Môi giới dữ liệu và “ác mộng” bị theo dõi

Một cuộc điều tra do 9 tờ báo Mỹ và châu Âu phối hợp thực hiện mới đây đã vén lên phần nào “tấm màn” che khuất một thị trường buôn bán dữ liệu trị giá hàng chục tỷ USD đang hoạt động bằng cách xâm phạm quyền riêng tư của chúng ta.

Ai cũng là nạn nhân

Các chuyên gia an ninh mạng và nhà hoạt động vì quyền công dân đã nhiều lần công khai cảnh báo việc dữ liệu cá nhân bị buôn bán mà không được sự cho phép của chủ dữ liệu. Vậy nhưng các doanh nghiệp môi giới dữ liệu cá nhân vẫn đang lớn mạnh lên theo từng năm, mà tiêu biểu trong số đó là Datastream Group. Tập đoàn có trụ sở tại bang Florida, Mỹ hiện là đối tác thu thập và buôn bán dữ liệu cá nhân khai thác được từ một số website dịch vụ và ứng dụng có nhiều người dùng nhất trên thế giới như Le Bon Coin và Vinted (bán hàng trực tuyến), Grindr (hẹn hò), WordBit (học ngoại ngữ), Candy Crush (trò chơi xếp hình) v.v...

Bà Marie-Claire (66 tuổi) sống một mình tại xã Pleubian, tỉnh Côtes-d'Armor, Pháp. Một trong những niềm vui hiếm hoi trong ngày của bà là mở điện thoại ra và chơi Candy Crush. Bà Marie chẳng hề hay rằng nhờ Candy Crush mà một tập đoàn tại Mỹ luôn biết bà đang ở đâu. Bà không hay rằng Datastream biết là vào buổi sáng ngày 2-7-2024, bà Marie đã lên tàu đến thành phố Toulouse để thăm con gái. Họ biết rằng bà rời khỏi nhà lúc 9:35 và ra khỏi nhà ga Toulouse lúc 10:16.

Bà Marie-Claire chỉ biết sự thật sau khi phóng viên tờ Le Monde (Pháp) liên lạc với bà. Le Monde và 8 tờ báo khác - Wired và 404 Media (US), SRF và RTS (Thụy Sỹ), Bayerischer Rundfunk và Netzpolitik.org (Germany), BNR Nieuwsradio (Hà Lan) và NRK Beta (Na Uy) - đã phối hợp mở cuộc điều tra về vấn đề khai thác và buôn bán dữ liệu cá nhân. Bà Marie chỉ là một trong số 47 triệu người ở 137 quốc gia khác nhau hiện đang bị Datastream thu thập dữ liệu.

Bà Marie-Claire trả lời điện thoại với phóng viên Le Monde: “Tôi không hề biết rằng họ đang theo dõi tôi. Thật quá quắt! Tôi sẽ xóa ngay Candy Crush khỏi điện thoại”. Bà Marie không phải người duy nhất phản ứng như vậy. Đa phần những người được phóng viên liên lạc đều tỏ ra giận dữ và tuyên bố sẽ ngừng sử dụng dịch vụ đã theo dõi họ. Họ còn tức giận hơn nữa khi biết về những thông tin của mình bị lộ: Địa chỉ nhà và cơ quan, số điện thoại, số căn cước, lịch sử mua sắm online v.v...

Theo tờ Le Monde thì Datastream hiện đang nắm giữ thông tin của khoảng một triệu người Pháp. Các phóng viên Le Monde đã sử dụng khoảng 380 triệu tọa độ định vị trong cơ sở dữ liệu của Datastream để xác minh tên, tuổi và địa chỉ của 39.499 công dân Pháp. Con số này không khiến giáo sư tin học Mathieu Cunche (Đại học Lyon) ngạc nhiên. Vị giáo sư giải thích: “Đây chỉ là “phần nổi” của “tảng băng chìm”. Các công ty môi giới dữ liệu như Datastream luôn nắm trong tay nhiều dữ liệu hơn là họ công bố bởi vì họ thường xuyên bí mật thu thập dữ liệu trong khi chưa được sự đồng ý của người dùng lẫn chính phủ sở tại”.

Giáo sư Cunche đã chỉ ra một vấn đề căn bản của ngành buôn bán dữ liệu cá nhân - có quá nhiều dữ liệu đang bị thu thập bất hợp pháp. Trong nhiều trường hợp ngay cả bản thân công ty phát triển phần mềm cũng không biết là sản phẩm của mình đang thu thập thông tin khách hàng. Đó là bởi vì họ sự dụng các bộ công cụ phát triển phần mềm (SDK) của bên thứ ba, và các bộ công cụ này thường xuyên thông qua sản phẩm, dịch vụ cuối cùng mà thu thập thông tin người dùng để xây dựng thị trường đấu thầu theo thời gian thực (Real-Time Bidding, RTB).

RTB hoạt động gần như hoàn toàn tự động mà không có sự can thiệp của con người. Giả sử như một người dùng smartphone click vào một banner quảng cáo. Ứng dụng lập tức gửi thông tin này đến công ty môi giới dữ liệu, rồi từ công ty môi giới đến công ty marketing. Máy tính của công ty marketing sẽ xử lý dữ liệu để quyết định xem với khách hàng tiềm năng này thì nên quảng cáo sản phẩm, dịch vụ nào. Đây là yếu tố then chốt của gói quảng cáo được công ty marketing đưa lên “sàn” RTB để đấu giá. Đối tượng thắng trong cuộc đấu giá được quyền lập tức đăng quảng cáo sản phẩm của mình trước mắt người dùng smartphone. Toàn bộ quy trình trên được hoàn thành trong vòng chưa đến 30 giây. Nguy hiểm hơn nữa là bạn không cần phải thắng trong cuộc đấu giá mới nắm được trong tay dữ liệu người dùng. Bất kỳ đối tượng nào có một chút kiến thức cũng có thể phân tích gói quảng cáo để tìm ra thông tin về người dùng smartphone.

Trong vụ việc Datastream, công ty này đã tổng hợp dữ liệu người dùng được một số bên thứ ba thu thập, ví dụ như hai doanh nghiệp Eskimi (Lithuania) và Redmob (Dubai). Điểm đáng chú ý là Eskimi và Redmob đều do cùng một người lập ra, một doanh nhân người Lithuania tên là Vytautas Paukstys. Riêng Eskimi hiện sở hữu một website hẹn hò cùng tên khá phổ biến ở các nước Tây Phi như Nigeria. Việc ông chủ của một mạng xã hội trực tiếp tham gia vào quá trình thu thập, buôn bán dữ liệu cá nhân của người sử dụng mạng xã hội đó hoàn toàn có thể là tiền đề cho một vụ kiện.

Nguy hiểm tiềm tàng

Nếu chỉ có một nền tảng, ứng dụng thu thập dữ liệu của người dùng thì sẽ không thu thập được nhiều dữ liệu, và thông tin tổng hợp được cũng sẽ có nhiều sai lệch. Điểm đáng nói là đa phần các nền tảng, ứng dụng hiện nay đều đang thu thập dữ liệu của người dùng. Trách nhiệm của các công ty môi giới dữ liệu là tổng hợp, so sánh và phân tích số dữ liệu “thô” thu thập được để đưa ra các kết luận và lời khuyên cho công ty marketing. Công ty môi giới dữ liệu khi nắm đủ thông tin trong tay hoàn toàn có thể xây dựng được “bức chân dung” hoàn hảo về bất kỳ một ai.

Doanh nghiệp CBRE có trụ sở tại Paris, Pháp đăng kí kinh doanh trên danh nghĩa là công ty bất động sản. CBRE chưa từng sở hữu hay quản lý bất kỳ bất động sản nào. Sản phẩm của họ là thông tin địa lý được bán cho các công ty bất động sản khác. CBRE thu thập thông tin định vị của người dùng các ứng dụng bản đồ, tập luyện thể thao, theo dõi sức khỏe v.v... Sau đó họ sử dụng thuật toán (đã được đăng ký quyền sở hữu trí tuệ) để phân tích xem tại địa điểm này có bao nhiêu người qua lại vì mục đích gì. CBRE sẽ bán kết quả nghiên cứu của họ cho các công ty bất động sản để họ xác định giá trị của mảnh đất. Toàn bộ quy trình này diễn ra mà không có sự giám sát của chính quyền bởi vì vấn đề thẩm quyền - CBRE là công ty bất động sản trên giấy tờ nhưng thực chất là công ty môi giới dữ liệu.

Một mối nguy tiềm tàng khác là việc các công ty môi giới dữ liệu thường xuyên bị tin tặc tấn công. Đơn cử như vào ngày 10-1 vừa qua, cơ sở dữ liệu của Gravy Analytics (Na Uy) đã bị tin tặc đánh cắp thông tin. Gravy Analytics đang hợp tác khai thác dữ liệu của một số mạng xã hội và nền tảng hẹn hò, trong đó có Grindr. Sau khi vụ tấn công xảy ra, Grindr đã đưa ra cảnh báo với người dùng ở tại Các Tiểu vương quốc Arập thống nhất (UAE). Chính phủ UAE đến nay vẫn coi việc quan hệ tình dục đồng tính là hành vi phạm pháp. Nhiều người đồng tính ở nước này sử dụng Grindr để bí mật liên lạc với nhau. Hoàn toàn có khả năng tin tặc sử dụng thông tin của người dùng Grindr ở UAE để tống tiền họ.

Không chỉ tin tặc “thèm muốn” dữ liệu cá nhân mà cả các cơ quan chính phủ nữa. Trong khuôn khổ cuộc điều tra chung đa quốc gia, hãng tin Wired đã khám phá ra rằng Bộ Tổng chỉ huy các lực lượng đặc nhiệm Mỹ (USSOCOM) đã và đang mua dữ liệu cá nhân được thu thập bởi công ty Babel Street. Babel Street cung cấp dịch vụ cập nhật và phân tích dữ liệu mang tên Locate X có khả năng xác định vị trí theo thời gian thực của người sử dụng một số ứng dụng khác nhau. Hiện không rõ USSOCOM sử dụng Locate X nhằm mục đích gì, nhưng trong số các ứng dụng hiện bị Babel Street thu thập dữ liệu có Muslim Pro (đồng hồ báo giờ cầu nguyện theo đạo Hồi) và Muslim Mingle (website hẹn hò dành cho tín đồ đạo Hồi). Trong bối cảnh chia rẽ giữa các tôn giáo tại Hoa Kỳ đang trở nên căng thẳng, việc quân đội Mỹ thu thập thông tin của tín đồ Hồi giáo không khỏi khiến nhiều người lo ngại.

Ai đang kiểm soát?

Liên minh châu Âu (EU) là một trong số ít thực thể đã ban hành bộ luật kiểm soát hoạt động của các công ty môi giới dữ liệu mang tên Cơ chế Bảo vệ thông tin cá nhân (GDPR). Bộ luật này đang được chính phủ các nước thành viên EU thi hành thông qua những cơ quan như Cục An ninh thông tin Pháp (CNIL). CNIL có thẩm quyền buộc các đối tượng vi phạm phải ngừng hoạt động tại nước này.

Bà Nacera Bekhat, trưởng phòng kinh tế số tại CNIL, cho biết: “Dữ liệu cá nhân, đặc biệt là dữ liệu định vị, hoàn toàn không mang tính “ẩn danh” như nhiều người nghĩ. Kể cả khi dữ liệu không đi kèm tên tuổi người bị theo dõi, bất kỳ đối tượng nào khi nắm đủ dữ liệu trong tay cũng có thể xác định được danh tính nạn nhân. GDPR hoạt động dựa trên nền tảng pháp lý này. Công dân có quyền bảo mật danh tính của họ, và điều này áp dụng cả với dữ liệu điện tử của họ”.

Các doanh nghiệp môi giới dữ liệu chỉ được phép thu thập thông tin khi đáp ứng đủ tiêu chí sau của GDPR: “Người bị theo dõi phải được thông báo đầy đủ và chính xác về dữ liệu của họ bị thu thập, dữ liệu sẽ được ai sử dụng và vì mục đích nào. Người bị theo dõi đồng thời có quyền bất khả xâm phạm khi ra quyết định và không bị chịu bất kỳ áp lực nào từ nhà cung cấp dịch vụ”.

Trên thực tế ít có công ty nào đáp ứng đúng tiêu chí của GDPR. Đa phần các website, ứng dụng trong phần “Chính sách người dùng” chỉ đưa ra những tuyên bố lấp lửng, nửa vời về việc thu thập dữ liệu khách hàng. Họ không hề nói cho người sử dụng biết rõ là sẽ thu thập những dữ liệu nào, sẽ bán dữ liệu cho ai v.v... Chỉ một ứng dụng học ngoại ngữ thôi cũng có thể thông qua công ty môi giới mà bán dữ liệu người dùng cho gần 100 đối tác khác nhau mà người dùng không hề hay biết.

Bà Narseo Vallina Rodriguez, nhà nghiên cứu tại viện IMDEA Networks ở Madrid, Tây Ban Nha, nhận xét: “Nguồn doanh thu duy nhất mà nhiều nhà phát triển, cung cấp dịch vụ, ứng dụng miễn phí nhận được là doanh thu bán quảng cáo. Mặt khác họ cũng phải chấp nhận việc SDK của bên thứ ba thu thập dữ liệu người dùng ứng dụng của họ. Các công ty phần mềm nhỏ không có đủ nguồn lực để tạo ra công cụ phát triển của riêng họ. Đây là hai lý do chính khiến đa số doanh nghiệp phải tham gia thị trường môi giới dữ liệu”.

Nói như vậy không có nghĩa là trách nhiệm chính không thuộc về phía nhà cung cấp dịch vụ. Bà Nacera Bekhat giải thích: “Các công ty cung cấp dịch vụ có trách nhiệm về dữ liệu mà họ đang thu thập và mua bán cũng giống như người bảo vệ chịu trách nhiệm về việc ai được ra vào cổng. Hành trình từ điểm thu thập dữ liệu đến tay người mua dữ liệu là cả một chặng đường dài, và nếu muốn ngăn chặn hành vi phạm pháp thì chúng ta chỉ có cách làm ngay từ điểm xuất phát”.