Chỉ trong tám tuần đầu hoạt động, hơn 242,000 cư dân California đã ghi danh dùng DROP — viết tắt của Delete Request and Opt-out Platform — để buộc các công ty môi giới dữ liệu xóa thông tin cá nhân của họ. Con số này vẫn đang tăng khi hạn chót 1/8/2026 đang đến gần, thời điểm các data brokers bắt buộc phải bắt đầu tuân thủ.
DROP do California Privacy Protection Agency, thường gọi là CalPrivacy, điều hành, cho phép một người đang sống tại California gửi một yêu cầu duy nhất đến hơn 500 data brokers đã ghi danh với tiểu bang để buộc họ xóa dữ liệu cá nhân của mình.
Trước đây, muốn làm việc này, người dân phải tìm từng công ty, vào từng trang web, điền từng mẫu đơn, xác nhận từng yêu cầu. Với hàng trăm công ty môi giới dữ liệu hoạt động âm thầm, gần như không ai có đủ thì giờ, kiên nhẫn và trí nhớ thép để làm hết.
Toàn bộ quy trình chỉ mất vài phút và không cần lặp lại cho từng công ty — khác hẳn cách làm thủ công trước đây.
Điều quan trọng cần nhớ: người dân có thể nộp yêu cầu từ ngày 1/1/2026, nhưng các data brokers chỉ bắt đầu phải giải quyết từ ngày 1/8/2026.
Theo trang chính thức của CalPrivacy, trong đợt giải quyết đầu tiên này, các công ty phải xóa dữ liệu trong vòng 90 ngày nếu dữ liệu đó thuộc diện phải xóa và không nằm trong các ngoại lệ pháp lý.
Sau đợt đầu, chu kỳ xóa dữ liệu sẽ rút ngắn lại: data brokers phải xóa dữ liệu mới mỗi 45 ngày một lần — nghĩa là việc xóa không dừng lại sau một lần duy nhất, mà trở thành một chu kỳ định kỳ miễn là yêu cầu DROP của người dùng còn hiệu lực.
Data broker là ai?
Data broker có thể hiểu là công ty thu thập, mua, phân tích, đóng gói, bán hoặc chia sẻ thông tin cá nhân của người tiêu dùng.
Họ không nhất thiết là những công ty mà người dân trực tiếp giao dịch. Nhiều khi một người chỉ mua hàng trên mạng, dùng app, điền mẫu ghi danh, tham gia chương trình khuyến mãi, tìm kiếm thông tin, hoặc để lại dấu vết kỹ thuật số khi dùng điện thoại, máy tính, xe hơi thông minh, TV thông minh. Những mảnh thông tin nhỏ đó có thể được gom lại, mua bán qua nhiều tầng trung gian.
Dữ liệu mà data brokers nắm giữ có thể rất rộng: tên, địa chỉ, số điện thoại, email, ngày sinh, lịch sử mua sắm, thói quen tìm kiếm, địa chỉ IP, dữ liệu vị trí, thông tin nghề nghiệp, thông tin về con cái, thậm chí có thể gồm những dữ liệu nhạy cảm hơn như số An Sinh Xã Hội, số bằng lái, thông tin sức khỏe, hoặc các suy đoán về sở thích, khuynh hướng tiêu dùng, khả năng tài chính.
Một điểm đáng chú ý là DROP không chỉ nhắm đến dữ liệu “thô” như tên hay địa chỉ. Theo quy định của California, yêu cầu xóa cũng có thể bao gồm các “inferences,” tức những suy luận mà công ty tạo ra từ dữ liệu cá nhân. Trang chính thức của CalPrivacy nêu rõ một số loại suy luận nhạy cảm mà data brokers có thể tạo ra, gồm quan điểm chính trị, các vấn đề sức khỏe như mang thai hay bệnh ung thư, tiểu đường, chi tiết về gia đình như con cái hay ly hôn, và tình trạng tài chính như nợ nần hay khả năng vay mượn. Những suy đoán này được xem là một dạng thông tin cá nhân và cũng có thể bị yêu cầu xóa qua DROP.
DROP hoạt động như thế nào?
Theo hướng dẫn của CalPrivacy, quy trình căn bản gồm ba bước.
Bước một, người dùng xác nhận mình là cư dân California. Việc xác nhận được thực hiện qua California Identity Gateway, nền tảng kỹ thuật số an toàn của tiểu bang. Người dùng không nhất thiết phải tạo tài khoản mới. Họ có thể nhập thông tin trực tiếp hoặc dùng Login.gov trong một số trường hợp.
Bước hai, người dùng tạo hồ sơ với các thông tin căn bản để hệ thống và các data brokers có thể nhận diện đúng người cần xóa dữ liệu. Thông tin thường gồm tên, ngày sinh, địa chỉ, số điện thoại hoặc email. Người dùng có thể thêm những tên khác từng dùng, địa chỉ cũ, hoặc thông tin bổ sung nếu muốn tăng khả năng hệ thống tìm đúng dữ liệu.
Bước ba, người dùng gửi yêu cầu DROP. Yêu cầu này được chuyển đến các data brokers đã ghi danh với California. Trong hệ thống, người dùng cũng có thể xem danh sách các data brokers đang hoạt động và thuộc diện phải xử lý yêu cầu.
DROP cũng cho phép người dùng thêm một số “unique identifiers,” tức mã nhận diện riêng, như mobile advertising ID trên điện thoại, connected TV ID, hoặc số VIN của xe. Những thông tin này không bắt buộc. Tuy nhiên, nếu cung cấp, chúng có thể giúp data brokers tìm ra nhiều mảnh dữ liệu hơn gắn với cùng một người.
Vì sao DROP quan trọng?
Ý nghĩa lớn nhất của DROP nằm ở chỗ nó biến một quyền trên giấy thành một việc có thể làm được trong thực tế.
California từ lâu đã có các luật bảo vệ quyền riêng tư của người tiêu dùng, trong đó có California Consumer Privacy Act, hay CCPA, và sau đó là Delete Act. Các luật này công nhận quyền của người dân được biết, được yêu cầu xóa, và được hạn chế việc bán hoặc chia sẻ dữ liệu cá nhân. Nhưng quyền đó không có nhiều giá trị nếu người dân phải tự đi săn từng data broker giữa một mê cung các trang web, mẫu đơn và điều khoản khó hiểu.
Một số nghiên cứu và điều tra báo chí trước đây cho thấy không ít data brokers làm quy trình yêu cầu xóa hoặc opt-out trở nên khó tìm, khó hiểu, hoặc rườm rà. Có nơi chôn đường dẫn trong chính sách quyền riêng tư dài như một cuộn chỉ rối. Có nơi yêu cầu thêm thông tin để xác nhận danh tính, khiến người dùng lo rằng càng xin xóa lại càng phải đưa thêm dữ liệu. DROP ra đời để giảm bớt tình trạng đó.
Với một cộng đồng có nhiều người cao niên, di dân, người không rành tiếng Anh hoặc không quen thủ tục kỹ thuật số, điểm “một cửa” này đặc biệt quan trọng. Không phải ai cũng biết data broker là gì. Không phải ai cũng biết dữ liệu của mình đã đi đâu. Và càng ít người có thể ngồi hàng giờ để gửi đơn xóa dữ liệu cho hàng trăm công ty.
DROP có xóa hết mọi dữ liệu không?
Không. Đây là điểm cần nói rõ để tránh hiểu lầm.
DROP chỉ áp dụng với các data brokers thuộc diện ghi danh với California. Nó không xóa dữ liệu khỏi mọi công ty trên Internet, không xóa thông tin khỏi mạng xã hội, không xóa hồ sơ công khai, và không xóa những dữ liệu mà luật cho phép giữ lại vì các lý do nhất định.
Theo trang chính thức của CalPrivacy, các trường hợp được miễn trừ cụ thể gồm hồ sơ công khai như quyền sở hữu nhà đất, xe cộ, hồ sơ cử tri, dữ liệu liên quan đến một vụ điều tra hình sự hoặc dân sự đang diễn ra, cùng với một số loại dữ liệu được bảo vệ theo các luật liên bang khác: thông tin y tế nhạy cảm của bệnh nhân theo luật HIPAA, thông tin ảnh hưởng đến điểm tín dụng theo Fair Credit Reporting Act, và thông tin tài chính ảnh hưởng đến khả năng vay mượn theo Gramm-Leach-Bliley Act.
Ngoài ra, cũng theo CalPrivacy, có một giới hạn khác ít người để ý: nếu một data broker thu thập dữ liệu trực tiếp từ chính người dùng — chẳng hạn người đó từng mua hàng hoặc ghi danh nhận bản tin của công ty đó — thì DROP chỉ buộc công ty xóa phần dữ liệu họ lấy từ nguồn khác, chứ không tự động xóa phần dữ liệu người dùng tự cung cấp. Muốn xóa luôn phần đó, người dùng phải gửi riêng một yêu cầu privacy request trực tiếp đến công ty.
DROP cũng không ngăn mọi công ty thu thập dữ liệu trong tương lai. Nó chủ yếu là công cụ gửi yêu cầu xóa và opt-out đối với data brokers. Vì vậy, người dân vẫn cần tiếp tục cẩn trọng khi dùng app, điền mẫu, bấm đồng ý cookie, chia sẻ số điện thoại, hoặc cung cấp thông tin cá nhân cho các dịch vụ trực tuyến.
Nói cách khác, DROP không phải cây đũa thần. Nhưng nó là một cái chổi lớn hơn những cái chổi riêng lẻ mà người dân từng phải tự cầm đi quét từng góc.
Người dân nên làm gì?
Cư dân California có thể vào trang chính thức privacy.ca.gov/drop để bắt đầu. Khi dùng bất kỳ công cụ nào liên quan đến dữ liệu cá nhân, nên chắc chắn đó là trang của tiểu bang California, tránh bấm vào các đường dẫn lạ trong email, tin nhắn hoặc quảng cáo.
Người dùng nên chuẩn bị thông tin căn bản như tên, ngày sinh, địa chỉ hiện tại, địa chỉ cũ nếu có, email, số điện thoại. Nếu muốn kỹ hơn, có thể thêm các tên từng dùng, số điện thoại cũ, hoặc các mã nhận diện thiết bị nếu biết cách tìm. Tuy nhiên, không bắt buộc phải cung cấp mọi thứ ngay từ đầu.
Người dân cũng có thể quay lại cập nhật hồ sơ nếu sau này đổi địa chỉ, đổi số điện thoại, mua xe mới, dùng thiết bị mới, hoặc muốn gửi lại yêu cầu.
Điều đáng chú ý là DROP cho phép nộp yêu cầu thay cho một cư dân California khác trong một số trường hợp, chẳng hạn cha mẹ gửi yêu cầu cho con, hoặc người thân giúp một người cao niên. Đây có thể là chi tiết hữu ích trong các gia đình có ông bà, cha mẹ không quen dùng máy tính.
Một bước mới trong quyền riêng tư
Trong đời sống số hiện nay, dữ liệu cá nhân không còn là chuyện xa vời. Một số điện thoại bị rao bán có thể dẫn đến hàng chục cuộc gọi rác. Một địa chỉ email bị chia sẻ có thể kéo theo lừa đảo. Dữ liệu vị trí, thói quen mua sắm, tình trạng tài chính hoặc thông tin sức khỏe nếu bị gom lại và bán đi có thể ảnh hưởng trực tiếp đến đời sống riêng tư, an toàn và phẩm giá của một người.
DROP không làm biến mất toàn bộ thị trường dữ liệu cá nhân. Nhưng nó đặt thêm một rào chắn giữa người dân và những công ty kiếm tiền từ dấu vết của họ. Quan trọng hơn, nó gửi một thông điệp rõ: dữ liệu cá nhân không phải là món hàng vô chủ.
Với California, đây là một bước mới trong việc biến quyền riêng tư thành một quyền có thể thực hiện được. Với người dân, nhất là những người lâu nay không biết dữ liệu của mình đang nằm ở đâu, DROP ít nhất cho họ một nơi để bắt đầu: một nút bấm, một yêu cầu, và một cách nói rằng thông tin về tôi không nên bị chuyền tay mãi mà tôi không hề hay biết.
Tham khảo
https://privacy.ca.gov/drop/personal-information-and-data-brokers/
https://privacy.ca.gov/drop/about-drop-and-the-delete-act/
https://cppa.ca.gov/data_broker_registry/
https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202320240SB362
https://ppc.land/californias-drop-platform-hits-242-000-sign-ups-in-its-first-8-weeks/
https://iapp.org/news/a/calprivacy-unpacks-drop-updates-on-consumer-participation-upcoming-enforcement
