GDPR hóa ra vô nghĩa: quyền riêng tư ở EU đi đến hồi kết vì giám sát trò chuyện

 (youtube.com)
2 điểm bởi GN⁺ 2025-08-18 | 1 bình luận | Chia sẻ qua WhatsApp
  • GDPR đã được ban hành, nó hầu như không mang lại hiệu quả thực chất cho việc bảo vệ quyền riêng tư trong EU
  • Thông qua chính sách Chat control, việc giám sát các liên lạc trực tuyến tại châu Âu đang được triển khai
  • Cùng với sự suy yếu của quyền riêng tư, việc triển khai công nghệ giám sát đang diễn ra nhanh chóng
  • Ưu tiên đang chuyển từ bảo vệ dữ liệu người dùng sang kiểm soát Internet của chính phủ
  • Theo đó, lo ngại về suy giảm quyền riêng tư trong ngành công nghệ và startup châu Âu đang ngày càng gia tăng

Giới hạn của GDPR và việc áp dụng chính sách giám sát trò chuyện

  • EU đã thực thi GDPR (luật bảo vệ dữ liệu cá nhân) và hứa hẹn bảo vệ quyền riêng tư, nhưng trên thực tế hiệu quả bảo vệ quyền riêng tư trực tuyến vẫn còn rất hạn chế
  • Gần đây, chính sách được gọi là Chat control đang được đưa vào áp dụng, mở rộng giám sát ở cấp chính phủ đối với các dịch vụ trực tuyến lớn và nội dung hội thoại trên ứng dụng nhắn tin tại châu Âu
  • Dù chính sách này được quảng bá với mục tiêu công ích như bảo vệ trẻ em, nó lại dẫn tới giám sát thông tin trên diện rộng, bao gồm cả việc quét tin nhắn của toàn bộ người dùng

Giám sát gia tăng và tác động tới quyền riêng tư

  • Theo chính sách Chat control, các giải pháp giám sát và lọc tự động dựa trên AI được áp dụng, khiến cả tin nhắn riêng tư giữa các cá nhân cũng trở thành đối tượng bị phân tích
  • Trái với khuôn khổ pháp lý ban đầu nhằm bảo vệ dữ liệu, quyền bảo vệ quyền riêng tư cá nhân đang suy yếu dưới danh nghĩa an toàn công cộng
  • Vì vậy, các doanh nghiệp tư nhân và startup cũng đang bị buộc phải thay đổi cấu trúc dịch vụ và đáp ứng yêu cầu tuân thủ pháp lý

Lo ngại của ngành công nghệ và startup châu Âu

  • Việc xâm phạm đời tư trực tuyến và tăng cường giám sát sẽ ảnh hưởng lâu dài tới môi trường đổi mới sáng tạo và năng lực cạnh tranh của hệ sinh thái startup tại châu Âu
  • Nhiều công ty đang đối mặt với tình trạng niềm tin của khách hàng suy giảm và gánh nặng quản lý dữ liệu gia tăng
  • Cuối cùng, tranh luận về sự cân bằng giữa bảo vệ dữ liệu cá nhân và kiểm soát của chính phủ đang nổi lên như một vấn đề cốt lõi của ngành IT

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-08-18
Ý kiến Hacker News

  • Nếu ai đó nói riêng tư rằng họ dùng Signal vì không có gì phải giấu, tôi luôn bảo người đó thử mở khóa điện thoại rồi đưa cho tôi xem. Nhiều người vẫn không hiểu ngay cả khi tôi nói đùa như vậy. (bài liên quan)

    • Lập luận đó là sai. Cách mọi người tin chính phủ và tin lẫn nhau là khác nhau. Việc lá phiếu được giữ bí mật cũng có lý do của nó. Nếu chính phủ có thể chỉ dựa vào chat và mạng xã hội để dự đoán xu hướng bỏ phiếu của công dân với độ chính xác trên 80%, biết trước việc hình thành các đảng mới, nắm cả bí mật của bạn bè để rò rỉ cho báo chí, hoặc truy tố bằng những tội danh mơ hồ, thì chúng ta sẽ mất cơ hội thay đổi chính phủ một cách thực chất. Tri thức là quyền lực. Hãy tự hỏi xem hiện tại cán cân quyền lực có đang nghiêng quá nhiều về phía cá nhân hay không
    • Tôi thường khuyên nên bỏ qua chuyện cá nhân mà nghĩ đến việc quyền lực mà người ta sợ nhất có thể biết trước mọi sự phối hợp bí mật. Bản thân tôi gần như không có gì phải giấu, nhưng tôi tha thiết mong rằng ai đó vẫn phải có quyền giữ bí mật. Chỉ như vậy chúng ta mới có thể chống lại sự lạm quyền hiệu quả hơn
    • Nếu họ thực sự đưa điện thoại cho tôi, tôi cũng thắc mắc bước tiếp theo sẽ là gì. Lục ảnh hay tin nhắn với người yêu rồi tìm thứ gì đó để cười cợt sao? Tôi không hình dung được chuyện này sẽ diễn ra thế nào ngoài đời thực

  • Muốn áp dụng chính sách kiểu này thì trước hết nên thử nghiệm nó trong 5 năm lên toàn bộ chính trị gia, công chức, gia đình họ, thậm chí cả con cái. Nên cho các nhà nghiên cứu bảo mật được tự do hack hệ thống đó mà không bị truy cứu hình sự. Mọi lần truy cập dữ liệu phải được ghi dưới dạng bút danh trên blockchain công khai. Sau 5 năm thì công bố thống kê và báo cáo, kèm log chi tiết về mức độ giảm tội phạm và ai bị trừng phạt vì lý do gì, rồi cuối cùng để người dân bỏ phiếu quyết định có triển khai hệ thống này hay không

    • Vấn đề của đề xuất này là chính trị gia sẽ không thay đổi cách hành xử. Chính trị gia tối ưu phải là một kẻ hiện thực tuyệt đối, không có đạo đức, và trong nền dân chủ liên bang thì dường như khó tránh khỏi điều đó. Cần biết ai là lực lượng vận động hành lang đang tích cực thúc đẩy Chat Control. Báo chí phải đào bới các bê bối của họ và phổ biến rộng rãi
    • Tôi nghĩ cách này không phải là sự đối xử công bằng với bất kỳ ai. Kiểu giám sát toàn diện như vậy rốt cuộc sẽ phơi bày mọi bí mật, bất kể hợp pháp hay bất hợp pháp, và gây tổn hại nghiêm trọng. Khoảnh khắc bạn cho phép nhà nước giám sát công dân, nhà nước đó sẽ biến thành thứ mà lẽ ra không nên tồn tại. Không thể mong chờ kết cục tốt đẹp từ một nhà nước giám sát
    • Điều mỉa mai là nếu hệ thống này tồn tại thì hẳn cũng có thể xem được các tin nhắn SMS giữa Ursula von der Leyen và Pfizer
    • Vấn đề thật sự là mục tiêu ngăn chặn hoặc giải quyết mọi tội phạm chính là kịch bản tồi tệ nhất đối với tự do. Khi việc phản kháng trở nên bất khả thi, khả năng xã hội sụp đổ vào lạm quyền và độc tài sẽ không còn là 0%. Chỉ cần nghĩ đến vô số cuộc cách mạng chống độc tài, lịch sử đẫm máu, và những cuộc chuyển đổi sang dân chủ đã đi kèm bao nhiêu bạo lực, đe dọa và hy sinh, thì ta sẽ thấy rằng chúng ta cần quyền được phản kháng bất cứ lúc nào, thậm chí cần cả không gian để nói về bạo lực và thù hận theo cách có tổ chức. Loại tự do này có thể bị kẻ xấu lợi dụng, nhưng đó là cái giá chúng ta phải trả

  • Tôi nghĩ nên bỏ chữ "chat" đi và chỉ để lại "Control". Dự luật ChatControl đang được bàn tới quá mơ hồ nên có thể áp dụng cho mọi dịch vụ có khả năng chia sẻ hoặc đồng bộ trực tuyến. Chat, email, chia sẻ tệp, danh sách việc cần làm, tất cả đều bị tính vào

    • Tôi cảm giác ChatControl là kết quả của việc EU thất bại trong xây dựng một hệ thống giám sát quy mô lớn bí mật kiểu NSA/Echelon của Mỹ. Họ cũng thất bại với công cụ tìm kiếm và cloud của châu Âu, nên giờ muốn công khai làm luật để ép triển khai. Tôi chỉ hy vọng việc thực thi sẽ kém hiệu quả trên thực tế. Chúng ta không sống trong 1984 hay Brave New World, mà là trong một kiểu phản địa đàng "EU năm 1985" như phim Brazil
    • Xét theo nghĩa từ điển thì đã có từ wiretap rồi, giờ chắc nên gọi là "wireless tap" nữa

  • Tôi tò mò không biết người dân ở các nền dân chủ phương Tây nhìn hiện tượng này thế nào. Tôi từng sống ở một đất nước gần như độc tài nên luôn thấy kiểu kiểm soát này là chuyện đương nhiên. Nhưng tôi nghĩ EU và Mỹ phải khác. Không hiểu sao hết tin này đến tin khác xuất hiện mà chẳng có phản ứng gì đáng kể

    • Có sự phản đối khá mạnh từ các tổ chức xã hội dân sự, nhóm bảo vệ quyền riêng tư, tòa án, Nghị viện EU, v.v. ví dụ chỉ trích
    • Tôi sống ở Mỹ và cũng thấy chuyện này thật vô lý. Trước đây cộng đồng Internet phản ứng mạnh hơn nhiều trước cả những quy định còn kém phản địa đàng hơn. Còn bây giờ thì tình hình có tệ đến đâu mọi người cũng dửng dưng. Ngày càng ít người sẵn sàng hành động vì những việc đòi hỏi hy sinh, và ngay cả tôi cũng không biết phải làm gì. Mới không lâu trước đây ai cũng phẫn nộ khi nói về SOPA, còn bây giờ thực sự có cảm giác ai cũng đã tê liệt
    • Ở phương Tây, cách dẫn dắt dư luận thường là dùng khẩu hiệu "phải bảo vệ trẻ em". Họ đưa lên truyền thông những vụ việc kinh khủng liên quan đến ấu dâm, ma túy, tự sát, tự hại, bắt nạt trên mạng... để dập tắt ý kiến phản đối
    • EU và Mỹ rõ ràng khác nhau. Quyền riêng tư chủ yếu được bảo vệ bằng tuân thủ quy định và kiện tụng dân sự. Ví dụ trong vụ rò rỉ dữ liệu từng ảnh hưởng tới 300 triệu người, mức phạt chỉ cỡ 0,25 USD mỗi trường hợp. Trong khi đó EU phạt nặng hơn nhiều vì vi phạm chính sách doanh nghiệp. Ví dụ DPC của Ireland từng phạt Facebook 1,2 tỷ euro (khoảng 1,3 tỷ USD) vì vi phạm chuyển dữ liệu EU-Mỹ. liên kết liên quan
    • Đất nước tôi mới thoát khỏi chế độ cộng sản cách đây chỉ 35 năm. Trong số những người tôi biết, ai cũng phản đối chính sách này. Các nước lớn từng nhiều lần cố quyết theo số đông, nhưng hiện vẫn phải theo "nguyên tắc nhất trí" tức tất cả các nước đều phải đồng ý. Chỉ cần một nước phản đối là rất khó thông qua

  • Gần đây tôi thử dùng I2P, và thật sự ấn tượng với thiết kế cũng như chất lượng kỹ thuật của nó. Đây là một phần mềm tuyệt vời, có gần như mọi chức năng cần thiết cho một mạng phân tán. Tuy nhiên do hiệu ứng mạng, thứ nó thiếu nhất trên thực tế lại là cộng đồng. Càng nhiều router ổn định thì mạng càng nhanh và đáng tin cậy, nhưng hiện giờ vẫn còn chậm. Dù vậy tôi vẫn khuyên nên thử ít nhất một lần; ngay cả khi không quan tâm đến bảo mật hay ẩn danh thì các điểm như hole punching, gán địa chỉ toàn cục bằng khóa công khai, v.v. cũng rất thú vị. Nó còn cung cấp giao diện SAM và thư viện để tích hợp vào ứng dụng khác

    • Trang chính thức của I2P
    • Tôi đã nghe người ta khen I2P hơn 20 năm nay, nhưng khi dùng thật thì có rủi ro kiểu người khác truy cập trang kỳ quặc qua node của tôi rồi tôi bị liên lụy như với node Tor không?
    • Nhờ bình luận này mà tôi cũng bắt đầu dùng I2P. Router Raspberry Pi và nhiều máy chủ của tôi giờ đã trở thành node floodfill của I2P
    • Tôi tò mò không biết cụ thể bạn đang nói đến điều gì, có thể chia sẻ liên kết liên quan không

  • Tôi từng tự hỏi liệu có thể làm một ứng dụng nhắn tin mã hóa mà không cần máy chủ trung tâm hay không. Kiểu như magnet link của BitTorrent, mọi người cùng chia sẻ băng thông để chuyển tiếp tin nhắn, nhưng mỗi người chỉ nhìn thấy các tin nhắn liên quan đến mình. Với hiểu biết sơ cấp của tôi thì có vẻ khả thi và giống như một giải pháp thiên về quyền riêng tư của tương lai. Tìm thử thì thấy thực sự đã có Briar

    • Skype ngày xưa là hệ thống như vậy. Có máy chủ trung tâm (supernode) chỉ để hỗ trợ khám phá, còn người dùng kết nối trực tiếp để trò chuyện. Những client chạy lâu và có tài nguyên dồi dào cũng có thể trở thành supernode
    • Delta Chat không có bản web nhưng theo tôi là ứng dụng tốt nhất không cần cài đặt máy chủ. Chatiwi có vẻ là dịch vụ chat mã hóa e2e duy nhất không cần cài đặt gì cả (thuần JavaScript nên có thể kiểm tra source code/mạng), còn BriarTox thì phải cài app và không chạy trên iOS. Briar có vẻ đã bị ngừng phát triển
    • Có nhiều giải pháp với mức độ phân tán khác nhau. Briar là p2p hoàn toàn. Matrix thì có máy chủ, nhưng theo mô hình liên hợp, mỗi máy chủ tự quản lý riêng
    • Hoàn toàn có thể tạo một ứng dụng nhắn tin mã hóa p2p không có node trung tâm, nhưng gần như không thể làm cho nó đủ dễ dùng và đủ phổ biến với người dùng phổ thông. Các chuyện như thêm bạn, đồng bộ đa thiết bị, thông báo đẩy đều rất khó. Ngược lại, chạy Matrix hay Jabber trên máy chủ riêng rồi kiểm soát truy cập bằng Wireguard thực tế hơn nhiều. Thậm chí còn có app tự động hóa khâu thiết lập (xem Amnezia Proxy). Vì những máy chủ này không phục vụ công khai nên người ngoài không thể truy cập; với các nhóm nhỏ như gia đình hay dự án thì hoàn toàn đủ. Nhưng ở quy mô lớn kiểu Facebook hay Twitter thì không thể vì ma sát UX quá lớn
    • Nếu cố giải quyết một vấn đề chính trị chỉ bằng giải pháp kỹ thuật thì coi như đã thua từ đầu

  • Ở EU, việc thu thập dữ liệu cá nhân như theo dõi người dùng thì được cho phép, trong khi lưu dữ liệu ẩn danh vào cookie cục bộ để người dùng tự xóa hoặc chỉnh sửa lại bị hạn chế nghiêm ngặt hơn. Lại còn luôn kèm theo những cảnh báo phiền phức

    • EU từ trước đến nay vẫn liên tục thúc đẩy giám sát Internet, và có vẻ giờ môi trường chính trị cuối cùng cũng đã chín muồi. Nhìn cách họ duy trì các kiểu ngụy biện và lập luận chính đáng hóa suốt thời gian dài, tôi đoán đã có một lực lượng có tổ chức đứng sau việc này trong hàng chục năm. Chỉ đơn giản gạt đi là "EU bất tài" thì quá ngây thơ
    • Logic của EU là "chỉ chính phủ mới được phép theo dõi dữ liệu cá nhân", còn logic của Mỹ là "chỉ các tập đoàn lớn mới nên theo dõi dữ liệu cá nhân". Cá nhân tôi thấy để chính phủ theo dõi còn hơn. Đằng nào chính phủ cũng sẽ mua dữ liệu từ các tập đoàn lớn, và các tập đoàn đó lại càng kiếm thêm tiền nhờ các yêu cầu này
    • Trên thực tế EU vẫn cho phép cookie hoàn toàn ẩn danh, tức không chứa thông tin như định danh duy nhất. Cái gọi là "dữ liệu đã ẩn danh" nhiều khi thực ra không hề như vậy
    • GDPR không phải là đạo luật điều chỉnh dữ liệu ẩn danh được lưu trong cookie cục bộ

  • Ở nước tôi (nơi thủ tướng hiện tại là người được EU ưu ái), chính sách này tuyệt đối sẽ không được thông qua. Chính phủ thiểu số cầm quyền, tổng thống và người dân đều phản đối. Lần này sẽ không qua đâu, và có lẽ 2 năm nữa mới đem ra bàn lại. Nhưng tôi vẫn không hiểu vì sao người Đan Mạch không có biểu tình phản đối quy mô lớn trong khi chuyện này đang xảy ra

    • Cứ lần theo dòng tiền là sẽ hiểu. Làn sóng kiểm duyệt Internet tăng vọt gần đây cũng là do các công ty AI vận động hành lang để bán sản phẩm mới

  • Tôi tò mò ai mới thực sự đứng sau sáng kiến ChatControl. Tôi nhớ có những cái tên từng bị bôi đen

    • Người thúc đẩy mạnh DSA là Thierry Breton, một nhân vật cực kỳ gây tranh cãi. Cựu CEO của Atos, Ủy viên thị trường nội khối châu Âu, hiện là cố vấn cho Bank of America. Atos là doanh nghiệp hưởng lợi lớn nhất từ việc xây dựng hạ tầng an ninh ở châu Âu. Nhưng trên thực tế, dự luật được thông qua nhờ sự ủng hộ rộng khắp trong Nghị viện EU từ phe Cơ đốc giáo, xã hội chủ nghĩa, tự do, xanh, v.v. xem lịch sử bỏ phiếu
    • Đan Mạch và Thụy Điển đang dẫn đầu
    • Người ta nói Thụy Điển là bên dẫn dắt, nhưng thực ra tổ chức từ thiện Thorn do NSA vận hành đã vận động hành lang từ năm 2012
    • Thông tin chính thức về Thorn

  • Tôi tò mò liệu ECJ (Tòa án Công lý châu Âu) có khả năng bị kiện yêu cầu vô hiệu hóa một đạo luật kiểu ChatControl hay không. Ngay cả nếu nó được thông qua thì, bất kể cấu trúc chính quyền có phản đối hay không, những cá nhân bị ảnh hưởng trực tiếp trong đời sống riêng tư vẫn có thể yêu cầu tòa tuyên vô hiệu đạo luật. Vì vậy rốt cuộc vẫn có thể lôi nó ra tòa

    • Tôi thắc mắc trước đây ECJ đã từng ra phán quyết kiểu đó chưa