Google, Microsoft và Meta vẫn bí mật theo dõi người dùng dù đã chọn từ chối

Google, Microsoft và Meta vẫn bí mật theo dõi người dùng dù đã chọn từ chối

Một cuộc kiểm toán quyền riêng tư độc lập vừa tiết lộ rằng Google, Microsoft và Meta có thể đang vi phạm các quy định nghiêm ngặt tại bang California, Mỹ. Theo báo cáo từ công cụ tìm kiếm quyền riêng tư webXray, các công ty công nghệ lớn này vẫn tiếp tục đặt cookie quảng cáo vào trình duyệt của người dùng ngay cả khi họ đã chọn từ chối theo dõi (opt-out).

Cuộc kiểm toán này đã phân tích lưu lượng truy cập của hơn 7.000 trang web phổ biến tại California vào tháng 3. Kết quả cho thấy 55% các trang web được kiểm tra vẫn thiết lập cookie quảng cáo bất kể sự lựa chọn của người dùng. Điều này đặc biệt đáng lo ngại khi California có Đạo luật Quyền riêng tư Người tiêu dùng California (CCPA), cho phép người dùng từ chối bán thông tin cá nhân của mình.

Cơ chế "lờ đi" tín hiệu từ chối

Hệ thống được gọi là Global Privacy Control (GPC) – bao gồm cả tiện ích mở rộng trên trình duyệt – được thiết kế để gửi tín hiệu đến các trang web rằng người dùng không muốn bị theo dõi. Tuy nhiên, thực tế từ báo cáo cho thấy các "gã khổng lồ" công nghệ đang phớt lờ tín hiệu này.

Theo webXray, Google có tỷ lệ thất bại trong việc tôn thuộc tín hiệu GPC lên tới 87%. Khi một trình duyệt sử dụng GPC kết nối với máy chủ của Google, nó gửi mã sec-gpc: 1 để báo hiệu từ chối. Tuy nhiên, máy chủ của Google vẫn phản hồi bằng lệnh tạo một cookie quảng cáo có tên IDE.

"Thất bại của Google trong việc tôn thuộc tín hiệu từ chối GPC rất dễ tìm thấy trong lưu lượng mạng. Khi máy chủ của Google phản hồi yêu cầu mạng có tín hiệu từ chối, nó rõ ràng trả về lệnh tạo cookie quảng cáo tên là IDE. Sự không tuân thủ này dễ phát hiện ngay trước mắt," báo cáo chỉ rõ.

Tương tự, Microsoft có tỷ lệ thất bại là 50%, còn Meta (công ty mẹ của Facebook) là 69%. Báo cáo cho biết mã theo dõi của Meta được các nhà xuất bản cài đặt trên trang web hoàn toàn không chứa bất kỳ kiểm tra nào cho tín hiệu GPC; nó tải vô điều kiện và thiết lập cookie bất kể ưu tiên quyền riêng tư của người dùng.

Vai trò của các nền tảng quản lý sự đồng ý (CMP)

Báo cáo cũng làm rõ vấn đề về các cửa sổ bật lên yêu cầu người dùng chấp nhận cookie, hay còn gọi là Nền tảng quản lý sự đồng ý (CMP). Google, một trong những bên cung cấp cookie lớn nhất, vận hành chương trình đối tác CMP để chứng nhận các nền tảng này.

webXray đã kiểm tra ba công ty CMP và phát hiện tỷ lệ thất bại trong việc ngăn chặn Google đặt cookie lần lượt là 77%, 91% và 90%.

"Nó không hoạt động. Nó thất bại. Nó cho phép Google – cụ thể là bên nói rằng điều này sẽ hoạt động – đặt cookie," Timothy Libert, người sáng lập webXray, nhận định.

Phản hồi từ các công ty công nghệ

Tất cả ba công ty đều đã tranh bác về kết quả của cuộc kiểm toán này.

• Một phát ngôn viên của Google cho biết: "Báo cáo này dựa trên sự hiểu biết sai cơ bản về cách hoạt động của sản phẩm của chúng tôi. Chúng tôi tôn trọng việc từ chối được cung cấp bởi các nhà quảng cáo và nhà xuất bản theo yêu cầu của pháp luật."
• Meta gọi đây là "chiêu trò tiếp thị" và khẳng định GPC chỉ hạn chế một số sử dụng dữ liệu của bên thứ ba và cho phép các nhà điều hành trang web ghi đè tín hiệu GPC.
• Microsoft tuyên bố quyền riêng tư của người dùng là ưu tiên hàng đầu, nhưng cho biết một số cookie của Microsoft là cần thiết cho mục đích vận hành và có thể được đặt ngay cả khi phát hiện tín hiệu GPC.

Giải pháp kỹ thuật đơn giản

Timothy Libert, người từng là trưởng bộ phận chính sách và tuân thủ cookie tại Google trước khi rời đi vào năm 2023, cho rằng các khoản phạt tiền tỷ đô la hiện nay dường như chỉ được các công ty lớn coi như một loại "thuế" thay vì là biện pháp răn đe.

Ông Libert và đội ngũ của webXray đề xuất một giải pháp kỹ thuật cực kỳ đơn giản để khắc phục vi phạm: Khi máy chủ quảng cáo nhận được lưu lượng truy cập với mã Sec-GPC: 1, tất cả những gì họ cần làm là trả về mã trạng thái 451 (Unavailable For Legal Reasons – Không khả dụng vì lý do pháp lý) để chỉ ra rằng nội dung không thể được phục vụ do lý do từ chối theo dõi của người dùng.

"Đây là Eo biển Hormuz trong nền kinh tế dữ liệu. Nếu bạn muốn tạo ra sự thay đổi, đây là nơi bạn cần cắt đứt. Bất cứ điều gì kém hơn điều đó chỉ là dàn dựng chính trị," Libert kết luận.