Ứng dụng xác minh độ tuổi của EU không có kế hoạch hỗ trợ desktop

 (github.com/eu-digital-identity-wallet)
2 điểm bởi GN⁺ 2025-09-25 | 1 bình luận | Chia sẻ qua WhatsApp
  • Dự án ví định danh số của EU chỉ tập trung vào nền tảng di động (Android/iOS), không xem xét hỗ trợ desktop
  • Nhiều công dân, như người không có smartphone hoặc người dùng nhiều hệ điều hành khác nhau, bị loại khỏi dịch vụ
  • Việc liên tục bị yêu cầu xác minh độ tuổi cùng các vấn đề bảo vệ quyền riêng tư làm giảm tính tiện dụng
  • Cách làm này làm dấy lên các lo ngại lớn như phụ thuộc vào Google và Apple, hạn chế cạnh tranh và làm suy yếu chủ quyền số
  • Nhu cầu về các giải pháp thay thế dựa trên mã nguồn mở, tiện ích mở rộng trình duyệt và tiêu chuẩn phổ quát đang được đặt ra

Tổng quan và vấn đề cốt lõi

  • Vấn đề này nêu lên lo ngại về tính tiện dụng của hệ thống xác minh độ tuổi trong ví định danh số của EU (eu-digital-identity-wallet)
  • Do đề xuất hiện tại tập trung vào ứng dụng di động (Android và iOS), nó bộc lộ vấn đề loại trừ trên thực tế đối với người không có smartphone, người dùng PC và người dùng các OS thay thế

Các vấn đề chính về tính tiện dụng

  • Cách tiếp cận này giả định mọi công dân đều sở hữu smartphone, nhưng các trường hợp không có smartphone, như người cao tuổi, vẫn tồn tại
  • Khi sử dụng web, đặc biệt trong chế độ duyệt riêng tư hoặc ẩn danh, người dùng phải xác minh độ tuổi mỗi lần, khiến khả năng truy cập web suy giảm đáng kể
  • Tiện ích mở rộng trình duyệt để tự động xử lý cũng đã được thảo luận, nhưng có hạn chế về độ tin cậy và bảo vệ dữ liệu cá nhân
  • Chi phí triển khai kỹ thuật lớn, và có nguy cơ phụ thuộc vào một ngôn ngữ lập trình hoặc hệ sinh thái cụ thể, nên rào cản tham gia đối với các chủ thể nhỏ như startup trở nên cao hơn

Phản hồi từ phía EU và cộng đồng

  • Dự án EU nêu rõ rằng "khi truy cập nội dung bị giới hạn độ tuổi, người dùng cần xác thực danh tính theo cách đáng tin cậy và bảo đảm quyền riêng tư"
  • di động (Android/iOS) chiếm đa số người dùng và các trường hợp thực tế, nên hỗ trợ desktop hiện không nằm trong phạm vi hiện tại
  • Họ giải thích đây chỉ là một ví dụ triển khai tham chiếu để đáp ứng luật bảo vệ dữ liệu (DSA), và vẫn có thể triển khai các giải pháp thay thế khác
  • Họ cũng cho biết sẽ xem xét mở rộng sang nhiều nền tảng hơn và đón nhận các đóng góp đa dạng trong tương lai

Phản biện và các lo ngại bổ sung

  • Ở một số quốc gia châu Âu, hơn 1 trong 10 hộ gia đình không có smartphone
  • Dù trên thị trường vẫn tồn tại nhiều OS và thiết bị không dùng các OS tiêu chuẩn do Google hay Apple cung cấp (Linux, Windows, Sailfish...), cách làm hiện tại lại loại trừ chúng
  • Hạ tầng định danh công dựa vào cấu trúc độc quyền của các công ty cụ thể (Google, Apple), làm tổn hại quyền lựa chọn của người dùng và cạnh tranh thị trường trong tương lai
  • Là hạ tầng công, hệ thống này cần bảo đảm tính độc lập nền tảng và trung lập nhà cung cấp, đồng thời cần các phương án thay thế như smart card, FIDO2 hardware token và framework xác thực riêng của EU

Đề xuất các phương án thay thế về kỹ thuật và chính sách

  • Đã có đề xuất về cách tiếp cận phổ quát dựa trên tiêu chuẩn như W3C Credential Management API, cùng với trình duyệt, hệ điều hành và các phần mở rộng mã nguồn mở
  • Việc tập trung hệ thống định danh số vào di động có thể phù hợp để thay thế giấy tờ tùy thân vật lý, nhưng với xác thực trực tuyến thì khả năng mở rộng và cách tiếp cận dựa trên web là điều bắt buộc
  • Khi quy định được thúc đẩy, nhiều ý kiến bày tỏ lo ngại rằng công dân EU sẽ bị đặt vào cấu trúc phụ thuộc vào một số công ty Mỹ cụ thể

Kết luận và yêu cầu

  • Với định danh số là hạ tầng cốt lõi (như xác minh độ tuổi), việc bảo đảm tính phổ quát, trung lập nhà cung cấp và độc lập nền tảng là bắt buộc
  • Cần nhấn mạnh sự cần thiết của việc phát triển và triển khai các giải pháp thay thế dựa trên nhiều loại phần cứng, OS, trình duyệt và Open API
  • Bản thân dự án EU này chỉ là một ví dụ; việc cho phép triển khai mã nguồn mở và từ bên thứ ba, cũng như mở rộng sang desktop và các nền tảng khác, là nhiệm vụ thiết yếu

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-09-25
Ý kiến Hacker News

  • Hiện tại dự án này đang tập trung vào nền tảng di động, tức Android và iOS, với lý do hai nền tảng này bao phủ phần lớn người dùng; hỗ trợ desktop hiện chưa nằm trong kế hoạch, tôi thấy tình huống này giống như câu hỏi “các anh không có điện thoại à?”, nhưng ở quy mô lớn hơn nhiều, nơi tôi sống cũng chỉ dùng điện thoại ở mức tối thiểu, kể cả khi làm việc trong ngành công nghệ cũng vậy, nhưng điều ngày càng trở nên rất bất tiện này khiến tôi cực kỳ lo ngại, xã hội đang dần đi theo hướng muốn được thừa nhận là một thành viên thì phải dùng điện thoại, nhất là khi nhiều quốc gia, bao gồm cả nước tôi, đang thúc đẩy xác minh độ tuổi, lại còn có cả câu chuyện chặn ‘sideloading’ trên Android, nên tôi lo rằng đến khoảng cuối năm 2026 thì nếu không có smartphone được chính phủ công nhận sẽ không còn được đối xử như một con người nữa, tham khảo liên kết YouTube

    • Những dự án như thế này được thúc đẩy với ý định giúp nhiều người tiếp cận xã hội hiện đại dễ dàng và rẻ hơn thông qua smartphone, nhưng kết quả lại là sự phân tầng xã hội càng nặng hơn, anh trai tôi cũng thật sự ghét công nghệ nên chỉ dùng điện thoại gập kiểu cũ, và những vấn đề phát sinh từ đó nhiều đến mức đáng kinh ngạc, tệ nhất là các trang web desktop cứ đòi cài app nên không hoạt động tử tế

    • Tôi muốn nói về tin tức gần đây liên quan đến việc ép dùng app, Ryanair nói rằng từ tháng 11 sẽ ngừng in thẻ lên máy bay và bắt buộc chỉ cung cấp thẻ qua app, ngay cả trên trình duyệt di động, trang Ryanair cũng không hiển thị mã QR và bắt buộc phải dùng app liên kết tin tức

    • Cốt lõi là biến mọi người thành thứ có thể bị theo dõi như một "chiếc vòng cổ", những người theo thuyết âm mưu lo về chuyện cấy vi mạch, nhưng trên thực tế xã hội hiện đại đang kiểm soát theo một cách ít gây phản cảm hơn nhiều, trông như có vô hạn tự do và cơ hội, nhưng thực chất chính đó lại là công cụ hạn chế tự do, mượn lời Gilles Deleuze trong ‘Postscript on the Societies of Control’, hệ thống kiểm soát theo dõi vị trí của từng thành phần (động vật hay con người) theo thời gian thực, trông như thẻ ra vào hoặc thẻ kỹ thuật số, nhưng thực chất máy tính đang giám sát toàn bộ vị trí và hành vi của chúng ta liên kết bài viết

    • Tôi lại thấy tốt vì xác minh độ tuổi không áp dụng được cho desktop, nơi không bị trói buộc như vậy, ít nhất trên desktop vẫn còn tự do

  • Tôi nghĩ đây là một ví dụ điển hình cho việc yêu cầu lần này đang được thúc đẩy mà không có suy nghĩ thấu đáo, theo lời họ thì app desktop hoàn toàn không nằm trong phạm vi xác minh độ tuổi, vậy nên tôi hy vọng biết đâu ứng dụng desktop sẽ hồi sinh thay cho web service, nhưng giờ đây người trưởng thành lại đang phải chịu thêm nhiều bất tiện, một vấn đề nữa là chính sách này sẽ chặn đứng luôn việc phát triển hệ điều hành điện thoại mới, nếu không thể xác thực bằng ví trực tuyến thì ai còn muốn tạo một OS điện thoại mới nữa chứ

    • Tôi cho rằng thực tế đã là như vậy rồi, app ngân hàng hay app eID của chính phủ chỉ dùng được trên thiết bị Google hoặc Apple mà thôi

    • Chính sách này tạo cảm giác rất mạnh rằng họ nghĩ “PC đã lỗi thời nên không quan trọng”

    • Tôi không nghĩ đây là ví dụ cho thấy chính sách bị triển khai vụng về, mà là ví dụ cho việc người ta hiểu sai điều những người thúc đẩy chính sách thật sự muốn, trên thực tế họ nhắm tới việc chặn chính loại nội dung đó, chỉ khoác lên cái vỏ là hạn chế người lớn mà thôi, tức mục tiêu của họ là ngăn truy cập ngay từ đầu

    • Trên thực tế, đáp án đúng sẽ là “để dùng app desktop này bạn cần một smartphone”

    • Có kỳ vọng vào sự trở lại của 'ứng dụng desktop' cũng vô ích, vì do yêu cầu pháp lý, ngay cả app desktop cuối cùng cũng sẽ phải liên kết với smartphone

  • Tôi muốn nhấn mạnh lần nữa rằng dự án này không phải THE digital wallet mà là một nguyên mẫu ban đầu, hạ tầng của nó muốn đưa vào double blind ZKP (Zero-Knowledge Proof) chứ không phải attestation, cách này bảo vệ quyền riêng tư tốt hơn hệ thống khóa công khai hiện có, và cũng tương thích giữa các nền tảng, nếu bạn chưa rõ thì trong hệ thống này cơ quan xác thực không biết gì ngoài tuyên bố về thuộc tính (tuổi, bằng lái, v.v.), và EU cũng không biết thuộc tính nào được xác thực khi nào hay ai đã thử xác thực

    • Có thể bạn nghĩ rằng “mọi người đang hiểu sai dự án”, nhưng thực ra họ chỉ đang nghiên cứu một cách làm không thể phân biệt đơn vị phát hành, còn hiện tại thì vẫn áp dụng giải pháp có thể liên kết dựa trên mật mã tiêu chuẩn, vì vậy nếu cơ quan xác thực (chính phủ các nước thành viên) và bên yêu cầu xác thực (website) phối hợp với nhau thì có thể dễ dàng phá vỡ tính ẩn danh của người dùng, cả SD-JWT lẫn chữ ký đều được chia sẻ nên bên phát hành và bên yêu cầu xác thực đều có thể nhìn thấy định danh, rốt cuộc dự án này chỉ là một màn trình diễn để cho thấy xác minh độ tuổi là khả thi về mặt kỹ thuật, công nghệ quyền riêng tư có thể được đưa vào sau, nhưng giải pháp tạm thời thường lại trở thành giải pháp vĩnh viễn nhất, và vì trong thiết kế hiện tại việc nhận diện đơn vị phát hành quá dễ nên các biện pháp quyền riêng tư có thể còn tệ hơn liên kết tham khảo

    • Tôi tự hỏi có tài liệu nào về ZKP(Zero-Knowledge-Proof) không

    • Tôi thấy hơi khó hiểu câu “dự án này không phải THE digital wallet mà là the wallet” nghĩa là gì

  • Để giải thích bản chất của hardware attestation thì đây thật sự là con dao hai lưỡi rất sắc, vấn đề lớn nhất là phần cứng xác thực và app phía client đều nằm trên cùng một thiết bị của cùng một nhà sản xuất, mà nhà sản xuất thì sẽ ưu tiên doanh thu của họ hơn quyền riêng tư của khách hàng, bây giờ cục diện ủng hộ attestation đang quá mạnh nên tôi muốn trân trọng khoảnh khắc ‘mở’ mà chúng ta còn đang có

    • Tôi hiểu ẩn dụ “con dao hai lưỡi” là có cả mặt lợi và mặt hại, nhưng tôi không thấy lợi ích của việc không thể dùng phần cứng mình sở hữu theo cách mình muốn là gì

    • Điều khó hiểu nhất là tại sao EU lại muốn biến hardware attestation do hai công ty tư nhân của Mỹ kiểm soát thành điều kiện bắt buộc để truy cập dịch vụ, tinh thần của quy định EU vốn xoay quanh bảo vệ người tiêu dùng, chống độc quyền và các quyền cơ bản của công dân, gần đây còn nhấn mạnh cả chủ quyền số, nhưng chuyện này đi ngược hoàn toàn với mọi nguyên tắc đó, nó gây hại cho khách hàng (thực chất là điều ngược lại với GDPR), chỉ mang lợi cho các tập đoàn độc quyền lớn, và dẫn tới việc doanh nghiệp Mỹ quyết định ai đủ tư cách công dân để tiếp cận thông tin, tôi cảm thấy điều này hoàn toàn trái với tinh thần của EU

    • Tôi cũng hy vọng một cách lạc quan rằng tình huống này có thể trở thành cơ hội cho một loại phần cứng mới

    • Tôi muốn biết Private Access Token(PAT) làm tổn hại quyền riêng tư để kiếm tiền như thế nào

  • Cuối cùng tôi nghĩ lựa chọn duy nhất còn lại là không dùng dịch vụ đó, nhưng thực tế thì mọi người không muốn chịu bất tiện nên có lẽ sẽ không có hành động tập thể, nếu tất cả cùng quay lưng với những dịch vụ chỉ gạt người dùng desktop ra ngoài thì có thể còn hy vọng, giải pháp thật sự là hành vi tiêu dùng kiểu ‘bỏ phiếu bằng đôi chân’, nhưng đa số không quan tâm dữ liệu và quyền của mình bị sử dụng như thế nào, và dù bất tiện cũng cứ chấp nhận, phải mua điện thoại mới mỗi năm? OK, giao toàn bộ dữ liệu liên lạc cho các tập đoàn công nghệ lớn? OK, giám sát bởi doanh nghiệp tư nhân thay vì cơ quan nhà nước cũng chấp nhận luôn, có quá nhiều người vừa nghe đến vấn đề kỹ thuật hay xã hội là mất hứng ngay, làm sao để người bình thường quan tâm đến quyền số, đó mới là bài toán lớn nhất

    • Cuộc tranh luận này cho cảm giác như một cuộc chiến đã thua từ lâu, tôi dự đoán tự do Internet rồi sẽ tiếp tục bị xâm phạm dần dần, khi mọi người tỉnh ra thì có lẽ đã quá muộn, dù vậy một cách lạc quan tôi vẫn hy vọng các dịch vụ liên hợp (federated) sẽ trở thành dòng chính để kiềm chế tình trạng này

    • Tôi nghĩ đây mới là bước đầu, bước tiếp theo sẽ là bắt buộc xác thực danh tính cho mọi dịch vụ, rồi sẽ chỉ còn hai lựa chọn: chấp nhận hoặc không được dùng dịch vụ nữa

    • Đa số mọi người chỉ quan tâm khi họ trực tiếp trải qua một ví dụ quan hệ nhân quả rõ ràng, trong đó việc bấm nút OK trên một biểu mẫu nào đó gây tác động tiêu cực thực tế đến gia đình, công việc hay đời sống hằng ngày của họ, nếu không thì mọi thứ chỉ bị xem là nỗi lo trừu tượng

  • Sau khi kiểm tra DSA(Digital Services Act), tôi thấy chỉ có ba chỗ đề cập đến xác minh độ tuổi, đoạn 71 và Điều 28 nói rằng phải đặc biệt bảo vệ quyền riêng tư và sự an toàn của trẻ vị thành niên nhưng cấm xử lý thêm dữ liệu nhận dạng cá nhân, chỉ ở Điều 35 mới ngụ ý rằng "nền tảng trực tuyến cỡ lớn" có thể áp dụng xác minh độ tuổi, còn đoạn 57 ghi rõ doanh nghiệp vừa và nhỏ không thuộc diện bị điều chỉnh, trong tình hình hiện tại thì ngoài các nền tảng lớn ra không có chỗ nào bắt buộc xác minh độ tuổi, Ủy ban đang cố tạo bầu không khí như thể là bắt buộc, nhưng về mặt pháp lý thì vẫn chưa phải, cũng tham khảo hướng dẫnbài bình luận

    • Ví danh tính số không phải là một phần của DSA mà là dự án 'đưa danh tính lên điện thoại', nếu đi đúng kế hoạch thì giấy tờ tùy thân, bằng lái xe, bằng tốt nghiệp, vé tàu và cả thanh toán đều có thể xử lý trong kiểu app này, vì đây là xác thực thuộc tính nên chẳng hạn bạn có thể chứng minh mình đủ điều kiện lái xe mà không cần tiết lộ số định danh cá nhân, tuy nhiên một khi hạ tầng như vậy được đưa vào thì tôi nghĩ chính phủ sẽ bổ sung đủ loại nghĩa vụ với lý do cắt giảm chi phí hoặc bảo vệ trẻ em, chống khủng bố, v.v., và cuối cùng rủi ro là xác thực bắt buộc sẽ lan sang nhiều doanh nghiệp hơn liên kết dự án

  • Tôi nghĩ tiêu đề “EU age verification app not planning desktop support” dễ gây hiểu lầm, nghe như thể xác minh độ tuổi không thể thực hiện trên desktop, trong khi thực tế có rất nhiều giải pháp khả thi, app này chỉ là một ‘ví dụ’ trong số đó, nên có lẽ “EU age verification example app not planning desktop support” sẽ là tiêu đề phù hợp hơn, tôi không đồng ý với cách triển khai nhưng phê phán thì vẫn phải chính xác

  • Có thể nghe như thuyết âm mưu, nhưng tôi nghĩ đó chính là lý do Google đang muốn giết chết sideloading, di động hiện là nền tảng duy nhất có thể áp đặt cài đặt phần mềm bắt buộc và xác thực từ xa một cách thực tế, nếu chặn sideloading thì về sau Google (hoặc với iOS là Apple) có thể ép mọi app store/trình duyệt áp dụng API xác thực của chính phủ

    • Lý do Google hoan nghênh kiểu luật xác thực này là vì nó phù hợp với mô hình kinh doanh của họ, trong việc bán quảng cáo thì xác thực người dùng là người thật rất quan trọng, các mạng xã hội khác như X cũng có động cơ tương tự

  • “Vì các chính sách kiểu này mà web trở thành nơi không thể sử dụng đối với những ai muốn duyệt web một cách riêng tư”, đây không phải tai nạn mà là ‘mục đích’ của họ, hãy nhìn các vụ bắt giữ vì phát ngôn trên mạng xã hội ở Anh và Đức

  • Những chính sách kiểu này thật vô lý và khó chấp nhận

    • Thực ra đây là chính sách hoàn toàn dễ hiểu, mục tiêu là nhìn những người dùng hệ điều hành coi trọng tự do như Linux bằng con mắt không thiện cảm, và đối xử với họ như công dân hạng hai, tham khảo trường hợp liên quan

    • Còn tùy bạn hỏi ai, Google muốn kiểm soát người dùng đang dùng gì thông qua xác minh nhà phát triển hay rào cản sideloading trên iOS, desktop có quá nhiều tự do nên ngược lại các chính sách kiểu này sẽ kìm hãm việc dùng desktop và làm tăng sự phụ thuộc vào các hệ sinh thái đóng kín