Kỹ sư Dương Ngọc Thái vừa có bài bình luận rõ ràng và đặt ra các câu hỏi cũng rất đi vào trọng tâm.
--------------------
Trước các lo ngại về quyền riêng tư liên quan đến điều khoản sử dụng mới, VNG đã ra thông báo khẳng định:
1. Zalo chủ động không lưu trữ nội dung tin nhắn, cuộc gọi và cam kết không sử dụng nội dung tin nhắn, cuộc gọi giữa các cá nhân cho mọi mục đích.
2. Việc chia sẻ dữ liệu với bên thứ ba phải do người dùng chủ động đồng ý theo đúng yêu cầu của pháp luật.
3. Zalo đang thực hiện các thủ tục xin phép cơ quan chức năng để triển khai mã hóa đầu cuối (E2EE).
Tôi thấy đây là những cam kết mạnh mẽ. Zalo nên cập nhật điều khoản sử dụng để ghi rõ hai cam kết đầu tiên. Ngoài nội dung tin nhắn và cuộc gọi, Zalo cũng cần cam kết không lưu trữ thông tin ai nói chuyện với ai. Trong ngành, dữ liệu này được gọi là metadata. Nội dung trò chuyện quan trọng, nhưng metadata cũng nhạy cảm không kém.
Trong vụ án chuyến bay giải cứu, Viện Kiểm sát kết tội ông Hoàng Văn Hưng một phần dựa trên việc ông có 435 cuộc gọi với một bị cáo khác, chủ yếu qua SIM rác và Viber. Ví dụ này cho thấy metadata có thể mang giá trị pháp lý lớn đến mức nào.
Về mã hóa đầu cuối, một bạn đọc cho biết lý do Zalo phải xin phép cơ quan chức năng có thể vì đây được xem là sản phẩm mã hóa dân sự, cần sự chấp thuận của cơ quan quản lý nhà nước, có thể là Ban Cơ yếu Chính phủ. Tôi được biết Ban Cơ yếu có nhiều chuyên gia được đào tạo bài bản ở nước ngoài. Hy vọng họ sẽ sớm hỗ trợ, cấp phép cho Zalo. Nếu thành công, đây có thể là một bước tiến lâu dài trong việc bảo vệ quyền riêng tư của người Việt.
Trong bài viết trước, tôi đặt ra bốn đề nghị cho VNG:
- Khôi phục mã hóa đầu cuối, đảm bảo chính VNG cũng không thể đọc nội dung chat.
- Cung cấp cho người dùng công cụ để tự quản lý, tải về và xóa dữ liệu cá nhân, cả từng phần lẫn toàn bộ.
- Cam kết xóa dữ liệu trong vòng 60 ngày theo yêu cầu của người dùng.
- Minh bạch hóa việc chia sẻ dữ liệu với các bên thứ ba, bao gồm cả chính phủ Việt Nam và các quốc gia khác.
Những đề nghị này không phải tôi tự nghĩ ra. Đây là các chuẩn mực bảo vệ dữ liệu mà nhiều tập đoàn công nghệ lớn trên thế giới đã áp dụng.
Tôi muốn biết VNG hiện đang có những dữ liệu gì về tôi. Họ nói thu thập dữ liệu vị trí, nhưng chính xác họ đã biết tôi ở những đâu, vào những lúc nào?
Nhiều người lo về dữ liệu danh tính và mối quan hệ gia đình, nhưng dữ liệu vị trí còn nhạy cảm hơn nhiều. Chỉ cần biết ban đêm một người ngủ ở đâu và ban ngày đi làm ở đâu là đủ để xác định danh tính và các mối quan hệ gia đình. Dữ liệu vị trí cũng cho biết ai gặp ai, điều này đặc biệt nhạy cảm. Nếu buổi trưa sếp với thư ký cứ cùng xuất hiện ở khách sạn thì giải thích làm sao!
Tôi nhấn mạnh việc xóa dữ liệu vì đây là biện pháp đơn giản nhất để người dùng tự bảo vệ. Nhưng xóa dữ liệu hoàn toàn không hề đơn giản. Khi còn làm ở Google, tôi đã phải dành rất nhiều thời gian thiết kế hệ thống để đảm bảo dữ liệu thực sự bị xóa khi người dùng yêu cầu. Tôi không muốn nhấn nút xóa, nhận thông báo đã xóa, nhưng dữ liệu vẫn còn sót lại trên máy chủ.
Riêng về minh bạch hóa chia sẻ dữ liệu với chính phủ, VNG cần nêu rõ khi nào chia sẻ loại dữ liệu nào, đồng thời công bố báo cáo minh bạch thống kê số lượt và phạm vi chia sẻ.
Ở Mỹ, các công ty công nghệ chỉ cung cấp thông tin khi có yêu cầu hợp pháp, và mỗi loại yêu cầu cho phép mức độ truy cập khác nhau:
- Trát toà yêu cầu cung cấp thông tin cơ bản (subpoena): Doanh nghiệp chỉ cung cấp những thông tin cơ bản như tên người dùng, địa chỉ IP, v.v.
- Trát toà yêu cầu cung cấp thông tin metadata: Doanh nghiệp chỉ cung cấp những thông tin liên quan đến ai nói chuyện với ai, nhưng không cung cấp nội dung.
- Lệnh khám xét (search warrant): Lúc này doanh nghiệp mới cung cấp nội dung.
Ngoài ra còn có các yêu cầu liên quan đến an ninh quốc gia, thường được gọi là National Security Letter.
Một câu hỏi quan trọng khác mà VNG cần minh bạch hóa: Khi chính quyền yêu cầu cung cấp dữ liệu của một người dùng cụ thể, VNG có thông báo cho người dùng đó hay không?
VNG là một trong những công ty công nghệ tiên phong ở Việt Nam. Những gì họ làm sẽ sớm trở thành chuẩn mực cho cả ngành. Chúng ta nói nhiều về “go global”, thậm chí còn muốn “dẫn dắt”, thì trước hết cần làm những việc mà thế giới đã làm. Nếu chưa làm được, sẽ rất khó thuyết phục người Việt hiểu biết tiếp tục sử dụng sản phẩm, chứ chưa nói đến người dùng quốc tế.
Lưu ý về xung đột lợi ích (conflict of interest):
- Công ty Calif của tôi cung cấp một số dịch vụ tương tự như công ty Verichains có liên quan đến lãnh đạo VNG.
- Một số khách hàng của Calif cung cấp dịch vụ tương tự như công ty ZaloPay thuộc VNG.
-----------------------
Nguồn: https://vnhacker.substack.com/p/binh-luan-ve-phan-hoi-cua-zalo
