Google đã thất hứa, và giờ ICE đang nắm dữ liệu của tôi

 (eff.org)
2 điểm bởi GN⁺ 6 ngày trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Dữ liệu tài khoản Google của du học sinh tại Mỹ Amandla Thomas-Johnson đã bị chuyển cho chính phủ thông qua trát triệu tập hành chính của ICE, đồng thời chính sách thông báo trước của Google đã bị vi phạm
  • EFF đã đề nghị các tổng chưởng lý bang điều tra việc Google hợp tác với cơ quan thực thi pháp luật nhưng không thông báo cho người dùng như một hành vi thương mại mang tính lừa dối
  • Dữ liệu được chuyển giao bao gồm địa chỉ IP, địa chỉ vật lý, thời lượng phiên và các thông tin định danh cá nhân khác, được đánh giá là đủ mức để tạo hồ sơ giám sát
  • Thông báo của Google chỉ được gửi sau khi dữ liệu đã được cung cấp cho Bộ An ninh Nội địa, khiến người dùng mất cơ hội phản đối
  • Vụ việc cho thấy sự kết hợp giữa quyền lực nhà nước và dữ liệu của các công ty công nghệ có thể đe dọa quyền riêng tư và tự do biểu đạt của cá nhân

Google thất hứa và ICE có được dữ liệu

  • Vào tháng 9/2024, Amandla Thomas-Johnson, khi đang du học tại Mỹ, đã tham gia ngắn vào một cuộc biểu tình ủng hộ Palestine; đến tháng 4/2025, Cơ quan Thực thi Di trú và Hải quan Mỹ (ICE) đã gửi cho Google một trát triệu tập hành chính yêu cầu dữ liệu của anh
    • Tháng sau đó, Google đã cung cấp dữ liệu cho ICE mà không thông báo cho người dùng
    • Đây là một trường hợp Google vi phạm chính sách nêu rõ rằng họ sẽ thông báo cho người dùng trước khi cung cấp dữ liệu
  • Electronic Frontier Foundation (EFF) đã nộp đơn khiếu nại chính thức lên tổng chưởng lý bang California và New York, đề nghị điều tra hành vi của Google như một hành vi thương mại mang tính lừa dối
    • EFF cho rằng Google đã phá vỡ cam kết thông báo cho người dùng và hợp tác với một cuộc điều tra có tính nhắm mục tiêu của chính phủ

Xung đột với cơ quan di trú Mỹ

  • Thomas-Johnson rời sang Canada và tưởng rằng sự việc đã kết thúc, nhưng sau đó nhận ra mình vẫn không thoát khỏi ảnh hưởng của chính phủ Mỹ
    • Trong bối cảnh chính quyền Trump siết chặt việc trấn áp hoạt động chính trị của du học sinh nước ngoài, anh đã phải ẩn náu trong 3 tháng
    • Đặc vụ liên bang đã khám xét nhà anh, và một người quen bị thẩm vấn tại sân bay về tung tích của anh
  • Anh là công dân song tịch Anh và Trinidad & Tobago, không bị cáo buộc tội phạm nào, nhưng vẫn trở thành đối tượng bị giám sát chỉ vì tham gia biểu tình chính trị

Email thông báo của Google

  • Khi đang ở Geneva, Thụy Sĩ, anh nhận được email từ Google cho biết dữ liệu đã được cung cấp cho Bộ An ninh Nội địa (DHS)
    • Trong các trường hợp trước đây, Google và Facebook từng gửi thông báo trước và cơ quan thực thi pháp luật đã rút lại yêu cầu
    • Nhưng email lần này là một thông báo cuối cùng rằng “Google đã cung cấp thông tin theo yêu cầu của cơ quan thực thi pháp luật”
    • Anh xác nhận rằng dữ liệu đã bị chuyển giao mà hoàn toàn không có cơ hội phản đối

Google vi phạm cam kết

  • Trong chính sách chính thức, Google nêu rõ rằng họ sẽ thông báo trước cho người dùng khi có yêu cầu pháp lý như trát triệu tập hành chính
    • Đây là cơ chế nhằm bảo đảm người dùng có thể thực hiện phản ứng pháp lý
    • Nhưng trong trường hợp của Thomas-Johnson, quy trình này đã bị bỏ qua và dữ liệu được chuyển đi
  • Trát triệu tập mà EFF có được bao gồm thông tin thuê bao như địa chỉ IP, địa chỉ vật lý và thời lượng phiên
    • Sự kết hợp của các dữ liệu này có thể tạo thành hồ sơ giám sát cho phép theo dõi vị trí và phân tích mô hình hoạt động
    • Ngay cả khi không có nội dung tin nhắn, mức độ chi tiết vẫn đủ để phác họa kỹ lưỡng đời sống cá nhân và mạng lưới quan hệ của một người

Sự kết hợp giữa quyền lực nhà nước và dữ liệu tư nhân

  • Vụ việc này cho thấy cơ quan thực thi pháp luật có thể nhắm mục tiêu vào bất kỳ ai, và khối dữ liệu khổng lồ của các công ty công nghệ khiến điều đó trở nên khả thi
    • Khi quyền lực nhà nước, dữ liệu doanh nghiệp và suy luận dựa trên thuật toán kết hợp với nhau, phạm vi giám sát sẽ mở rộng theo cách khó nhìn thấy
    • Cấu trúc như vậy khiến người bị giám sát khó nhận biết hoặc phản ứng
  • Thomas-Johnson cho biết dù đã rời Mỹ, anh vẫn cảm thấy mình đang nằm trong vùng ảnh hưởng giám sát của chính phủ Mỹ
    • Anh bày tỏ lo lắng về việc liệu mình có bị xếp vào diện nhân vật bị nhắm mục tiêu, liệu hoạt động báo chí có nguy cơ bị giám sát, và liệu có thể di chuyển an toàn để gặp gia đình hay không
    • Cuối cùng, anh chỉ ra rằng ngay cả chủ thể phải chịu trách nhiệm cũng không rõ là ai

Chủ đề liên quan

  • Quyền riêng tư (Privacy), Tự do biểu đạt (Free Speech), Tính ẩn danh (Anonymity)

    • Vụ việc phơi bày cách mà biểu đạt chính trị và quyền riêng tư số của cá nhân bị đe dọa như thế nào trong cấu trúc giám sát của chính phủ kết hợp với sự hợp tác của doanh nghiệp

Bài viết liên quan

1 bình luận

 
GN⁺ 6 ngày trước
Ý kiến trên Hacker News

  • Chính sách của Google có câu “không thông báo nếu bị pháp luật cấm”
    Bài viết nói rằng luật sư đã xem xét trát đòi, nhưng không đề cập liệu có lệnh bịt miệng (gag order) hay không. Đây là điểm mấu chốt nếu muốn lập luận rằng Google đã vi phạm chính sách

    • Theo thư ngỏ của EFF, trát đòi đó không kèm lệnh bịt miệng
    • Theo tài liệu của ACLU, lệnh bịt miệng đi kèm trát đòi hành chính không có hiệu lực pháp lý, và bên nhận vẫn có thể thông báo cho đương sự hoặc công khai. Ngoài ra, nếu không có lệnh của tòa thì cũng không bắt buộc phải tuân thủ trát đòi
    • Trên thực tế, trát đòi hành chính có tính ràng buộc pháp lý khá yếu; ngay cả khi đặc vụ ICE nói “đừng tiết lộ”, điều đó cũng không có hiệu lực pháp lý
    • Những vụ kiện và bài báo kiểu này phần lớn nhằm củng cố một narrative mang tính hoạt động xã hội. Chỉ cần đọc chính sách của Google là thấy rõ, và cơ sở để chỉ trích Google là khá yếu

  • Vụ việc này là giọt nước tràn ly khiến tôi xóa hoàn toàn tài khoản Google đã dùng gần 20 năm
    Tôi đã dọn sạch 10 năm Google Photos, hủy cả gói Google One, rồi chuyển sang Proton Mail và self-hosting. Tôi sẽ không giao dữ liệu của mình cho một công ty sẵn sàng bàn giao chỉ với trát hành chính

    • Giải pháp thực sự là tự lưu trữ dữ liệu trong trạng thái được mã hóa. Chính suy nghĩ rằng mọi thứ đều phải đưa lên cloud mới dẫn đến sự tập trung quyền lực
    • Không cần phải chuyển hết dịch vụ trong một lần. Tôi chuyển dần sang Fastmail trong vài năm, và mỗi lần Google làm điều gì đó khiến tôi khó chịu thì tôi lại chuyển thêm một tài khoản. Phiền thật, nhưng cảm giác rất nhẹ nhõm
    • Tôi khuyên dùng Immich. Đây là giải pháp self-hosted gần như thay thế hoàn hảo cho Google Photos
    • Tôi muốn biết có dịch vụ hosting nào không đáp ứng yêu cầu cung cấp dữ liệu nếu không có lệnh của tòa hay không. Self-hosting là lý tưởng, nhưng tôi bị hạn chế về thời gian
    • Tôi muốn biết mọi người đã dùng workflow nào để chuyển tất cả website đang dùng địa chỉ Gmail sang Proton Mail. Tôi cũng muốn bắt đầu, dù có mất vài năm

  • Nhiều người chỉ tập trung vào vấn đề quyền riêng tư của Google, nhưng vấn đề thực sự là chính phủ nhắm mục tiêu vào những người đang cư trú hợp pháp
    Thay vì chỉ nghĩ đến chuyện né giám sát của chính phủ, ta nên phẫn nộ vì sao chuyện này lại có thể xảy ra

    • Tuy vậy, việc cấm người nước ngoài tham gia hoạt động chính trị là một điều kiện visa hợp pháp ở nhiều nước. Những hạn chế như vậy có lý do của nó

  • Tôi không hiểu vì sao ICE lại có được quyền lực như thế. Họ hành xử gần như một đội quân tư nhân

    • Rốt cuộc chính cử tri đã trao cho họ quyền đó. Trong 25 năm kể từ sau 11/9 đã có nhiều cơ hội để thay đổi, nhưng không ai hành động
    • Quốc hội đã trao quyền, và trước đây việc thực thi còn bị kiềm chế phần nào bởi ý chí của tổng thống. Giờ thì sự kiềm chế đó đã biến mất
    • Google lẽ ra có thể từ chối trát đòi hoặc thông báo cho đương sự theo hướng dẫn của ACLU, nhưng vấn đề cốt lõi là họ đã tự nguyện hợp tác
    • Nghĩ rằng quyền lực phải được “trao” mới có là một ảo tưởng. Các cơ quan chính phủ Mỹ nhiều khi cứ thế hành động, và nếu không có nhánh quyền lực nào khác ngăn lại thì mọi thứ cứ tiếp diễn. Hiện tại chính quyền Trump đang phớt lờ mọi sự kiềm chế đó
    • Cuối cùng thì Trump và Đảng Cộng hòa đã hậu thuẫn cho loại quyền lực này

  • ICE yêu cầu “đừng thông báo” mà không có lệnh của tòa, và có vẻ Google đã làm theo yêu cầu đó
    Nhưng tôi thắc mắc vì sao bên phát hành trát đòi hành chính lại không trực tiếp thông báo cho đương sự. Tại sao Google phải gánh trách nhiệm đó?

    • Thông thường họ vẫn thông báo, nhưng có ngoại lệ nếu đó là người không phải công dân, đã rời khỏi Mỹ, hoặc là vụ điều tra liên quan đến an ninh quốc gia
    • Dù sao thì việc Google cuối cùng cũng đã thông báo vẫn là điều đáng ghi nhận

  • Tôi tò mò Amandla đã bị nhận diện bằng cách nào. Có phải họ dùng thiết bị Stingray để theo dõi điện thoại tại hiện trường biểu tình không? Hay là nhận diện khuôn mặt? Hay do thông tin visa? Dù là cách nào thì cũng đáng lo

    • Thực tế là các nhà mạng bán dữ liệu vị trí cho những khu vực nhất định. Do luật KYC, tên và email đã được đăng ký sẵn, và chính phủ có thể truy cập mà không cần báo cho khách hàng

  • Điều thú vị là tác giả đã diễn giải tài liệu chính sách của Google như một “lời hứa”
    Nhưng đó không phải hợp đồng mà chỉ là mô tả chính sách đơn thuần. Nó không phải một lời hứa có tính ràng buộc pháp lý
    Rất khó chứng minh cách vận hành nội bộ hoặc ý định của Google. Về thực chất, nó chỉ là một “sự trình bày” (representation) Các công ty ở Thung lũng Silicon hầu như không đưa ra cam kết pháp lý nào với người dùng. Nếu có, họ sẽ không gánh nổi

    • Cuối cùng thì điều quan trọng là năng lực (capability), chứ không phải lời hứa

  • Tôi mặc định rằng mọi dữ liệu rời khỏi nhà tôi đều bị chính phủ theo dõi và lưu trữ
    Điện thoại, hành trình xe cộ, mọi thứ đều bị ghi lại. Những người biểu tình J6 cũng đã bị lần ra nhờ dữ liệu điện thoại

    • Một số kẻ bạo loạn còn tự để lại chứng cứ bằng cách chụp selfie ngay trong tòa nhà Quốc hội
    • Đừng quên bài học rằng “cloud rốt cuộc chỉ là máy tính của người khác”. Gmail, iCloud, AWS, Facebook, WhatsApp, iMessage đều vậy
    • Nhưng kiểu tư duy này có thể dẫn tới sự ngờ vực mang tính toàn trị. Một xã hội nơi ai cũng bị nghi là gián điệp sẽ rất nguy hiểm
    • Snowden đã phơi bày cấu trúc giám sát này từ lâu. Sau đó có chút kiềm chế, nhưng các chương trình giám sát mới vẫn tiếp tục xuất hiện
    • Thái độ cam chịu như vậy là vô nghĩa. Vẫn có nhiều việc cá nhân có thể làm như VPN, DNS mã hóa, tránh cloud, đào tạo bảo mật

  • Quyền riêng tư, công nghệ và tự do gắn với nhau rất sâu sắc
    Việc những chuyện như thế này xuất hiện trên HN là quan trọng, vì những người xây dựng chính sách nội bộ hay công nghệ ở Google đều đọc HN
    Những trường hợp như vậy khiến nhà sáng lập hay người ra quyết định phải tính lại câu hỏi “có thể tin Google được không”

    • Không có gì đảm bảo rằng bên trong Google không tồn tại một đội bí mật chuyên làm rò rỉ dữ liệu. Giải pháp thực sự chỉ có thể là cấu trúc mã nguồn mở, mã hóa E2E, và người dùng tự quản lý khóa
    • Chừng nào công nghệ còn liên quan thì những thảo luận như thế này hoàn toàn phù hợp với HN. Việc chính phủ dùng công nghệ để tăng cường giám sát là một vấn đề nghiêm trọng
    • Thật mỉa mai khi những người từng ủng hộ tự do và biểu đạt lại phớt lờ những chuyện như thế này. Thậm chí còn có lời kể rằng sinh viên biểu tình đã bị bắt hoặc phải lẩn trốn vì áp lực từ chính phủ
    • Cũng có ý kiến cho rằng nếu Google chỉ đơn giản là tuân thủ pháp luật thì khó mà chỉ trích họ. Doanh nghiệp nên hành xử như một thực thể pháp lý, chứ không phải nhà hoạt động xã hội

  • Tôi lại nhớ tới khẩu hiệu cũ của Google: “Don’t be evil”

    • Câu đó đã bị loại bỏ từ khoảng 10 năm trước. Thật mỉa mai khi việc “đừng làm điều ác” lại bị xem là cản trở tăng trưởng doanh nghiệp
    • Giờ thì họ thậm chí còn không giữ nổi chuẩn “đừng khiến người ta rợn gáy”. Không có hỗ trợ khách hàng, văn hóa nội bộ lại đầy cạnh tranh, nên tôi tránh dùng Google cho việc quan trọng
    • Thực ra ngay từ đầu khẩu hiệu đó đã là một sự đạo đức giả giống như trò đùa. Càng là công ty độc ác thì càng thích treo những câu như thế