Giám đốc xác nhận FBI đang mua dữ liệu vị trí để theo dõi công dân Mỹ

Ý kiến trên Hacker News

• Vấn đề nghiêm trọng hơn nhiều là ai đang bán dữ liệu
  Cấu trúc là: ứng dụng tiêu dùng tích hợp SDK quảng cáo → SDK gửi tín hiệu vị trí tới sàn giao dịch quảng cáo RTB → các công ty phục vụ mục đích giám sát thu thập dữ liệu trong quá trình đấu giá → dữ liệu đó tiếp tục chảy sang nhà môi giới dữ liệu vốn không có quan hệ trực tiếp với người tiêu dùng, rồi được bán cho các cơ quan chính phủ v.v.
  Ở mỗi bước, trách nhiệm đều bị phân tán nên không ai thực sự kiểm chứng sự đồng ý. Cuối cùng, vấn đề cốt lõi là dữ liệu này đã trở thành một món hàng ai cũng có thể mua

  • Apple và Google cũng đang tiếp tay cho việc bán dữ liệu này
    Trong mô hình kiếm tiền từ thông tin cá nhân thông qua ứng dụng miễn phí, hai công ty này nhận mức phí cao và tuyên bố có kiểm duyệt bảo mật, nhưng thực tế là biết mà vẫn để mặc
    Ở cấp độ OS, việc xác định ứng dụng nào đang làm chuyện này không hề khó
  • Cần chặn cả hai đầu của giao dịch dữ liệu
    Phải cấm bán dữ liệu nếu không có sự đồng ý rõ ràng, và cũng phải cấm chính phủ mua loại dữ liệu này theo Tu chính án thứ 4
    Ngay cả khi cần sự đồng ý cho việc chính phủ sử dụng, thì trên thực tế cũng sẽ chẳng ai đồng ý kiểu đó
  • Tôi chỉ giữ lại những ứng dụng thực sự cần thiết và xóa hết phần còn lại
    Sau một thời gian, bạn sẽ ngạc nhiên vì có quá nhiều ứng dụng vô dụng
  • Cấu trúc RTB đã tồn tại hơn 10 năm rồi
    Tôi biết các hãng xe bán dữ liệu cho công ty bảo hiểm, nhưng không rõ liệu chính phủ có thể mua dữ liệu đó theo cách thương mại hay không
  • Phần tóm tắt rất chính xác
    Một game cài từ 1 năm trước có thể là điểm khởi đầu của vấn đề
    Điều quan trọng là luôn kiểm tra cài đặt dịch vụ vị trí trên điện thoại thông minh, và việc này cũng giúp tiết kiệm pin

• Tôi nghĩ dữ liệu vị trí cần được quản lý ở mức như luật nghe lén
  Muốn chuyển thông tin vị trí của tôi cho bên thứ ba thì phải có sự đồng ý rõ ràng, không thể dùng sự đồng ý bao trùm chung chung
  Đặc biệt, dữ liệu có thể nhận diện cá nhân theo thời gian thực cần được xử lý nghiêm ngặt hơn nữa

  • Không nên tạo ra những lỗ hổng kiểu “suy đoán sự đồng ý hợp lý trên tinh thần thiện chí”

• Trong phán quyết Carpenter v. United States (2018), tòa nói rằng chính phủ cần lệnh khám xét để lấy thông tin vị trí từ nhà mạng
  Nhưng nếu người dùng đã đồng ý cho ứng dụng theo dõi vị trí, thì việc doanh nghiệp bán dữ liệu lại là một vấn đề khác
  Nguyên nhân gốc rễ là con người quá dễ dàng từ bỏ quyền riêng tư để đổi lấy việc sử dụng công nghệ

  • Lỗ hổng lúc nào cũng là “an ninh quốc gia”. Tòa án Tối cao cũng không thực thi điều này một cách đúng đắn
  • Chính quyền Trump đã lách bằng cách phớt lờ những phán quyết mà họ không thích

• Trước đây ở Chaos Computer Conference từng có một bài trình bày DIY của một nhà nghiên cứu Đức về việc theo dõi mô hình di chuyển của các chính trị gia
  Giờ tìm lại khá khó vì tìm kiếm không ra

  • Chia sẻ bài liên quan trên Ars Technica và video YouTube

• Cần bãi bỏ Third Party Doctrine (nguyên tắc bên thứ ba)
  Phải giải quyết tận gốc vấn đề thu thập và chia sẻ dữ liệu thông qua lập pháp

  • Các nhà phát triển nên tạo ra những sản phẩm hoàn toàn không xử lý dữ liệu người dùng và công khai minh bạch điều đó
    Nếu chất lượng tương đương, mọi người sẽ chọn sản phẩm ưu tiên quyền riêng tư

• Vai trò của FBI là điều tra tội phạm trong nước
  Thế nhưng thật khó hiểu vì sao các công ty tư nhân lại tích cực tham gia vào hệ sinh thái theo dõi đến vậy
  Kiểu tư duy “không bất hợp pháp thì không có gì phải lo” mới là vấn đề

  • Đơn giản chỉ là kinh doanh kiếm tiền. Mua dữ liệu rẻ rồi bán đắt, và đa số các nhà môi giới dữ liệu vốn đã có tiếng xấu
  • Giám sát toàn bộ công dân không phải là nhiệm vụ của FBI
  • Doanh nghiệp tham gia vì chỉ một lý do thôi: tiền. Có lãi thì họ làm bất cứ thứ gì
  • Khi một hành vi xấu mà đang là bất hợp pháp trở thành hợp pháp thì còn tệ hơn, và nếu bị bắt buộc phải làm thì là tệ nhất
  • Với doanh nghiệp vì lợi nhuận, tối đa hóa lợi ích cổ đông là nghĩa vụ pháp lý
    FBI đang dùng nguyên tắc bên thứ ba để lách tinh thần của Tu chính án thứ 4
    Quốc hội thì không luật hóa việc này để né trách nhiệm

• Tôi thắc mắc trên iOS, dù GUID đã biến mất, SDK quảng cáo vẫn theo dõi người dùng bằng cách nào

  • Chỉ riêng dữ liệu vị trí cũng đã có thể nhận diện một cá nhân
    Ví dụ, mô hình ban đêm ở một khu chung cư nhất định và ban ngày ở một văn phòng nhất định gần như là duy nhất
  • Việc lấy dấu vân tay (fingerprinting) thiết bị cài ứng dụng cũng dễ như ở cấp trình duyệt web
    Chỉ với IP, vị trí, kiểu sử dụng ứng dụng, kích thước màn hình, phiên bản OS v.v. là đã có thể nhận diện theo xác suất khá đủ

• Bài viết hay, nhưng tôi không đồng ý với kết luận
  Dữ liệu có thể được diễn giải theo nhiều cách

• Đây là hành vi lách Tu chính án thứ 4

  • Đúng. Nhưng không phải là vi hiến
    Thượng nghị sĩ Wyden cũng nói rằng việc mua thông tin người Mỹ mà không có lệnh khám xét là chuyện đáng phẫn nộ, một kiểu lách Tu chính án thứ 4
    Chính vì vậy Mỹ cần có luật về quyền riêng tư mạnh mẽ. Khi bầu cử phải tìm những ứng viên ủng hộ điều đó

• Mỹ đang có kỳ vọng hai mặt đối với chính phủ và doanh nghiệp
  Chính phủ thì phải tuân thủ pháp luật và minh bạch, còn doanh nghiệp lại bị xem là thực thể chỉ theo đuổi lợi nhuận
  Vì thế FBI không trực tiếp giám sát mà chọn cách mua dữ liệu thông qua các doanh nghiệp vốn được mặc nhiên thừa nhận là “tham lam”
  Cấu trúc này là ví dụ hoàn hảo cho việc né tránh trách nhiệm