Databroker Files: Nhắm mục tiêu vào EU Dịch tự động
Databroker Files: Targeting the EU
Vị trí chính xác và các mẫu di chuyển tiết lộ thói quen: dữ liệu vị trí điện thoại di động của hàng triệu người trong Liên minh châu Âu đang được rao bán. Được thu thập với lý do chỉ phục vụ cho mục đích quảng cáo, dữ liệu này cũng có thể được dùng cho hoạt động tình báo. Bảo vệ dữ liệu ở châu Âu đang thất bại – ngay cả các quan chức cấp cao của EU ở Brussels cũng bị ảnh hưởng. Ủy ban châu Âu nói: “Chúng tôi lo ngại.”
04.11.2025 lúc 05:00 – Ingo Dachwitz, Sebastian Meineck – chuyên mục Bảo vệ dữ liệu.
Hàng trăm nhân viên EU tiềm ẩn nhạy cảm có thể bị nhắm mục tiêu nhờ dữ liệu vị trí điện thoại di động được mua bán công khai.
Đây là một cuộc điều tra chung với Bayerischer Rundfunk, L’Echo (Bỉ), Le Monde (Pháp), BNR (Hà Lan). Bài viết này là một phần của dự án “Databroker Files”. Đây là bản tóm tắt cuộc điều tra liên quan đến EU. Một phiên bản tiếng Đức của bài báo đã được đăng với tiêu đề „Datenhändler verkaufen metergenaue Standortdaten von EU-Personal“.
Trong một khu dân cư cao cấp ở Brussels có những ngôi nhà riêng với sân trước; trung tâm chính trị của Liên minh châu Âu cũng không xa. Mỗi sáng sớm khi ra khỏi nhà, một quan chức cấp cao của EU chỉ mất khoảng 20 phút lái xe để đến nơi làm việc. Người này làm việc trong một đơn vị trực thuộc Chủ tịch Ủy ban Ursula von der Leyen tại tòa nhà Berlaymont, trụ sở của Ủy ban châu Âu.
Trên đường đi làm còn tiện đường có một trung tâm spa và thể hình – người này cũng từng đi ngang qua đó.
Chúng tôi biết những điều này – và còn nhiều hơn nữa – vì chúng tôi có dữ liệu vị trí chính xác của họ. Dữ liệu thậm chí cho chúng tôi biết chính xác văn phòng của họ ở đâu trong tòa nhà Ủy ban châu Âu. Chúng tôi đã phát hiện ra các mẫu di chuyển của họ, cùng với hàng triệu người châu Âu khác, trong các bộ dữ liệu được buôn bán thương mại.
Dữ liệu này tiết lộ nơi mọi người sống và làm việc, cũng như hành vi và sở thích của họ. Nó cũng có thể cho thấy các chuyến thăm tới bệnh viện, cơ sở tôn giáo, trụ sở đảng phái, nghiệp đoàn, cũng như nhà chứa và câu lạc bộ trao đổi bạn tình.
Nhóm điều tra có trong tay dữ liệu từ nhiều nhà buôn dữ liệu khác nhau. Họ cung cấp những dữ liệu này như một mẫu – bản xem trước miễn phí cho những gì người ta có thể nhận được nếu mua gói thuê bao. Trong cuộc điều tra này, chúng tôi phân tích hai bộ dữ liệu mới gồm khoảng 278 triệu bản ghi vị trí điện thoại di động tại Bỉ.
Nguy cơ gián điệp như thời Chiến tranh Lạnh
Cách đây gần mười năm, một cuộc cách mạng với bốn chữ cái đã diễn ra tại Brussels: GDPR. Tháng 12 năm 2015, Nghị viện châu Âu, Hội đồng và Ủy ban châu Âu đã thống nhất về văn bản Quy định bảo vệ dữ liệu chung (General Data Protection Regulation). Mục tiêu là hài hòa việc bảo vệ các quyền cơ bản trong thế giới số với một nền kinh tế dựa trên dữ liệu. GDPR đi kèm lời hứa về quyền tự quyết thông tin: con người nói chung phải có chủ quyền đối với việc ai làm gì với dữ liệu của họ.
Cho đến nay, lời hứa này vẫn chưa được thực hiện. Ngược lại, Databroker Files cho thấy một mức độ đánh mất quyền riêng tư chưa từng có, có thể ảnh hưởng đến tất cả những ai tham gia đời sống số bằng cách sử dụng ứng dụng trên điện thoại thông minh hoặc máy tính bảng. Việc kinh doanh dữ liệu ngoài tầm kiểm soát không còn chỉ là vấn đề bảo vệ người tiêu dùng và quyền cơ bản; nó còn là mối đe dọa đối với an ninh của châu Âu.
Nguy cơ gián điệp trong EU ở mức cao, ít nhất kể từ khi Nga phát động cuộc chiến tranh xâm lược quy mô lớn nhằm vào Ukraine vào tháng 2 năm 2022. Các cơ quan chức năng cảnh báo về những hành động phá hoại của Nga, các máy bay không người lái đáng ngờ xâm phạm không phận châu Âu, một điệp viên Trung Quốc đã thâm nhập Nghị viện châu Âu – hầu như không có tháng nào trôi qua mà không xuất hiện một bê bối gián điệp mới. Ngay từ năm 2020, chủ tịch cơ quan tình báo nội địa Đức khi đó đã so sánh tình hình với thời Chiến tranh Lạnh.
Những người có trách nhiệm dường như vẫn chưa nhận thức đầy đủ mức độ nguy hiểm do dữ liệu được thu thập thương mại gây ra trong bối cảnh này. Khi được hỏi về kết quả điều tra, Ủy ban châu Âu tuyên bố: “Chúng tôi lo ngại về việc buôn bán dữ liệu vị trí địa lý của công dân và nhân viên Ủy ban.” Ủy ban hiện đã ban hành hướng dẫn mới cho nhân viên về việc cài đặt theo dõi quảng cáo trên cả thiết bị cơ quan và thiết bị cá nhân. Ủy ban cũng đã thông báo cho các cơ quan khác của Liên minh và các Đội Ứng phó Sự cố An ninh Máy tính (CSIRT) ở các quốc gia thành viên.
Trước cuộc điều tra này, các nghị sĩ Nghị viện châu Âu yêu cầu phải hành động quyết liệt. “Xét tình hình địa–chính trị hiện nay, chúng ta phải xem mối đe dọa này là vấn đề rất nghiêm trọng và phải chấm dứt nó,” Axel Voss (CDU) thuộc nhóm bảo thủ EPP viết. Nữ nghị sĩ Tây Ban Nha Lina Gálvez Muñoz, thuộc nhóm Xã hội S&D, kêu gọi EU coi vấn đề này “như một mối đe dọa an ninh ưu tiên chứ không chỉ là vấn đề quyền riêng tư”. Trước nguy cơ quân sự từ Nga, nghị sĩ Đức Alexandra Geese (Greens/EFA) yêu cầu: “Châu Âu phải cấm việc lập hồ sơ dữ liệu quy mô lớn.”
Hàng trăm nhân viên nhạy cảm có thể bị nhắm mục tiêu
Cuộc điều tra của chúng tôi cho thấy việc do thám nhân sự cấp cao của EU bằng dữ liệu vị trí được buôn bán thương mại dễ dàng như thế nào. Dựa chỉ trên các bộ dữ liệu xem trước mà chúng tôi có – và không phải trả một xu nào – chúng tôi đã có thể phát hiện hàng trăm thiết bị thuộc về những người làm việc cho Liên minh châu Âu trong các lĩnh vực nhạy cảm. Riêng tại trụ sở Ủy ban châu Âu đã có khoảng 2 000 lần ping vị trí từ 264 thiết bị khác nhau. Ở Nghị viện châu Âu, có khoảng 5 800 lần ping vị trí từ 756 thiết bị.
Ví dụ, một hồ sơ di chuyển cho thấy đường đi làm hằng ngày của một nhân viên Nghị viện châu Âu: từ một đô thị gần Brussels vào trung tâm thành phố theo tuyến đường cao tốc đô thị. Dữ liệu cho thấy cách người này ghé nhiều tòa nhà của Nghị viện châu Âu, một siêu thị và một nhà hàng.
Chúng tôi cũng tìm thấy hàng nghìn lần ping vị trí trong nhiều cơ quan khác, từ Hội đồng Liên minh châu Âu đến Cơ quan Hành động Đối ngoại châu Âu và Giám sát viên Bảo vệ Dữ liệu châu Âu. Các bộ dữ liệu xem trước được dùng cho phân tích này chỉ là phần nổi của tảng băng. Các gói thuê bao trả phí hứa hẹn khả năng giám sát quy mô lớn với nguồn dữ liệu vị trí được cập nhật liên tục.
Ngay cả với lượng dữ liệu hạn chế này, chúng tôi cũng đã xác định được địa chỉ nhà riêng của năm người đang hoặc từng làm việc cho EU, trong đó có ba người giữ vị trí cấp cao. Trong số những người mà chúng tôi xác định được có vị quan chức Ủy ban cấp cao được nhắc tới ở phần đầu, một nhà ngoại giao cấp cao của một quốc gia EU, cùng một số nhân viên Nghị viện châu Âu và Cơ quan Hành động Đối ngoại châu Âu. Ban đầu, tất cả đều tỏ ra hoài nghi khi chúng tôi liên hệ. Một số chỉ muốn nói chuyện rất ngắn gọn hoặc hoàn toàn không muốn trao đổi. Không ai trong số họ muốn được trích dẫn công khai. Hai người xác nhận với chúng tôi rằng dữ liệu vị trí thực sự thể hiện nơi ở và nơi làm việc của họ cũng như các hành trình của họ ở Brussels. Chúng tôi cũng tìm thấy một nhà hoạt động vì quyền kỹ thuật số và một nhà báo trong dữ liệu, và họ cũng xác nhận tính chính xác.
Dữ liệu di chuyển qua những con đường quanh co trong một hệ sinh thái mờ đục, bắt đầu từ các ứng dụng tuyên bố chỉ theo dõi người dùng vì mục đích quảng cáo. Cuối cùng, dữ liệu rơi vào tay các nhà buôn dữ liệu – và trên nguyên tắc là bất kỳ ai hỏi mua. Đó có thể là các công ty quảng cáo, nhà báo – hoặc thậm chí là các cơ quan tình báo nước ngoài.
Dữ liệu vị trí không hề ẩn danh
Các bộ dữ liệu do nhà buôn dữ liệu cung cấp không chứa tên hay địa chỉ của người dùng điện thoại bị theo dõi từng bước chân. Tuy vậy, chúng tôi vẫn xác định được một số cá nhân. Điều này khả thi nhờ vào cái gọi là Mobile Advertising ID – một định danh duy nhất cho ngành quảng cáo trực tuyến mà Google và Apple tự động gán cho mỗi chiếc điện thoại.
Mỗi vị trí trong các bộ dữ liệu của chúng tôi đều gắn với một ID như vậy. Điều đó cho phép kết hợp các điểm dữ liệu rời rạc thành những hồ sơ di chuyển chi tiết. Nơi ở và nơi làm việc có thể được nhận diện dễ dàng vì vị trí được tập trung dày đặc ở đó. Đặc biệt với các ngôi nhà đứng riêng lẻ, nơi biển tên bên ngoài có thể nhìn thấy, người ta nhanh chóng nhận ra dữ liệu vị trí thuộc về ai. Trong một số trường hợp, cư dân của căn nhà còn có thể được tìm ra trên mạng, ví dụ trong danh bạ điện thoại hoặc qua thông tin pháp lý trên trang web của họ. Cuộc điều tra cho thấy dữ liệu vị trí hoàn toàn không ẩn danh.
Phản ứng ở giới chính trị Brussels trước Databroker Files thường pha trộn giữa ngạc nhiên và lo lắng. Ngay cả những nhân viên cấp cao phụ trách bảo vệ dữ liệu và điều tiết kỹ thuật số cũng không ngờ dữ liệu vị trí điện thoại di động được buôn bán công khai lại chính xác đến như vậy.
Cảnh báo khẩn cấp từ NATO
NATO cũng đặt trụ sở tại Brussels. Chỉ riêng trong các bộ dữ liệu mẫu của chúng tôi đã có 9 600 ping vị trí điện thoại di động trong khuôn viên NATO, được ghi lại từ 543 thiết bị khác nhau. Liên minh này đang chịu áp lực lớn do tình hình quân sự căng thẳng và hoạt động gián điệp của Nga, cùng nhiều yếu tố khác. Vậy phản ứng của NATO trước những phát hiện của chúng tôi là gì?
“Chúng tôi hoàn toàn nhận thức được những rủi ro chung mà việc thu thập dữ liệu bởi bên thứ ba gây ra cho Liên minh,” một đại diện NATO viết bằng tiếng Pháp. Ông cho biết đã áp dụng các biện pháp để giảm thiểu rủi ro – nhưng khi được hỏi, ông không giải thích đó là biện pháp gì.
Việc liên minh quân sự này rõ ràng coi theo dõi điện thoại kiểu này của ngành quảng cáo là một mối đe dọa được thể hiện qua lời đề nghị khẩn thiết mà vị đại diện NATO gửi tới phóng viên. “Chúng tôi rất coi trọng an ninh của nhân sự và tin tưởng rằng quý vị sẽ cố gắng hết sức để không công bố bất kỳ thông tin nào có thể gây hại cho họ,” ông viết. “Rất quan trọng là không một chiếc điện thoại nào được định vị trong trụ sở NATO bị gắn với một người cụ thể, và cũng không được cho thấy rằng điện thoại liên quan đến NATO xuất hiện ở bất kỳ nơi nào khác.”
Quân đội Bỉ cũng phản hồi sau khi nhóm của L’Echo phát hiện các hồ sơ di chuyển tại những địa điểm quân sự của Bỉ. “Chúng tôi hoàn toàn nhận thức được vấn đề,” bộ phận báo chí cho biết. Việc sử dụng thiết bị cá nhân thường đã bị cấm, nhưng không áp dụng trong khu nhà ở quân đội. Người ta đang chuẩn bị một chỉ thị mới khuyến cáo mạnh mẽ nhân viên không sử dụng các ứng dụng có thể để lộ nơi ở hoặc nơi làm việc.
Tuy nhiên, cuộc điều tra của chúng tôi cho thấy dữ liệu vị trí có thể rò rỉ qua hầu như bất kỳ ứng dụng nào.
Các cơ quan tình báo có thể làm gì với dữ liệu quảng cáo
Vài năm trước, một nghiên cứu của trung tâm nghiên cứu Stratcom thuộc NATO (Strategic Communications Centre of Excellence) đã chỉ ra rằng loại dữ liệu này không chỉ đe dọa quyền riêng tư của chúng ta mà còn cả an ninh quân sự. Với sự trợ giúp của dữ liệu như vậy, các tác nhân thù địch có thể xác định và do thám những nhân sự quân sự chủ chốt hoặc theo dõi các chiến dịch quân sự.
Kể từ đó, NATO cũng như EU và các quốc gia thành viên vẫn chưa tìm được thuốc giải. Năm 2024, cùng với Bayerischer Rundfunk, chúng tôi đã phân tích dữ liệu vị trí được buôn bán thương mại ở Đức để chỉ ra cách nó có thể được dùng để nhận diện và do thám các quan chức cấp cao của chính phủ, cũng như quân nhân và nhân viên tình báo. Dữ liệu còn cho phép do thám các căn cứ quan trọng nhất của Mỹ và NATO ở Đức. Nó thậm chí tiết lộ cả những chuyến viếng thăm nhà chứa. Chúng tôi có được dữ liệu này từ một nhà buôn dữ liệu Mỹ, thông qua một chợ dữ liệu có trụ sở tại Berlin.
Những cuộc điều tra báo chí tương tự tại các nước châu Âu như Hà Lan, Na Uy và Thụy Sĩ cũng đã chứng minh vấn đề. Nghiên cứu mới của đối tác L’Echo của chúng tôi cho thấy Bỉ dễ bị tổn thương như thế nào trước dữ liệu vị trí được buôn bán công khai. Lực lượng cảnh sát, nhà tù và hạ tầng trọng yếu như nhà máy điện hạt nhân đều có thể bị do thám.
Ngành kinh doanh nguy hiểm của “tình báo quảng cáo”
Nếu nhóm điều tra chỉ với hai bộ dữ liệu mẫu miễn phí và vài phương pháp đơn giản đã có thể nhắm mục tiêu vào nhân sự cấp cao của EU, thì các cơ quan tình báo được trang bị tốt hoặc những tác nhân có ác ý khác có thể làm được gì với dữ liệu thương mại?
Trong những năm gần đây, một nhánh mới của ngành công nghiệp giám sát toàn cầu đã xuất hiện. Nó chuyên cung cấp dữ liệu từ hệ sinh thái quảng cáo trực tuyến cho các cơ quan nhà nước. Công ty Babel Street của Mỹ chẳng hạn, tuyên bố đã phát triển một thứ giống “Google Maps cho điện thoại di động” với dịch vụ Locate X. Hệ thống này được cho là cho phép cơ quan thực thi pháp luật truy tìm cá nhân một cách dễ dàng. Thuật ngữ kỹ thuật cho việc này là “ADINT” – viết tắt của Advertising Based Intelligence (tình báo dựa trên quảng cáo).
Mối nguy từ ADINT, ví dụ từ các cơ quan tình báo nước ngoài, có thể được mô tả như các mối đe dọa lai (hybrid threats) – thuật ngữ dùng cho những cuộc tấn công không mang tính quân sự rõ ràng, như gián điệp hoặc phá hoại.
Các nhà nghiên cứu cảnh báo: “Cực kỳ đáng lo ngại”
Tại trung tâm nghiên cứu Hybrid CoE ở Helsinki, các chuyên gia thuộc nhiều lĩnh vực khác nhau đang nghiên cứu, thay mặt EU và NATO, về việc phòng thủ trước các mối đe dọa lai. Về kết quả điều tra của chúng tôi, người phát ngôn Kirsi Pere viết: “Dữ liệu vị trí trên điện thoại di động có thể bị các tác nhân thù địch khai thác để tạo điều kiện cho các hoạt động lai nhằm gây hại cho xã hội dân chủ và làm suy yếu năng lực ra quyết định của một quốc gia.”
Như Pere giải thích, việc Trung Quốc và Nga tìm cách có được dữ liệu từ ngành quảng cáo là “hoàn toàn hợp logic”. Dữ liệu có thể được dùng, chẳng hạn, để theo dõi những người chống đối chế độ hoặc tham gia các cuộc biểu tình quy mô lớn. Những nhân vật cấp cao ở nước ngoài – bao gồm chính trị gia, nhà báo, thành viên chính phủ, quân đội và cơ quan mật vụ – có thể bị nhận diện và do thám. Trong thời chiến, dữ liệu từ ngành quảng cáo có thể được dùng để theo dấu các chuyển dịch quân sự.
Corbinian Ruckerbauer, nhà nghiên cứu về giám sát và quyền kỹ thuật số tại tổ chức tư duy phi lợi nhuận interface ở Đức, tỏ ra rất hoài nghi rằng các cơ quan tình báo và an ninh châu Âu thực sự ý thức được mối đe dọa do dữ liệu vị trí điện thoại di động từ ngành quảng cáo gây ra.
“Các cơ quan nhà nước lẫn các ủy ban quốc hội đều không công khai thảo luận những kịch bản đe dọa như vậy, và cũng không có cuộc tranh luận nào về việc chúng ta – người châu Âu – thực sự phải đóng góp gì để giải quyết vấn đề này một cách bền vững,” Ruckerbauer viết. Ông cho rằng các nước EU “nên xây dựng những giải pháp pháp lý và cơ chế thực thi để hạn chế thị trường dữ liệu bùng nổ hiện nay”.
Đồng nghiệp của ông, Thorsten Wetzling, cũng thuộc interface, viết: “Đặc biệt trong thời điểm hiện tại, khi cấu trúc an ninh và phòng thủ châu Âu hằng ngày bị Nga thử nghiệm các hướng tấn công khả dĩ, việc dữ liệu vị trí nhạy cảm vẫn có thể được mua trên thị trường dữ liệu dễ dàng và ở quy mô như vậy là cực kỳ đáng lo ngại.”
Tuy nhiên cũng cần lưu ý rằng các cơ quan tình báo và nhà nước phương Tây được cho là cũng sử dụng dữ liệu từ ngành quảng cáo. Ở Mỹ, các dịch vụ như vậy được sử dụng, chẳng hạn, bởi cơ quan trục xuất ICE.
Trong “rừng rậm” của các nhà buôn dữ liệu
Nhưng dữ liệu này ban đầu làm sao lại rơi vào tay những công ty như vậy? Các cuộc điều tra trước đây của chúng tôi đã mang lại những hiểu biết độc nhất vô nhị về chiều sâu của ngành công nghiệp dữ liệu. Trong bài giải thích, chúng tôi so sánh các con đường lòng vòng của hệ sinh thái buôn bán dữ liệu với một khu rừng rậm.
Mọi thứ bắt đầu với các ứng dụng mà người dùng cấp quyền – có ý thức hay vô thức – cho việc thu thập dữ liệu vị trí. Để kiếm tiền từ dịch vụ của mình, các nhà phát triển hoặc nhúng mã theo dõi của các công ty tracking trực tiếp vào ứng dụng, hoặc bán không gian quảng cáo cho bên thứ ba. Khi làm điều thứ hai, họ phát tán một lượng lớn thông tin về người dùng tới hàng chục, thậm chí hàng trăm công ty tham gia đấu giá để giành quyền hiển thị quảng cáo tới các nhóm mục tiêu. Một số công ty không chỉ sử dụng dữ liệu đó cho mục đích quảng cáo, mà còn coi nó như một loại hàng hóa – điều này là lời mời gọi hấp dẫn đối với các nhà buôn dữ liệu.
Chất lượng dữ liệu rất khác nhau. Đôi khi các nhà buôn dữ liệu phóng đại quy mô bộ dữ liệu của mình, chẳng hạn bằng cách thêm các ID quảng cáo giả vào dữ liệu vị trí thật. Vì vậy, hoàn toàn có thể bộ dữ liệu mà chúng tôi có, với 2,6 triệu ID quảng cáo khác nhau, thực ra dựa trên ít hơn 2,6 triệu thiết bị.
Tuy nhiên, cuộc điều tra cho thấy các cá nhân và tổ chức vẫn có thể bị nhắm mục tiêu ngay cả khi dữ liệu không hoàn hảo.
Databroker Files cũng cho thấy nhiều công ty châu Âu tham gia mạnh vào ngành công nghiệp dữ liệu. Một chợ dữ liệu có tên Datarade chẳng hạn là một hạ tầng quan trọng của ngành; công ty này đặt trụ sở tại Berlin. Trong khi đó, qua trao đổi với các nhà phát triển ứng dụng, chúng tôi nhận thấy họ thường không biết ứng dụng của mình chia sẻ dữ liệu người dùng với ai. Điều duy nhất họ để ý là doanh thu tăng khi số người dùng tăng lên – dù là nhờ các khoản trả từ công ty tracking hay tiền quảng cáo.
Những người bị theo dõi ở Brussels nói gì
Chỉ có hai người trong bộ dữ liệu của chúng tôi sẵn sàng công khai chia sẻ quan điểm – và không ai trong số họ làm việc cho EU. Người thứ nhất là Shubham Kaushik, làm việc cho European Digital Rights (EDRi), một tổ chức ô dù cho các tổ chức quyền kỹ thuật số. Cô chủ động cung cấp cho chúng tôi ID quảng cáo của mình – trúng phóc. Cô nói:
“Cảm giác thật sự xâm phạm. Không hề có sự đồng ý của tôi, những thông tin cá nhân về tôi đang ở ngoài kia, có sẵn cho bất kỳ ai có tiền để mua và truy cập.” Cô cho rằng cách duy nhất để bảo vệ quyền riêng tư và giúp con người được sống tự do là cấm ngành tracking.
Dữ liệu của Kaushik chỉ xuất hiện một ping duy nhất trong bộ dữ liệu của chúng tôi. Ngược lại, một nhà báo của tờ L’Echo của Bỉ bị theo dõi nhiều lần. Dữ liệu vị trí cho thấy nơi anh sống và nơi anh từng đi nghỉ. Anh nói:
“Tôi đã cố gắng không để bị theo dõi, nhưng rõ ràng chừng đó vẫn chưa đủ. Hãy tưởng tượng nếu tôi là một nhà báo viết về Trung Quốc – và Trung Quốc có thể theo dõi và do thám tôi.”
Bảo vệ dữ liệu trở thành “cuộc đua xuống đáy”
Làm sao tất cả những điều này lại có thể xảy ra khi EU đã có Quy định bảo vệ dữ liệu chung? Câu hỏi này làm lung lay tận gốc hình ảnh tự thân của châu Âu. Thông qua bộ quy định số hóa toàn diện, Liên minh châu Âu muốn cho thấy mình có thể định hình thế giới số một cách dân chủ bằng cách tìm ra một thỏa hiệp công bằng: phe ưu tiên kinh tế nhận được một bộ quy tắc không đưa ra những điều cấm khắc nghiệt mà chủ yếu là quy định và hướng dẫn xử lý dữ liệu; phe ưu tiên quyền cơ bản có được các quyền cá nhân như quyền được thông tin, quyền xóa dữ liệu, cùng các cơ quan giám sát được tăng cường.
Phần lớn những điều này được kết dính bởi công cụ “sự đồng ý”. Đây là cơ sở pháp lý cho rất nhiều hoạt động xử lý dữ liệu và được cho là trao cho mọi người quyền lựa chọn. Đặc biệt trong trường hợp xử lý dữ liệu của ứng dụng và dịch vụ trực tuyến, ý tưởng là con người thực ra không nhất thiết phải đồng ý – nhưng họ có thể, miễn là họ được thông tin đầy đủ và đồng ý một cách tự nguyện.
Người ta kỳ vọng điều này sẽ dẫn đến cạnh tranh và “cuộc đua lên đỉnh”: chỉ những nhà cung cấp đáng tin cậy mới nhận được sự đồng ý. Như cách Ủy ban châu Âu từng quảng bá: “Bảo vệ dữ liệu như một lợi thế cạnh tranh.” Nhưng trên thực tế, nó đã trở thành cuộc đua xuống đáy, nơi các công ty làm mọi thứ có thể để thu thập càng nhiều sự đồng ý càng tốt. Họ đánh lừa người dùng bằng thiết kế giao diện thao túng hoặc đơn giản là không cho người dùng lựa chọn nào khác ngoài việc chấp nhận theo dõi. Databroker Files là hệ quả trực tiếp của cuộc cạnh tranh vì “bảo vệ dữ liệu tệ nhất” này.
Trên giấy tờ thì bất hợp pháp
Trên giấy tờ, hầu như không có nghi ngờ gì trong giới chuyên gia bảo vệ dữ liệu rằng ngành buôn dữ liệu mà chúng tôi phơi bày hoạt động trái luật. Ủy viên Bảo vệ Dữ liệu Liên bang Đức, Louisa Specht-Riemenschneider, cũng bày tỏ quan điểm như vậy.
Vấn đề bắt đầu ngay từ câu chuyện về sự đồng ý. Theo diễn giải pháp lý thống nhất của các cơ quan bảo vệ dữ liệu, đồng ý là cơ sở pháp lý duy nhất mà việc tracking quảng cáo có thể dựa vào. Ngoài những vấn đề được nêu ở trên về tính tự nguyện, điểm chính ở đây là sự đồng ý thường không mang tính “được thông tin”. Ví dụ, ai đó chấp nhận chính sách bảo mật khi cài đặt một ứng dụng thời tiết sẽ không thể hiểu dữ liệu của mình sẽ đi đến đâu, đặc biệt nếu dữ liệu đó được tự do mua bán.
Điều này cũng phá hoại các quyền của chủ thể dữ liệu, bởi họ không thể gửi yêu cầu truy xuất hoặc xóa dữ liệu tới những công ty mà họ thậm chí không biết. Ngoài ra, dữ liệu vị trí còn có thể tiết lộ những thông tin cá nhân nhạy cảm được GDPR bảo vệ đặc biệt – chẳng hạn việc lui tới các trung tâm cai nghiện, cơ sở tôn giáo, trụ sở đảng phái và nghiệp đoàn hay các câu lạc bộ tình dục queer.
Một vấn đề khác là nguyên tắc “giới hạn mục đích”: dữ liệu chỉ được sử dụng cho các mục đích đã được thu thập. Tuy nhiên trong trường hợp nhà buôn dữ liệu, dữ liệu vốn được cho là chỉ thu thập vì mục đích quảng cáo lại trở thành một loại hàng hóa không có mục đích cụ thể. Theo các chuyên gia bảo vệ dữ liệu, đây là một sự vi phạm rõ ràng.
Vấn đề thực thi GDPR
Có hai lý do liên quan khiến các cơ quan chức năng chưa xử lý mạnh tay hơn hệ thống tracking quảng cáo và buôn bán dữ liệu. Thứ nhất, các cơ quan chỉ thường hành động khi nhận được đơn khiếu nại từ công dân – mà công dân chỉ có thể khiếu nại về những công ty mà họ biết tới. Đó là lý do tại sao có rất nhiều khiếu nại về banner cookie sai luật, nhưng hầu như không có khiếu nại nào về hạ tầng vô hình phía sau. Các công ty tracking đã làm tổ trong “vùng không bảo vệ dữ liệu” phía sau banner cookie, một thuật ngữ mà nhà hoạt động bảo vệ dữ liệu người Ailen Johnny Ryan đã đặt ra.
Thứ hai, các cơ quan bảo vệ dữ liệu châu Âu thường vẫn thiếu nguồn lực. Họ nhận được quá nhiều khiếu nại từ công dân đến mức hầu như không còn nhân lực cho các cuộc điều tra chiến lược do chính họ chủ động. Bên cạnh đó, các cơ quan này chủ yếu được trang bị chuyên môn pháp lý, nhưng lại thiếu chuyên gia kỹ thuật và nhân sự cho những phân tích phức tạp hơn.
Ở Đức, các bài viết của chúng tôi đã khiến một số cơ quan bảo vệ dữ liệu bang mở cuộc điều tra đầu tiên và áp dụng một số biện pháp. Tuy nhiên, Ủy viên Bảo vệ Dữ liệu Berlin Meike Kamp cũng kêu gọi cần có hỗ trợ về mặt lập pháp để có thể xử lý vấn đề mang tính hệ thống này. Theo bà, “quy định pháp lý rõ ràng hơn về tracking và lập hồ sơ trực tuyến” sẽ là điều “đáng mong đợi”.
Đồng nghiệp của bà, Bettina Gayk từ bang Bắc Rhine–Westphalia, nói rằng với tư cách cơ quan bảo vệ dữ liệu, bà chỉ có thể hành động trong từng vụ riêng lẻ. “Một tác động thực sự toàn diện chỉ có thể đạt được bằng một lệnh cấm pháp lý – xác định chính xác các trường hợp xử lý dữ liệu vị trí được phép, giới hạn rất chặt, và căn bản cấm mọi việc chia sẻ tiếp dữ liệu dưới dạng cá nhân hoặc có thể nhận diện,” bà nói. Bà cảnh báo việc tracking vị trí ở bệnh viện hoặc tại các sự kiện chính trị, chẳng hạn, có thể làm lộ dữ liệu đặc biệt nhạy cảm. “Những chuyện như thế này không bao giờ được phép trở thành hàng hóa.”
Từ đường vòng đến “nghĩa địa”
Liệu Liên minh châu Âu có đủ sức đưa ra thêm các quy định số trong bối cảnh hiện nay hay không? Các đạo luật như AI Act, Digital Services Act và Digital Markets Act đang chịu áp lực rất lớn từ doanh nghiệp và các nước trong lẫn ngoài châu Âu. Khi bàn về cải cách bảo vệ dữ liệu, người ta gần như chỉ nói về việc “giảm gánh nặng” cho doanh nghiệp.
Mùa xuân năm nay, Ủy ban châu Âu đã khai tử một dự thảo quy định vốn được kỳ vọng giải quyết vấn đề đồng ý trực tuyến sau nhiều năm bế tắc. Quy định ePrivacy dự kiến được thông qua năm 2018 để bổ sung cho GDPR – cũng là năm GDPR có hiệu lực. Nếu theo ý Nghị viện châu Âu, người dùng đã có thể quyết định một cách tập trung, ngay trong trình duyệt hoặc hệ điều hành trên điện thoại, về việc họ muốn bị ai và bởi ai theo dõi. Quyết định này sẽ có giá trị ràng buộc pháp lý.
Viễn cảnh người dùng thực sự có thể quyết định ai được nhận dữ liệu của họ trên mạng đã gây hoảng loạn trong ngành dữ liệu. Các công ty quảng cáo trực tuyến, tập đoàn Silicon Valley và những hãng truyền thông lâu đời ở châu Âu đã liên kết trong một liên minh rộng lớn để ngăn chặn quy định này. Họ so sánh nó với “quả bom hạt nhân” cho internet và cảnh báo về “cái chết” của báo chí miễn phí – nghĩa là báo chí sống nhờ quảng cáo – trên mạng.
Và họ đã thành công: dưới làn mưa vận động hành lang không ngớt, dự án bị đẩy lùi hết lần này tới lần khác. Dù Nghị viện châu Âu đã thông qua một bản dự thảo đầy tham vọng năm 2018, các quốc gia thành viên suốt nhiều năm vẫn không đạt được đồng thuận trong Hội đồng. Tới mùa xuân 2025, Ủy ban châu Âu cuối cùng đã rút lại dự thảo.
Ít hy vọng ở Đạo luật “Công bằng số”
Ủy ban châu Âu đã mơ hồ hứa hẹn một sáng kiến kế tiếp, nhưng không chắc nó sẽ thành hiện thực. Trước mắt là Đạo luật Công bằng Số (Digital Fairness Act) – được Chủ tịch Ursula von der Leyen công bố từ đầu nhiệm kỳ thứ hai. Luật này nhằm lấp các lỗ hổng trong bảo vệ người tiêu dùng trên môi trường số. Ủy ban đã lấy ý kiến công chúng đến tháng Mười; danh sách các đề xuất tiềm năng rất dài. Chưa rõ liệu vấn đề đồng ý, tracking quảng cáo và buôn bán dữ liệu có được đưa vào hay không.
Các nguồn trong Nghị viện cho rằng không nên kỳ vọng quá cao. Trong bối cảnh chính trị hiện tại, khi “giảm quan liêu” là ưu tiên hàng đầu, việc đưa một quy định toàn diện như vậy vào chương trình nghị sự là điều khó xảy ra.
Các tổ chức xã hội dân sự như Chaos Computer Club và Liên đoàn Tổ chức Người tiêu dùng Đức đòi hỏi một cách tiếp cận tấn công trực diện gốc rễ vấn đề: lệnh cấm toàn diện đối với tracking quảng cáo và buôn bán dữ liệu.
Thực tế, đã từng có một sáng kiến liên đảng trong Nghị viện châu Âu năm 2020 nhằm đạt được điều đó. Liên minh “Tracking-Free Ads Coalition” muốn khắc ghi một lệnh cấm tương ứng vào Đạo luật Dịch vụ Số (DSA) khi đó đang được đàm phán, nhưng không giành được đa số ủng hộ. Ngày nay, DSA chỉ cấm nhắm mục tiêu quảng cáo với dữ liệu liên quan đến trẻ vị thành niên và dữ liệu nhạy cảm như tôn giáo, xu hướng tính dục, sức khỏe hoặc quan điểm chính trị.
Nghị sĩ EU: “Hãy cấm tracking hoàn toàn”
Đáp lại cuộc điều tra của chúng tôi, Ủy ban châu Âu không muốn nói nhiều về quy định mới. “Chúng tôi đã có một bộ luật mạnh mẽ trong EU, cụ thể là GDPR,” một người phát ngôn viết. Ông cho rằng việc xác định liệu luật bảo vệ dữ liệu của EU có bị vi phạm hay không là trách nhiệm của các cơ quan giám sát quốc gia, bao gồm cả các cơ quan bảo vệ dữ liệu quốc gia. “Ủy ban sẵn sàng hợp tác với các cơ quan này.”
Axel Voss, chính trị gia phụ trách mảng số của Đức thuộc nhóm EPP bảo thủ trong Nghị viện, cho rằng EU phải hành động dứt khoát trước những phát hiện này. “Chúng ta cần định nghĩa chính xác hơn về việc sử dụng dữ liệu vị trí và do đó là lệnh cấm rõ ràng đối với việc buôn bán dữ liệu vị trí đặc biệt nhạy cảm cho các mục đích khác,” ông nói. Vì lý do bảo vệ dữ liệu và an ninh, theo ông, “cần có những giới hạn nghiêm ngặt, đặc biệt trong những trường hợp dữ liệu di chuyển hoặc hành vi cho phép suy luận về các khu vực nhạy cảm”. Mục tiêu phải là “bảo vệ công dân và lợi ích an ninh mà không tạo gánh nặng không cần thiết cho doanh nghiệp châu Âu”.
Voss cũng kêu gọi “nghĩa vụ đăng ký trên toàn châu Âu đối với các nhà buôn dữ liệu và thực thi nhất quán những quy tắc bảo vệ dữ liệu hiện có”. Ngược lại, ông tỏ ra thận trọng với một lệnh cấm toàn diện đối với tracking và profiling cho mục đích quảng cáo: “Một lệnh cấm hoàn toàn là một bước đi rất sâu rộng cần được cân nhắc kỹ.” Tuy nhiên, theo ông, cần phải rõ ràng rằng dữ liệu vị trí không nên được đối xử như một “tài sản kinh tế”.
Nữ nghị sĩ Tây Ban Nha Lina Gálvez Muñoz bình luận về cuộc điều tra thay mặt nhóm Xã hội S&D trong Nghị viện. Về nạn buôn bán dữ liệu, bà viết: “Trong bối cảnh căng thẳng địa–chính trị leo thang, điều này tạo ra những mối đe dọa trực tiếp đối với an ninh quốc gia và tập thể.” Bà cho rằng EU “đã có một khung pháp lý tốt làm điểm khởi đầu”, trích dẫn Đạo luật Đoàn kết Không gian mạng (Cyber Solidarity Act) và Đạo luật An ninh mạng (Cybersecurity Act). “Chúng ta cần tiếp tục làm việc để củng cố và điều chỉnh khung đó cho phù hợp với bối cảnh địa–chính trị hiện tại, cũng như thực thi nó,” bà viết. Gálvez Muñoz cũng cho rằng EU cần mở rộng phạm vi của khung pháp lý hiện có.
Alexandra Geese, nghị sĩ Đức thuộc nhóm Xanh, một lần nữa nhắc lại lời kêu gọi cấm tracking và profiling cho mục đích quảng cáo. “Tôi đã ủng hộ một lệnh cấm như vậy trong nhiều năm,” Geese viết. “Việc các nhà buôn dữ liệu sở hữu kiến thức chi tiết về từng cá nhân là một rủi ro an ninh quốc gia.” Bà cảnh báo: “Nếu phần lớn dữ liệu cá nhân của người châu Âu vẫn nằm trong tay các công ty Mỹ và các nhà buôn dữ liệu mờ ám thì việc bảo vệ châu Âu trước một cuộc tấn công từ Nga sẽ trở nên khó khăn hơn nhiều.” Theo bà, có “những lý do thuyết phục để cấm tracking hoàn toàn và xây dựng một hệ sinh thái quảng cáo mới tôn trọng quyền riêng tư.”
Đội L’Echo: Nicolas Baudoux, Benjamin Verboogen. Đội Le Monde: Martin Untersinger, Damien Leloup. Đội BNR: Lisanne Wichgers, Bart van Rijswik. Đội BR: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Florian Heinhold. Đội netzpolitik.org: Ingo Dachwitz, Sebastian Meineck, Maximilian Henning, Anna Biselli, Daniel Leisegang, Anna Ströbele Romero. Bản nháp đầu tiên của bài viết này được dịch máy bằng DeepL và sau đó được ba biên tập viên duyệt lại.