TikTok quyết định không triển khai mã hóa đầu cuối… cho rằng “điều này làm tổn hại đến an toàn người dùng”

 (bbc.com)
3 điểm bởi GN⁺ 2026-03-05 | 1 bình luận | Chia sẻ qua WhatsApp
  • TikTok cho biết sẽ không triển khai mã hóa đầu cuối (E2EE), với lý do rằng điều này sẽ khiến cảnh sát và đội ngũ an toàn không thể kiểm tra tin nhắn, từ đó gây khó khăn cho việc bảo vệ người dùng
  • Công ty giải thích rằng quyết định này được đưa ra đặc biệt để bảo vệ thanh thiếu niên, đồng thời nhấn mạnh họ đã cố ý chọn một hướng đi khác với các đối thủ
  • Hiện nay, các nền tảng lớn như WhatsApp, Messenger và Signal đều bật E2EE theo mặc định, trong khi TikTok cho biết chỉ sử dụng mức mã hóa thông thường tương đương Gmail
  • Các tổ chức bảo vệ trẻ em NSPCC và IWF hoan nghênh quyết định của TikTok, cho rằng E2EE khiến việc phát hiện hành vi bóc lột tình dục trẻ em trở nên khó khăn hơn
  • Tuy nhiên, các chuyên gia chỉ ra rằng quyết định này đi ngược lại các tiêu chuẩn bảo vệ quyền riêng tư toàn cầucó thể làm gia tăng lo ngại về mối liên hệ với Trung Quốc

Quyết định về chính sách mã hóa của TikTok

  • TikTok chính thức xác nhận sẽ không triển khai mã hóa đầu cuối (E2EE)
    • Công ty cho biết công nghệ này ngăn cảnh sát và đội ngũ an toàn xem được tin nhắn khi cần thiết, từ đó ảnh hưởng đến an toàn người dùng
    • Tại buổi họp báo về bảo mật tổ chức ở văn phòng BBC London, TikTok nhấn mạnh đây là biện pháp đặc biệt nhằm bảo vệ thanh thiếu niên
  • TikTok cho biết họ đưa ra quyết định này như một chiến lược khác biệt so với đối thủ
    • Điều này trái ngược với việc các nền tảng lớn như Facebook, Instagram, Messenger và X đã áp dụng E2EE
    • TikTok nêu rõ họ sử dụng phương thức mã hóa tiêu chuẩn, và chỉ nhân viên được cấp quyền mới có thể truy cập tin nhắn trong những tình huống cụ thể

Tranh cãi xoay quanh E2EE

  • E2EE được đánh giá là công nghệ bảo mật mạnh nhất, chỉ người gửi và người nhận mới có thể xem nội dung tin nhắn
    • Được bật mặc định trên Signal, WhatsApp, iMessage và Google Messages
    • Telegram cung cấp dưới dạng tùy chọn, còn Snapchat chỉ áp dụng cho ảnh và video
    • Discord dự kiến sẽ bật E2EE theo mặc định cho các cuộc gọi thoại và video
  • Tuy nhiên, chính phủ, cảnh sát và các tổ chức bảo vệ trẻ em chỉ trích rằng E2EE là rào cản đối với việc phát hiện nội dung bất hợp pháp và công tác điều tra
    • Lập luận của họ là tội phạm có thể né tránh giám sát, làm tăng nguy cơ gây hại cho người dùng và phát tán nội dung bất hợp pháp

Bảo vệ dữ liệu của TikTok và những chỉ trích

  • TikTok cho biết họ bảo vệ tin nhắn bằng mã hóa tiêu chuẩnchỉ có thể truy cập khi có yêu cầu pháp lý hoặc khi có báo cáo về hành vi gây hại
  • Công ty tiếp tục phủ nhận các nghi ngờ về mối liên hệ với chính phủ Trung Quốc
    • Bộ phận hoạt động tại Mỹ đã được tách khỏi mảng kinh doanh toàn cầu theo lệnh của Quốc hội
    • TikTok đang vận hành Project Clover để bảo vệ người dùng châu Âu
  • Tuy vậy, do cấu trúc sở hữu của ByteDance, các lo ngại về khả năng truy cập dữ liệu vẫn tiếp tục được đặt ra

Phản ứng từ bên ngoài

  • NSPCC hoan nghênh quyết định của TikTok và cho biết E2EE khiến việc phát hiện hành vi bóc lột tình dục trẻ em khó hơn, dẫn đến số vụ được báo cáo giảm xuống
  • IWF đánh giá rằng việc “tạm hoãn áp dụng E2EE vì lý do an toàn là một tiền lệ quan trọng”
  • Giáo sư Alan Woodward của Đại học Surrey cho biết “ở Trung Quốc, E2EE phần lớn bị cấm, và quyết định của TikTok có thể chịu ảnh hưởng từ Trung Quốc
  • Nhà phân tích ngành Matt Navarra nhận định TikTok đang đưa ra lập trường “ưu tiên an toàn chủ động hơn là chủ nghĩa tuyệt đối về quyền riêng tư”, một cách tiếp cận khôn ngoan về mặt chiến lược nhưng còn gây tranh cãi

Bối cảnh toàn cầu và triển vọng

  • Quyết định của TikTok được xem là đi ngược với xu hướng bảo vệ quyền riêng tư toàn cầu
    • Trong khi các nền tảng khác đang mở rộng E2EE, TikTok lại chọn duy trì hợp tác với các cơ quan thực thi pháp luật
  • Các chuyên gia phân tích rằng quyết định này có thể liên quan đến mục tiêu duy trì quan hệ với các nhà hoạch định chính sáchtăng cường bảo vệ thanh thiếu niên
  • Cuộc tranh luận về sự cân bằng giữa quyền riêng tư và an toàn xung quanh E2EE được dự báo sẽ tiếp diễn

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-03-05
Ý kiến trên Hacker News

  • Tôi nghĩ nói rằng “hầu như không có quyền riêng tư trên ứng dụng này” là hoàn toàn ổn
    TikTok về cơ bản là một nền tảng thiên về công khai, và các khái niệm như nhóm kín hay theo dõi lẫn nhau khá yếu
    Nếu cần quyền riêng tư thì cứ chuyển sang ứng dụng khác như Signal hoặc Snapchat
    Dù vậy, vì TikTok trước đây từng nằm dưới sự giám sát của chính phủ Trung Quốc và giờ đã trở thành một cơn ác mộng tài phiệt kiểu Mỹ, nên tôi cho rằng chẳng có ý nghĩa gì khi kỳ vọng họ có lập trường nguyên tắc
    Ngược lại, tôi thấy việc như Facebook giương cao ngọn cờ ‘quyền riêng tư’ nhưng lại không đầu tư đủ nguồn lực để xử lý CSAM (nội dung xâm hại tình dục trẻ em) mới là vấn đề lớn hơn

    • TikTok cũng có tính năng tin nhắn riêng tư 1:1, và đang được hàng trăm triệu người sử dụng
      Nếu đã cung cấp nhắn tin giữa cá nhân với cá nhân thì nhất định phải áp dụng E2EE (mã hóa đầu cuối)
      Nếu không thì thà vận hành hẳn như một diễn đàn công khai còn hơn
    • Với một nền tảng có hiệu ứng mạng lưới khổng lồ như TikTok, trên thực tế người dùng không hề có tự do lựa chọn ứng dụng thay thế
      Muốn phá thế độc quyền kiểu này thì tôi nghĩ cần có quy định bắt buộc liên thông liên bang (federation)
      Như vậy các nền tảng mới có thể cạnh tranh bằng kiếm tiền hoặc khả năng sử dụng thay vì khóa chặt người dùng
    • Sẽ ổn nếu họ đưa ra lựa chọn một cách thành thật, nhưng TikTok lại nói dối kiểu “chúng tôi chỉ đọc tin nhắn khi cần”
      Thực tế là họ đọc tin nhắn để đàn áp tiếng nói đối lập về chính trị hoặc phục vụ mục đích kiểm soát
      Phần lớn người dùng không phân biệt được sự đánh đồng giữa quyền riêng tư và CSAM kiểu này
    • TikTok cứ là một nền tảng kiểu “chúng tôi đang theo dõi bạn” thì cũng được
      Nhưng gói nó thành “an toàn” thì là đánh lừa, đồng thời bóp méo dư luận
    • Tôi cũng cho rằng những ứng dụng như WhatsApp hay Facebook nhiều khi chỉ dùng E2EE như công cụ quảng bá
      Nếu là E2EE thực sự thì
      1. cặp khóa phải được tạo trên thiết bị,
      2. máy chủ tuyệt đối không được nhìn thấy khóa riêng,
      3. ứng dụng khách phải có thể kiểm chứng bằng cách mã nguồn mở,
      4. người dùng phải có thể tự build để dùng
        Nếu không có các điều kiện này thì không nên gọi là E2EE

  • Tôi nghĩ lập luận lâu nay của chính phủ rằng “E2EE gây nguy hiểm cho trẻ em” đang được doanh nghiệp đóng gói lại

    • Trẻ em đã trở thành một công cụ quá hiệu quả để xây dựng nhà nước giám sát
      Thà cứ để người chưa thành niên dùng ‘thiết bị bị hạn chế’, rồi đến khi trưởng thành thì có thể gỡ hạn chế còn hơn
      Làm vậy thì tất cả SaaS sẽ không cần phải tự xác minh danh tính người dùng nữa
    • Tôi không hiểu vì sao mọi hệ thống bảo vệ trẻ em đều đòi xác minh độ tuổi
      Chỉ cần ở cấp điện thoại thông minh truyền một cờ ‘child’ cho ứng dụng là cũng đã đủ rồi
    • Suy cho cùng doanh nghiệp có quyền tự đặt chính sách theo ý mình, và người dùng chỉ cần nhìn vào đó để lựa chọn
    • Lý do kiểu lập luận này có tác dụng là vì nó ăn khớp với hệ giá trị của những người xung quanh
      Cố thay đổi chính các giá trị của con người là chuyện vô ích
    • Giải pháp rất đơn giản — chặn trẻ em truy cập mạng xã hội là cách chắc chắn nhất

  • Dạo này mọi người nhìn vấn đề xác minh độ tuổi quá phiến diện
    Phần lớn dịch vụ thực ra đã biết tuổi của người dùng, và đang dùng dữ liệu đó để tối ưu hóa thuật toán một cách thiếu minh bạch
    Vì vậy tôi nghĩ không chỉ xác minh độ tuổi mà cả khai thác dữ liệu và điều chỉnh thuật toán cũng nên bị cấm
    Cách dữ liệu của trẻ em bị sử dụng còn là vấn đề lớn hơn cả DM của chúng

    • Tôi cho rằng câu “lo DM của trẻ em nhưng lại không quan tâm đến việc thu thập dữ liệu” là nói nhảm
      Cũng có rất nhiều người lo cả hai chuyện đó
    • Trách nhiệm giám sát DM của trẻ em thuộc về cha mẹ
      Nếu muốn, cha mẹ có thể cài keylogger hoặc ghi màn hình, nhưng những công ty như Google thì tuyệt đối không được
    • Phần lớn mọi người chỉ coi việc đặt ngày sinh là năm 1970 như một thông lệ
    • Tôi không đồng ý với quan điểm “phải cấm xác minh độ tuổi”
      Với những công nghệ như Verifiable Credentials, vẫn có thể chỉ xác minh tuổi mà không cần chuyển dữ liệu cá nhân

  • DM giống như cuộc trò chuyện riêng tư ngoài đời thực
    Vì thế mọi chức năng DM đều phải có E2EE
    Nếu nền tảng không muốn như vậy thì thà bỏ hẳn tính năng DM và để toàn bộ tin nhắn ở chế độ công khai còn hơn
    Cần có một cấu trúc cho phép cha mẹ cấp quyền truy cập DM cho con cái theo từng trường hợp riêng

    • Nói rằng “bỏ DM đi và công khai hết” thì vô lý
      Ngoài đời cũng tồn tại vùng trung gian giữa hoàn toàn công khai và hoàn toàn riêng tư
    • TikTok sớm muộn cũng sẽ thêm tính năng để cha mẹ giám sát DM của con cái, và có vẻ các bậc phụ huynh sẽ thích điều đó
    • Ngay cả khi là E2EE thì trên thực tế máy chủ vẫn có thể quản lý khóa, hoặc thay khóa khi có yêu cầu từ chính phủ
      Nói cách khác, E2EE chỉ ngăn được kẻ trung gian ngây thơ mà thôi
    • Nếu có một hệ thống bảo đảm quyền riêng tư bằng pháp luật thì tôi không nghĩ nhất thiết phải cần E2EE
      Hai khái niệm này là hai vấn đề tách biệt
    • Có những phụ huynh ám ảnh chuyện giám sát đến mức muốn dùng AI phân tích mọi cuộc trò chuyện của con cái

  • TikTok giống như tiền đồn của giám sát chính phủ, nên việc họ chọn lập trường như vậy chẳng có gì đáng ngạc nhiên

    • Thực ra mọi mạng xã hội đều nên được xem là công cụ giám sát của chính phủ
    • Chính phủ vốn đã có thể tiếp cận dữ liệu ngay cả khi có E2EE
      Việc không có E2EE cũng không làm năng lực đó giảm đi
    • Bây giờ cảm giác như giám sát đã được nhượng quyền thương mại
      Mỗi khu vực mua quyền vận hành để thu thập thông tin

  • Tôi nghĩ câu “khiến người dùng kém an toàn hơn” chỉ là cái cớ
    Thực tế họ chỉ muốn tránh va chạm với chính phủ
    Trước tiền bạc thì nguyên tắc chẳng còn nghĩa lý gì

  • Câu “kém an toàn hơn” không hề nói rõ là kém an toàn hơn đối với ai
    Với các chính phủ độc tài thì có thể là kém an toàn hơn thật, nhưng đó là điều họ phải chấp nhận

  • Tôi nghĩ rất khó tin vào E2EE trong các ứng dụng đóng
    Dù kiểm toán viên có xác nhận libsignal được nối đúng cách đi nữa thì trong mã nội bộ vẫn có thể tồn tại hook quét nội dung
    Nhìn vào việc Apple từng gần như hoàn thiện công nghệ quét hình ảnh thì khả năng đó hoàn toàn có thật
    Dù vậy, ưu điểm của E2EE vẫn là ngay cả khi máy chủ bị hack thì dữ liệu cũng chỉ còn là một khối mã hóa vô nghĩa

    • E2EE khó triển khai, và rất dễ bị vô hiệu hóa bởi sai sót của người dùng
      Ví dụ, trong số người dùng Signal thì gần như chẳng ai thực sự đối chiếu số an toàn
      Cuối cùng vấn đề nằm ở tính khả dụng hơn là bảo mật
    • Mọi người có xu hướng tin E2EE như một thứ tôn giáo
      Dù không thể kiểm chứng, họ vẫn coi “được bảo vệ = E2EE”
      Tôi cũng đã chỉ ra điểm này trong bài “I don’t trust Signal”
    • Khi bàn về E2EE thì phải làm rõ ‘đầu cuối là ai’
      Nếu máy chủ là đầu cuối thì đó không phải E2EE thực sự
      Hơn nữa, so với nội dung hội thoại thì metadata còn có giá trị hơn nhiều
    • Thậm chí ngay cả mật khẩu cũng có thể đang được lưu dưới dạng văn bản thuần

  • TikTok vốn là nền tảng video công khai, nên tôi không hiểu tại sao lại phải dùng nó cho hội thoại riêng tư

    • TikTok là mạng xã hội của thế hệ trẻ
      Người lớn tuổi không hiểu rõ điều đó
    • Ban đầu họ chỉ gửi video cho bạn bè với nhau, rồi tự nhiên hình thành dòng chảy sang trò chuyện
      Dù biết bảo mật yếu, nhưng xét theo tính chất cuộc trò chuyện thì cũng không phải vấn đề quá lớn
    • Nghe như nhận xét của một người chưa từng dùng TikTok DM vậy
    • Phần lớn thanh thiếu niên không hiểu rõ các khái niệm mã hóa hay bảo mật
      Họ chỉ dùng TikTok vì sự tiện lợi
    • TikTok không chỉ đơn thuần là một nền tảng video

  • Bài viết gọi đó là “tính năng quyền riêng tư gây tranh cãi”, nhưng tôi thắc mắc ai đang cho là gây tranh cãi
    Theo tiêu chuẩn của NSA hay GCHQ sao?

    • Theo bài báo, các tổ chức bảo vệ trẻ em như NSPCCInternet Watch Foundation phản đối điều đó
      Ngay trong nội bộ Meta, Monika BickertAntigone Davis cũng từng nói E2EE gây nguy hiểm cho trẻ em
      Có thể xem thêm nội dung liên quan trong bài viết của Reuters