Cài Đặt Quyền Riêng Tư trên Facebook không Mang Lại Hiệu Quả Gì Cả

Điều chỉnh cài đặt quyền riêng tư trên Facebook—tinh chỉnh những dữ liệu mà bạn bè, nhà quảng cáo và ứng dụng có thể truy cập—là một công việc mệt nhọc. Các menu phức tạp, cách diễn đạt khó hiểu. Và hóa ra, một trong số chúng là hoàn toàn vô nghĩa. Trên thực tế, nó đã không hoạt động trong nhiều năm.

Để rõ ràng: Điều này không phải là trường hợp Facebook lừa dối bạn, ít nhất là không theo cách bạn có thể nghĩ. Những cài đặt này không còn hoạt động vì Facebook không còn cho phép việc khai thác dữ liệu mà chúng kiểm soát; thực tế, những kiểm tra này đối phó với việc chia sẻ dữ liệu quá mức mà đã để cho nhà phát triển câu hỏi Aleksander Kogan biến 270,000 cài đặt thành một bảo tàng có 50 triệu người dùng, sau đó ông trái phép chuyển giao cho công ty dữ liệu chính trị Cambridge Analytica.

Nhưng thực tế là Facebook chưa bao giờ quan tâm đến việc cập nhật góc quan trọng đó của cài đặt quyền riêng tư, nhiều năm sau khi những thay đổi đó có hiệu lực, là điều làm bối rối và nói lên sự thiếu nghiêm túc chung trong tư duy của công ty về sự minh bạch dữ liệu.

Cài đặt mà chúng ta đang bàn luận là Ứng Dụng Người Khác Sử Dụng, mà bạn có thể tìm thấy bằng cách đăng nhập vào Facebook, nhấn vào mũi tên xuống ở góc trên bên phải, sau đó chọn Cài đặt, rồi Ứng Dụng. (Thấy rồi đúng không? Phức tạp như mê cung.)

Nhấn vào Chỉnh Sửa, và Facebook sẽ hiển thị danh sách các loại thông tin về bạn mà, theo một mô tả không quá hữu ích, bạn bè Facebook của bạn có thể “mang theo khi họ sử dụng ứng dụng, trò chơi và trang web.”

Điều này không chỉ là lời quảng cáo; thời điểm của những thay đổi đã được xác nhận bởi Gergely Biczok của CrySys Lab thuộc Đại học Công nghệ và Kinh tế Budapest và Iraklis Symeonidis của COSIC, Đại học KU Leuven, hai nhà nghiên cứu đã dành nhiều năm nghiên cứu về quyền riêng tư trên Facebook. Sử dụng Graph API explorer, mô tả những gì nhà phát triển Facebook có thể và không thể làm trên nền tảng thông qua các phiên bản khác nhau của nó, họ xác định rằng loại quyền Ứng dụng Khác Sử Dụng bao phủ không có sẵn ít nhất là từ Graph API v2.5, được phát hành vào tháng 10 năm 2015. (Nó cũng có thể sớm hơn; đó chỉ là xa nhất mà Graph API explorer có thể điều tra.)

“Thực sự, tôi không thể hiểu được nó, thực sự,” Biczok nói, cho biết các hạng mục dữ liệu trong bảng thiết lập tương đối tương ứng một cách cơ bản với quyền được gọi là friends_XXX, cho phép nhà phát triển thu thập dữ liệu bạn bè, và mà Facebook nói đã bị loại bỏ khi Graph API v2.0 xuất hiện vào năm 2014. “Ngay cả khi tôi thực hiện một thử nghiệm tư duy và cố gắng tưởng tượng mình đang ở vào vị trí của họ, có lẽ đó chỉ là một lỗi trong quá trình phát triển phần mềm. Nhưng nó đã tồn tại từ lâu.”

Facebook không đưa ra một giải thích hài lòng, mặc dù công ty cho biết họ đang kế hoạch giới thiệu cải tiến cho cài đặt để "phản ánh thực hành hiện tại" trong vài tuần tới.

Nhưng đã mất nhiều năm và là scandal lớn nhất trong lịch sử 14 năm của công ty để thậm chí xác định vấn đề từ đầu. Và đó là sự chủ quan đó, chứ không phải là các thiết lập cụ thể, mà làm lo ngại những người bảo vệ quyền riêng tư.

“Nói chung, điều này khiến mọi người nghĩ, 'tại sao tôi phải đối mặt với những thiết lập quyền riêng này chẳng hạn? Tôi không thể biết được điều gì đang thực sự diễn ra,’” Joseph Jerome, chuyên viên chính sách tại Trung tâm Dân chủ & Công nghệ nói. Nhưng Jerome cũng thể hiện sự đồng cảm; Facebook không phải là công ty duy nhất phải đối mặt với vấn đề này, anh chú ý rằng việc tạo ra một bảng điều khiển quyền riêng hiệu quả từ đầu là thách thức đối với bất kỳ ai.

Tuy nhiên, Facebook vẫn là một công ty đa tỷ đô với những nghĩa vụ cụ thể, dù khó khăn để thực hiện. “Mọi người luôn sẽ ở tình trạng thiệt thòi về thông tin khi nói đến hiểu rõ về quyền riêng và cách Facebook sử dụng dữ liệu,” Jerome nói. “Trách nhiệm nằm ở Facebook để thiết kế giao diện người dùng của họ tốt hơn để truyền đạt thông tin cho mọi người.”

Sự nhầm lẫn về Ứng dụng Người khác Sử Dụng cũng làm nổi bật điều Facebook đã đạt được ít đáng tin cậy như thế nào. Năm 2011, công ty phải ký một thỏa thuận đồng thuận với Ủy ban Thương mại Liên bang về các thực hành quyền riêng tư đánh lừa, vì thường xuyên chọn lựa người dùng để chia sẻ thêm dữ liệu mà không có sự đồng thuận rõ ràng của họ. Năm 2014, nó thử nghiệm xem liệu có thể thao tác tâm trạng của người dùng thông qua thay đổi về Dòng Thông tin. Năm 2016, nó thay đổi điều khoản dịch vụ của ứng dụng trò chuyện được mã hóa WhatsApp để cho phép Facebook thu thập số điện thoại và các dữ liệu phân tích khác của người dùng có tài khoản trên cả hai dịch vụ. Và chỉ vài tháng trước, nó tự động áp dụng ưu tiên nhận diện khuôn mặt đã 5 năm tuổi cho một loạt các ứng dụng mới sử dụng tính năng đó.

Biczok và Symeonidis cũng chỉ ra các hình thức xâm phạm ít được công bố. Một quyền được gọi là read_mailbox, nếu được cấp cho một ứng dụng, có thể cho phép một nhà phát triển đọc tin nhắn riêng tư giữa bạn bè — ngay cả khi chỉ có một trong số họ đã cài đặt nó. Điều đó chỉ được phế bỏ trong Graph API v2.4, được giới thiệu hơn một năm sau khi Graph API v2.0, mà Facebook đã xác định là giải pháp cho nỗi lo dữ liệu liên quan đến nhà phát triển của mình.

Biczok nói rằng sự kiện đó tạo nên một sự tương phản rõ ràng so với cách Facebook đối phó với sự cố user_friends. “Bạn phải là bạn bè, cài đặt cùng một ứng dụng và cấp quyền user_friends để dữ liệu của bạn xuất hiện ở bên kia. Tôi nghĩ rằng đó là đủ tốt,” Biczok nói về các biện pháp bảo vệ mà Facebook đưa ra vào năm 2014. “Cái chuyện read_mailbox, đó không đủ tốt.”

Cặp này cũng lưu ý rằng ngay cả ngày nay, chính sách dữ liệu của Facebook vẫn còn rỗng. Một nhà phát triển với nhiều ứng dụng, họ nói, có thể thu thập một bộ dữ liệu khác nhau và cụ thể về một người dùng từ mỗi ứng dụng; nếu người đó cài đặt ba hoặc bốn ứng dụng, công ty đột nhiên đã tổ chức gần như một hồ sơ đầy đủ, mà không cần người dùng cấp quyền đó cho bất kỳ ứng dụng cụ thể nào.

Tuy nhiên, tin tốt là bạn có thể yên tâm bỏ qua Ứng dụng Người khác Sử Dụng. Nó không làm gì cả. Facebook thực sự đã giải quyết vấn đề. Tin xấu là gì? Họ không bận tâm thông báo cho bạn—một sơ xuất khó tưởng tượng được từ một công ty thực sự coi trọng việc bạn hoàn toàn kiểm soát dữ liệu của mình.

• Nếu bạn muốn cải thiện cài đặt quyền riêng của Facebook—hoặc xóa tài khoản của bạn hoàn toàn—đây là hướng dẫn toàn diện mà bạn cần
• Thỏa thuận ngầm bạn ký với Facebook—dịch vụ của họ đổi lấy dữ liệu của bạn—đã hoàn toàn mất cân bằng
• Bên trong hai ngày đã làm lay động Facebook, theo sau bởi các tiết lộ của Cambridge Analytica

¹Cập nhật ngày 28/3/18: Câu chuyện này đã được cập nhật để phản ánh sự làm rõ muộn màng từ Facebook về trường hợp đặc biệt duy nhất mà Ứng dụng Người khác Sử Dụng vẫn áp dụng.