Bạn có biết mỗi khi mở ứng dụng trên điện thoại, vị trí chính xác của bạn có thể đang được bán cho các bên thứ ba? Ủy ban Thương mại Liên bang Mỹ (FTC) vừa ra lệnh cấm công ty môi giới dữ liệu Kochava và công ty con Collective Data Solutions (CDS) bán dữ liệu vị trí của người dùng mà không có sự đồng ý rõ ràng. Quyết định này được đưa ra sau khi FTC phát hiện Kochava đã bán thông tin vị trí chính xác từ hàng trăm triệu thiết bị di động. Đây là một trong những vụ vi phạm quyền riêng tư lớn nhất từng được ghi nhận trong ngành công nghiệp môi giới dữ liệu.

Kochava - "ông trùm" thầm lặng của ngành môi giới dữ liệu

Kochava không phải là một cái tên quen thuộc với người dùng phổ thông, nhưng công ty này lại đóng vai trò then chốt trong hệ sinh thái quảng cáo di động toàn cầu. Được thành lập năm 2011, Kochava hoạt động như một nền tảng attribution (theo dõi nguồn gốc) và analytics (phân tích dữ liệu) cho các ứng dụng di động. Công ty tự hào có thể theo dõi và phân tích hành vi của người dùng trên hàng nghìn ứng dụng khác nhau. Mô hình kinh doanh của họ dựa trên việc thu thập dữ liệu từ các ứng dụng đối tác, sau đó "đóng gói" và bán cho các nhà quảng cáo, công ty nghiên cứu thị trường.

Vấn đề nằm ở chỗ Kochava không chỉ thu thập dữ liệu hành vi mua sắm hay sở thích cá nhân mà còn thu thập cả dữ liệu vị trí chính xác (precise geolocation data) - tức là tọa độ GPS cụ thể của người dùng theo thời gian thực. Theo cáo buộc của FTC, dữ liệu này được bán mà không cần sự đồng ý rõ ràng từ người dùng. Điều đáng lo ngại hơn là thông tin vị trí có thể tiết lộ những địa điểm nhạy cảm như bệnh viện phụ khoa, trung tâm cai nghiện, hoặc nơi thờ cúng tôn giáo của cá nhân.

Cơ chế thu thập dữ liệu vị trí - bẫy ẩn trong ứng dụng

Để hiểu rõ cách Kochava thu thập dữ liệu vị trí, chúng ta cần tìm hiểu về Software Development Kit (SDK) - bộ công cụ phát triển phần mềm. SDK của Kochava được tích hợp vào hàng nghìn ứng dụng di động, từ game giải trí đến ứng dụng mua sắm, thậm chí cả ứng dụng thời tiết. Khi người dùng cài đặt và sử dụng các ứng dụng này, SDK sẽ tự động thu thập thông tin thiết bị, bao gồm cả dữ liệu vị trí nếu ứng dụng được cấp quyền truy cập GPS.

Vấn đề nghiêm trọng nằm ở quy trình xin phép. Hầu hết ứng dụng chỉ xin quyền truy cập vị trí cho "chức năng chính" của ứng dụng (như bản đồ, thời tiết) nhưng không thông báo rằng dữ liệu này sẽ được chia sẻ với bên thứ ba như Kochava để phục vụ mục đích thương mại. Theo FTC, đây chính là vi phạm nguyên tắc "informed consent" (đồng ý có hiểu biết) - người dùng phải được thông báo rõ ràng về việc dữ liệu của họ sẽ được sử dụng như thế nào và bởi ai. Chúng tôi cho rằng đây là một lỗ hổng pháp lý nghiêm trọng đã tồn tại quá lâu trong ngành công nghệ.

Mức độ tổn thất - con số gây shock

Theo tài liệu của FTC, Kochava đã thu thập và bán dữ liệu vị trí từ hàng trăm triệu thiết bị di động trong nhiều năm qua. Dữ liệu này không chỉ bao gồm tọa độ GPS mà còn có timestamp (dấu thời gian) chính xác, cho phép xây dựng "hành trình di chuyển" chi tiết của từng cá nhân. Một báo cáo nghiên cứu từ Washington Post năm 2019 từng chỉ ra rằng chỉ cần 4 điểm vị trí, các công ty có thể xác định danh tính của 95% người dùng. Điều này có nghĩa là dù dữ liệu được "ẩn danh hóa", việc xác định chủ nhân vẫn hoàn toàn khả thi.

Tác động của việc này vượt xa phạm vi quảng cáo. Dữ liệu vị trí có thể được sử dụng để suy đoán tình trạng sức khỏe (thường xuyên đến bệnh viện), tình hình tài chính (khu vực sinh sống), thậm chí là xu hướng chính trị (tham gia biểu tình, mít tinh). Theo đánh giá của chúng tôi, đây không còn là vấn đề riêng tư đơn thuần mà có thể trở thành công cụ giám sát và phân loại xã hội nguy hiểm.

Bảo vệ bản thân - hành động cần thiết ngay lập tức

Người dùng Việt Nam cần thực hiện ngay các bước sau để bảo vệ dữ liệu vị trí cá nhân. Đầu tiên, kiểm tra và tắt quyền truy cập vị trí cho các ứng dụng không cần thiết trong Cài đặt > Quyền riêng tư > Dịch vụ vị trí (iOS) hoặc Cài đặt > Ứng dụng > Quyền > Vị trí (Android). Chỉ cho phép truy cập vị trí khi ứng dụng đang hoạt động, không bao giờ chọn "Luôn luôn" trừ khi thực sự cần thiết như ứng dụng bản đồ.

Thứ hai, tắt tính năng quảng cáo được cá nhân hóa. Trên iOS, vào Cài đặt > Quyền riêng tư và bảo mật > Apple Advertising, bật "Giới hạn theo dõi quảng cáo". Trên Android, vào Cài đặt > Google > Quảng cáo, bật "Chọn không tham gia quảng cáo được cá nhân hóa". Cuối cùng, thường xuyên xem lại danh sách ứng dụng đã cài đặt và gỡ bỏ những ứng dụng không còn sử dụng. Mỗi ứng dụng là một cửa ngõ tiềm năng để rò rỉ dữ liệu cá nhân. Chúng tôi khuyến nghị người dùng Việt Nam nên đặc biệt cảnh giác với các ứng dụng miễn phí có quá nhiều yêu cầu quyền truy cập so với chức năng thực tế.