Apple đối đầu Meta: Ảo tưởng về quyền riêng tư
(growth.design)- Quy trình onboarding của Threads khiến việc đăng ký diễn ra nhanh, nhưng liên kết màu xám nhỏ trên màn hình “How Threads works” làm phạm vi thu thập dữ liệu cá nhân trở nên khó nhận thấy
- Trong mục Privacy của Threads trên App Store, các loại dữ liệu như Health data, Financial Info, Browsing History, Sensitive Info, v.v. được liệt kê khá dài; theo luật bảo vệ dữ liệu châu Âu, việc xử lý dữ liệu cá nhân để nhắm mục tiêu quảng cáo cần có căn cứ pháp lý hợp lệ
- Meta không làm rõ đầy đủ việc thu thập dữ liệu nhạy cảm và việc liên kết với xóa tài khoản Instagram, làm gia tăng tranh cãi về các dark pattern framing và Roach Motel
- Apple quảng bá mạnh hình ảnh bảo vệ quyền riêng tư, nhưng có các điều tra và nghiên cứu cho thấy “Ask App Not To Track” không hoạt động như kỳ vọng, và nhà quảng cáo có thể dùng fingerprinting thay cho IDFA
- Nếu đặt cảnh báo quyền riêng tư rõ ràng hoặc privacy score ở đầu App Store, điều đó có thể tạo áp lực làm thay đổi quyết định tải xuống của người dùng và thực hành dữ liệu của nhà phát triển
Vấn đề minh bạch lộ rõ trong onboarding của Threads
- Threads tận dụng sự quan tâm dành cho ứng dụng mới và quy trình onboarding đơn giản để khiến người dùng nhanh chóng đi qua luồng đăng ký
- Màn hình “How Threads works” trông giống onboarding thông thường, nhưng thông tin về cách ứng dụng thực sự hoạt động và dữ liệu lại được đặt sau một liên kết bằng chữ xám nhỏ, khiến khó đọc
- Điểm cốt lõi không phải là có thu thập dữ liệu hay không, mà là hành vi càng xâm phạm hoặc rủi ro thì càng cần được thông báo rõ ràng hơn cho người dùng
Danh sách dài các hạng mục thu thập dữ liệu trong mục quyền riêng tư của App Store
- Mục Privacy của Threads trên App Store hiển thị các loại dữ liệu sau
- Health data
- Financial Info
- Browsing History
- Sensitive Info
- Other Data
- Threads không thể ra mắt ở châu Âu do hoạt động theo dõi mang tính xâm phạm, và theo luật bảo vệ dữ liệu châu Âu, Meta cần có căn cứ pháp lý hợp lệ để xử lý dữ liệu cá nhân phục vụ nhắm mục tiêu quảng cáo
- Sau các phán quyết gần đây của tòa án, sự bất định xoay quanh chính sách quyền riêng tư của Meta cũng gia tăng
Framing và tỷ lệ T.I. thấp
- Framing là hiện tượng cách trình bày thông tin làm thay đổi quyết định của người dùng
- Ngay cả cùng một sự thật, nếu được sắp đặt theo cách che giấu hoặc gây hiểu lầm thì sẽ trở thành framing phi đạo đức
- Màn hình “How Threads works” của Threads không đưa mức độ thu thập dữ liệu ra phía trước, mà chôn nó trong luồng đăng ký
- Tỷ lệ T.I. là tiêu chí cho rằng mức độ minh bạch (Transparency) của sản phẩm phải tương xứng với rủi ro hoặc tính xâm phạm (Intrusiveness) mà nó gây ra cho người dùng
- Nếu yêu cầu dữ liệu rất nhạy cảm, việc đưa điều đó ra phía trước là phù hợp
- Luồng của Meta có thể được xem là trường hợp mức minh bạch thấp so với tính xâm phạm
Tài khoản Instagram và dark pattern Roach Motel
- Sau khi nhấn nút đăng ký Threads, vấn đề liên kết với tài khoản Instagram không được làm rõ đầy đủ
- Cấu trúc trong đó khi cố xóa Threads thì tài khoản Instagram cũng bị xóa theo được gọi là Instagram ransom
- Dark pattern Roach Motel chỉ hành trình người dùng mà vào thì dễ nhưng thoát ra thì khó
- Luồng xóa tài khoản của Threads cũng thuộc loại hành trình người dùng có tỷ lệ T.I. thấp
Hình ảnh bảo vệ quyền riêng tư của Apple và Privacy Washing
- Apple chi rất nhiều tiền cho quảng cáo và billboard để khiến mình trông như Guardian of Privacy
- Tuy nhiên, khi nhìn vào việc thu thập dữ liệu được cho phép phía sau App Store, tuyên bố bảo vệ quyền riêng tư của Apple khó đáng tin như kỳ vọng
- Privacy Washing nghĩa là hành vi giả vờ bảo vệ dữ liệu cá nhân trong khi thực tế không bảo vệ
- Ngay cả khi nhấn “Ask App Not To Track”, tính năng này có thể không hoạt động theo cách mong đợi
- Nghiên cứu iOS App Tracking của Oxford University được dùng làm căn cứ
- Nhà quảng cáo có thể ánh xạ dữ liệu bằng fingerprinting thay vì IDFA hiện có của Apple rồi gửi cho nhà quảng cáo
- Cũng có điều tra cho rằng khả năng bảo vệ khỏi theo dõi trên iPhone khó đáng tin như những gì quảng cáo của Apple gợi ý
Vì sao App Store cần cảnh báo trực tiếp hơn
- Nếu Apple coi trọng quyền riêng tư, họ có thể đặt cảnh báo quyền riêng tư rõ ràng hơn ở phần đầu danh sách App Store
- Safari Browser đã sử dụng các mẫu hiển thị liên quan đến quyền riêng tư theo cách quen thuộc
- Nếu đưa privacy score ra phía trước, người dùng có thể ít có khả năng tải các ứng dụng có thực hành dữ liệu kém hơn
- Với nhà phát triển, điều này tạo ra áp lực khiến họ tôn trọng quyền riêng tư của người dùng hơn
- Nếu quyền riêng tư thực sự quan trọng, Apple cũng có thể xếp hạng cao hơn trên App Store cho các ứng dụng có thực hành tốt
1 bình luận
Các ý kiến trên Hacker News
Có vẻ không công bằng khi so sánh việc Facebook chủ động gây hại cho chúng ta với việc Apple không đưa các chỉ số được đề xuất vào sản phẩm và thụ động cho phép các ứng dụng phổ biến trên App Store
Tôi không phải fan Apple, nhưng Apple không phải Facebook
Nguồn thu chính của Apple là phần cứng cao cấp và dịch vụ thuê bao, còn Facebook là công ty bán quyền riêng tư và sự chú ý cho người mua
Vài năm trước, việc khởi chạy ứng dụng từng chậm kinh khủng trong một thời gian; nguyên nhân là sự cố dịch vụ web telemetry của Apple: https://forums.macrumors.com/threads/mac-apps-not-opening-or...
Một số người gọi họ là cái ác hoặc cái ác ít tệ hơn, nhưng tôi muốn gọi Apple là cái ác và là kẻ đạo đức giả
Apple tự miễn trừ mình khỏi các yêu cầu minh bạch IDFA mà họ áp đặt lên nhà phát triển ứng dụng bên thứ ba, và đã bị điều tra pháp lý ở Pháp, EU, v.v.: https://gizmodo.com/apple-iphone-analytics-tracking-even-whe...
Ngoài ra, dù không bị luật bắt buộc, Apple vẫn quét CSAM trong bản sao lưu iCloud. Meta không làm vậy trên WhatsApp, và Signal thì dĩ nhiên không. Hôm nay là CSAM, ngày mai có thể là tin nhắn chỉ trích quyền lực. Apple đã vượt qua ranh giới đạo đức căn bản trong mã hóa đầu cuối, và giờ đây xét về mặt mã hóa thì hoàn toàn không thể tin tưởng được nữa
Marketing của Apple rất hiệu quả, nhưng ý nghĩ rằng họ tốt hơn các Big Tech khác về quyền riêng tư chỉ cần đào sâu một chút là thấy chỉ là khẩu hiệu marketing rỗng tuếch. Không thể tin ai cả. Hiện nay, cách thật sự bảo vệ quyền riêng tư chỉ ở mức kết nối Internet qua một router như MiFi chạy phần mềm mã nguồn mở, và triển khai danh sách chặn tường lửa outbound như unbound-adblock của Jordan Geoghegan: https://geoghegan.ca//unbound-adblock.html
Ngay cả khi có mã hóa đầu cuối, họ vẫn thu thập mọi thứ khác có thể thu thập
Tôi tự hỏi khi nào thì mọi người mới phát ngán các công ty quảng cáo rợn người
Tôi nhận được thư từ Target nói rằng theo mặc định họ sẽ bán thông tin của tôi cho bên thứ ba không liên kết, và nếu muốn từ chối thì phải gọi điện hoặc gửi thư. Chắc hẳn một lúc nào đó tôi đã đồng ý, và ai đăng ký chương trình khách hàng thân thiết miễn phí thì nên biết rằng mình đang đồng ý với những điều như vậy, dù không được nghe nói rõ ràng; nhưng tôi nghĩ có lẽ nên buộc họ ghi rõ chi phí thực tế mà khách hàng phải trả bên cạnh các lợi ích
Tuần trước khi nhận thuốc kê đơn ở CVS, giữa bước xác nhận tên và địa chỉ với thanh toán hoặc ký nhận đơn thuốc, họ nhét vào một giấy đồng ý marketing, và tôi đã ngu ngốc đồng ý trước khi nhận ra đó không phải là sự đồng ý liên quan đến việc mua thuốc kê đơn. Họ giấu sự đồng ý bán thông tin vào lúc một người nhiều khả năng đang bị bệnh, chỉ muốn lấy thuốc để trở lại bình thường
Không có điều nào trong số này cải thiện cuộc sống của tôi. Tôi chỉ muốn trả tiền cho món hàng, kết thúc giao dịch, rồi chấm dứt quan hệ cho đến giao dịch tiếp theo. Mọi nhà quảng cáo không cần biết mọi thứ tôi mua, kể cả các khoản mua theo thói quen
Nếu bạn làm trong ngành công nghệ quảng cáo hoặc chịu trách nhiệm về các thiết bị front-end để thu thập thêm thông tin, thì tôi thật sự ghét điều đó, nó cực kỳ rợn người; và dù bản thân bạn không rợn người, những thứ bạn tạo ra và những người bạn làm cùng thì có. Việc tìm đủ mọi cách lừa mọi người bán những thông tin cá nhân mà họ mặc nhiên coi là riêng tư là ghê tởm, vô đạo đức và lừa dối. Bạn nên rò rỉ các thủ pháp, mánh khóe và lỗ hổng để công nghệ quảng cáo xâm phạm đời tư có thể bị đánh sập
Khi đến nhà người thân, chỉ nhìn các quảng cáo hiện lên thôi mà tôi đã có thể đoán được tình trạng y tế trước đó vẫn là riêng tư của người trong gia đình đó
Tệ hơn nữa là đó là cơn giận bất lực, vì tôi không thể làm gì
Tôi đã chặn nhiều tracking nhất có thể, cố không đưa tiền cho các công ty dùng những thực hành này hoặc các công ty sử dụng dịch vụ của họ, trả tiền mặt ở cửa hàng offline, và tránh mua sắm online hết mức có thể
Nhưng vẫn chưa đủ. Các công ty quảng cáo đang trong cuộc chiến với con người, và họ đang thắng
Nếu không thích thẻ, họ thường cũng chấp nhận số điện thoại không hợp lệ hoặc ngẫu nhiên. Dĩ nhiên đây không phải giải pháp và vấn đề gốc cần được sửa, nhưng ít nhất cũng là một biện pháp tạm thời phần nào
Đúng là các ứng dụng mạng xã hội dựa vào quảng cáo thu thập lượng dữ liệu khổng lồ
Nhưng danh sách widget quyền riêng tư của Apple trông giống như một danh sách bao quát chỉ vì người dùng có thể đăng bất cứ thứ gì và Meta dùng nội dung bài đăng để nhắm mục tiêu quảng cáo
Không biết gần đây bạn đã đi qua luồng onboarding của Apple chưa. Quy trình tạo Apple ID và thiết lập iPhone cũng khá tương tự, với các điều khoản kiểu bấm-chấp-nhận cho phép sử dụng dữ liệu gần như vô tận. Những thứ này bao gồm [1], [2], [3], [4], [5]
Apple đã làm marketing về quyền riêng tư rất giỏi, nhưng họ cũng đang thực hiện gần như mọi thực tiễn mà họ chỉ trích ở các công ty khác
Ngoài ra, việc Threads không ra mắt ở châu Âu là vì yêu cầu tách biệt dữ liệu theo DMA giữa các sản phẩm. Nó không liên quan đến mức độ xâm phạm của chính dữ liệu được thu thập như ngụ ý ở đây [6]
[1] https://www.apple.com/legal/privacy/pdfs/apple-privacy-polic...
[2] https://www.apple.com/legal/privacy/data/en/apple-id/
[3] https://www.apple.com/legal/sla/docs/iOS16_iPadOS16.pdf
[4] https://www.apple.com/legal/internet-services/itunes/
[5] https://www.apple.com/legal/internet-services/icloud/
[6] https://www.theverge.com/23789754/threads-meta-twitter-eu-dm...
Đây là một bài blog nói về quyền riêng tư, vậy mà lại thấy vercel-insights.com, www.google.com, ‘Sign up with Google’, và “132.793 người từ các công ty như Microsoft, Amazon, facebook, Google, Disney đã tham gia”
“Lại cái cảm giác kỳ quặc đó”
Bài này có vẻ đang trộn lẫn việc Meta xâm phạm quyền riêng tư rồi đổ sang lỗi của Apple
Hệ điều hành luôn có thể làm cho việc theo dõi bằng fingerprint khó hơn, và App Store cũng có thể thêm nhiều “cảnh báo quyền riêng tư” hơn. Nhưng rốt cuộc, nếu dùng ứng dụng bên thứ ba xâm phạm quyền riêng tư thì ứng dụng đó luôn có đủ mọi cách để hút dữ liệu. Dùng điều đó làm luận cứ rằng Apple không quan tâm đến quyền riêng tư là không trung thực
Vì vậy thay vì Meta hút mọi thứ, Google sẽ hút sạch tất cả như máy hút bụi, và trong đó sẽ có nhiều thứ chảy sang Meta hơn
Mô hình phần mềm hiện tại có thể không làm việc đó trở nên thuận tiện, nhưng trách Apple là điều đủ trung thực và dễ hiểu
Chúng ta nên ngừng coi máy tính là những cỗ máy không thể kiểm soát và tất yếu làm rò rỉ dữ liệu. Máy tính là do con người tạo ra
Đây là một bài trình bày nhỏ thú vị, không có gì quá mới, nhưng ý tưởng hiển thị mức độ tin cậy của ứng dụng bằng huy hiệu thì khá ổn
Thế mà đến mailing list ở trang cuối lại xuất hiện “Sign up with Google”, làm bay sạch toàn bộ độ tin cậy. Buồn cười thật
Nếu muốn được bảo đảm quyền riêng tư, bạn không nên cài đặt hay dùng bất cứ thứ gì có kết nối Internet
Ngay cả HN, chỉ cần phân tích văn phong và một tác nhân có quyết tâm, cũng có thể dễ dàng liên kết tên người dùng ở đây với các bài viết công khai khác. Một tác nhân quyết tâm hơn còn có thể liên kết cả với những bài viết không công khai, vì đã có quá nhiều vụ rò rỉ dữ liệu
Để an toàn thì phải ở ngoại tuyến. Dĩ nhiên trong thời hiện đại điều đó là phi thực tế với nhiều người. Khi đó câu hỏi trở thành: bất kể họ thu thập bao nhiêu và thu thập cái gì, công ty nào ít có khả năng bán đứng tôi nhất theo bất kỳ cách nào. Theo gần như mọi tiêu chí, Apple nằm ở nhóm đầu danh sách đó. Nhưng không phải đứng đầu tuyệt đối. Những công ty như Mullvad cung cấp dịch vụ theo cách hoàn toàn không thu thập gì, và về lý thuyết nếu trả bằng tiền mặt thì cũng không có cách nào lần ngược lại tôi
Cá nhân tôi thấy việc có thể tin tưởng tổ chức mà mình giao dịch hay không quan trọng hơn chuyện họ có thu thập dữ liệu hay không. Trong nhóm Big Tech, xét theo thành tích thì tôi tin Apple nhất, nhưng tôi không ảo tưởng rằng dùng sản phẩm Apple là được hưởng quyền riêng tư tuyệt đối, và cũng không ai nên như vậy
Tôi muốn thấy bằng chứng có sức thuyết phục trong thực tế. Đặc biệt vì giới hạn số ký tự hoặc khác biệt về mẫu sử dụng giữa các nền tảng có thể gây cản trở
Thứ Apple làm tốt hơn chỉ là PR
https://www.nytimes.com/2021/05/17/technology/apple-china-ce...
Tự động hóa cũng không khó
Đây là trải nghiệm người dùng tệ nhất tôi từng thấy trong nhiều năm
Nếu đã nhận ra ý định của tôi là muốn chuyển sang phần tiếp theo, thì không cần kiểu thụ động gây hấn bảo tôi phải yêu cầu thế nào; cứ chuyển sang phần tiếp theo là được
Tôi đã chạy lại Minecraft Legends để kiểm tra chi tiết và xem hiện tại còn như vậy không. Có thay đổi chút ít, nhưng ở màn hình bắt đầu vẫn hiện “Để bắt đầu, nhấn [nút chuột trái]”, và khi nhấn phím cách thì đổi thành “Để bắt đầu, nhấn [hình phím enter]”. Vì vậy tôi thấy luận điểm của mình vẫn đúng
Và khi video bắt đầu, nếu nhấn Esc thì tương tự sẽ hiện mẹo “Nhấn ␣ để tiếp tục”. Thật không hiểu họ nghĩ tôi muốn gì
Có vẻ họ dùng RevealJS(https://revealjs.com/). Ban đầu tôi nghĩ đây là một “bài viết” với trải nghiệm người dùng thay thế, nhưng thực ra nó gần với một trình chiếu hơn
Tôi cũng thử trên di động (Firefox, Android), và định dạng này rõ ràng không phù hợp. Khi xoay sang chế độ ngang, nó chỉ thu nhỏ trang desktop cho vừa. Có lẽ nên khuyến nghị đọc trên desktop hoặc cung cấp một phiên bản di động riêng
Đến lúc đó, tôi đã áp dụng ‘sự phớt lờ có phê phán’ như cách diễn đạt trong bài liên quan
Thật ngạc nhiên khi truyện tranh này lại thiếu nghiêm túc đến mức như vậy
Chắc làm ra nó thì vui, nhưng tôi mong nó truyền đạt thông tin thay vì tuyên truyền
Có một giải pháp đơn giản
Tạo một đề xuất bỏ phiếu để đổi “quyền được lãng quên” thành “quyền được phép ghi nhớ”, và quyền này phải được gia hạn mỗi 1–3 năm. Nếu công ty không nhận được sự cho phép trong vòng 3 năm thì phải xóa dữ liệu. Sự cho phép này phải không thể chuyển nhượng, nên nếu bạn tạo tài khoản ở Good Company, Inc. nhưng Evil Corp, Inc. mua lại công ty đó, bên sau phải xin lại sự cho phép dưới tên mới. Các data broker cũng không được phép nắm giữ thông tin trừ khi họ yêu cầu sự cho phép
“Quyền từ chối bán” nên được đổi thành mặc định từ chối và đồng ý rõ ràng. Nghĩa là mặc định ở trạng thái từ chối, và nếu công ty muốn bán dữ liệu thì phải nhận được sự cho phép rõ ràng
Các công ty kiểu này có vẻ dùng các mô hình mạng nơ-ron sâu lớn để vận hành hệ thống gợi ý. Ít nhất theo tôi biết thì không thể yêu cầu một mạng nơ-ron chỉ quên chọn lọc một người cụ thể