1 điểm bởi GN⁺ 2023-09-17 | 1 bình luận | Chia sẻ qua WhatsApp
  • Ủy ban Bảo vệ Dữ liệu Ireland (DPC) đã phạt TikTok 345 triệu euro vì cho rằng cách xử lý tài khoản trẻ em của nền tảng này vi phạm EU GDPR
  • Vấn đề cốt lõi là các tài khoản từ 13–17 tuổi trong quá trình đăng ký mặc định được đặt ở chế độ công khai, và người dùng trẻ em không được cung cấp thông tin đủ minh bạch
  • Tính năng “family pairing” không xác minh liệu người lớn kiểm soát tài khoản có thực sự là cha mẹ hoặc người giám hộ hay không, nên thậm chí có thể bật cài đặt tin nhắn trực tiếp cho người dùng từ 16 tuổi trở lên
  • DPC cho rằng TikTok đã không cân nhắc đầy đủ rủi ro người dùng dưới 13 tuổi vào nền tảng rồi bị đặt ở chế độ công khai, nhưng không xem chính phương thức xác minh độ tuổi là vi phạm GDPR
  • TikTok phản bác rằng cuộc điều tra chỉ xét các cài đặt trong giai đoạn từ 31/7/2020 đến 31/12/2020, và công ty đã sửa các vấn đề này từ năm 2021, như chuyển mặc định tài khoản 13–15 tuổi sang riêng tư

Cơ sở của khoản phạt 345 triệu euro

  • TikTok bị phạt 345 triệu euro, tương đương khoảng 296 triệu bảng Anh, vì vi phạm luật bảo vệ dữ liệu của EU liên quan đến việc xử lý tài khoản trẻ em
  • Ủy ban Bảo vệ Dữ liệu Ireland (DPC), cơ quan phụ trách quản lý TikTok trong EU, kết luận rằng TikTok đã nhiều lần vi phạm các quy định GDPR
  • Trọng tâm là việc nền tảng này không bảo vệ đầy đủ để nội dung của người dùng vị thành niên không bị phơi bày công khai

Rủi ro lộ nội dung do cài đặt công khai mặc định

  • DPC cho rằng người dùng từ 13–17 tuổi đã bị dẫn dắt để tài khoản được đặt ở chế độ công khai mặc định trong quá trình đăng ký
    • Với tài khoản công khai, bất kỳ ai cũng có thể xem nội dung hoặc bình luận vào tài khoản
    • Vì cài đặt này, bất kỳ ai cũng có thể xem nội dung mạng xã hội do người dùng đó đăng lên
  • Độ tuổi tối thiểu để sử dụng TikTok là 13 tuổi
  • Cơ quan này cũng chỉ ra rằng TikTok đã không cân nhắc đầy đủ rủi ro khi người dùng dưới 13 tuổi truy cập nền tảng rồi bị đặt ở chế độ công khai

Thiếu minh bạch và vấn đề với family pairing

  • Việc không cung cấp đầy đủ thông tin minh bạch cho người dùng trẻ em cũng bị tính là vi phạm GDPR
  • “family pairing” cho phép người lớn kiểm soát cài đặt của tài khoản trẻ em, nhưng TikTok không xác minh người được liên kết có thực sự là cha mẹ hoặc người giám hộ hay không
  • Thông qua cài đặt này, người lớn truy cập vào tài khoản trẻ em có thể kích hoạt tính năng tin nhắn trực tiếp cho người dùng từ 16 tuổi trở lên

Đánh giá về Duet·Stitch và xác minh độ tuổi

  • Duet và Stitch là các tính năng cho phép người dùng kết hợp nội dung với người dùng TikTok khác
  • DPC cho biết các tính năng này được bật mặc định cho người dùng dưới 17 tuổi
  • Tuy vậy, cơ quan này không xem chính phương thức xác minh độ tuổi của TikTok là vi phạm GDPR

Áp lực quản lý bổ sung sau án phạt tại Anh

  • Quyết định này được đưa ra sau khi TikTok bị cơ quan quản lý dữ liệu của Anh phạt 12,7 triệu bảng Anh vào tháng 4/2023
    • Cơ quan quản lý Anh cho rằng TikTok đã xử lý trái phép dữ liệu của 1,4 triệu trẻ em dưới 13 tuổi sử dụng nền tảng mà không có sự đồng ý của cha mẹ
    • Khi đó, Văn phòng Ủy viên Thông tin cho rằng TikTok “gần như không làm gì” để xác minh ai đang sử dụng nền tảng
  • TikTok cho biết cuộc điều tra lần này tập trung vào các cài đặt quyền riêng tư trong giai đoạn từ 31/7/2020 đến 31/12/2020, và các vấn đề được nêu đã được khắc phục
  • Từ năm 2021, cả tài khoản hiện có và tài khoản mới của người dùng 13–15 tuổi đều mặc định được đặt ở chế độ riêng tư
    • Với tài khoản riêng tư, chỉ những người được người dùng chấp thuận mới có thể xem nội dung
  • TikTok cho biết họ không đồng ý với mức phạt cũng như quyết định này, và phản bác rằng chỉ trích của DPC tập trung vào các tính năng và cài đặt từ 3 năm trước
  • Công ty cũng nói rằng ngay trước khi cuộc điều tra bắt đầu, họ đã thực hiện thay đổi để chuyển mặc định các tài khoản dưới 16 tuổi sang chế độ riêng tư

Sự can thiệp của Ủy ban Bảo vệ Dữ liệu châu Âu

  • DPC thừa nhận rằng trong một phần của quyết định, lập trường của họ đã bị European Data Protection Board đảo ngược
  • Kết quả là họ phải đưa vào đánh giá do cơ quan quản lý của Đức đề xuất
  • Đánh giá đó cho rằng việc sử dụng dark pattern — thiết kế website hoặc ứng dụng mang tính đánh lừa nhằm dẫn người dùng đến các hành vi hoặc lựa chọn cụ thể — đã vi phạm điều khoản GDPR về xử lý dữ liệu cá nhân một cách công bằng

1 bình luận

 
GN⁺ 2023-09-17
Ý kiến trên Hacker News
  • Họ nói rằng trong tính năng “Family Pairing”, TikTok không xác minh người lớn kiểm soát cài đặt tài khoản của trẻ có thực sự là cha mẹ hoặc người giám hộ hay không, nhưng tôi không rõ TikTok phải xác minh quan hệ cha mẹ như thế nào cho chính xác
    Các công ty công nghệ khác có cũng bị yêu cầu xác minh cha mẹ không? Có vẻ như chỉ TikTok bị phạt vì lý do này

  • Nếu cứ vỗ tay trước các án lệ kiểu này, tôi nghĩ chúng ta sẽ đi đến chỗ cần giấy tờ tùy thân do chính phủ cấp và chứng thực từ xa để dùng các website phổ biến

    • Có lẽ đã đến lúc phải giảm bớt tính ẩn danh
      Từ thập niên 90 đã có ý nghĩ rằng Internet ẩn danh và việc khuếch đại tín hiệu tạo ra hiệu ứng ròng tích cực, nhưng điều đó ngày càng tỏ ra ít đúng hơn
      Nếu muốn tự xuất bản ẩn danh thì vẫn có thể làm, nhưng không có nghĩa là được bảo đảm quyền sử dụng một trong 5 nền tảng lớn
      Nếu điều này khiến các nền tảng lớn bị chia nhỏ, tôi cũng xem đó là hiệu ứng ròng tích cực
    • Nhà nước đã sửa được thói quen xem phim khiêu dâm của tôi bằng cách này
    • Bạn đã đọc bài chưa? Đây không phải trường hợp “không biết tuổi”, mà là tài khoản đã được đặt ngày sinh của trẻ vị thành niên
  • Gần đây tôi mới bắt đầu dùng TikTok, và dù ứng dụng nói livestream cần 1000 người theo dõi và phải từ 18 tuổi trở lên, trên thực tế tôi thấy rất nhiều trẻ em livestream
    Tôi đã thắc mắc vì sao họ không thực thi chính quy định của mình. Có thể vì số streamer quá đông, nhưng chỉ cần một người chuyên trách cũng đủ để phát hiện kha khá thiếu niên hoặc trẻ em đang livestream
    Vì vậy phán quyết lần này là đúng lúc
    Tuy nhiên tôi vẫn thắc mắc vì sao người 13–18 tuổi lại phải bị cấm stream. Nếu lý do là “những kẻ biến thái ẩn nấp”, thì lập luận đó không áp dụng được cho việc kiểm soát chat và cũng không có lý do gì chỉ áp dụng ở đây. TikTok không cho phép nội dung tình dục; có thể thấy phụ nữ mặc bikini, nhưng ở bãi biển công cộng ngoài đời cũng thấy được, thậm chí cả phụ nữ để ngực trần. Vậy lý do khác là gì?

    • Lý do người 13–18 tuổi nên bị cấm stream là vì quan hệ cận xã hội, đặc biệt với một lượng khán giả lớn, cũng gây tác động kỳ lạ ngay cả với người lớn
    • Một bên là nhìn phụ nữ để ngực trần trên bãi biển, bên kia là những người lạ ẩn danh thưởng cho trẻ em để chúng tiến gần hơn tới các màn trình diễn mang tính tình dục
    • Trẻ em rất dễ bị tổn thương, nên những thứ như vậy gây tác động có hại lên tâm trí
  • Đây là khởi đầu tốt, nhưng tôi tự hỏi liệu luật dữ liệu của EU có bắt đầu được thực thi quy mô lớn với các công ty châu Âu, chứ không chỉ các công ty quốc tế, hay không

    • Luật cũng được thực thi với các công ty châu Âu. Chỉ là họ không phải Big Tech nên không lên trang nhất HN, và ở đây hầu như chẳng ai từng nghe đến họ
      Các công ty EU từ trước GDPR đã có xu hướng nhìn nhận việc bảo vệ dữ liệu thận trọng và nghiêm túc hơn, nên cũng hiếm khi tìm thấy các vi phạm nghiêm trọng
    • Thực tế là cũng có thực thi ở một mức độ nào đó, nhưng phần lớn công ty EU tránh được vì ngay từ đầu họ hầu như không thu thập dữ liệu vượt quá phạm vi cần thiết để vận hành dịch vụ
      Ít nhất khi tôi làm việc với các dịch vụ EU, chính sách quyền riêng tư thường chỉ gói gọn trong vài trang A4, nội dung quan trọng nằm ở phần đầu và được viết sao cho dễ hiểu. Ngay cả ngân hàng cũng không giấu việc họ thu thập gì và giải thích vì sao thu thập
      Ngược lại, các công ty nước ngoài thường khăng khăng dùng chính sách quyền riêng tư đồ sộ đến mức khó hiểu, và có xu hướng dùng nó để lách luật. Ví dụ trang quyền riêng tư của Google gần như là một trang khổng lồ lặp đi lặp lại rằng “Google có thể thu thập thông tin về bạn”, không rõ dữ liệu được dùng vào việc gì và phụ thuộc nhiều vào các trang khác để giải thích chi tiết. Người bình thường rất có thể đã mất dấu từ lâu
      Rốt cuộc, các công ty nước ngoài nghĩ rằng họ có thể vi phạm luật mà vẫn thoát, và khiến việc theo dõi dữ liệu được dùng như thế nào trở nên khó khăn. Các công ty châu Âu nhìn chung thực sự tuân thủ luật, nên các án lệ lớn thường nhắm vào các tập đoàn công nghệ nước ngoài
    • Nhiều công ty châu Âu cũng đã bị phạt
      Chỉ là nhìn chung các công ty châu Âu coi việc này nghiêm túc hơn nhiều so với các công ty đa quốc gia. Đôi khi còn nghiêm túc quá mức, nên dù giờ đã bớt hơn, thỉnh thoảng vẫn thấy công ty áp đặt các chính sách dữ liệu vô lý mà họ lầm tưởng là cần thiết để tuân thủ
    • Có cần phải làm vậy không? Các công ty châu Âu vốn có khả năng tuân thủ luật cao hơn, và ít tích cực bẻ cong hoặc phớt lờ luật hơn. Thường là vì những người làm ở đó hiểu luật rõ hơn và tập trung vào nó hơn
      Ngược lại, các công ty châu Âu thường nhỏ hơn nên tiền phạt cũng thấp hơn, vì thế ít lên tiêu đề. Đó là lý do dù vẫn có tiền phạt với công ty châu Âu, ta không thường nghe thấy. Nói thật là thường chúng ta chỉ nghe về những khoản phạt khổng lồ
    • Tự xem thì biết: https://www.enforcementtracker.com/
  • Với phán quyết của một quốc gia đơn lẻ thì khoản phạt này khá lớn. Khoảng 2,6% doanh thu hằng năm, tức chừng 10 ngày doanh thu

    • Khoản phạt là cho toàn EU, chỉ là cơ quan Ireland xử lý vì trụ sở TikTok đặt tại Ireland
    • Theo bài viết, cơ quan Ireland thực thi thay cho toàn EU. Tôi xem đây là cơ chế one-stop shop mà các công ty nước ngoài lớn và Twitter dùng để tránh bị từng quốc gia thành viên phạt riêng lẻ. Có vẻ nó cũng bao gồm giám sát chặt chẽ hơn
      Tôi cố ý nói Twitter chứ không phải X Corp, vì Musk đã có quyết định tai tiếng là sa thải toàn bộ những người phụ trách tuân thủ tại Twitter Ireland. Một trong các yêu cầu dường như là mọi lần ra mắt tính năng đều phải được đội Ireland xem xét để bảo đảm không vi phạm luật dữ liệu EU, nhưng Musk đã không làm như vậy với bất kỳ thay đổi nào được đưa vào sau thương vụ mua lại bằng vốn vay
  • Bao giờ mấy CEO bàn giấy mới thôi nói kiểu “haha, x chỉ là hạt bụi so với doanh thu y” vậy? Tưởng 345 triệu euro mọc trên cây chắc?

    • Doanh thu năm nay được dự báo là 13,2 tỷ USD
  • Ngoài phạt tiền, nên đưa họ vào penalty box vài tháng. Kiểu như không được kinh doanh tại khu vực tài phán đó trong một khoảng thời gian

  • Là khoản phạt khởi đầu thay vì lệnh cấm thì đây là một bước đi tốt, và cũng là cách tôi vẫn luôn yêu cầu
    Nếu họ tiếp tục xâm phạm quyền riêng tư người dùng, tiền phạt nên tăng lên đến hàng chục tỷ USD. Facebook từng có tiền lệ rồi
    Các công ty lớn không có lý do gì để làm chuyện này rồi thoát được, và mọi công ty mạng xã hội có từ hàng trăm triệu người dùng trở lên nếu xâm phạm quyền riêng tư người dùng như TikTok thì phải bị phạt. Không nên còn ngoại lệ hay cớ thoái thác nào nữa
    Rốt cuộc, khi làm hỏng quyền riêng tư của người dùng mình, TikTok cũng chẳng khác Meta

  • Nhìn tổng thể thì có vẻ không phải số tiền lớn. Một khoản phạt tương đối nặng hơn cũng ổn, dù có thể tôi không biết hết chi tiết

    • Đồng ý. Ở quy mô đó, tiền phạt giống một loại thuế, tức chi phí kinh doanh, hơn
      Cũng rất có khả năng đến khi tranh chấp pháp lý kết thúc, số tiền sẽ bị giảm xuống thấp hơn nhiều
  • Số tiền đó đi đâu?

    • Chết tiệt. Chỉ là một câu hỏi đơn giản mà đến giờ đã có ba câu trả lời mâu thuẫn nhau: “ngân sách chung của chính phủ”, “quốc gia áp khoản phạt”, và “ngân sách EU”
      Nếu không biết câu trả lời thì đừng bịa ra rồi nói như thật
    • Nó về quốc gia áp khoản phạt. Meta trước đây là Ireland, Amazon là Luxembourg
    • Tôi cũng muốn biết. Những khoản phạt như thế này cuối cùng đi đâu?
    • Vào ngân sách chung của chính phủ
    • Đi vào ngân sách EU https://en.wikipedia.org/wiki/Budget_of_the_European_Union