- Báo cáo của nhân viên FTC cho biết các dịch vụ mạng xã hội và phát video trực tuyến lớn đã giám sát người tiêu dùng trên diện rộng để kiếm tiền từ dữ liệu cá nhân, đồng thời thiếu các biện pháp bảo vệ trẻ em và thanh thiếu niên
- Cuộc điều tra dựa trên phản hồi đối với lệnh 6(b) mà FTC gửi tới 9 công ty vào tháng 12/2020, bao gồm Amazon/Twitch, Meta/Facebook, YouTube, X/Twitter, Snap, ByteDance/TikTok, Discord, Reddit, WhatsApp
- Các công ty bị điều tra có thể thu thập và lưu giữ dữ liệu người dùng, dữ liệu người không dùng dịch vụ và cả thông tin từ các nhà môi giới dữ liệu; các thực tiễn giảm thiểu, lưu giữ và xóa dữ liệu được đánh giá là rất không thỏa đáng
- Mô hình kinh doanh của nhiều công ty xoay quanh quảng cáo nhắm mục tiêu, thúc đẩy việc thu thập dữ liệu quy mô lớn; dữ liệu được dùng cho các công nghệ theo dõi như pixel, hệ thống tự động và AI, nhưng người dùng hầu như không có quyền từ chối
- Báo cáo của nhân viên FTC khuyến nghị ban hành luật bảo vệ quyền riêng tư liên bang, các chính sách giảm thiểu và lưu giữ dữ liệu, hạn chế theo dõi thông tin nhạy cảm, tăng cường minh bạch và kiểm định hệ thống tự động, cũng như mở rộng bảo vệ trẻ em và thanh thiếu niên với COPPA là tiêu chuẩn tối thiểu
Đối tượng điều tra và phạm vi báo cáo
- Báo cáo của nhân viên FTC điều tra thực tiễn thu thập và sử dụng dữ liệu của các dịch vụ mạng xã hội và phát video trực tuyến lớn
- Báo cáo của nhân viên dựa trên phản hồi của 9 công ty đối với lệnh 6(b) được ban hành vào tháng 12/2020
- Đối tượng điều tra là 9 công ty và dịch vụ sau
- Amazon.com, Inc.: sở hữu nền tảng game Twitch
- Facebook, Inc.: hiện là Meta Platforms, Inc.
- YouTube LLC
- Twitter, Inc.: hiện là X Corp.
- Snap Inc.
- ByteDance Ltd.: sở hữu nền tảng chia sẻ video TikTok
- Discord Inc.
- Reddit, Inc.
- WhatsApp Inc.
- Lệnh của FTC xem xét cách các công ty xử lý thông tin cá nhân và thông tin nhân khẩu học
- Thu thập, theo dõi và sử dụng thông tin cá nhân và thông tin nhân khẩu học
- Cách hiển thị quảng cáo và nội dung cho người tiêu dùng
- Việc có áp dụng thuật toán hoặc phân tích dữ liệu vào thông tin cá nhân và nhân khẩu học hay không, và áp dụng như thế nào
- Tác động của các thực tiễn này đối với trẻ em và thanh thiếu niên
Vấn đề trong thực tiễn thu thập và lưu giữ dữ liệu
- Các công ty bị điều tra thu thập lượng lớn thông tin cá nhân của người tiêu dùng và kiếm tiền từ đó với quy mô hàng chục tỷ USD mỗi năm
- Chủ tịch FTC Lina M. Khan cho biết các thực tiễn giám sát này đe dọa quyền riêng tư và có thể khiến người dùng đối mặt với nhiều thiệt hại, từ đánh cắp danh tính đến rình rập
- Các công ty có thể thu thập và lưu giữ vô thời hạn các dữ liệu sau
- Dữ liệu người dùng
- Dữ liệu của người không sử dụng nền tảng
- Thông tin thu được từ các nhà môi giới dữ liệu
- Các thực tiễn chia sẻ dữ liệu rộng khắp làm gia tăng lo ngại về việc kiểm soát và giám sát xử lý dữ liệu có đầy đủ hay không
- Các thực tiễn thu thập, giảm thiểu và lưu giữ dữ liệu được đánh giá là “cực kỳ không thỏa đáng”
- Một số công ty dù phản hồi yêu cầu xóa của người dùng nhưng không xóa toàn bộ dữ liệu người dùng
Mô hình doanh thu quảng cáo và hệ thống tự động
- Mô hình kinh doanh của nhiều công ty được thiết kế để kiếm tiền từ dữ liệu người dùng, đặc biệt thông qua quảng cáo nhắm mục tiêu, và quảng cáo nhắm mục tiêu chiếm phần lớn doanh thu của các công ty này
- Những động lực này xung đột với quyền riêng tư của người dùng và có thể khuyến khích thu thập nhiều dữ liệu hơn
- Một số công ty sử dụng các công nghệ theo dõi xâm phạm quyền riêng tư như pixel để cho phép quảng cáo dựa trên sở thích và mối quan tâm của người dùng
- Thông tin cá nhân của người dùng và người không dùng dịch vụ được đưa vào nhiều hệ thống tự động
- Thuật toán
- Phân tích dữ liệu
- AI
- Người dùng và người không dùng dịch vụ hầu như không có, hoặc hoàn toàn không có, cách từ chối việc dữ liệu được dùng trong các hệ thống tự động
- Cách giám sát và kiểm thử việc sử dụng hệ thống tự động khác nhau giữa các công ty, thiếu tính nhất quán và đầy đủ
Bảo vệ trẻ em, thanh thiếu niên và các vấn đề COPPA
- Các dịch vụ mạng xã hội và phát video trực tuyến được đánh giá là chưa bảo vệ đầy đủ trẻ em và thanh thiếu niên trên trang của họ
- Báo cáo trích dẫn các nghiên cứu cho thấy mạng xã hội và công nghệ số có tác động tiêu cực đến sức khỏe tâm thần của người dùng nhỏ tuổi
- Nhiều công ty cho rằng nền tảng của họ không có trẻ em vì dịch vụ không nhắm đến trẻ em hoặc không cho phép tạo tài khoản trẻ em
- Báo cáo của nhân viên FTC xem đây là nỗ lực rõ ràng nhằm né tránh trách nhiệm theo Children’s Online Privacy Protection Act Rule
- Các dịch vụ mạng xã hội và phát video trực tuyến thường đối xử với thanh thiếu niên giống như người dùng trưởng thành
- Hầu hết các công ty cho phép thanh thiếu niên sử dụng nền tảng mà không có giới hạn tài khoản
Tác động cạnh tranh và khuyến nghị của FTC
- Các thực tiễn dữ liệu của doanh nghiệp cũng có thể ảnh hưởng đến cạnh tranh
- Doanh nghiệp tích lũy lượng lớn dữ liệu người dùng có thể giành được sức mạnh thị trường, từ đó dẫn đến các thực tiễn có hại, ưu tiên thu thập dữ liệu hơn quyền riêng tư của người dùng
- Nếu cạnh tranh giữa các dịch vụ mạng xã hội và phát video trực tuyến bị hạn chế, lựa chọn của người tiêu dùng cũng giảm đi
- Báo cáo của nhân viên FTC khuyến nghị các nhà hoạch định chính sách và doanh nghiệp như sau
- Quốc hội cần thông qua luật bảo vệ quyền riêng tư liên bang toàn diện nhằm hạn chế giám sát, thiết lập các biện pháp bảo vệ cơ bản và trao quyền dữ liệu cho người tiêu dùng
- Doanh nghiệp cần hạn chế thu thập dữ liệu và áp dụng các chính sách giảm thiểu, lưu giữ dữ liệu cụ thể, có thể thực thi
- Hạn chế chia sẻ dữ liệu với bên thứ ba và công ty liên kết, đồng thời xóa dữ liệu người tiêu dùng không còn cần thiết
- Chính sách quyền riêng tư phải rõ ràng, đơn giản và dễ hiểu đối với người tiêu dùng
- Doanh nghiệp không nên thu thập thông tin nhạy cảm bằng các công nghệ theo dõi quảng cáo xâm phạm quyền riêng tư
- Cần xem xét thận trọng các chính sách và thực tiễn nhắm mục tiêu quảng cáo dựa trên các danh mục nhạy cảm
- Cần giải quyết tình trạng người dùng thiếu quyền kiểm soát và thiếu minh bạch về cách dữ liệu được sử dụng trong các hệ thống tự động
- Cần áp dụng các tiêu chuẩn kiểm thử và giám sát nghiêm ngặt hơn đối với các hệ thống tự động
- Không được phớt lờ thực tế rằng có người dùng là trẻ em trên nền tảng; cần xem COPPA là yêu cầu tối thiểu và cung cấp thêm biện pháp an toàn
- Thanh thiếu niên không phải là người lớn, nên cần được bảo vệ quyền riêng tư mạnh hơn
- Quốc hội cần thông qua luật bảo vệ quyền riêng tư liên bang để lấp khoảng trống bảo vệ quyền riêng tư mà COPPA chưa cung cấp cho thanh thiếu niên trên 13 tuổi
- Ủy ban FTC đã biểu quyết 5-0 để phát hành báo cáo của nhân viên
- Chủ tịch Khan và các Ủy viên Alvaro Bedoya, Melissa Holyoak, Andrew N. Ferguson mỗi người đưa ra tuyên bố riêng
1 bình luận
Ý kiến trên Hacker News
Còn thiếu cách tăng trách nhiệm của các công ty xử lý sai dữ liệu người dùng
Thật vô lý khi tôi nhận được thông báo qua thư về một vụ rò rỉ dữ liệu đã xảy ra vài tháng trước, trong đó có cả số An sinh Xã hội của tôi, mà việc duy nhất tôi có thể làm là đóng băng tín dụng ở nhiều cơ quan xếp hạng tín dụng
Sau khi công khai trải qua kiệt sức và sa sút, một người bạn đã giúp tôi có việc bán thời gian tại một công ty xử lý thanh toán thẻ tín dụng. Khoảng hai tháng trước, khi tôi vắng mặt, ông chủ bảo một tài xế Uber gửi email vì có việc cần xử lý, và kết quả là toàn bộ cơ sở dữ liệu khách hàng chứa tài khoản ngân hàng, số An sinh Xã hội, tên, địa chỉ và dữ liệu tài chính đã được gửi cho một khách hàng
Việc đó bị giấu suốt 11 ngày, rồi khi tôi biết và nói “chuyện này nghiêm trọng, ngoài PCI ra thì về mặt pháp lý cũng phải thông báo cho khách hàng bị ảnh hưởng trong vòng 45 ngày”, ông chủ nói “tôi sẽ không làm vậy”, thế là tôi nộp đơn nghỉ việc và lại thất nghiệp
Tôi đang phải gấp rút tìm việc vì đã cố làm điều đúng đắn, còn phía gây ra vấn đề thì có thể đã làm lộ toàn bộ khách hàng mà vẫn giả vờ như không có gì xảy ra, và có vẻ sẽ chẳng bị phạt trừ khi tôi báo cáo lên PCI. Mà ngay cả nếu báo cáo thì tôi cũng không nhận được bồi thường gì
Tôi không hiểu vì sao đi đâu ban lãnh đạo cũng luôn làm những chuyện mờ ám. Tôi chỉ muốn làm Linux và trung tâm dữ liệu dưới quyền một người trung thực
Dự án phụ lớn của tôi vẫn chưa sẵn sàng để ra mắt sớm, và ban đầu tôi không định nhận VC hay nhà đầu tư, nhưng giờ tôi đang nghĩ đến việc thỏa hiệp
https://www.nerdwallet.com/article/finance/how-to-freeze-cre...
Tôi nghĩ sẽ khó cho đến khi có một cơ quan quản lý độc lập có thể quản lý toàn bộ ngành công nghệ. Giống như FDA quyết định loại thuốc và thành phần nào được cho phép, cũng có thể có một cơ quan đánh giá rủi ro mà các tính năng của công ty công nghệ gây ra cho sức khỏe tinh thần của mọi người
Tuy nhiên, để có được một cơ quan như vậy, có lẽ sẽ cần một bi kịch, giống như lý do FDA được thành lập ban đầu
https://www.fda.gov/about-fda/fda-history/milestones-us-food...
Việc đến giờ họ mới bắt đầu xem xét nghiêm túc và nghĩ đến phản công thì trễ 15 năm, nhưng dù sao vẫn hơn là không làm
Tiếp theo phải kiểm soát các cơ quan xếp hạng tín dụng cho ra trò
Tôi chưa từng đồng ý cho họ giữ dữ liệu của mình, vậy mà họ làm lộ hết dữ liệu rồi giờ còn gửi cả email quảng cáo không mong muốn, quá tệ hại
Thật vô lý khi để đóng băng tín dụng, tôi buộc phải thiết lập quan hệ với các công ty này; còn nếu không, tôi phải phó mặc cho họ muốn chuyển thông tin của tôi cho ai mà không cần phép của tôi
Không thấy lạ sao khi các công ty như Meta, Google có giá trị hàng trăm tỷ USD chỉ vì họ tìm ra cách hợp pháp để nhồi thông tin về bạn vào cơ sở dữ liệu
Ở một thời điểm khác trong lịch sử, có lẽ ai đó đã gọi đó là giám sát, nhưng họ đã tìm ra cách làm hợp pháp và nó trở thành thứ trị giá hàng trăm tỷ USD
Về mặt kỹ thuật, chỉ cần có sự đồng ý thì việc ghi dữ liệu từ xa là chuyện nhỏ. Cảm giác như ta dựng lên một bức tường tưởng tượng gọi là luật, rồi chi hàng chục tỷ USD để tạo lối đi vòng qua bức tường đó, sau đó xem nó ngang hàng với thịnh vượng kinh tế. Quan hệ giữa dịch vụ streaming và chia sẻ tệp cũng tương tự
Tôi không hiểu vì sao người ta cứ gọi mạng xã hội đơn giản là cơ sở dữ liệu
Dạo này Lina Khan đang thúc đẩy rất mạnh. Trông bà ấy thực sự có vẻ quan tâm đến nhân quyền trực tuyến
Facebook và YouTube là những bên phòng thủ có ý chí và năng lực bảo vệ dữ liệu nhạy cảm của khách hàng. Nếu xem phim tài liệu AshleyMadison, ta thấy đã có sự coi thường ngạo mạn đối với quyền riêng tư của khách hàng, nhưng gần như không có trách nhiệm nào
Nơi người tiêu dùng dễ bị tổn thương nhất là các công ty nhỏ và vô trách nhiệm như vậy
Nếu Trump trở thành tổng thống, ông ấy sẽ bãi nhiệm bà; còn nếu Harris thắng nhưng Đảng Cộng hòa kiểm soát Thượng viện, tôi sợ Harris có thể hy sinh Khan làm quân bài đàm phán để được phê chuẩn
Bài “Data is a Toxic Asset” trên Schneier on Security năm 2016: https://www.schneier.com/blog/archives/2016/03/data_is_a_tox...
Phần này đặc biệt có vấn đề
“Nhiều công ty đã chia sẻ dữ liệu trên diện rộng, điều này làm dấy lên những lo ngại nghiêm trọng về việc liệu kiểm soát và giám sát xử lý dữ liệu của các công ty có đầy đủ hay không”
Toàn bộ báo cáo[0] đáng đọc. Đừng chỉ xem phần tóm tắt
“Nhưng không nên xem các phát hiện này một cách tách rời. Chúng xuất phát từ các mô hình kinh doanh gần như không khác nhau ở chín công ty: mô hình thu hoạch dữ liệu để phục vụ quảng cáo nhắm mục tiêu, thiết kế thuật toán và bán cho bên thứ ba. Vì gần như không có biện pháp bảo vệ có ý nghĩa, các công ty có động lực phát triển những cách thu thập ngày càng xâm lấn hơn”
[0]: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
Giám sát lan rộng như ung thư. Nó tiếp tục lớn lên, nuốt mọi điểm dữ liệu với lý do “chỉ vì cần thôi”, rồi cuối cùng giết chết bạn
Cũng nên thêm các hãng sản xuất ô tô giám sát bằng camera và micro trong khoang xe vào danh sách
Chi tiết: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...