Xác minh độ tuổi: Một mớ hỗn độn về quyền riêng tư nhưng đang trở thành tiêu chuẩn internet

Chỉ trong vài năm ngắn ngủi, xác minh độ tuổi đã chuyển từ một ý niệm lý thuyết thành thực hành tiêu chuẩn trên một phần lớn internet. Với mục đích ngăn chặn trẻ em tiếp cận nội dung khiêu dâm, nội dung không phù hợp hoặc mạng xã hội nói chung, các luật yêu cầu chặn theo độ tuổi đã lan rộng nhanh chóng trên toàn cầu, bao gồm Anh, Mỹ, Úc, Pháp, Brazil và nhiều quốc gia khác.

Vấn đề nằm ở chỗ làm thế nào để kiểm tra xem người dùng có đang nói dối về độ tuổi của mình hay không. Thật không may, mọi phương pháp mà các chính trị gia đã lựa chọn đều có những khuyết điểm đáng kể — và mặc dù các chuyên gia có ý tưởng để cải thiện chúng, những giải pháp này hiện vẫn chỉ nằm trên giấy.

Minh họa về xác minh độ tuổi

Một phương pháp phổ biến là suy luận độ tuổi (age inference), sử dụng AI để "đoán" tuổi của người dùng dựa trên hoạt động của họ trên một nền tảng cụ thể. Một phương pháp khác là sử dụng các dịch vụ bên thứ ba cam kết ưu tiên quyền riêng tư của người dùng. Cách thứ ba là yêu cầu các cửa hàng ứng dụng và hệ điều hành thực hiện kiểm tra độ tuổi trước khi người dùng có thể tải xuống ứng dụng. Nhưng mỗi phương pháp này đều đi kèm những sự đánh đổi lớn, ngay cả khi các quy tắc mới đang buộc các nền tảng phải triển khai chúng ở quy mô lớn. Chúng ta đang sống trong năm 2026, trên một internet ngày càng bị rào chắn bởi độ tuổi, nhưng công nghệ phù hợp vẫn chưa xuất hiện.

Bắt đầu với suy luận độ tuổi

Trước khi làm nản lòng người dùng bằng cách yêu cầu giấy tờ tùy thân hoặc quét khuôn mặt, nhiều nền tảng cố gắng đoán tuổi của họ bằng cách sử dụng dữ liệu đã có sẵn. Ví dụ, Meta sử dụng hệ thống dẫn động bởi AI để xác định và đặt các thiếu niên vào Instagram vào các tài khoản bị hạn chế hơn. Google và YouTube cũng bắt đầu quét các tài khoản nghi ngờ là dưới 18 tuổi, trong khi Discord dự kiến triển khai hệ thống này vào cuối năm nay.

Các hệ thống suy luận xem xét nhiều tín hiệu khác nhau. Một tín hiệu đơn giản là tuổi tài khoản — ví dụ, nếu bạn tham gia Instagram cách đây 18 năm, bạn có lẽ đã trên 18 tuổi. Những tín hiệu khác mang tính phỏng đoán hơn. YouTube sử dụng AI để phân tích các loại video bạn đã tìm kiếm. Discord cho biết họ sẽ sử dụng dữ liệu thiết bị và hoạt động, cùng với "các mẫu tổng hợp, cấp cao trên các cộng đồng Discord", trong khi Instagram có thể gắn cờ một tài khoản nếu ai đó chúc mừng "Chúc mừng sinh nhật thứ 14" trong một bài đăng.

Lý tưởng nhất, lợi ích của việc suy luận là không ai phải cung cấp thêm dữ liệu. Discord cho biết hầu hết người dùng sẽ không bị ảnh hưởng bởi đợt triển khai xác minh độ tuổi sắp tới nhờ hệ thống AI đoán tuổi của họ.

"Bạn không cần biết ai đó là ai để tìm ra độ tuổi của họ, vì vậy, về mặt lý thuyết, các công nghệ suy luận độ tuổi có thể xâm phạm quyền riêng tư ít hơn," Cobun Zweifel-Keegan, giám đốc điều hành tại Hiệp hội Chuyên gia Quyền riêng tư Quốc tế, chia sẻ với The Verge.

Tuy nhiên, chỉ riêng suy luận độ tuổi thường không thể dự đoán độ tuổi của một người một cách đáng tin cậy và có thể không đạt được tiêu chuẩn mà các cơ quan quản lý của chính phủ đặt ra. Khi hệ thống không chắc chắn về độ tuổi của ai đó — hoặc tuyên bố sai lầm rằng họ là vị thành niên — người dùng vẫn được yêu cầu tiết lộ dữ liệu cá nhân về bản thân.

Chuyển giao dữ liệu cá nhân

Để xác minh một người ít nhất 18 tuổi, hệ thống chặn độ tuổi thường cần thu thập các chi tiết tiết lộ về họ, và điều này đặt ra một loạt mới các sự đánh đổi về quyền riêng tư. Một giấy tờ tùy thân có ảnh do chính phủ cấp, ví dụ, là một chỉ báo độ tuổi chính xác cao nhưng gây ra các vấn đề nghiêm trọng nếu bị lộ trong một vụ lộ dữ liệu, điều này đã xảy ra nhiều lần. Các nhà cung cấp bên thứ ba như k-ID, Persona và Yoti có thể cứu mỗi công ty khỏi việc phải chạy hệ thống của riêng mình và giúp họ giảm bớt một số rủi ro. Đối với người dùng, vẫn còn một vấn đề bảo mật cơ bản mà các dịch vụ này đang cố gắng giảm thiểu, nhưng chưa giải quyết được.

Quét khuôn mặt của người dùng và tự động xác định phạm vi độ tuổi của họ đã trở thành một lựa chọn thay thế phổ biến cho giấy tờ tùy thân. Nó không yêu cầu thu thập tài liệu pháp lý và thậm chí có thể được thực hiện trên thiết bị của người dùng, để không có thông tin nhận dạng nào được lưu trữ ở nơi có thể bị rò rỉ.

Thật không may, như được Tổ chức Phi lợi nhuận Bảo vệ Biên giới Điện tử (EFF) lưu ý, việc ước tính độ tuổi dựa trên khuôn mặt vẫn thường không chính xác — đặc biệt là đối với người da màu và phụ nữ — và đã bị lừa bằng nhiều phương pháp khác nhau, bao gồm cả việc sử dụng khuôn mặt của một nhân vật trò chơi điện tử, như Sam Porter Bridges trong Death Stranding. Nếu các bản quét khuôn mặt bị rò rỉ về mặt lý thuyết, các công cụ nhận dạng khuôn mặt mạnh mẽ của bên thứ ba có thể tiềm năng xác định danh tính con người thông qua chúng.

Trong khi đó, xác minh trên thiết bị — trong khi được quảng bá là riêng tư hơn việc gửi thông tin đến máy chủ để phân tích — phải đối mặt với bộ vấn đề riêng của nó. Rick Song, CEO của Persona, cho biết xác thực phía máy chủ thường được ưu tiên vì dễ dàng tìm ra lỗ hổng trong các hệ thống trên thiết bị hơn.

"Nếu chúng tôi có thể chạy [trên thiết bị] hiệu quả trên điện thoại, tôi sẽ làm điều đó ngay lập tức, nhưng hiện tại nó không khả thi," Song nói.

Một nhược điểm khác của xác minh trên thiết bị — ít nhất là theo quan điểm của Song — là những chiếc điện thoại cũ hơn có thể không đủ mạnh để chạy các mô hình AI được sử dụng để phân tích khuôn mặt của người dùng. "Một tỷ lệ lớn thế giới vẫn đang sử dụng các thiết bị Android cũ hơn, và một tỷ lệ lớn thế giới đang sử dụng iPhone tiền 10," Song thêm vào. "Thiết bị của họ thậm chí không thể chạy mô hình, vì vậy bạn có sự phân chia mà chỉ những người có thiết bị mới hơn mới có được nhiều quyền riêng tư hơn, và những người không có thì không." Những người đó vẫn sẽ cần tải lên giấy tờ tùy thân, với tất cả các rủi ro bảo mật đi kèm.

Đặt áp lực lên các nhà sản xuất thiết bị

Ngày càng có nhiều nhà làm luật và hoạch định chính sách đã giải quyết vấn đề chặn độ tuổi bằng một giải pháp có vẻ thanh lịch: chỉ cần để các cửa hàng ứng dụng làm việc đó. Theo các đề xuất này, chủ sở hữu cửa hàng ứng dụng sẽ có nghĩa vụ xác minh độ tuổi của người dùng trước khi họ có thể tải xuống hoặc mua ứng dụng. Ý tưởng này được các công ty công nghệ bao gồm Meta, Spotify, Match và Garmin ủng hộ, họ lập luận rằng có một điểm xác minh độ tuổi duy nhất hiệu quả hơn là kiểm tra độ tuổi trên từng nền tảng.

Những người ủng hộ các quy tắc này thường tập trung vào iOS App Store của Apple và Android Play Store của Google, nhưng các hệ điều hành khác cũng đang được lôi vào — đó là nơi mọi thứ trở nên đặc biệt phức tạp. Theo Đạo luật Đảm bảo Tuổi kỹ thuật số của California, ví dụ, các hệ điều hành như Windows, macOS và Linux phải yêu cầu người dùng cung cấp ngày sinh của họ khi thiết lập thiết bị bắt đầu từ năm 2027. Hệ điều hành sau đó được cho là sẽ chuyển tiếp một "tín hiệu" chứa phạm vi độ tuổi của người dùng đến các ứng dụng được cung cấp trong cửa hàng ứng dụng của hệ thống.

Điều này đặt các hệ điều hành mã nguồn mở, như các bản phân phối Linux khác nhau, vào vị thế mong manh, vì hầu hết hiện không buộc người dùng tạo tài khoản có thể lưu trữ và chuyển tiếp độ tuổi của người dùng. Các nhà phát triển đằng sau các bản phân phối Linux phổ biến đang vật lộn với các yêu cầu mới. GrapheneOS, một phiên bản tập trung vào quyền riêng tư của Android, đã vạch ra một ranh giới rõ ràng: họ sẽ không bắt buộc xác minh độ tuổi, và nếu thiết bị của họ "không thể bán được ở một khu vực do quy định của họ, thì cứ vậy thôi". Hơn nữa, không rõ liệu các luật xác minh độ tuổi ở cấp cửa hàng ứng dụng có áp dụng cho các kho lưu trữ Linux, như APT hay Pacman hay không.

Cảnh quan phân mảnh của các luật xác minh độ tuổi cũng không làm cho việc điều hướng trở nên dễ dàng hơn đối với các công ty công nghệ. Giống như luật xác minh độ tuổi của California, Texas và Louisiana đã ban hành luật pháp để đặt các kiểm tra độ tuổi ở cấp cửa hàng ứng dụng. Các bang khác, tuy nhiên, như Tennessee, Florida và Virginia, đang nhắm vào chính các nền tảng. Cả hai cách tiếp cận đều đang vật lộn để chịu được sự kiểm tra hiến pháp, với các luật ở cả hai phía bị các tòa án liên bang chặn lại.

"Không khó đối với các công ty để ước tính hoặc xác minh độ tuổi bằng các công nghệ khác nhau," Zweifel-Keegan nói. "Họ có tất cả các loại công cụ khác nhau trong thắt lưng của họ, nhưng thật khó đối với chính phủ [Mỹ] để yêu cầu điều đó. Một khi chính phủ bắt đầu nói bạn phải làm điều đó, nó thực sự bắt đầu chịu sự kiểm tra của Tu chính án thứ nhất. Và cho đến nay, chúng tôi chưa thấy điều đó tồn tại đặc biệt tốt."

Với một mạng lưới quy tắc toàn cầu lộn xộn, một số nền tảng trực tuyến, như Discord và Roblox, đã giới thiệu xác minh thậm chí ở những nơi họ không được yêu cầu — và cùng với nó, là nhiều sự đánh đổi của công nghệ này.

Có cách nào tốt hơn không?

Giữa tất cả những điều này, các chuyên gia quyền riêng tư đang làm việc trong hậu trường để phát triển một phương pháp giới hạn thu thập dữ liệu. Một lựa chọn là bằng chứng không có kiến thức (Zero-knowledge proof - ZKP), một phương pháp mật mã chứng minh một người trên 18 tuổi mà không cần tiết lộ chi tiết cá nhân cho bên thứ ba, như được Cơ quan Bảo vệ Dữ liệu của Pháp chứng minh vào năm 2022. Theo hệ thống được đề xuất này, cơ quan chính phủ chịu trách nhiệm cấp giấy tờ tùy thân của một người sẽ cung cấp cho người dùng bằng chứng độ tuổi sẽ tín hiệu xem họ trên hay dưới 18 tuổi, thay vì yêu cầu họ tiết lộ toàn bộ ngày sinh hoặc thông tin cá nhân khác trực tiếp cho một trang web hoặc bên thứ ba. Người dùng sau đó có thể lưu bằng chứng độ tuổi này bên trong một ví kỹ thuật số hoặc dịch vụ tin cậy khác, cho phép họ trình bày nó với các trang web hoặc cửa hàng ứng dụng có yêu cầu xác minh. Google là một trong những công ty ủng hộ sự phát triển của công nghệ này, mặc dù nó không không có khuyết điểm.

Như các nhà nghiên cứu tại Brave chỉ ra, nhiều hệ thống triển khai ZKP "có thể thực sự không cung cấp kiến thức bằng không" nếu chúng được thiết lập sai. Các hệ thống này cũng có thể xói mòn quyền riêng tư nếu người dùng được yêu cầu chứng minh rằng họ là người trưởng thành nhiều lần, đặc biệt nếu một dịch vụ yêu cầu thông tin về phạm vi độ tuổi của họ.

Liên minh Châu Âu, nơi đang phát triển các thông số kỹ thuật cho một ứng dụng xác minh độ tuổi mã nguồn mở, liệt kê ZKP là một tính năng "thử nghiệm" mà họ sẽ thêm vào sau. Ứng dụng, mà Chủ tịch Ủy ban Châu Âu Ursula von der Leyen nói là "đã sẵn sàng về mặt kỹ thuật", sẽ yêu cầu người dùng tải lên giấy tờ tùy thân hoặc hộ chiếu của chính phủ, hoặc xác minh độ tuổi thông qua ngân hàng hoặc trường học. Khi ứng dụng xác minh độ tuổi của họ bằng "danh sách tin cậy" các nhà cung cấp xác minh độ tuổi đã đăng ký với EU, ứng dụng tạo ra bằng chứng độ tuổi không chứa "thông tin ID nào để truy dấu người dùng". Người dùng sau đó có thể sử dụng bằng chứng độ tuổi của ứng dụng để truy cập các nền tảng bị hạn chế độ tuổi.

Nhưng những phương pháp này vẫn chỉ là khái niệm. Hiện tại, điều quan trọng là các công ty và nhà lập pháp cần suy nghĩ kỹ về "sự cân bằng giữa quyền riêng tư và an toàn". Đó là sự cân bằng mà không có chính sách hay nhà cung cấp xác minh độ tuổi nào thực hiện tốt cho đến nay, và nó đang đặt tất cả chúng ta vào rủi ro trong khi họ đang tìm cách giải quyết.