Tòa án phán quyết Meta đã truy cập dữ liệu sức khỏe phụ nữ từ ứng dụng Flo mà không có sự đồng ý

 (malwarebytes.com)
1 điểm bởi GN⁺ 2025-08-15 | 1 bình luận | Chia sẻ qua WhatsApp
  • Meta đã bị tòa án phán quyết là thu thập dữ liệu nhạy cảm từ ứng dụng theo dõi sức khỏe kinh nguyệt Flo Health mà không có sự đồng ý của người dùng
  • Flo Health thu thập các dữ liệu rất riêng tư như chu kỳ kinh nguyệt, tâm trạng, thông tin đời sống tình dục của người dùng, và đã chia sẻ chúng với nhiều bên thứ ba như Facebook, Google từ năm 2016 đến 2019
  • Flo Health từng hứa với người dùng về bảo vệ quyền riêng tưkhông chia sẻ dữ liệu, nhưng trên thực tế lại cho phép bên thứ ba tự do sử dụng dữ liệu đó cho các mục đích khác
  • Về việc này, Ủy ban Thương mại Liên bang Mỹ (FTC) đã ra lệnh điều tra sự việc và cải thiện chính sách đối với Flo Health; Flo Health và Google đã dàn xếp, nhưng Meta không dàn xếp đến phút cuối
  • Trong bối cảnh tranh cãi gần đây về quyền phá thai tại Mỹ, rủi ro quyền riêng tư của dữ liệu sức khỏe phụ nữ càng được nhấn mạnh hơn

Tổng quan vụ việc Meta thu thập trái phép dữ liệu người dùng ứng dụng Flo Health

  • Bồi thẩm đoàn tại Mỹ đã ra phán quyết công nhận rằng Meta đã thu thập thông tin sức khỏe sinh sản nhạy cảm của người dùng mà không có sự đồng ý thông qua ứng dụng theo dõi sức khỏe phụ nữ Flo Health
  • Flo Health là ứng dụng được khởi đầu tại Belarus vào năm 2015, được thiết kế để theo dõi dữ liệu cực kỳ chi tiết và cá nhân như kinh nguyệt và tình trạng sức khỏe của phụ nữ, hiện có hơn 150 triệu người dùng trên toàn cầu

Cách Flo Health thu thập và chia sẻ dữ liệu

  • Người dùng Flo Health thường xuyên trả lời những câu hỏi cực kỳ riêng tư như ngày kinh, thay đổi tâm trạng, phương pháp tránh thai, mức độ hài lòng trong đời sống tình dục và kế hoạch mang thai
  • Ứng dụng cam kết rõ ràng rằng sẽ không chia sẻ dữ liệu do người dùng nhập ra bên ngoài, và chỉ cung cấp một phần dữ liệu cho các đối tác liên quan khi cần để vận hành dịch vụ
  • Tuy nhiên, trong giai đoạn 2016~2019, Flo Health đã cung cấp rộng rãi những thông tin cá nhân này cho Facebook (nay là Meta), Google, AppsFlyer và Flurry
    • Mỗi lần mở ứng dụng đều để lại bản ghi truy cập, và mọi hành vi sử dụng trong ứng dụng đều bị ghi lại rồi gửi ra bên ngoài
    • Các bên thứ ba có thể sử dụng thông tin đó không chỉ cho mục đích cung cấp dịch vụ

Vấn đề về chính sách và niềm tin của Flo Health

  • Flo Health đã hứa hẹn với người dùng về niềm tinbảo vệ quyền riêng tư, nhưng trên thực tế hoàn toàn không có giới hạn hay hướng dẫn nào với bên thứ ba về việc sử dụng dữ liệu
  • Theo điều khoản sử dụng của ứng dụng, các đối tác bên ngoài được tự do sử dụng một phần dữ liệu của người dùng Flo Health
  • Tính đến năm 2020, Flo Health vẫn ghi rõ với 150 triệu người dùng rằng họ “ưu tiên bảo vệ dữ liệu cá nhân lên hàng đầu”, qua đó tạo dựng lòng tin
Quảng cáo

Trách nhiệm pháp lý và biện pháp của FTC

  • Người dùng thực tế Erica Frasco đã đệ đơn kiện tập thể vào năm 2021 chống lại Flo Health và các công ty liên quan (đặc biệt là Meta)
    • Các điểm tranh chấp chính gồm xâm phạm quyền riêng tư, vi phạm hợp đồng, làm giàu bất chính, vi phạm luật thông tin y tế
    • Nguyên đơn yêu cầu bồi thường thiệt hại và hoàn trả các khoản lợi bất chính
  • Flo Health và Google đã dàn xếp với nguyên đơn, nhưng Meta đã theo đuổi vụ kiện đến cùng thay vì dàn xếp
  • Bồi thẩm đoàn công nhận rằng Meta đã nghe lén hoặc ghi âm các cuộc trao đổi bằng thiết bị điện tử, đồng thời hành động mà không có sự đồng ý của người dùng

Bối cảnh xã hội và hàm ý của vụ việc

  • Ủy ban Thương mại Liên bang Mỹ (FTC) đã ban hành lệnh khắc phục đối với Flo Health, bao gồm kiểm toán chính sách từ bên ngoài và cấm lạm dụng dữ liệu cá nhân
  • Sau khi Tòa án Tối cao Mỹ hủy bỏ quyền phá thai vào năm 2022, quyền riêng tư của dữ liệu sức khỏe phụ nữ càng trở thành vấn đề quan trọng hơn
  • Meta cũng vướng thêm tranh cãi khi từng hợp tác với điều tra của cảnh sát vào năm 2022 để cung cấp dữ liệu tin nhắn liên quan đến phá thai giữa một phụ nữ và hai con gái của bà
  • Theo đưa tin của Propublica, các nhà thuốc trực tuyến cũng chia sẻ thông tin nhạy cảm với Google và các bên khác, làm phát sinh nguy cơ bị dùng làm chứng cứ pháp lý

Kết luận và cảnh báo về bảo mật

  • Nhiều người dùng đã tin tưởng Flo Health, nhưng sau khi cách xử lý dữ liệu thực tế bị phơi bày, tình trạng mất niềm tin ngày càng nghiêm trọng
  • Vụ việc này không chỉ dừng ở chuyện hạn chế dùng ứng dụng, mà còn gióng lên vấn đề về quyền riêng tư của toàn bộ dữ liệu sức khỏe cá nhân và độ tin cậy của công nghệ
  • Công nghệ mang lại sự tiện lợi, nhưng nếu dữ liệu bị lạm dụng thì có thể gây ra rủi ro thực tế cho người dùng

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-08-15
Ý kiến Hacker News

  • Dù bản thân tôi không thích công ty Facebook, tôi nghĩ phán quyết lần này là một kết luận sai. Nếu đọc nội dung đơn kiện, phần nói rằng họ “nghe lén hoặc ghi âm bằng thiết bị điện tử” thực chất có nghĩa là “Flo đã gửi custom event bằng Facebook SDK”. Việc Flo gửi loại thông tin này cho Facebook đáng bị chỉ trích, nhưng việc kết luận rằng Facebook đã “cố ý nghe lén” thì hoàn toàn không hợp lý. Theo tôi thấy, Flo đã tự nguyện gửi dữ liệu kinh nguyệt cho Facebook mà không cần bị yêu cầu, và Facebook thậm chí còn có chính sách cấm truyền thông tin nhạy cảm qua SDK. Kiện Facebook theo logic này chẳng khác nào kiện Google chỉ vì một bác sĩ nào đó lưu dữ liệu bệnh nhân lên Google Drive

    • Tài liệu vụ kiện liên quan

    • Tài liệu chính sách Facebook SDK trang 6, dòng 1

    • Nếu xét theo [1], ban đầu bị đơn chỉ có Flo nên việc không có nội dung cáo buộc nhằm vào Facebook là điều đương nhiên. Tuy nhiên, đơn kiện sửa đổi (3) có bổ sung các cáo buộc mới đối với Facebook. Theo đơn kiện sửa đổi, vấn đề là sau khi sự việc bị công khai vào năm 2019, Facebook vẫn tiếp tục hành vi đó đến tận năm 2021, và kể cả sau khi Flo bị FTC buộc phải dừng lại, thậm chí sau khi điều tra của Quốc hội bắt đầu, Facebook vẫn không xem xét hay hủy số dữ liệu đã bị thu thập sai. Ngoài ra, có thể kỳ vọng rằng trong quá trình discovery đã xuất hiện thêm bằng chứng cụ thể về việc Facebook biết dữ liệu gì và biết đến mức nào

    • Đó mới chỉ là một phần của câu chuyện. Nếu Facebook chỉ đơn thuần lưu giữ dữ liệu do Flo gửi hoặc chỉ dùng nó thay mặt Flo thì tình hình đã khác. Vấn đề là Facebook đã dùng dữ liệu y tế này cho mục đích quảng cáo, và cũng không tự xác minh xem mình có được phép sử dụng hợp pháp hay không. Họ có nghĩa vụ phải xác minh, nhưng đã không thực hiện quy trình đó, nên mới dẫn đến phán quyết có tội

    • Việc Flo gửi loại dữ liệu đó cho Facebook rõ ràng là sai. Vì thế Flo đã dàn xếp trong vụ kiện. Nhưng sau khi nhận được thông tin này, Facebook không chỉ chất đống hoặc phớt lờ nó, mà còn trộn dữ liệu này với các tín hiệu khác của chính họ để khai thác. Đây là điểm cốt lõi trong đơn kiện nhắm vào Facebook

    • Tôi nghĩ họ có trách nhiệm xác minh rằng dữ liệu đó là hợp pháp. Cũng như không đi mua đồ ăn cắp, Meta cũng phải cẩn trọng để không hợp tác với tội phạm. Flo sai nhiều hơn, nhưng Meta cũng cần chứng minh rằng mình đã thực hiện đầy đủ nghĩa vụ cẩn trọng. Không thể chỉ dùng điều khoản sử dụng để né trách nhiệm; điều quan trọng là phải bảo đảm người dùng thực sự hiểu nội dung đó

    • Trong những vụ như thế này, phán quyết của thẩm phán tốt hơn rất nhiều so với xét xử bởi bồi thẩm đoàn. Những chi tiết kỹ thuật như SDK, chia sẻ dữ liệu hay API rất khó để bồi thẩm đoàn bình thường hiểu đúng. Trong khi đó, ở các vụ kiện công nghệ trình độ cao, thẩm phán thường chủ động học kiến thức kỹ thuật và thảo luận sâu hơn nhiều

  • Mỗi lần nghĩ tới cảnh đối đầu với Facebook ngoài tòa, tôi lại hình dung một con chuột tí hon lao vào gấu trắng Bắc Cực. Hoặc kiểu goblin đấu với rồng, ruồi đấu với voi. Những đại công ty như thế này gần như là quái vật không bị pháp luật kiểm soát. Chỉ khi có nguy cơ mất thị phần hoặc bị chặn ở một khu vực nào đó thì họ mới thực sự cảm thấy áp lực

    • Nghe vậy có thể dễ hiểu lầm, nhưng thật ra những tập đoàn này không đứng ngoài pháp luật mà nằm ngay bên trong nó. Bởi vì bằng tiền và ảnh hưởng, họ có thể điều chỉnh chính đường ranh của pháp luật theo ý mình. Dù có nhiều tiếng kêu gọi rằng pháp luật nên được áp dụng thế nào, miễn là họ còn gánh nổi chi phí thì họ vẫn nằm trong phạm vi “hợp pháp” ấy

    • Điều khiến tôi chán nản nhất là gần như ai tôi biết cũng lo về các vấn đề quyền riêng tư kiểu này nhưng vẫn giữ tài khoản Meta. Nếu theo tiêu chuẩn của riêng họ mà thấy không sao thì dùng cũng được thôi. Con người mắc lỗi là chuyện bình thường. Nhưng cái thái độ rất nghiêm với niềm tin của bản thân mà lại kỳ lạ thay cực kỳ thiếu linh hoạt khi đánh giá người khác thì thật khó hiểu. Tôi thích con người, nhưng đôi lúc họ đúng là rất khó lý giải

    • Cuối cùng, chỉ cần phạt mỗi nạn nhân một khoản ba chữ số thôi cũng đã tạo áp lực cực lớn lên Facebook rồi

    • Mọi người cứ chỉ đổ lỗi cho Facebook mà dường như không trách các nhà lập pháp hay tòa án. Thực ra, nếu vì những chuyện như thế này mà có các khoản phạt lên tới hàng tỷ, khiến chính phủ phải đem cả server, ghế, máy chiếu trong văn phòng Facebook ra đấu giá để thu tiền mặt, thì các công ty khác chắc sẽ nhanh chóng ngừng hành vi phi pháp và cư xử khác đi

  • Có vẻ không nhiều người đọc kỹ bài báo. Bên thực sự làm sai là ứng dụng Flo. Vấn đề là các nhà phát triển ứng dụng đã gửi thông tin người dùng sang Meta mà không có giới hạn. Dù phán quyết viết gì đi nữa thì Flo mới là bên sai thật sự

    • Flo sai vì đã tải thông tin nhạy cảm lên cơ sở dữ liệu trực tuyến. Meta cũng sai vì cung cấp hạ tầng cơ sở dữ liệu thông tin cá nhân kiểu này. Cả hai đều đáng bị lên án về mặt đạo đức

    • Vì Meta tiếp nhận thông tin mà không có giới hạn nên đương nhiên Meta đã có thể truy cập nó. Nếu họ không có quyền sử dụng dữ liệu đó thì điều bình thường là Meta phải bị yêu cầu xin phép rõ ràng trước. Vấn đề nằm ở thực tế Meta truy cập trước khi có sự đồng ý

  • Cách đây 5 năm, khi nghiên cứu hệ sinh thái ứng dụng iOS, tôi đã tìm hiểu cấu trúc doanh thu tiềm năng của các ứng dụng miễn phí. Có một nhà phát triển phát hành ứng dụng miễn phí theo dõi sức khỏe trẻ em, và họ nhìn nhận chính dữ liệu đó là giá trị của ứng dụng. Họ cũng tự tin rằng khả năng sinh lời trong tương lai của ứng dụng cuối cùng sẽ đến từ việc bán dữ liệu. Từ đó tôi hình thành quan điểm rằng tuyệt đối không dùng các ứng dụng lưu dữ liệu cá nhân của mình, đặc biệt là dữ liệu sức khỏe, và phải tắt mọi quyền ứng dụng có thể tắt

    • Tôi thật sự không hiểu vì sao người ta lại giao dữ liệu cá nhân hay dữ liệu sức khỏe của mình cho những công ty tâm thần kiểu này. Tôi thấy bất an ngay từ nền tảng của việc phải dùng app theo dõi sức khỏe hoặc thiết bị đeo. Nghĩ đến quá khứ của các công ty đó thì phải mặc định rằng họ sẽ ghi lại mọi chi tiết, bán nó mãi mãi và lưu trữ vĩnh viễn

  • Kết luận là không dùng app mới là đáp án. Trong 95% trường hợp, chúng không đáng để đánh đổi mức độ xâm phạm quyền riêng tư mà chúng đòi hỏi

    • Mozilla có một tài liệu so sánh, khảo sát các ứng dụng theo dõi kinh nguyệt. Trong đó có một số app cố gắng bảo vệ quyền riêng tư của người dùng

    • Nếu là phần mềm thực sự cần kết nối Internet, tôi nghĩ nhà phát triển trước hết phải chứng minh được lý do và tính chính đáng của điều đó

    • Tôi không rành lắm, nhưng tự hỏi liệu chỉ cần tắt các quyền như vị trí chẳng hạn thì có giải quyết được vấn đề này không

    • Đáng buồn là thực tế đúng là như vậy

    • Nói rất đúng. Người dùng lúc nào cũng bị lôi cuốn theo cùng một kiểu tiếp thị “Tính năng miễn phí mới!”. Kết quả là mô hình kinh doanh xâm phạm cứ lặp đi lặp lại và luôn hiệu quả

  • Có một app đáng giới thiệu cho phụ nữ là Drip.

    • Trang chính thức của Drip

    • Có vẻ đây là app an toàn nhất

    • Thật ra tôi nghĩ tốt nhất là tự host và tự quản lý những thứ như thế này. Đây là loại dữ liệu tôi không muốn giao cho bất kỳ ai. Nhân tiện thì tôi không quan hệ tình dục với đàn ông, nhưng tôi vẫn thấy bận tâm về chuyện này

  • Vợ tôi dùng Flo. Mỗi lần cô ấy mở app và nhập thông tin, từ góc độ kỹ thuật tôi đều thấy việc này cực kỳ rủi ro. Những ứng dụng như vậy xử lý thông tin thực sự nhạy cảm, nên tôi càng cảm nhận rõ hơn sự cần thiết phải nâng cao nhận thức về an toàn thông tin cho những người bình thường không chuyên kỹ thuật

  • Vì thế tôi giữ chính sách gần như không cài app trên điện thoại, hoặc chỉ dùng ở mức tối thiểu. Dĩ nhiên website hay web app cũng có thể chia sẻ thông tin theo cách tương tự, nhưng ít nhất việc giảm quyền truy cập cấp hệ thống vẫn mang lại cho tôi cảm giác yên tâm hơn. Cá nhân tôi thấy với những gì LinkedIn đã thể hiện từ trước tới nay thì thật ngạc nhiên khi nó vẫn còn sống khỏe trên app store

  • Rất khó tìm thấy tin tức về quyền riêng tư mà Meta lại không dính líu vào

    • Tôi nghĩ Google, Microsoft và Amazon đều rất vui với tình hình đó

  • Cuối cùng thì chỉ khi các lãnh đạo cấp VP phải vào tù mới có gì đó thay đổi. Dĩ nhiên, trên thực tế điều đó gần như không thể xảy ra