- Khi các dịch vụ trực tuyến bắt buộc áp dụng xác minh độ tuổi (age gate), người dùng đang bị buộc phải lựa chọn trong bối cảnh có nguy cơ lộ thông tin cá nhân
- EFF phản đối việc áp đặt nghĩa vụ pháp lý này và đồng thời đưa ra các hướng dẫn ứng phó thực tế để bảo vệ quyền của người dùng nhiều nhất có thể ngay cả trong những hệ thống đã được triển khai
- Bài viết nhấn mạnh nguyên tắc cung cấp dữ liệu ở mức tối thiểu, đồng thời so sánh mức độ rủi ro và giới hạn của từng phương thức như nhận diện khuôn mặt, tải lên giấy tờ tùy thân, xác minh bằng thẻ tín dụng
- Phân tích cụ thể ước tính độ tuổi, xác minh bên thứ ba và chính sách lưu trữ dữ liệu của các nền tảng lớn như Meta, Google, TikTok
- Vì không có phương thức nào bảo đảm quyền riêng tư một cách hoàn hảo, người dùng bắt buộc phải chỉ cung cấp thông tin tối thiểu và kiểm tra quy trình xóa dữ liệu
Thực tế và rủi ro của cơ chế xác minh độ tuổi
- EFF nêu rõ rằng việc bắt buộc age gate và xác minh độ tuổi xâm phạm quyền tự do biểu đạt và quyền riêng tư
- Luật đã có hiệu lực ở nhiều bang và quốc gia, và người dùng đang bị yêu cầu xác minh độ tuổi trên khắp web
- Trong quá trình xác minh, đã xảy ra nhiều trường hợp rò rỉ dữ liệu nhạy cảm
- Người dùng phải tự cân nhắc giữa việc tiếp tục sử dụng dịch vụ và cách giảm thiểu việc lộ thông tin cá nhân
- EFF đưa ra danh sách câu hỏi cần kiểm tra cho từng phương thức xác minh: loại dữ liệu, ai có thể truy cập, thời gian lưu trữ, có được kiểm toán hay không, phạm vi bị lộ
- EFF khuyến nghị nguyên tắc cung cấp dữ liệu ở mức tối thiểu, nhấn mạnh chỉ nên cung cấp ít thông tin nhất có thể
- Phương thức ước tính dựa trên nhận diện khuôn mặt có độ chính xác thấp với một số nhóm người dùng nhất định (người da màu, người chuyển giới, người khuyết tật, v.v.)
- Phương thức digital ID chỉ khả dụng trên một số nền tảng và vẫn có rủi ro lộ thông tin
Cách các nền tảng lớn xác minh độ tuổi
Meta (Facebook, Instagram, WhatsApp, Messenger, Threads)
- Meta ước tính độ tuổi người dùng từ bài đăng, tin nhắn và các tín hiệu khác
- Nếu không thể ước tính hoặc cho rằng người dùng quá nhỏ tuổi, hệ thống sẽ yêu cầu xác minh
- Với xác minh bằng nhận diện khuôn mặt, ảnh được gửi tới máy chủ của Yoti để xử lý
- Yoti tuyên bố xóa ngay lập tức, nhưng do có tracker, vẫn tồn tại nguy cơ lộ dữ liệu cho bên thứ ba
- Cần thận trọng vì thông tin vị trí có thể bị lộ qua nền ảnh và các yếu tố tương tự
- Khi tải lên giấy tờ tùy thân, cả Meta và Yoti đều hứa sẽ lưu rồi xóa dữ liệu
- Meta lưu trong 30 ngày, Yoti nêu rõ là xóa ngay
- Giấy tờ tùy thân chứa thông tin nhạy cảm như tên thật, địa chỉ, nên vẫn có rủi ro
Google (Gmail, YouTube)
- Google ước tính độ tuổi dựa trên thời điểm tạo tài khoản, lịch sử xem và các tín hiệu khác
- Nếu ước tính thất bại, người dùng có thể chọn ID, nhận diện khuôn mặt, email, thẻ tín dụng hoặc digital ID
- Nhận diện khuôn mặt qua Private ID tương đối an toàn hơn vì được xử lý trên thiết bị
- Tuy nhiên, trong các cuộc tấn công nhắm mục tiêu cụ thể, vẫn có khả năng hình ảnh bị truyền đi
- Xác minh qua email do VerifyMy thực hiện bằng cách đối chiếu email với cơ sở dữ liệu của bên thứ ba
- Danh sách các bên thứ ba này không được công khai
- Xác minh bằng thẻ tín dụng được xử lý qua Google Payments nên tương đối an toàn hơn
- Có thể thanh toán khoản nhỏ rồi hoàn tiền, sau đó đổi thẻ
- Digital ID chỉ khả dụng ở một số khu vực và có thể liên quan đến việc liên lạc với hệ thống của chính phủ
- Khi tải lên giấy tờ tùy thân, Google cho biết sẽ xóa sau khi xác minh, nhưng không rõ có được kiểm toán độc lập hay không
TikTok
- TikTok tự động ước tính độ tuổi bằng video và giọng nói được tải lên
- Nếu bị đánh giá là quá nhỏ tuổi, tài khoản có thể bị hạn chế hoặc xóa, và người dùng phải khiếu nại trong thời gian quy định
- Nhận diện khuôn mặt qua Yoti có cấu trúc rủi ro tương tự Meta
- Xác minh bằng thẻ tín dụng theo hình thức thanh toán khoản nhỏ rồi hoàn tiền, nhưng không rõ việc xử lý bảo mật được thực hiện ra sao
- Cũng có phương thức xác minh bằng thẻ của cha mẹ/người giám hộ hoặc chụp ảnh cùng người trưởng thành, nhưng
- hầu như không có ví dụ áp dụng thực tế và quy trình xác minh thiếu minh bạch
- Phương thức so sánh giấy tờ tùy thân + khuôn mặt qua Incode không hỗ trợ tự động xóa dữ liệu
- TikTok cho biết sẽ bắt đầu quy trình yêu cầu xóa, nhưng vẫn cần gửi yêu cầu xóa trực tiếp cho Incode
- ID chứa thông tin nhạy cảm như tên thật, địa chỉ
Các dịch vụ khác và nguyên tắc chung
- Spotify và OnlyFans dùng Yoti, còn Quora và Discord dùng k-ID
- Không có phương thức nào bảo đảm quyền riêng tư hoàn toàn
- Các nguyên tắc cốt lõi là cung cấp dữ liệu ở mức tối thiểu, giới hạn người có quyền truy cập và xóa càng sớm càng tốt
- EFF cho rằng các cơ chế này xâm phạm quyền riêng tư và quyền tự do biểu đạt của người dùng, đồng thời
đang tiếp tục vận động trên toàn cầu để hủy bỏ việc bắt buộc xác minh độ tuổi
2 bình luận
Roblox đúng là như trò đùa vậy.
Ý kiến trên Hacker News
Lý do con tôi недавно bỏ Roblox là vì quy trình xác minh độ tuổi bằng nhận diện khuôn mặt quá đáng ngờ
Con tôi và bạn bè đều được dạy rất kỹ là tuyệt đối không đưa ảnh của mình lên internet, nên chúng либо chuyển sang game khác, либо tải ảnh stock trên mạng lên (nghe nói cách này còn thực sự hiệu quả)
Kiểu này đúng là bảo mật ở mức trò đùa. Việc các công ty “bình thường hóa” chuyện trẻ em tải ảnh cá nhân lên là một hướng đi thực sự sai lầm
Tôi sợ rằng thiệt hại sẽ xảy ra trước khi các nhà lập pháp nhận ra vấn đề
Tôi nghĩ tính ẩn danh và truy cập dưới danh tính giả là giải pháp tốt nhất
Nhìn việc EU thúc đẩy xác minh độ tuổi trong khi đồng thời muốn chia sẻ dữ liệu với Mỹ và cảnh sát, tôi lo rằng kiểu dữ liệu này sẽ bị “bình thường hóa” bằng luật pháp
Việc chính phủ yêu cầu doanh nghiệp cung cấp giấy tờ tùy thân, ảnh khuôn mặt và video là rất nguy hiểm, và rốt cuộc sẽ dẫn đến gia tăng lừa đảo và rò rỉ dữ liệu cá nhân đồng thời làm suy giảm tự do
Tài khoản Google của tôi đã đủ cũ rồi mà YouTube vẫn cứ hiện popup xác minh độ tuổi
Cuối cùng thì tôi nghĩ đây không chỉ là kiểm tra tuổi tác mà là nỗ lực thu thập dữ liệu khuôn mặt
Khả năng cao dữ liệu này sẽ bị bán cho bên thứ ba
Vì nhận diện khuôn mặt là cách dễ nhất để tuân thủ luật, nên họ cứ thế làm thôi
Nhiều người có xu hướng không thể buông bỏ ngay cả khi một dịch vụ đã hết
Nếu HN yêu cầu xác minh giấy tờ tùy thân, tôi sẽ просто ngừng dùng. Trên đời vẫn có những chuyện như vậy mà
Ví dụ, nếu nhà thờ hay trường mẫu giáo chỉ thông báo qua WhatsApp hoặc Facebook thì người không dùng sẽ không thể tiếp cận thông tin
Trước đây còn có thể tự cung tự cấp bằng những công cụ như HyperCard hay FileMaker, còn giờ chỉ còn chủ nghĩa tư bản giám sát
Giờ trong thời đại AI, việc sao chép website và tự động hóa đã khả thi, nên các công ty độc quyền sẽ không thể tiếp tục dùng chiến lược ‘làm cho mọi thứ ngày càng tệ đi (en-shittification)’ nữa
Nỗi lo lớn nhất của tôi là tôi không biết dữ liệu của mình có được lưu trữ an toàn hay không
Trước đây tôi từng nhận được thông báo rò rỉ dữ liệu mang tên đứa con còn sơ sinh của mình. Họ nói một nhà thầu phụ của bệnh viện đã làm thất lạc thông tin
Tức là thông tin cá nhân đã bị lộ trước cả khi đứa bé biết nói
Nếu một công ty mà tôi chưa từng trực tiếp giao dịch còn có thể làm mất thông tin của tôi, thì xác minh danh tính trực tuyến về bản chất là nguy hiểm
Bài liên quan: Your ID online and offline
Không thể tin vào lời nói kiểu “lưu tạm rồi xóa”
Đến năm 2026 mà cách lưu mật khẩu còn chưa chắc chắn rõ ràng, thì cách quản lý ảnh còn mù mờ hơn
Tôi nghĩ xác minh độ tuổi cuối cùng sẽ là xu hướng không thể tránh khỏi
Giống như việc vào quán bar hay câu lạc bộ thì phải xuất trình giấy tờ, trên mạng rồi cũng sẽ được chấp nhận như một điều tự nhiên
Vì thế điều quan trọng là triển khai như thế nào
Ví dụ có thể kiểm tra giấy tờ tại cửa hàng rồi cấp token dạng thẻ quà tặng, hoặc dùng token ẩn danh do chính phủ cấp chỉ để chứng minh độ tuổi
EFF nói rằng một số người dùng sẽ khó sử dụng các công nghệ như vậy, nhưng tôi tò mò không biết tỷ lệ đó là bao nhiêu
Tôi khá ngạc nhiên khi EFF không nhắc tới việc lách bằng VPN
Về nguyên tắc, tôi không bao giờ chấp nhận banner cookie
Tôi chặn hết bằng uBlock Origin. Nếu xác minh độ tuổi được áp dụng thì tôi cũng định phản ứng tương tự
Tôi nghĩ dịch vụ xác thực danh tính thân thiện với quyền riêng tư có thể là một cơ hội kinh doanh
Cấu trúc sẽ là bên thứ ba chỉ xác minh độ tuổi, còn không thể biết danh tính thật
Ví dụ, có thể phân tách các segment IPv6 theo từng mức giới hạn độ tuổi để xử lý xác thực ngay ở tầng mạng
Tôi nghĩ công nghệ ước lượng tuổi bằng khuôn mặt dù có tiến bộ đến đâu thì vẫn là công nghệ bị thổi phồng kiểu snake oil
Bản thân nỗ lực ghép tên với khuôn mặt đã rất đáng ngờ
Lúc đầu tôi bấm vào vì tưởng bài này nói về vấn đề tìm việc của người lớn tuổi