Utah trở thành bang đầu tiên tại Mỹ truy cứu trách nhiệm pháp lý đối với việc sử dụng VPN
Bang Utah của Mỹ vừa thông qua đạo luật sửa đổi về xác minh tuổi trực tuyến, yêu cầu các trang web chịu trách nhiệm nếu người dùng dùng VPN để che giấu vị trí thực nhằm lách luật. Các chuyên gia cho rằng quy định này không chỉ thiếu tính khả thi về mặt kỹ thuật mà còn tạo ra "bẫy trách nhiệm" cho các doanh nghiệp, đồng thời đe dọa quyền riêng tư của người dùng hợp pháp.
Utah trở thành bang đầu tiên tại Mỹ truy cứu trách nhiệm pháp lý đối với việc sử dụng VPN
Bang Utah của Mỹ vừa thông qua đạo luật sửa đổi về xác minh tuổi trực tuyến, yêu cầu các trang web chịu trách nhiệm nếu người dùng dùng VPN để che giấu vị trí thực nhằm lách luật. Các chuyên gia cho rằng quy định này không chỉ thiếu tính khả thi về mặt kỹ thuật mà còn tạo ra "bẫy trách nhiệm" cho các doanh nghiệp, đồng thời đe dọa quyền riêng tư của người dùng hợp pháp.
Mạng riêng ảo VPN
Một bước đi táo bạo trong luật pháp mạng
Vào ngày 6 tháng 5, các sửa đổi về Xác minh Tuổi Trực tuyến của Utah, chính thức là Dự luật Thượng viện 73 (Senate Bill 73), sẽ có hiệu lực. Điều này khiến Utah trở thành bang đầu tiên tại Hoa Kỳ nhắm mục tiêu trực tiếp vào việc sử dụng Mạng riêng ảo (VPN) trong các quy định xác minh độ tuổi.
Được Thống đốc Spencer Cox ký kết vào ngày 19 tháng 3, đạo luật gây tranh cãi này quy định rằng một người dùng được coi là đang truy cập trang web từ Utah nếu họ thực sự nằm ở đó, bất kể họ có sử dụng VPN hay proxy để che giấu địa chỉ IP của mình hay không. Ngoài ra, luật cũng cấm các trang web bị điều chỉnh chia sẻ hướng dẫn về cách sử dụng VPN để vượt qua các kiểm tra độ tuổi.
"Bẫy trách nhiệm" và nghịch lý tuân thủ
NordVPN đã gọi luật này là một "nghịch lý tuân thủ không thể giải quyết" và một "bẫy trách nhiệm". Họ lập luận rằng luật này buộc các trang web phải chịu trách nhiệm xác định danh tính người dùng trong khi các công cụ mà người dùng sử dụng lại được thiết kế đặc biệt để không thể xác định.
Liên minh Điện tử Tiền tuyến (EFF) cũng cảnh báo rằng rủi ro pháp lý này có thể thúc đẩy các trang web thực hiện một trong hai hành động cực đoan: hoặc là chặn tất cả các IP VPN đã biết, hoặc bắt buộc xác minh độ tuổi cho mọi khách truy cập trên toàn cầu.
Bảo mật mạng
Khiếm khuyết về mặt kỹ thuật
Về mặt kỹ thuật, đạo luật này bị coi là thiếu sót nghiêm trọng vì nó giả định rằng một nhà cung cấp dịch vụ web có thể phát hiện đáng tin cậy lưu lượng truy cập VPN và xác định vị trí vật lý thực của người dùng — điều mà trên thực tế là không thể.
Các cơ sở dữ liệu danh tiếng IP như MaxMind và IP2Proxy có thể gắn cờ lưu lượng từ các dải IP trung tâm dữ liệu đã biết. Tuy nhiên, các nhà cung cấp VPN thương mại liên tục thay đổi địa chỉ, và các điểm cuối VPN dân dụng gần như không thể phân biệt được với kết nối gia đình tiêu chuẩn.
Phân tích Số Hệ thống Tự trị (ASN) có thể bắt được lưu lượng xuất phát từ mạng trung tâm dữ liệu, nhưng không thể xác định được đường hầm WireGuard cá nhân chạy trên máy chủ ảo đám mây (VPS), ví dụ, định tuyến qua cùng cơ sở hạ tầng với lưu trữ web thông thường.
Phương pháp phát hiện duy nhất xác định đáng tin cậy chữ ký giao thức VPN là Deep Packet Inspection (DPI) — kiểm tra gói tin sâu. Tuy nhiên, DPI phân tích lưu lượng ở cấp độ mạng, không phải ở cấp độ hệ thống hay ứng dụng. Các hệ thống như "Tường lửa vĩ đại" của Trung Quốc hay hệ thống TSPU của Nga triển khai DPI thông qua các nhà cung cấp dịch vụ Internet (ISP). Một nhà điều hành trang web không thể làm điều này vì nó yêu cầu quyền truy cập vào cơ sở hạ tầng mạng nằm giữa người dùng và máy chủ, chứ không phải trên chính máy chủ đó.
Tác động đến người dùng
Trong khi đó, việc thiết lập một phiên bản WireGuard cá nhân trên bất kỳ nhà cung cấp đám mây lớn nào chỉ mất vài phút. Điều này có nghĩa là luật pháp sẽ có khả năng tác động tiêu cực đến những người dùng không rành công nghệ, những người dựa vào các dịch vụ VPN thương mại cho quyền riêng tư hợp pháp: nhà báo, những người sống dưới các chế độ độc tài, bất đồng chính kiến và những người sống sót sau lạm dụng, v.v.
Utah không phải là nơi duy nhất cố gắng lập pháp cho những điều không thể. Vào tháng 1, Thượng viện Anh đã bỏ phiếu 207-159 để cấm các dịch vụ VPN cho người dưới 18 tuổi. Bộ trưởng phụ trách kỹ thuật số của Pháp, Anne Le Hénanff, cũng cho biết VPN là "tiếp theo trong danh sách" của bà.
Cho đến nay, các quốc gia duy nhất đạt được tiến trình trong việc chặn lưu lượng VPN với một số thành công là các chế độ độc tài có sự giám sát cấp độ ISP.
"Chính phủ không đủ thông minh để ngăn chặn điều này bằng những đạo luật ngớ ngẩn như thế này." — Một bình luận viên trên diễn đàn công nghệ.
Việc áp đặt các quy định kỹ thuật thiếu thực tế như vậy không chỉ làm thất bại mục đích bảo vệ trẻ em mà còn vô tình làm suy yếu các công cụ bảo mật quan trọng cho những người cần chúng nhất.
