Phân tích Điều 4(1) và Đoạn 30 của GDPR xác định rằng danh tính trực tuyến là các hình thức rõ ràng của dữ liệu cá nhân khi chúng cho phép nhận dạng một thể nhân. Văn bản quy định ghi chú: “một định danh có thể là ‘tên, số nhận dạng, dữ liệu vị trí, một định danh trực tuyến’” (GDPR, Điều 4(1)). Đoạn 30 làm rõ thêm rằng chúng bao gồm dữ liệu “được cung cấp bởi các thiết bị, ứng dụng, công cụ và giao thức, chẳng hạn như địa chỉ giao thức internet, định danh cookie hoặc các định danh khác như thẻ nhận dạng tần số vô tuyến” (GDPR, Đoạn 30).
Kết quả cho thấy các định danh trực tuyến đã trở nên ngày càng quan trọng do sự phát triển của công nghệ kỹ thuật số. Các phát hiện chính từ tài liệu thực nghiệm và hướng dẫn quy định bao gồm:
- Địa chỉ Giao thức Internet (IP): Địa chỉ IP được gán cho các thiết bị được công nhận rộng rãi là dữ liệu cá nhân theo GDPR, vì chúng có thể nhận dạng cá nhân một cách trực tiếp hoặc gián tiếp.
- Cookie Internet: Cookie liên tục có thể lưu trữ các giá trị duy nhất gắn với hoạt động của người dùng, cho phép lập hồ sơ và theo dõi. Nhóm Công tác Bảo vệ Dữ liệu Điều 29 (WP29) xác nhận cookie là định danh trực tuyến (Ý kiến 02/2013 của WP29).
- Beacons và thẻ pixel: Các cơ chế này thu thập dữ liệu về lượt truy cập trang web và tương tác của người dùng, thường kết hợp với cookie hoặc thông tin thiết bị.
- Định danh quảng cáo di động: Các ID quảng cáo duy nhất trên điện thoại thông minh cho phép theo dõi người dùng trên nhiều ứng dụng và nhiều trang web.
- Dấu vân tay thiết bị: Các phương pháp tổng hợp đặc điểm trình duyệt và thiết bị để nhận dạng duy nhất các cấu hình phần cứng/phần mềm.
- Thẻ RFID: Các thiết bị điện tử nhỏ lưu trữ dữ liệu mà khi kết hợp với thông tin khác, có thể cho phép nhận dạng.
Việc tổng hợp các định danh như vậy theo thời gian, đặc biệt khi kết hợp với các điểm dữ liệu khác (ví dụ: thông tin đăng nhập tài khoản, siêu dữ liệu thiết bị), gây ra một rủi ro đáng kể về việc tái nhận dạng—ngay cả khi các định danh riêng lẻ, tự chúng, không tiết lộ danh tính của một người. Điều này phù hợp với tiêu chí “xác định riêng lẻ” được thảo luận trong vụ án Breyer của Tòa án Công lý Châu Âu (CJEU) (C-582/14), vụ án đã làm rõ rằng các địa chỉ IP động có thể cấu thành dữ liệu cá nhân trong một số trường hợp nhất định.
Tóm lại:
- Định danh trực tuyến theo GDPR bao gồm một loạt các dấu hiệu kỹ thuật, bao gồm nhưng không giới hạn ở địa chỉ IP, cookie, dấu vân tay thiết bị và thẻ RFID.
- Những định danh này được phân loại là dữ liệu cá nhân khi chúng có thể trực tiếp hoặc gián tiếp dẫn đến việc nhận ra hoặc xác định riêng lẻ một cá nhân.
- Sự kết hợp của các định danh trực tuyến với các dấu hiệu độc nhất khác làm tăng khả năng và rủi ro nhận dạng, đòi hỏi các chiến lược tuân thủ và bảo vệ quyền riêng tư mạnh mẽ.
