Một blogger công nghệ đã chứng minh cách các luật bảo vệ dữ liệu châu Âu có thể vượt qua hệ thống xác minh tuổi của mạng xã hội, gây ra cuộc tranh luận về hiệu quả của các biện pháp an toàn trực tuyến. Thí nghiệm này liên quan đến việc sử dụng quyền GDPR để truy cập các tin nhắn trực tiếp bị chặn trên BlueSky , nền tảng thay thế Twitter phổ biến.
BlueSky đã triển khai yêu cầu xác minh tuổi để đáp ứng Đạo luật An toàn Trực tuyến của Anh, chặn người dùng truy cập tin nhắn trực tiếp và nội dung người lớn trừ khi họ xác minh tuổi. Những người dùng từ chối xác minh vẫn có thể sử dụng nền tảng nhưng sẽ bị hạn chế nhắn tin riêng tư và một số loại nội dung nhất định.
Các hạn chế xác minh độ tuổi của BlueSky:
- Chặn quyền truy cập vào nội dung người lớn
- Ngăn chặn việc gửi/nhận tin nhắn trực tiếp
- Cho phép tiếp tục sử dụng các tính năng công khai
- Không thể tắt thông báo tin nhắn trực tiếp mà không cần xác minh
- Các tin nhắn trực tiếp trước đó trở nên không thể truy cập thông qua giao diện thông thường
Quyền GDPR vượt qua các hạn chế của nền tảng
Blogger này phát hiện ra rằng trong khi giao diện của BlueSky chặn truy cập tin nhắn trực tiếp mà không có xác minh tuổi, chính sách bảo mật của công ty đảm bảo người dùng có quyền yêu cầu bản sao dữ liệu cá nhân của họ theo GDPR . Điều này tạo ra một xung đột pháp lý thú vị giữa quy định an toàn trực tuyến và quyền bảo vệ dữ liệu.
Sau khi gửi Yêu cầu Truy cập Chủ thể cụ thể yêu cầu tin nhắn trực tiếp, người dùng đã nhận được dữ liệu của họ ở định dạng CSV sau quá trình dài 64 ngày. Thí nghiệm chỉ yêu cầu bằng chứng sở hữu tài khoản thông qua xác minh email, không phải xác minh tuổi, từ đó vượt qua hiệu quả các hạn chế an toàn của nền tảng.
Lịch trình yêu cầu GDPR:
- Ngày 1: Yêu cầu ban đầu được gửi
- Ngày 7: Lời nhắc nhở đầu tiên được gửi
- Ngày 32: Chuyển lên đội ngũ pháp lý
- Ngày 49: Đe dọa khiếu nại chính thức
- Ngày 64: Dữ liệu cuối cùng được cung cấp dưới định dạng CSV
Cộng đồng tranh luận về sự đánh đổi giữa quyền riêng tư và an toàn
Cộng đồng công nghệ đã phản ứng với những phản hồi trái chiều đối với cả thí nghiệm và các yêu cầu xác minh tuổi cơ bản. Nhiều người dùng bày tỏ lo ngại về tác động đến quyền riêng tư của hệ thống xác minh tuổi bắt buộc, cho rằng việc yêu cầu giấy tờ tùy thân của chính phủ tạo ra rủi ro giám sát và loại bỏ tính ẩn danh trực tuyến.
Bởi vì không có cách nào để xác minh tuổi của ai đó mà không loại bỏ các biện pháp bảo vệ quyền riêng tư của họ. Bất kể các chính trị gia có vẻ tin tưởng điều gì thì điều đó chỉ đơn giản là không thể.
Những người khác bảo vệ các biện pháp an toàn, đặc biệt là liên quan đến hệ thống nhắn tin trực tiếp có thể bị khai thác bởi những kẻ xấu. Cuộc thảo luận tiết lộ một căng thẳng cơ bản giữa việc bảo vệ trẻ em trực tuyến và bảo tồn quyền riêng tư của người lớn.
Những hạn chế kỹ thuật phơi bày các lỗ hổng triển khai
Thí nghiệm đã làm nổi bật một số vấn đề kỹ thuật với việc triển khai hiện tại của BlueSky . Người dùng báo cáo rằng các tin nhắn trực tiếp được gửi trước khi có hạn chế xác minh tuổi vẫn không thể truy cập thông qua các kênh bình thường, và bộ đếm thông báo tiếp tục tăng cho các tin nhắn bị chặn, tạo ra các vấn đề về trải nghiệm người dùng.
Kiến trúc phi tập trung của nền tảng thêm một lớp phức tạp khác, vì các ứng dụng khách của bên thứ ba được xây dựng trên AT Protocol có thể vượt qua hoàn toàn các hạn chế này. Điều này đặt ra câu hỏi về việc liệu các hạn chế cấp ứng dụng có đủ để tuân thủ quy định khi giao thức cơ bản vẫn mở.
Các Phương Pháp Vượt Qua Hạn Chế Thay Thế (Chưa Được Kiểm Tra):
- VPN để vượt qua các chặn địa lý
- Ứng dụng khách AT Protocol của bên thứ ba
- Truy cập API trực tiếp
- Hoàn thành quy trình xác minh độ tuổi
- Di chuyển nền tảng sang các dịch vụ không bị hạn chế
Thách thức quy định trong xác minh tuổi kỹ thuật số
Trường hợp này minh họa những thách thức rộng lớn hơn mà các nhà quản lý phải đối mặt khi cố gắng cân bằng an toàn trẻ em với quyền riêng tư trong thời đại kỹ thuật số. Trong khi một số đề xuất các giải pháp mật mã sử dụng chứng chỉ kỹ thuật số do chính phủ cấp, các nhà phê bình cho rằng những hệ thống này hoặc làm tổn hại tính ẩn danh hoặc tạo ra những con đường mới để vượt qua.
Sự chậm trễ 64 ngày trong việc xử lý yêu cầu GDPR cũng làm dấy lên mối lo ngại về tuân thủ, vì luật châu Âu thường yêu cầu phản hồi trong vòng 30 ngày. Điều này cho thấy rằng ngay cả các nền tảng được tài trợ tốt cũng gặp khó khăn với gánh nặng hành chính của các yêu cầu bảo vệ dữ liệu trong khi triển khai các biện pháp an toàn mới.
Thí nghiệm cuối cùng chứng minh rằng các giải pháp kỹ thuật đơn thuần có thể không đủ để giải quyết các mối lo ngại về an toàn trực tuyến, làm nổi bật nhu cầu về các phương pháp toàn diện hơn xem xét cả yêu cầu quy định và kỳ vọng quyền riêng tư của người dùng.
Tham khảo: Can you use GDPR to Circumvent BlueSky's Adult Content Blocks?