JanitorAI thông báo chặn dịch vụ với người dùng tại Anh do quy định của Đạo luật An toàn Trực tuyến của Anh

Ý kiến trên Hacker News

• Tôi khá hiểu môi trường doanh nghiệp ở châu Âu và Anh. Không chỉ chính phủ mà cả những nơi như các ngân hàng lớn cũng vậy. Họ thuê hai kiểu nhân sự: một nhóm thực sự làm việc, và một nhóm đặt ra nhiều rào cản nhất có thể dưới danh nghĩa quản lý rủi ro, tuân thủ, bảo mật, quy định, v.v. (RCSR). Nhân sự liên quan đến RCSR được tuyển với quy mô gấp ba lần nhân sự kỹ thuật. Họ tung ra hàng nghìn trang hướng dẫn khiến việc triển khai công việc gần như bất khả thi. Đội kỹ thuật của chúng tôi thậm chí đã chờ phê duyệt suốt 4 tháng chỉ để được thử nâng cấp cơ sở dữ liệu. Lãnh đạo cấp cao hoàn toàn không thể đi ngược lại quyền lực của RCSR, giống như các giáo sĩ trong nhà thờ thời trung cổ. Họ xem mọi thứ chuyển động đều là rủi ro vì không có mục tiêu nào gắn với kết quả thực tế. Quản lý thì tin rằng RCSR giúp tăng kiểm soát, nhưng thực tế nó chỉ làm phát sinh thêm vô số việc vô nghĩa, khiến doanh nghiệp bị mắc kẹt trong những bức tường do chính mình dựng lên

  • Việc giám sát RCSR càng nặng thì bảo mật thực tế lại càng tệ đi. Đội chính sách không hiểu rõ kỹ thuật nên cứ bám vào những việc không quan trọng, làm tiêu hao năng lượng phát triển. Ví dụ, chỉ để tuân theo hướng dẫn CIS trong k8s là “không lưu bí mật trong biến môi trường”, nhóm chúng tôi đã phải sửa Helm chart suốt 2 tuần. Đó chỉ là gánh nặng bảo trì về sau chứ gần như không mang lại hiệu quả bảo mật thực chất nào. Thay vào đó, thời gian đó hoàn toàn có thể dùng để triển khai các biện pháp bảo mật hữu ích hơn về nền tảng như network policy hay CSP. Ở tầng quy trình phía trên chỉ có các ma trận đánh giá rủi ro và tác động, hoàn toàn không có đánh giá về công sức bỏ ra và kết quả đạt được. Cuối cùng chỉ còn lại những việc vô nghĩa chứ không phải kỹ thuật thực sự

  • Có lẽ cảm giác đúng là như vậy. Thực tế là các kỹ sư thường có xu hướng trở nên chai lì với dữ liệu. Khung pháp lý thường do những người không hiểu công việc thực tế xây dựng nên có rất nhiều luật tệ. Nhưng trong thế giới thật, nếu vi phạm luật thì lúc nào cũng có thể bị ai đó kiện, nên luôn phải cảnh giác. Đặc biệt ở Mỹ, cá nhân có thể trực tiếp khởi kiện dựa trên các luật như vậy. Tất nhiên, đa số yêu cầu tuân thủ trên nguyên tắc không quá phức tạp, nhưng chúng gây khó chịu hơn vì mâu thuẫn với thói quen phát triển phần mềm vốn mặc định là sử dụng dữ liệu một cách tự do. Trước đây nếu chỉ là blog công khai thì còn đỡ, nhưng giờ thông tin y tế, tài chính của người khác đều có thể liên quan, và nếu làm sai thì có thể dẫn đến những vụ như Cambridge Analytica, nên gánh nặng trách nhiệm lớn hơn rất nhiều. Dù khó chịu, với tư cách kỹ sư chúng ta vẫn phải nhận thức được hậu quả và trách nhiệm của những gì mình tạo ra. Chính sự thiếu nhận thức này đã gây ra các sự cố lớn trong ngành

  • Ở Mỹ cũng có vấn đề tương tự nhưng nhẹ hơn một chút. Không ai có thể đối đầu với các bộ phận liên quan đến tuân thủ. Nếu bị kiện, câu hỏi sẽ là “tại sao anh lại phớt lờ lời khuyên của đội tuân thủ”, và thậm chí lá chắn pháp lý của doanh nghiệp cũng có thể sụp đổ. Đội tuân thủ không quan tâm đến việc thúc đẩy kinh doanh, còn phía vận hành thực tế thì lại không có động lực rõ ràng để ưu tiên tuân thủ. Cuối cùng, rủi ro kiện tụng luôn đẩy mọi thứ về cách tiếp cận thận trọng, luôn đặt tuân thủ lên trên hết

  • Đây không phải vấn đề riêng của châu Âu. Tôi từng làm ở những công ty khá giống vậy tại Mỹ. Vấn đề nằm ở cấu trúc động lực: người ta sợ rằng chỉ một vi phạm nhẹ về quy định cũng có thể khiến công ty đóng cửa (ban lãnh đạo giả định như vậy), trong khi việc không hoàn thành nhiệm vụ thực tế lại không bị bất lợi gì. Vì thế, không làm gì cả trở thành lựa chọn hợp lý

  • Bạn nói phải chờ phê duyệt 4 tháng để thử nâng cấp cơ sở dữ liệu, trong khi tôi từng than phiền vì từ lúc thay đổi đến lúc áp dụng lên production mất tới một ngày. Công ty trước đó của tôi chỉ mất 4 tiếng. Nếu hệ thống và quy trình tự động hóa được xây tốt thì có vẻ phần lớn thay đổi đều có thể đi theo luồng phê duyệt nhanh. Phản ứng kiểu tổ chức chỉ ngày càng bổ sung thêm người có quyền nói “NO” mỗi khi có sự cố hay thay đổi quy định thật sự rất ngột ngạt

• Tôi không thích cách tiếp cận của Anh đối với an toàn trực tuyến vì nó thiếu thực tế. Các dự luật lúc nào cũng tạo cảm giác do những người kiểu như in email ra giấy để đọc viết ra. Nhưng cũng không hẳn là “nền tảng nhỏ = được miễn” thì đã hợp lý. Nếu mục tiêu là bảo vệ trẻ em, thì nội dung nguy hiểm như kích động tự sát vẫn là vấn đề bất kể quy mô nền tảng. Thậm chí những nơi nhỏ và ít được biết đến hơn, như các trang chan cụ thể, có khi còn nguy hiểm hơn

  • Các doanh nghiệp nhỏ không đòi được miễn hoàn toàn, mà chỉ muốn ít nhất có thể tuân thủ quy định dù không phải là tập đoàn lớn. Ví dụ với thuế bao bì nhựa, các công ty như Amazon có thể lập hẳn đội ngũ để xử lý tốt, còn các hộ kinh doanh nhỏ có thể lỗ chỉ vì gánh nặng hành chính. Nếu áp dụng cấu trúc phí cố định với ít thủ tục hơn cho các đơn vị dưới một mức doanh thu nhất định thì vừa giữ được mục tiêu ban đầu vừa ngăn được thiệt hại thực tế

  • Vấn đề là tính hiệu quả của luật. Nếu để ngăn va chạm thiên thạch mà bắt mọi tòa nhà phải có mái bê tông dày 1 mét, thì cuối cùng các tòa nhà nhỏ chỉ thêm gánh nặng còn các tòa lớn gần như không bị ảnh hưởng. Những kiểu quy định như vậy, dù trông phi lý, lại dẫn đến kết quả là đẩy doanh nghiệp nhỏ ra khỏi thị trường và chỉ để lại các tập đoàn lớn có tiềm lực vốn mạnh. Khi mức chấp nhận rủi ro của cả xã hội ngày càng thấp, thì hiện tượng bị các tập đoàn lớn chi phối quy định cũng sẽ tự nhiên đi theo

  • Anh là ví dụ tiêu biểu cho thấy quy định công nghệ thực tế vận hành ra sao. Gần đây trên Hacker News tôi cũng thấy bình luận đòi siết quy định ngày càng nhiều. Đặc biệt với LLM, cứ hễ có lỗi, hay đầu ra giống nội dung có bản quyền, là lại có phản ứng kiểu “hãy quản lý đi”, “hãy trừng phạt đi”. Nhiều người nghĩ rằng nếu đưa ra quy định thì chỉ các tập đoàn lớn bị phạt còn người tiêu dùng sẽ được hưởng sản phẩm hoàn hảo. Nhưng trên thực tế, quy định mạnh khiến doanh nghiệp rút khỏi quốc gia đó, còn người dùng thì vẫn dùng VPN để tiếp tục truy cập dịch vụ. Doanh nghiệp sẽ né các nước có quy định như vậy hoặc đóng hẳn hoạt động. Mỗi khi chỉ ra tác dụng phụ của quy định, người ta lại dễ dàng nói “thì miễn cho công ty nhỏ là được”. Càng chứng kiến gần thực tế các kiểu siết quản lý công nghệ cứng rắn, càng có nhiều người ghét chúng hơn

  • Mục tiêu cuối cùng của quy định trực tuyến tại Anh thường quy về “giám sát”. Họ chẳng có nhiều suy nghĩ về cách sử dụng dữ liệu, nhưng lại ám ảnh với việc thúc đẩy các đạo luật phục vụ giám sát

• Những chuyện như trường hợp này cũng đang lặp đi lặp lại, chẳng hạn https://www.thehamsterforum.com/threads/big-sad-forum-news-online-safety-act.2091/ (nhân tiện thì ở Anh, ngay cả diễn đàn cho người yêu thích hamster cũng thật sự có thể trở thành bất hợp pháp)

  • Việc thehamsterforum còn đề xuất mọi người chuyển hết sang Instagram cho thấy vì sao các tập đoàn lớn lại thích những đạo luật như vậy. Càng nhiều quy định thì rào cản gia nhập càng cao, và chỉ những công ty lớn có đội ngũ luật sư nội bộ mới đủ điều kiện tham gia cung cấp dịch vụ

  • Tôi tò mò không biết vì lý do gì mà diễn đàn lại “làm một điều gì đó mới”, rồi sau đó hoạt động trở lại. Họ nói đã đáp ứng tuân thủ bằng cách thay đổi điều khoản sử dụng và triển khai công cụ kiểm duyệt mới, nhưng tôi thật sự muốn biết họ đã đi đến kết luận gì để cho rằng rủi ro không còn, và liệu các công cụ đó có thực sự đủ hay không

  • Diễn đàn hiện vẫn đang hoạt động, nên tôi cũng thắc mắc có phải bài đăng ban đầu đã sai hay không

  • Có lẽ đó là lý do quán cà phê trong series Fleabag lại có cảm giác bình thường hơn (dù chuột lang và hamster khác nhau)

• Tôi không rõ đây là dịch vụ gì, nhưng vào trang thì thấy đó là dịch vụ 18+, và có ghi cấm “khiêu dâm trẻ em, mô tả tình dục với trẻ vị thành niên, bạo lực máu me quá mức, thú tính, cưỡng hiếp” v.v. Tôi không đồng ý 100% với toàn bộ Online Safety Act, nhưng kiểu dịch vụ này rõ ràng có vẻ cần một đánh giá rủi ro riêng biệt

  • Chỉ đọc bài thì tôi thấy có vẻ đáng ngại, nhưng sau khi tự xem trang thì thấy phần mô tả chưa đầy đủ và có những yếu tố rủi ro, nên có vẻ đúng là cần một mức độ quản lý nào đó. Tuy vậy tôi cũng muốn biết liệu các dịch vụ tương tự nhưng mức rủi ro thấp hơn có bị ảnh hưởng y hệt hay không

  • Theo tôi biết, tính năng chính của dịch vụ này là cung cấp cho người dùng các mô hình AI được kiểm duyệt ở mức tối thiểu. Chỉ cần không phải nội dung bất hợp pháp (mà ở đây luật không chỉ là luật do chính phủ ban hành mà còn bao gồm cả quy định của các đơn vị thanh toán như Visa/Mastercard) thì gần như cái gì cũng được. Có lẽ nội dung tình dục nhiều là vì nhu cầu của thị trường người lớn, chứ không phải vì đặc tính cốt lõi của dịch vụ

  • Điều họ phàn nàn có lẽ không phải là bản thân việc đánh giá rủi ro, mà là phạm vi và chi phí quá mức của việc đó

• Có câu “việc tìm cách truy cập trang cuối cùng là trách nhiệm của người dùng, và người dùng sẽ không bị trừng phạt”. Nếu là đơn vị vận hành đang lo trách nhiệm pháp lý thì lẽ ra không nên để lại câu như vậy, vì nó làm suy yếu bài đăng đó cũng như độ tin cậy trong nỗ lực tuân thủ của họ

  • Trên thực tế gần như không thể chặn được người dùng VPN. Trừ khi chính phủ kiểm soát toàn bộ các ISP, mà ngay cả Anh cũng khó có thể làm đến mức đó. Trong một quốc gia bình thường, đơn vị vận hành trang không thể bị quy trách nhiệm về chuyện này

  • Đơn vị vận hành đã nói rõ rằng họ muốn quay lại thị trường Anh và hướng tới tuân thủ đầy đủ. Họ chỉ đánh giá sai phạm vi quy định nên đã chặn dịch vụ tại Anh, và đây là biện pháp tạm thời

• Điều thật sự gây bực bội là luật và quy định không tính đến quy mô của nhà cung cấp. Lúc nào người ta cũng đối xử với nhà cung cấp lớn như kẻ ác rồi lấy danh nghĩa “phải bảo vệ trẻ em” để kiếm sự ủng hộ, nhưng rốt cuộc các tập đoàn lớn mới là bên được lợi. Chỉ họ mới đủ khả năng gánh toàn bộ chi phí như tư vấn pháp lý, và rồi chiếm trọn thị trường. AI Act cũng vậy, cuối cùng cả doanh nghiệp vừa nhỏ lẫn người tiêu dùng đều sẽ chịu thiệt

  • Thực ra đạo luật này về mặt nào đó cũng đã tính đến quy mô nhà cung cấp, vấn đề là ngưỡng chuẩn lại được đặt theo mức của doanh nghiệp lớn. Đây là cấu trúc được hình thành sau thời gian dài các tập đoàn vận động hành lang. Anh trên danh nghĩa có vẻ là nước ít tham nhũng, nhưng nếu nhìn vào cách các quyết định thực sự được đưa ra thì tham nhũng lại khá phổ biến. Đạo luật này gần như cũng không có nhiều sự ủng hộ từ công chúng. Lúc nào họ cũng lôi trẻ em ra qua các chiến dịch truyền thông trên báo chí, nhưng nội dung luật thực tế lại cách xa mục tiêu ban đầu. Vẫn có bầu cử, nhưng chính sách thì không đổi

  • Đây là hiện tượng chiếm đoạt quy định. Tác động lên doanh nghiệp nhỏ cũng là kết quả có chủ đích

• Phần giải thích luật liên quan ở đây: https://www.gov.uk/government/publications/online-safety-act-explainer/online-safety-act-explainer#who-the-act-applies-to. Theo cách tôi đọc thì Amazon sẽ phải xác minh độ tuổi với hơn 80% tổng kho sách của mình, còn 20% còn lại vẫn phải chịu trách nhiệm vì định nghĩa cực kỳ rộng của “trải nghiệm trực tuyến phù hợp độ tuổi cho trẻ em”. Như janitorai đã chỉ ra, đạo luật này áp dụng cho họ và toàn bộ nội dung họ tạo ra cũng nằm trong phạm vi. Việc chặn truy cập từ thị trường Anh có lẽ là phản ứng tốt nhất. Nhân tiện, có vẻ luật này không áp dụng cho website cấp một nếu giữa khách truy cập không có tương tác. Ví dụ, blog không có bình luận thì có vẻ ổn

  • Phần clarification của Ofcom (cơ quan quản lý truyền thông Anh) lại khác: https://www.theregister.com/2025/02/06/uk_online_safety_act_bloggers/

  • Thậm chí blog có bình luận cũng có thể vẫn ổn: https://onlinesafetyact.co.uk/ra_blog_with_comments/

• Theo cách tôi hiểu sơ bộ luật này thì tôi từng nghĩ phải có vài triệu người dùng ở Anh mới bị áp dụng https://www.onlinesafetyact.net/analysis/categorisation-of-services-in-the-online-safety-act. Tôi không rõ liệu trang này có thật sự thuộc diện đó không, hay là tôi đã hiểu sai hoàn toàn (tôi không phải luật sư)

  • Đó là ngưỡng để áp thêm yêu cầu bổ sung. Tất cả mọi bên (trừ khi thuộc diện miễn trừ đặc biệt) đều có “nghĩa vụ bảo vệ người dùng”. Chỉ nghe thôi cũng đã thấy hàng loạt yêu cầu hành chính phức tạp và tốn kém. Và để xác định xem mình có thuộc diện miễn trừ hay không thì còn phát sinh cả chi phí thuê luật sư. Bản thân đạo luật này quá mơ hồ và có quá nhiều vùng xám ngoài dự tính. Đây không phải “phán quyết”, mà là luật và các quy định triển khai của nó. PDF liên quan: https://www.ofcom.org.uk/siteassets/resources/documents/consultations/category-1-10-weeks/263963-categorisation-research-and-advice/categorisation-research-and-advice.pdf

  • Checklist xác định dịch vụ có thuộc phạm vi áp dụng của Ofcom thậm chí còn không dùng các ngưỡng như vậy, mà theo kiểu chỉ cần có một khách hàng trả phí ở Anh là đã tính: https://ofcomlive.my.salesforce-sites.com/formentry/RegulationChecker

  • Cái ý niệm rằng “người dân nước tôi truy cập trang của anh” nên nước tôi có quyền tài phán đối với máy chủ đó (được host ở nước ngoài), và cả người vận hành (sống ở nước ngoài), thậm chí có thể xử lý hình sự, thật sự rất khó chấp nhận

  • Nguồn đó không phải về cách luật đang thực sự được áp dụng, mà là đề xuất tính đến năm 2024

  • Những bộ luật đồ sộ dài hàng trăm trang lúc nào cũng có vô số vùng xám. Gần đây chính phủ Anh đã trở thành kiểu chính quyền thực sự bắt người vì “tội phạm” trên mạng, nên mới sinh ra cả những đạo luật ngớ ngẩn đến mức này

• Vì những chuyện như vậy nên tôi có cảm giác toàn bộ Internet đang tiến dần tới một kiểu khủng hoảng giống Kessler Syndrome. Ở Mỹ cũng vậy, 50 bang đều đang muốn tự đưa ra quy định riêng về AI; trước đó OBBB từng định kiểm soát trong 10 năm nhưng đã thất bại. Giờ thì từng bang đều có thể tự đặt ra quy định. Muốn tuân thủ tất cả các quy định khác nhau trên toàn thế giới giờ gần như là bất khả thi

  • Nếu chi phí vận hành tăng quá cao thì cuối cùng trên quy mô toàn cầu chỉ còn lại một số ít siêu trang web cực lớn, còn hàng trăm website nhỏ theo từng khu vực sẽ sống sót bằng cách khóa vùng. Cyberspace cũng không thể thực sự độc lập khi vẫn phải kiếm tiền và dựa vào thế giới thực như xác minh danh tính https://www.eff.org/cyberspace-independence

  • Sự Balkan hóa của Internet rốt cuộc là kết cục không thể tránh khỏi. Phương án thay thế sẽ là các quốc gia chấp nhận trao chủ quyền đối với hạ tầng thiết yếu hiện tại cho nước ngoài, mà các chính phủ thì sẽ không chọn như vậy. Khi Internet còn chỉ là thú vui thì còn được, nhưng giờ nó đã là nền tảng của cuộc sống, nên việc giao chủ quyền hạ tầng cho chính phủ nước ngoài và Big Tech không còn có thể chấp nhận nữa

  • Mỗi khi câu chuyện “Balkan hóa Internet” xuất hiện trong thảo luận công chúng, cá nhân tôi lại có xu hướng nhìn nó tích cực hơn. Tôi nghĩ chỉ khi nhân loại sẵn sàng gánh trách nhiệm của việc giao tiếp toàn cầu tức thời như vậy thì mới nên cho phép điều đó

• Có lẽ ngay cả tôi cũng phải chặn khách truy cập từ Anh khi dùng Marginalia Search. Là một lập trình viên solo thì tôi không thể gánh nổi hết các yêu cầu pháp lý :-/

  • Nhân tiện, vào trang status thì dịch vụ vẫn bình thường nhưng lại hiện “không khả dụng”. Kiểu sự cố này thì ổn đấy! https://status.marginalia.nu