Buzz
Nhờ Facebook, quyền truy cập ứng dụng lại nổi lên trong ý thức của công chúng. Tháng trước, phát hiện rằng Facebook đã lưu trữ nhật ký điện thoại của người dùng Android chia sẻ danh bạ trong những ngày trước Android 4.1 Jelly Bean. Và trong tuần này, trong buổi chứng kiến của Mark Zuckerberg trước Quốc hội, hai đại biểu hỏi liệu Facebook có thể nghe lén các cuộc trò chuyện riêng tư thông qua micro điện thoại của chúng ta và sử dụng thông tin đó để hiển thị quảng cáo cụ thể đến đáng sợ.
Zuckerberg đã trả lời quả quyết về thuyết âm nhạc của micro — “không” — sau đó cảm thấy cần phải thêm rằng Facebook có quyền truy cập âm thanh khi người ta ghi video trên thiết bị của họ cho Facebook. “Tôi nghĩ điều đó khá rõ ràng. Nhưng tôi chỉ muốn đảm bảo rằng tôi đã đầy đủ thông tin,” ông nói.
Nhưng cuộc 'do-si-do' của Zuckerberg với Quốc hội, thay vì rõ ràng hoặc chi tiết, cho thấy người ta vẫn thực sự lúng túng về dữ liệu mà ứng dụng điện thoại của họ có thể và không thể truy cập. Điều này một phần là do quyền truy cập ứng dụng: Chúng quá đơn giản và được thiết kế để cung cấp một lượng thông tin tối thiểu, ngay khi chúng đang yêu cầu quyền truy cập vào dữ liệu của bạn. Và mặc dù chúng đã cải thiện theo thời gian nhưng chưa đủ để sánh kịp với sự phức tạp của công nghệ thu thập dữ liệu hiện đại xung quanh chúng ta.
Ở điểm này, điều này có vẻ rõ ràng, nhưng ứng dụng di động—không chỉ là Facebook—có thể thu thập một lượng dữ liệu khủng khiếp mỗi lần tương tác. (Hãy nhìn vào điều gì xảy ra khi bạn đặt một chiếc pizza, như được minh họa bởi The Wall Street Journal). Cả ứng dụng iOS và Android đều có khả năng truy cập vào microphone, máy ảnh, ảnh camera roll, dịch vụ vị trí, lịch, danh bạ, cảm biến chuyển động, nhận dạng giọng nói và tài khoản truyền thông xã hội.
Một số quyền truy cập này là cần thiết: một ứng dụng ảnh không hoạt động nếu không có quyền truy cập vào camera điện thoại thông minh, giống như một ứng dụng đặt xe như Uber không hoạt động nếu thiếu thông tin vị trí. Từ chối những quyền truy cập đó, và bạn sẽ làm hỏng chức năng. Nhưng dữ liệu cảm biến cũng có thể tiết lộ nhiều hơn những gì một số người nhận thức, đặc biệt khi các mô hình bắt đầu xuất hiện.
Một nhà phát triển ứng dụng Android, yêu cầu giấu tên để tránh nói thay mặt cho công ty, lưu ý rằng sau khi bạn cấp quyền truy cập vị trí, các nhà làm ứng dụng có thể thu thập thông tin về hướng và độ cao cùng với các vật thể vị trí đơn. Điều này có nghĩa là ứng dụng có thể biết “đến mức nào bạn sống trên tầng nào của một tòa nhà cao tầng.” Ish Shabazz, một nhà phát triển iOS độc lập, nói rằng sau khi bạn cho phép một ứng dụng luôn có quyền truy cập vào vị trí của bạn, “có một API để theo dõi tần suất bạn thăm một địa điểm.” (Trên iPhone, danh sách này hiển thị trong Dịch vụ Vị trí, sau đó là Dịch vụ Hệ thống, sau đó là Địa điểm Quan trọng).
“Có những cách hợp pháp và thân thiện mà dữ liệu này được sử dụng,” Shabazz nói. “Tuy nhiên, nếu bạn có ý đồ xấu, tôi chắc chắn rằng thông tin đó có thể được sử dụng một cách không hữu ích.”
Amod Setlur, người từng là giám đốc kỹ thuật tại Yahoo và hiện nay là giám đốc một công ty phân tích dữ liệu tại Silicon Valley mang tên Auryc, nói rằng một trong những khách hàng của ông, một ứng dụng du lịch, đã tìm hiểu một số mô hình hành vi thú vị về khách hàng của họ dựa trên cách họ cầm điện thoại.
“Chúng tôi phát hiện ra rằng trong những đợt tăng cường giao thông [trong ứng dụng] vào buổi tối, có rất nhiều sự xoay thiết bị diễn ra,” Setlur nói. “Họ bắt đầu như thế này, và sau đó họ sẽ xoay điện thoại như thế này. Chúng tôi nhận ra rằng mọi người đang cố kế hoạch cho chuyến đi tiếp theo của họ, xoay điện thoại ngang để xem ảnh, trong khi họ đang nằm trên giường.”
Những chỉ là những hiểu biết, loại thông tin khiến các nhà tiếp thị nổi loạn, nhưng cũng có những sự quá mức rõ ràng trong ứng dụng: Việc tải lên danh bạ địa chỉ của người dùng lên máy chủ của Path mà không được phép; Khả năng của Pokemon Go “xem và sửa đổi gần như tất cả thông tin trong tài khoản Google của bạn”, và yêu cầu của Meitu truy cập thông tin GPS và thẻ SIM. Thông thường, quanh những vi phạm quyền riêng tư như thế này—hoặc quanh tin tức về Facebook—quyền truy cập ứng dụng lại nhận được một liều lượng chú ý mới.
Quyền truy cập ứng dụng được đặt ra như một rào cản thực tế giữa người tạo ứng dụng và các phần cụ thể của dữ liệu trên điện thoại của bạn. Một yêu cầu quyền truy cập từ ứng dụng hiện lên, và người dùng điện thoại phải quyết định liệu mở cửa đó hay không. Đôi khi chúng đi kèm với giải thích; thực tế, các nền tảng ứng dụng khuyến khích điều này. “Đây là một ý tưởng tốt để giải thích cho người dùng vì sao ứng dụng của bạn muốn quyền truy cập trước khi gọi requestPermissions(),” tài liệu phát triển Android nói.
Nhưng những giải thích này có thể ngắn gọn hoặc mơ hồ. Giải thích của Facebook trên iOS khi nó yêu cầu quyền truy cập vào camera của bạn đơn giản là: “Điều này sẽ cho phép bạn chụp ảnh và quay video,” mà không đề cập đến một số công nghệ tiên tiến hơn mà dữ liệu ảnh của bạn sẽ cung cấp. Một số nhà làm ứng dụng chỉ thêm “và nhiều hơn” vào giải thích quyền truy cập của họ. Giải thích của Facebook về vị trí nói rằng “Facebook sử dụng điều này để làm cho một số tính năng hoạt động, giúp mọi người tìm địa điểm, và nhiều hơn nữa,” trong khi giải thích của Snapchat về việc sử dụng microphone của bạn là “để ghi âm cho Snaps, video chat, và nhiều hơn nữa.”
Apple và Google quản lý hệ sinh thái ứng dụng và thiết lập các hướng dẫn về quyền truy cập ứng dụng. Nhưng họ lớn lên việc người làm ứng dụng tuân theo các hướng dẫn. Nhà làm ứng dụng không muốn làm cho mọi người quá bối rối; họ đang dựa vào người tiêu dùng để hiểu. Hoặc có thể không hiểu.
Cả quyền truy cập ứng dụng iOS và Android đã phát triển theo thời gian khi cửa hàng ứng dụng đã thay đổi. Ba năm trước, với sự triển khai của Android 6.0, Google bắt đầu yêu cầu nhà phát triển yêu cầu truy cập khi người dùng đang sử dụng tính năng trong một ứng dụng, không phải khi họ lần đầu tiên cài đặt ứng dụng (khi họ có khả năng chỉ cần nhấn “Chấp nhận” và quên mất mọi dữ liệu mà họ vừa cung cấp). Cập nhật Android đó cho phép người dùng quản lý từng quyền truy cập cá nhân thay vì gom chúng lại. Android 7.0 không cho phép nhà phát triển xây dựng các lớp phủ trên các hộp quyền, điều này có thể làm mọi người bấm nhầm vào chúng.
Nhìn chung, Apple đã chặt chẽ hơn nhiều so với Google đối với những người phát triển ứng dụng. Giống như Android, bạn có thể kiểm soát quyền truy cập iOS cả trong cài đặt quyền riêng tư và ở cấp độ ứng dụng. Với việc triển khai iOS 11 vào năm ngoái, Apple cung cấp một tùy chọn “Chỉ Ghi” cho nhà phát triển ứng dụng sử dụng ảnh, để họ không cần phải yêu cầu quyền truy cập Đọc vào camera rolls. Họ cũng bắt đầu kiểm soát quyền truy cập địa điểm: nhà làm ứng dụng hiện phải hiển thị tùy chọn “Chỉ khi đang sử dụng ứng dụng” khi yêu cầu truy cập địa điểm. Và như ArsTechnica chỉ ra, công ty chưa bao giờ cho phép nhà phát triển iOS truy cập vào nhật ký cuộc gọi, vì vậy sự cố gần đây về Facebook trên Android không thể xảy ra trên iOS.
Tuy nhiên, vẫn còn không gian để cải thiện cách quyền truy cập ứng dụng được xử lý, theo lời của Norman Sadeh, một giáo sư tại Khoa học Máy tính của Đại học Carnegie Mellon và người sáng tạo của Privacy Assistant, một ứng dụng Android để quản lý quyền riêng tư. Ông nói rằng ông tiếp tục chỉ trích cách quyền truy cập ứng dụng đang “được gói gọn.”
“Số [thiết lập kiểm soát] đã tăng lên, nhưng chúng thực sự chỉ đang gói gọn một loạt quyết định lại với nhau và buộc người dùng phải đưa ra những quyết định không thể,” Sadey nói. “Các ứng dụng có thể cần nó để hoạt động, nhưng cũng có thể chia sẻ nó với những người tiếp thị và quảng cáo.”
Cũng không rõ ràng đối với mọi người về điều gì sẽ xảy ra khi họ thu hồi quyền truy cập vào một cái gì đó mà họ đã từng cho phép. Hãy giả sử bạn đã cho phép ứng dụng truy cập vào ảnh của bạn chỉ để tải lên một bức ảnh, và sau đó ngay lập tức tắt nó, hoặc bạn đã cấp quyền truy cập danh bạ nhiều năm trước và sau đó thu hồi quyền truy cập. Điều tóm tắt là nhà làm ứng dụng có thể giữ lại dữ liệu bạn đã chia sẻ trước đó, khi bạn đã cho phép, miễn là họ tuân thủ các luật bảo vệ dữ liệu và các luật riêng tư khác ở đất nước của họ.
“Một trong những điều thực sự thiếu hụt trong quyền truy cập hiện tại không chỉ là sự đồng thuận, không chỉ là sự đồng thuận được thông tin, mà còn là sự đồng thuận liên tục,” nói Gennie Gebhart, một nhà nghiên cứu về quyền riêng tư tại Tổ chức Biên giới Điện tử. “Nếu Facebook sẽ lưu trữ nhật ký cuộc gọi và tin nhắn của bạn mãi mãi, điều đó đòi hỏi nhiều hơn là một lần nhấp chuột.”
Google từ chối bình luận về việc liệu họ đang xem xét quyền truy cập ứng dụng trong bối cảnh vấn đề Facebook gần đây, hoặc liệu có thay đổi dự kiến sẽ đến trong tương lai gần hay không. Apple cũng không đưa ra câu trả lời đối với các câu hỏi tương tự.
Nhưng trong thời gian này, cho đến khi có các quy tắc nghiêm ngặt hơn, hầu hết trách nhiệm vẫn ném về phía người dùng điện thoại thông minh để cố gắng hiểu rõ về quyền riêng tư. Và biết xem liệu nên cấp quyền truy cập vào camera, ảnh của chúng ta, địa điểm của chúng ta, cuộc sống của chúng ta. Và tin rằng hầu hết những người làm ứng dụng đang minh bạch về nơi dữ liệu đó đi. Ngày nay, yêu cầu đó cảm thấy vô cùng lớn lao.
Quy tắc về Quyền Riêng tư
- Những lời hứa của Mark Zuckerberg không bảo vệ người dùng Facebook. Dưới đây là lý do.
- Một quyền hạn của Facebook đã cho phép Cambridge Analytica đọc hàng nghìn tin nhắn riêng tư giữa người dùng.
- Việc cung cấp công cụ bảo mật cho người dùng Facebook không giúp gì nếu chúng khó tìm kiếm và khó hiểu hơn nữa.
