Bài toán bảo mật dữ liệu người dùng internet

Công ty công nghệ Google của Mỹ đang bị các cơ quan bảo vệ người tiêu dùng tại nhiều nước châu Âu khiếu nại về việc thu thập lượng lớn dữ liệu cá nhân của người dùng, thông qua việc đăng ký các tài khoản Google. Đây là vụ việc mới nhất liên quan cáo buộc đánh cắp thông tin người sử dụng internet của “gã khổng lồ” công nghệ Mỹ.

Tập đoàn Google bị giới chức nhiều nước cáo buộc thu thập dữ liệu người dùng. Ảnh: MASHABLE
Tập đoàn Google bị giới chức nhiều nước cáo buộc thu thập dữ liệu người dùng. Ảnh: MASHABLE

BEUC lên tiếng

Ngày 30/6 vừa qua, Tổ chức người tiêu dùng châu Âu (BEUC) thông báo, Google đang bị các cơ quan bảo vệ người tiêu dùng tại nhiều nước châu Âu khiếu nại về việc lượng lớn dữ liệu cá nhân được thu thập thông qua các tài khoản Google của người dùng. BEUC là một nhóm bao gồm hơn 46 tổ chức tiêu dùng, cho biết các nhóm người tiêu dùng ở Pháp, Hy Lạp, CH Czech, Na Uy và Slovenia đã đệ đơn khiếu nại chống Google lên các cơ quan bảo vệ dữ liệu ở nước sở tại. 

Trong khi đó, Cơ quan bảo vệ người tiêu dùng Đức đã gửi thư đến Google và có khả năng sẽ dẫn đến một vụ kiện dân sự. Các cơ quan tương tự tại Hà Lan, Đan Mạch và Thụy Điển đã gửi văn bản tới những cơ quan bảo vệ quyền riêng tư trong nước để cảnh báo những hành vi được cho là sai phạm của Google.

BEUC cho hay, vấn đề nằm ở quy trình đăng ký tài khoản Google. Theo tổ chức này, Google đã sử dụng “thiết kế lừa dối, ngôn ngữ không rõ ràng và lựa chọn gây hiểu lầm” trong quá trình đăng ký tài khoản, khiến nhiều người tiêu dùng mất cảnh giác. “Trái ngược với những gì Google tuyên bố về việc bảo vệ quyền riêng tư của người tiêu dùng, hàng chục triệu người châu Âu đã bị giám sát nhanh chóng khi họ đăng ký tài khoản Google”, Ursula Pachl - Phó Giám đốc BEUC cho biết.
 
BEUC cũng cho rằng, nếu người dùng chọn không đăng ký, Google sẽ khiến họ cảm thấy đang “bỏ lỡ” những lợi thế đầy đủ mà nền tảng này mang lại. Bên cạnh đó, Google cũng hạn chế những tùy chọn tôn trọng quyền riêng tư, khiến người dùng đưa ra quyết định thiếu sáng suốt, dẫn đến quy trình xử lý dữ liệu cá nhân không công bằng, thiếu minh bạch và bất hợp pháp.

Bằng việc đăng ký tài khoản Google, người dùng coi như đồng ý cho Google truy cập “Lịch sử vị trí” và “Hoạt động web & app” - hai ứng dụng vốn được cài đặt mặc định vào tất cả tài khoản Google. Các dữ liệu về vị trí, địa điểm có thể tiết lộ nhiều thông tin cá nhân về một người như thời gian di chuyển thực tế, các địa điểm thường xuyên lui tới, lịch trình hằng ngày, các sở thích… Việc liên tục theo dõi vị trí và tập hợp các dữ liệu địa điểm có thể được sử dụng để xây dựng một hồ sơ chi tiết về các cá nhân, cũng như phỏng đoán về tín ngưỡng, khuynh hướng chính trị...

BEUC khẳng định, các hoạt động của Google đã không thay đổi kể từ lần đầu bị nộp đơn khiếu nại. Phó Giám đốc Pachl nhấn mạnh: “Chúng tôi cần hành động nhanh chóng từ các cơ quan chức năng, do một trong những “người chơi lớn nhất” phớt lờ các điều kiện bảo mật thông tin cá nhân người dùng là điều không thể chấp nhận được”.

Nâng cao bảo mật thông tin

Trước những thông tin cáo buộc từ phía BEUC, Google khẳng định khi mở tài khoản trên trang này, người dùng có thể chọn trong nhiều tùy chọn khác nhau được thiết kế rõ ràng, đơn giản và dễ hiểu. Một người phát ngôn của Google khẳng định, các tùy chọn được đưa ra dựa trên những nghiên cứu sâu rộng và hướng dẫn của các cơ quan bảo vệ dữ liệu, cũng như phản hồi của nhóm thử nghiệm.

Trong một thông báo, công ty này cho biết: “Chúng tôi biết rằng lòng tin của người tiêu dùng phụ thuộc vào sự trung thực và minh bạch. Đó là lý do tại sao chúng tôi việc xây dựng các biện pháp kiểm soát ngày càng đơn giản, dễ tiếp cận và mang đến cho mọi người những lựa chọn rõ ràng hơn. Chúng tôi hoan nghênh cơ hội tham gia về chủ đề quan trọng này với những người ủng hộ người tiêu dùng và các cơ quan quản lý của châu Âu”. 

Về hai ứng dụng bị cho là dùng để theo dõi người sử dụng, Google khẳng định: “Lịch sử vị trí bị tắt theo mặc định và bạn có thể chỉnh sửa, xóa hoặc tạm dừng nó bất kỳ lúc nào. Nếu được bật, tính năng này giúp cải thiện các dịch vụ như dự đoán lưu lượng giao thông trên tuyến đường đi làm của bạn, thay vì để Google theo dõi người sử dụng như BEUC cáo buộc”.

Đây không phải vụ việc đầu tiên liên quan bảo mật thông tin người dùng internet của “gã khổng lồ” công nghệ Mỹ. Ngày 2/7/2018, tờ The Wall Street Journal của Mỹ đã bất ngờ đăng tải bài viết cáo buộc Google làm lộ thông tin người sử dụng. Trong bài, The Wall Street Journal cho hay, Google đã cho phép bên thứ ba là các công ty phần mềm “quét” hộp thư đến của người sử dụng Gmail để nghiên cứu hành vi khách hàng nhằm phục vụ mục đích quảng cáo.

Đáng chú ý, không chỉ sử dụng công nghệ trí tuệ nhân tạo (AI) để quét hộp thư đến, các công ty thuộc bên thứ ba này còn để người thật là các lập trình viên tiến hành quá trình nghiên cứu dưới sự cho phép của Google. Chính nhân viên của tập đoàn này cũng được cho là đã đọc email trong hộp thư Gmail của người dùng. Ước tính, hàng trăm công ty thuộc bên thứ ba, trong đó có các nhà phát triển công nghệ như Microsoft, Salesforce, Return Path hay Edison Software đã thâm nhập email người sử dụng Gmail.

Năm 2019, cơ quan giám sát bảo vệ dữ liệu của Pháp (CNIL) đã phạt Google 50 triệu euro vì vi phạm các quy tắc về quyền riêng tư trực tuyến của EU. Đây là hình phạt lớn nhất đối với một công ty công nghệ của Mỹ vào thời điểm đó. Google bị phạt tiền do cáo buộc thiếu minh bạch và rõ ràng trong cách thông báo cho người dùng về việc xử lý dữ liệu cá nhân và không nhận được sự đồng ý của họ đối với các quảng cáo được cá nhân hóa.

CNIL đưa ra quyết định dựa trên các cuộc điều tra sau khi có khiếu nại từ hai tổ chức phi chính phủ là None Of Your Business (NOYB) và La Quadntic du Net (LQDN). Kháng nghị của Google đã bị tòa án tối cao của Pháp về luật hành chính, bác bỏ và kết luận rằng công ty đã không nói rõ với người dùng Android về cách xử lý thông tin cá nhân của họ.

Trước những sự cố rò rỉ dữ liệu người sử dụng, EU đã ban hành Quy định chung về bảo mật thông tin (General Data Protection Regulation - GDPR) vào ngày 25/05/2018. Đây được xem là nỗ lực bảo vệ quyền lợi người dùng của giới chức EU. Quy định GDPR được ban hành là để bảo vệ thông tin riêng tư của người dùng khỏi hành vi sử dụng dữ liệu cá nhân trái phép của các công ty hoạt động trong khối.

Nếu bị phát hiện vi phạm các quy định bảo vệ quyền riêng tư của EU, các doanh nghiệp có thể đối mặt với mức phạt 2% tổng doanh thu của công ty trên toàn cầu, theo GDPR. Dù vậy, giới phân tích cho rằng, bản thân người sử dụng cũng nên nâng cao cảnh giác, đọc kỹ những hướng dẫn của các công ty công nghệ nhằm bảo vệ thông tin cá nhân trước những nguy cơ tiềm tàng.

Trước những cáo buộc hiện nay, ngày 1/7, Google tuyên bố sẽ xóa dữ liệu lịch sử định vị người dùng nếu điểm đến là các cơ sở sản phụ khoa, các trung tâm tạm trú bạo hành gia đình và nhiều địa điểm riêng tư khác. Jen Fitzpatrick, Phó Chủ tịch cấp cao của Google cho biết, nếu các hệ thống của mạng tra cứu thông tin này xác định ai đó đã đến một trong những địa điểm trên thì công ty sẽ lập tức xóa lịch sử cập nhật vị trí ngay khi người dùng đến. Điều chỉnh này có hiệu lực trong vài tuần tới. Các địa điểm khác mà Google sẽ không lưu lại dữ liệu vị trí gồm các phòng khám sản khoa, cơ sở cai nghiện và giảm cân.