin cá nhân như tên, địa chỉ, sự đền bù, phúc lợi và thông tin tài chính cũng như các thông tin “nhạy cảm” khác như sức khoẻ, chủng tộc hay chủng tộc gốc, tư cách chính trị, đoàn viên công đoàn, hoặc tình trạng hôn nhân. Những luật này mở rộng không chỉ cho nhân viên mà còn cho khách hàng. Ý, Áo và một số quốc gia khác đi xa hơn và mở rộng bảo vệ bảo mật dữ liệu giữa con người và các công ty.
Đối vớicác công ty hoạt động trong phạm vi quốc tế, thật
sự cần thiết để họ hiểu cả việc tuân thủ
dữ liệu địa phương và các đạo luật liên quốc gia áp dụng cho
42
Bởi vì Hoa Kỳchủ yếu quan tâm đến phạm vi pháp lý “không an toàn” của EU, những thông tin này không thể chuyển một cách hợp pháp, theo đường điện tử hoặc cách khác, đến Hoa Kỳ hoặc “phạm vi pháp lý không an toàn” khác trừ phi có những bảo vệ nhất định được đưa ra như sự tham gia củaHiệp định An toàn Cảng Hoa Kỳ-EU, chấp nhận Điều khoản của Mô hình EU, hoặc triển khai chính sách Bảo mật Dữ liệu đã thông qua. Ngay cả khi sự bảo vệ này đã áp dụng để chuyển dữ liệu nhận diện cá nhân đến Hoa Kỳ, nó cũng không được phép “chuyển đến trước” những dữ liệu này đến bộ xử lý của bên thứ ba không xác định hoặc đến quốc gia khác chẳng hạn như các dịch vụ tiếp nhận dữ liệu ở Ấn Độ. Và các quốc gia thuộc EU không đơn độc: Canada, Argentina, Nhật, Úc và nhiều quốc gia khác cũng áp dụng nhiều mức độ khác nhau của việc bảo vệ bảo mật dữ liệu.
Các công ty không chỉ phải hiểu dữ liệu nào họ được phép thu thập, xử lý và chuyển trên phạm vi quốc tế, mà còn phải vật lộn với các luật cạnh tranh nhau và đôi khi mâu thuẫn nhau. Ví dụ: SOX yêu cầu các công ty thương mại đại chúng có đường dây nóng giấu tên người khai báo để báo cáo nghi ngờ vi phạm tài chính và bảo mật. Ý tưởng đằng sau đường dây nóng giấu tên SOX là cho nhân viên sự an ủi để biết thông tin nhận diện của họ không bị tiết lộ và tránh nỗi sợ bị trả thù. Ngược lại, EU nói chung khó chịu với đường dây nóng giấu tên như là một sự xâm phạm quyền cá nhân và hạn chế báo cáo giấu tên. Những quyền ưu tiên
Các công ty không chỉ phải hiểu dữ liệu
nào họ được phép thu thập, xử lý và chuyển trên phạm vi quốc tế, mà còn phải vật lộn với các luật cạnh tranh nhau và đôi khi mâu thuẫn
43
xung đột của SOX rõ ràng đối nghịch với mối quan tâm của EU đối với sự riêng tư đặt ra tình trạng khó xử hiển nhiên cho các công ty thương mại đại chúng đa quốc gia và đòi hỏi hệ thống quản lý dữ liệu phức tạp để bảo đảm rằng trong những thứ khác, có giới hạn chính xác trong việc lưu giữ, truy cập, phục hồi là an toàn trong lúc cũng bảo đảm đáp ứng yêu cầu SOX của Hoa Kỳ.58
Những “thông lệ tốt nhất” của Hoa Kỳ không chuyển sang quốc tế một cách đơn giản. Ví dụ: Toà án Tối cao Pháp năm 2001 tuyên bố không chỉ là sự chấm dứt hợp đồng sai mà còn là hành động không phù hợp hiến pháp và vi phạm luật hình sự khi một công ty Pháp đuổi việc nhân viên sau khi biết được từ việc theo dõi máy vi tính của anh ta đã gửi email chứa những thông tin mật đến một đối thủ cạnh tranh tiềm năng. Toà án Pháp còn tuyên bố rằng nhân viên có quyền hiến pháp về vấn đề riêng tư trong giờ làm việc và tại nơi làm việc ngay cả khi chủ doanh nghiệp đã cấm việc sử dụng máy vi tính của công ty không vì mục đích công việc. Đức có sự tế nhị mềm dẻo hơn, nhưng họ rất hạn chế theo dõi máy vi tính nhân viên nếu chủ doanh nghiệp cho phép nhân viên sử dụng hệ thống của công ty cho mục đích cá nhân. Một vài khu vực pháp lý ở EU yêu cầu bất kỳ sự theo dõi nhân viên nào, dù nhỏ nhất, phải đăng ký và được chính quyền địa phương chấp thuận về bảo mật dữ liệu. Do đó thật cấp bách khi chọn lựa hệ thống quản lý dữ liệu điện tử là công ty phải hiểu các yêu cầu của luật địa phương nơi dữ liệu được thu thập,
58 Để thảo luận thêm về Chuẩn mực Quản lý quá mức và sự lạm dụng quốc tế của đường dây báo cáo giấu tên, xem “Các Chuẩn mực Quản lý Toàn cầu Quá mức Có thể Vi phạm Luật”, của Cynthia L. Jackson, LA và SF Tạp chí Hàng ngày, ngày 7 Chuẩn mực Quản lý Toàn cầu Quá mức Có thể Vi phạm Luật”, của Cynthia L. Jackson, LA và SF Tạp chí Hàng ngày, ngày 7 tháng 6 năm 2006.
sử dụng hoặc truy cập. Nếu trong trường hợp của công ty đa quốc gia, dữ liệu phát sinh hay được chuyển đến nhiều phạm vi pháp lý, thì vấn đề then chốt là các luật về bảo mật dữ liệu được tuân theo, có tường lửa và hạn chế truy cập chính xác được thực hiện trong bất kỳ hệ thống dữ liệu nào để tránh xử lý dữ liệu, theo dõi hoặc truyền dữ liệu không đúng hoặc không tuân thủ an toàn.
45