Báo cáo mới: Các biểu mẫu từ chối dữ liệu của công ty AI và nhà môi giới dữ liệu được thiết kế để gây khó khăn

Một nghiên cứu mới từ tổ chức phi lợi nhuận về quyền kỹ thuật số Electronic Privacy Information Center (EPIC) đã chỉ ra rằng một số công ty thu thập dữ liệu lớn nhất tại Hoa Kỳ — bao gồm các nhà cung cấp AI lớn, nhà môi giới dữ liệu, nhà thầu quốc phòng và các ứng dụng hẹn hò — đang dựa vào các phương pháp lừa dối để ngăn cản người dùng từ chối việc bán và chia sẻ thông tin cá nhân của họ.

Các nhà nghiên cứu tại EPIC đã kiểm tra quy trình từ chối (opt-out) của 38 công ty dữ liệu lớn và ghi nhận ít nhất 8 danh mục riêng biệt của thiết kế thao túng. Những vấn đề này bao gồm các biểu mẫu từ chối thực chất không cho phép người dùng từ chối bán dữ liệu, các liên kết bị chôn sâu trong các điều khoản nhỏ và thiếu vắng trên trang chủ, người dùng bị điều hướng qua nhiều biểu mẫu riêng biệt để hoàn thành một yêu cầu duy nhất, và các yêu cầu bắt buộc người dùng phải tạo tài khoản hoặc trả phí đăng ký trước khi có thể từ chối.

"Thiết kế thao túng không có chỗ đứng trong các yêu cầu từ chối," EPIC khẳng định. "Các công ty phải thiết kế quy trình từ chối với sự tôn trọng đối với quyền lợi của người tiêu dùng, và nếu họ không làm như vậy, các cơ quan quản lý ở cấp tiểu bang và liên bang nên can thiệp để bảo vệ quyền từ chối của người tiêu dùng."

Các công ty AI và mô hình ngôn ngữ lớn

Báo cáo chỉ ra rằng các công ty lớn cung cấp mô hình ngôn ngữ lớn (LLM) như Google, Meta và OpenAI không liên kết rõ ràng các biểu mẫu từ chối của họ từ trang chủ hoặc chính sách quyền riêng tư. Một số công ty yêu cầu người dùng phải gửi nhiều biểu mẫu riêng biệt để hoàn thành một yêu cầu duy nhất.

Đáng chú ý, biểu mẫu của OpenAI, khi người dùng tìm thấy nó, không cung cấp cách nào để từ chối việc bán hoặc chuyển dữ liệu cá nhân. Thay vào đó, nó cung cấp tùy chọn "xóa thông tin cá nhân khỏi các phản hồi của ChatGPT", mà EPIC cho rằng chỉ là một bộ lọc trên đầu ra của chatbot, không phải là xóa bất kỳ dữ liệu cơ bản nào.

Vấn đề an toàn và nhà môi giới dữ liệu tìm kiếm người

EPIC coi việc thất bại trong quy trình từ chối là một vấn đề an toàn, dẫn chứng trường hợp của Vance Boelter, người bị buộc tội giết đại diện tiểu bang Minnesota Melissa Hortman và chồng của bà vào tháng 6 năm 2025. Các công tố viên cho rằng Boelter đã sử dụng các nhà môi giới dữ liệu tìm kiếm người để định vị địa chỉ nhà của các nạn nhân.

Các nhà nghiên cứu của EPIC phát hiện ra rằng các nhà môi giới dữ liệu tìm kiếm người mà họ kiểm tra — Spokeo, Whitepages và National Public Data — không cung cấp cho người tiêu dùng cách nào để từ chối việc bán hoặc chuyển dữ liệu của họ. Thay vào đó, các công ty này cung cấp quy trình xóa từng danh sách theo URL, từng cái một, mà không có cam kết ngừng bán thông tin của cùng một người đó trong tương lai. Spokeo thậm chí nói thẳng với người tiêu dùng rằng thông tin của họ "có thể xuất hiện lại trên Spokeo trong tương lai mà không cần báo trước" và hướng dẫn họ "thường xuyên kiểm tra" trang web để tìm các danh sách mới.

Báo cáo lưu ý rằng những cá nhân lạm dụng đã trong nhiều thập kỷ sử dụng dữ liệu và công nghệ có sẵn trên thị trường để định vị, quấy rối và tấn công các mục tiêu của họ, trong khi phụ nữ, phụ nữ da màu và người LGBTQ+ chịu ảnh hưởng nặng nề nhất. Đối với những người thuộc các nhóm này, việc từ chối thường là cơ chế duy nhất có sẵn để xóa địa chỉ nhà khỏi lưu thông trước khi kẻ xấu xuất hiện trước cửa.

"Nhiều người có thể cần xóa thông tin của họ khỏi Spokeo vì lý do an toàn, chẳng hạn như những người sống sót sau bạo lực gia đình hoặc các quan chức công và gia đình của họ," báo cáo nêu rõ.

Các thủ thuật thiết kế và yêu cầu trả phí

Quy trình từ chối của Whitepages yêu cầu người dùng gửi URL cho mọi danh sách của họ trên trang web — nhưng các báo cáo đầy đủ bị khóa sau gói đăng ký trả phí Whitepages Premium, nghĩa là mọi người có thể phải trả tiền cho nhà môi giới để tìm thông tin họ cần nhằm từ chối nó.

Bốn công ty khác, bao gồm Bumble, mặc định người dùng vào chia sẻ dữ liệu thông qua các công tắc được chọn trước. Trên Bumble, tùy chọn "Không bán" được thiết kế để trông giống như đã được chọn theo mặc định, khi thực tế đó là tùy chọn người dùng phải nhấp vào để từ chối.

Các nhà nghiên cứu của EPIC không thể định vị được quy trình từ chối nào cả trên Meta, X, OpenAI và Tinder nếu chưa đăng nhập trước. HireVue và nhà cung cấp giám sát DataTrust lại đưa ra hướng dẫn từ chối của họ như chỉ dành cho cư dân California, mặc dù 20 tiểu bang khác đã thông qua luật trao quyền từ chối.

Phản hồi từ các công ty

Palantir, nhà thầu quốc phòng và tình báo, cung cấp biểu mẫu quyền riêng tư trên trang web của mình nhưng không bao gồm tùy chọn từ chối việc bán hoặc chia sẻ dữ liệu cá nhân — phát hiện tương tự mà EPIC ghi nhận đối với TikTok, Amazon và nhà cung cấp phát hiện tiếng súng SoundThinking.

Amazon đã tranh bác phát hiện này. Adam Montgomery, người phát ngôn của công ty, cho biết Amazon không bán thông tin cá nhân của khách hàng và do đó khách hàng được từ chối theo mặc định. Các tùy chọn từ chối chia sẻ dữ liệu có sẵn thông qua các trang "Lựa chọn quyền riêng tư quảng cáo" và "Tùy chọn quảng cáo" của họ.

Shane Bauer, người phát ngôn của OpenAI, cho biết công ty không bán dữ liệu người dùng, mặc dù công ty thừa nhận chia sẻ dữ liệu hạn chế với các đối tác tiếp thị cho quảng cáo hành vi. "Chúng tôi cung cấp cho mọi người những cách đơn giản để kiểm soát cách dữ liệu của họ được sử dụng trực tiếp trong ứng dụng của chúng tôi," Bauer nói.

Google, Meta, Spokeo, Whitepages, National Public Data, Bumble, X, DataTrust, Palantir và TikTok không phản hồi yêu cầu bình luận.

Kết luận

EPIC kết luận rằng người tiêu dùng không thể bảo vệ hiệu quả quyền riêng tư của mình bằng cách thực hiện quyền từ chối. Ngay cả một quy trình được thiết kế hoàn hảo — không có liên kết bị chôn vùi, không có công tắc được chọn trước, không có tường phí — vẫn sẽ yêu cầu mọi người phải tìm và gửi yêu cầu đến từng công ty nắm giữ, bán hoặc chuyển dữ liệu của họ. Biện pháp khắc phục thực sự, theo EPIC, không phải là các biểu mẫu tốt hơn mà là việc thu thập ít hơn: các quy tắc cấm các công ty thu thập thông tin cá nhân mà họ thực sự không cần.