Giám sát AI sẽ không thể bảo vệ con trẻ: Kiểm soát trò chuyện lại trở nên nổi cộm

Bóng ma của giám sát hàng loạt vẫn tiếp tục bao phủ châu Âu. Bất chấp mọi tiến bộ do Đạo luật Bảo vệ Dữ liệu Chung (GDPR) mang lại, việc vượt qua mã hóa dữ liệu vẫn là một mục tiêu.

Thật không may, việc vi phạm quyền tự do dân sự thường xuyên được khoác lên mình những lời hứa hẹn bảo vệ chúng ta khỏi những mối nguy hiểm. Đề xuất của EU về “Quy định thiết lập các quy tắc nhằm ngăn ngừa và chống lại lạm dụng tình dục trẻ em” (Quy định CSA, hay CSAR) là một ví dụ điển hình gây chú ý. Quy định này lại một lần nữa được đưa ra bỏ phiếu tại Nghị viện châu Âu trong tuần này. May thay, hôm qua nó đã bị hoãn lại do tranh cãi xung quanh những gì mà các nhà bảo vệ quyền riêng tư gọi có thể là “dự thảo luật EU bị chỉ trích nhiều nhất mọi thời đại.”

Ảnh chụp màn hình ngày 21 tháng 6 năm 2024

CSAR về cơ bản cung cấp cho các máy khách web công nghệ giám sát trí tuệ nhân tạo nhằm làm suy yếu mã hóa bảo vệ các tập tin và giao tiếp cá nhân của mọi người. Tất cả điều này lấy danh nghĩa chống lại lạm dụng tình dục trẻ em, nhưng đừng bị lừa bởi con sói đội lốt cừu này. Công dân EU đang bị đặt vào tình thế lựa chọn sai lầm: giao tiếp riêng tư hay những kẻ ấu dâm? May mắn thay, nhiều người, bao gồm cả đội ngũ cốt lõi và cộng đồng Nym, đang lên tiếng khẩn thiết phản đối.

Đội ngũ Nym đã theo dõi sát sao sự tiến triển lén lút của phiên bản 1.0 và 2.0 của "Kiểm soát trò chuyện" từ khi bắt đầu vào năm 2022. Nó một lần nữa đang tìm kiếm cuộc thảo luận và có thể là bỏ phiếu với ngôn ngữ được sửa đổi mang tính đánh lừa. Tuy nhiên, những thay đổi chỉ làm dịu đi giọng điệu của chiến lược giám sát hàng loạt. Tất cả chỉ là chiêu trò nhằm cố gắng lách tránh các cam kết GDPR về việc bảo vệ mã hóa dữ liệu đầu cuối. Mặc dù mã hóa có thể không bị CSAR đụng chạm, nhưng một cửa hậu nguy hiểm hơn đối với mã hóa được đề xuất sẽ thực hiện giám sát thiết bị sâu hơn hàng loạt.

Dưới đây là những gì đang bị đe dọa trong đề xuất CSAR và lý do tại sao nó là một mối nguy lớn đối với quyền riêng tư trực tuyến của mọi người ở EU và toàn cầu.

Kiểm soát trò chuyện là gì?

Luật CSAR, được các nhà phê bình gọi là “kiểm soát trò chuyện,” là một nỗ lực pháp lý nhằm xác định và chặn lưu lượng ảnh hưởng liên quan đến trẻ em trước khi truyền tải. Dù mục tiêu thì ít ai phản đối, các chuyên gia đã gióng lên hồi chuông cảnh báo rằng quy định này sẽ không thực sự hiệu quả. Thậm chí tệ hơn, nó cho phép và cưỡng chế một cửa hậu giám sát vào thiết bị của toàn bộ một châu lục người dùng.

Quét Máy Khách (CSS)

Giải pháp được CSAR đề xuất để xử lý vấn đề tài liệu lạm dụng tình dục trẻ em (còn gọi là CSAM) là giám sát hàng loạt thông qua Quét Máy Khách (CSS). Thay vì làm suy yếu các truyền tải được mã hóa, nó thực chất là quét dữ liệu trên thiết bị hoặc máy chủ trước khi mã hóa xảy ra. Điều này sẽ làm suy yếu sự an toàn của các giao tiếp và nguyên tắc mã hóa đầu-cuối đối với tất cả mọi người.

Mã hóa là nền tảng của giao tiếp an toàn. Khi bạn làm điều gì đó trực tuyến qua kết nối được mã hóa — gửi ảnh cá nhân cho bạn bè hoặc gia đình, hoặc sử dụng thẻ tín dụng trực tuyến — bạn có thể yên tâm rằng bên ngoài không thể truy cập hoặc khai thác dữ liệu của bạn. Nỗ lực ban đầu của CSAR hi vọng buộc các dịch vụ web phải phá vỡ mã hóa bảo vệ nội dung giao tiếp của máy khách. Khi mã hóa bị phá, tất cả tin nhắn có thể được quét để tìm nội dung mục tiêu. May mắn thay, điều này đã gặp phải phản ứng mạnh mẽ từ xã hội dân sự và các nhà bảo vệ quyền riêng tư.

Những gì hiện đang được đề xuất là các công nghệ CSS cho phép và giúp các dịch vụ web pháp lý quét hoặc “giám sát” các tập tin và giao tiếp trên thiết bị của bạn trước khi mã hóa được áp dụng. Hãy tưởng tượng Apple có thể thường xuyên quét các ứng dụng iPhoto hoặc iMessenger của bạn để tìm các điểm dữ liệu được lập trình sẵn được xem là mối đe dọa. Hoặc một dịch vụ giao tiếp riêng tư được cấp lệnh pháp lý để làm như vậy. Thực tế, chủ tịch Signal đã công khai tuyên bố rằng họ sẽ rút dịch vụ khỏi các vùng pháp lý EU thay vì cho phép sự thỏa hiệp về an ninh người dùng như vậy.

Ảnh chụp màn hình ngày 21 tháng 6 năm 2024

Các nhà khoa học nói rằng công nghệ CSS “có nhiều lỗ hổng nghiêm trọng”

Bất kỳ chương trình quét giám sát nào cũng cần tìm kiếm một thứ cụ thể. Câu hỏi lớn là: liệu nó có thể nhận diện chính xác mục tiêu mà không kéo theo dữ liệu không liên quan không? Trong trường hợp CSAR, mục tiêu được công bố là quét thiết bị người dùng để tìm những trường hợp tiềm năng của CSAM. Điều này có thể bao gồm, ví dụ, những bức ảnh thể hiện trẻ em khỏa thân hoặc hành vi tình dục, hoặc các tin nhắn mô tả những hành vi đó. Nhưng điều này sẽ hoạt động chính xác như thế nào?

Về cơ bản, một chương trình phân tích dữ liệu có thể được điều khiển bởi AI sẽ được tiếp cận toàn bộ nội dung chưa mã hóa trên thiết bị hoặc máy chủ của mọi người. Hệ thống sẽ đánh dấu hàng loạt các mối đe dọa tiềm năng dựa trên các điểm dữ liệu trước khi gửi tất cả các trường hợp cho nhóm con người để xác minh. Nhóm này sẽ được phép truy cập các tập tin cá nhân và giao tiếp của bạn để xác định xem bạn có vi phạm gì không. Nội dung hoặc hoạt động nghi ngờ sau đó sẽ được chuyển cho cơ quan thực thi pháp luật để điều tra thêm.

Các nhà nghiên cứu đã lên tiếng mạnh mẽ cảnh báo về tính dễ sai sót của công nghệ này, cả về mặt kỹ thuật lẫn nguy cơ xâm phạm quyền tự do dân sự. Hãy tưởng tượng một trường hợp báo động sai, khi ảnh cá nhân của cha mẹ về con cái bị thuật toán đánh dấu và bị các nhà phân tích xem xét trước khi chuyển cho nhà chức trách. Các nhà khoa học dữ liệu đã cảnh báo rằng việc “quét như vậy chắc chắn sẽ không hiệu quả,” và khi thực hiện trên quy mô lớn sẽ tạo ra các “tác dụng phụ cực kỳ có hại cho tất cả mọi người trên mạng, và có thể khiến Internet và xã hội số kém an toàn hơn cho mọi người.”

Dòng thời gian

CSAR đã trải qua nhiều khó khăn tại Nghị viện EU kể từ khi được giới thiệu vào năm 2022. Nó trở lại trong tuần này với cuộc thảo luận được lên lịch chiến lược nhằm tránh sự chú ý của cuộc bầu cử gần đây. Dưới đây là dòng thời gian chính để xem các bước tiến, thay đổi và trạng thái hiện tại của nó.

• 11 tháng 5 năm 2022: Đề xuất CSAR ban đầu được giới thiệu.
• Tháng 6 năm 2022: Đã tiết lộ rằng diễn viên Hollywood Ashton Kutcher đã làm việc cùng Ủy viên Nội vụ Ylva Johansson vận động cho CSAR lúc đó, nhằm lợi ích cho Thorn, tổ chức mà anh đồng sáng lập. Thorn bán các công cụ AI được sử dụng để quét thiết bị của mọi người. (Kutcher sau đó đã từ chức chủ tịch Thorn sau khi bào chữa cho một tên cưỡng hiếp bị kết án).
• 13 tháng 4 năm 2023: Báo cáo do Nghị viện châu Âu ủy quyền về tác động của đề xuất CSAR được trình bày trước Ủy ban về Quyền Tự do Dân sự, Công lý và Nội vụ của EU.
• Tháng 7 năm 2023: Thư ngỏ với 465 nhà khoa học và nghiên cứu ký tên gửi ủy ban EU. Các nhà khoa học cảnh báo rõ ràng về việc công nghệ đề xuất có thể không hiệu quả và làm suy yếu “một tương lai kỹ thuật số an toàn cho xã hội chúng ta” và “quá trình dân chủ ở châu Âu và xa hơn nữa.”
• 2 tháng 5 năm 2024: Thư ngỏ mới từ 312 nhà khoa học và nghiên cứu ở 32 quốc gia gửi cho EU. Họ nhắc lại rằng các thay đổi ngôn ngữ trong đề xuất CSAR sẽ không thay đổi được công nghệ “có lỗi nghiêm trọng” và nguy hiểm này. Bức thư được đồng tác giả bởi Bart Praneel, nhà bảo vệ quyền riêng tư, giáo sư và cố vấn công nghệ cho Nym.
• 13 tháng 2 năm 2024: Phán quyết của Tòa án Nhân quyền Châu Âu trong vụ Podchasov kiện Nga nhấn mạnh vai trò của mã hóa đầu-cuối trong “bảo đảm và bảo vệ quyền riêng tư giao tiếp điện tử” và đảm bảo “tận hưởng các quyền cơ bản khác như tự do biểu đạt.”
• 20 tháng 6 năm 2024: Thảo luận và bỏ phiếu về CSAR sửa đổi được lên lịch sau khi bị hoãn (xem mục 28 trong mục “Tư pháp và Nội vụ”). Cuộc bỏ phiếu cuối cùng đã bị hủy!

Cần lưu ý rằng tài liệu CSAR là một đề xuất lập pháp và không có hiệu lực pháp lý trừ khi được cơ quan lập pháp phê duyệt. Tuy nhiên, công dân EU vẫn cần liên hệ với đại diện của họ và phản đối những nỗ lực vi phạm quyền dân sự này.

Trò chơi ngôn ngữ lập pháp

Cách diễn đạt trong ngôn ngữ có thể tác động lớn đến chúng ta: một cách nói hấp dẫn có thể khiến ta muốn thứ mà ta có lẽ không cần, hoặc khiến ta chán ghét thứ thật ra không tệ đến vậy. Đôi khi, cách diễn đạt lại quá đơn điệu và trừu tượng đến mức ta không nhận ra mình đang tiêu thụ một liều thuốc độc.

Đó là đề xuất mới nhất của CSAR về “công nghệ kiểm duyệt tải lên.” Khi đọc qua hàng trăm trang quy định nghị viện, những cụm từ như thế này rất dễ bị bỏ qua, và đó chính là mục đích của chúng. Vậy điều đó chính xác có nghĩa là gì?

Ảnh chụp màn hình ngày 21 tháng 6 năm 2024

Hãy phân tích điều này.

[1] “Nhà cung cấp dịch vụ giao tiếp giữa các cá nhân” có nghĩa là bất kỳ dịch vụ web nào xử lý giao tiếp kỹ thuật số của bạn với người khác. Phạm vi này rất rộng. Nó rõ ràng áp dụng với các ứng dụng nhắn tin như WhatsApp, kể cả những ứng dụng hướng đến quyền riêng tư và mã hóa như Signal. Nhưng nó cũng áp dụng với các công ty lớn hơn như Apple, cung cấp dịch vụ ảnh và nhắn tin, chưa kể đến hệ điều hành.

[2] Mệnh lệnh pháp lý “phải cài đặt và vận hành” công nghệ CSS này có nghĩa là các dịch vụ truyền thông không chỉ có thể mà còn phải làm như vậy.

[3] Đây là điểm then chốt: việc phát hiện đối tượng bị giám sát [4] “trước khi truyền tải” tức là trước khi mã hóa. Khi đã có mã hóa, việc phát hiện bất kỳ nội dung số nào sẽ yêu cầu phá mã, điều mà hiện tại không được phép. Do đó, công nghệ này tương đương với việc quét hàng loạt thiết bị, chỉ nhà cung cấp thiết bị hoặc nhà vận hành ứng dụng và dịch vụ web mới có thể thực hiện thay cho chính quyền. Vì mục tiêu của mã hóa là ngăn truy cập bên thứ ba, công nghệ này về cơ bản là một cửa hậu đối với mã hóa.

[4] Mặc dù mục tiêu của việc quét này có thể là phát hiện CSAM, nhưng việc xác định được nó đồng nghĩa với việc các chương trình AI phải tiếp cận toàn bộ dữ liệu hoặc giao tiếp của chúng ta trước. Trước tiên, có sự khác biệt lớn giữa “tài liệu lạm dụng tình dục trẻ em đã biết” (ví dụ như ảnh hoặc video đã được cơ quan chức năng nhận diện) và “tài liệu lạm dụng tình dục trẻ em mới.” Đối với loại sau, bất kỳ chương trình AI nào cũng có khả năng gây ra lỗi nghiêm trọng trong việc phân biệt giữa phim khiêu dâm trẻ em và các ảnh gia đình riêng tư không mang ý định tình dục.

Vì vậy “kiểm duyệt tải lên,” nghe thì tưởng như chỉ là “đảm bảo mọi người chỉ đăng lượng tài liệu hợp lý lên mạng,” thực ra có nghĩa là “giám sát dữ liệu do AI thực hiện trên mọi thiết bị người dùng trước khi mã hóa nhằm mục đích thực thi pháp luật.” Thêm vào đó là “chưa được kiểm nghiệm” và “về mặt khoa học khó tin cậy và dễ sai sót” thì chúng ta đang tiến gần đến sự thật.

Phá mã hay tấn công từ phía sau?

Phần lớn phản đối chống lại CSAR xoay quanh việc liệu nó có “phá vỡ” mã hóa đầu-cuối đối với truyền tải dữ liệu hay không. Mã hóa dữ liệu được bảo vệ bởi GDPR và gần đây được củng cố bởi phán quyết của Tòa án Nhân quyền Châu Âu trong vụ Podchasov kiện Nga (2024). Như Meredith Whittaker, Chủ tịch Signal, đã chú thích, điều này chỉ là cách chơi chữ hay “thay tên đổi nhãn”:

“Việc bắt buộc quét hàng loạt các giao tiếp riêng tư về cơ bản phá hủy mã hóa. Chấm hết. […] Chúng ta có thể gọi nó là cửa hậu, cửa trước, hay “kiểm duyệt tải lên.” Nhưng dù gọi thế nào, mỗi phương pháp này đều tạo ra lỗ hổng mà hacker và các quốc gia thù địch có thể khai thác, phá bỏ sự bảo vệ của toán học không thể phá vỡ và thay thế bằng một lỗ hổng giá trị cao.”

Việc cho phép dịch vụ web xử lý dữ liệu của chúng ta quét toàn bộ trên thiết bị hoặc máy chủ của họ trước khi áp dụng mã hóa trong truyền tải không phải là “phá mã” về mặt kỹ thuật. Thực ra, nó còn tồi tệ hơn: một cửa hậu để các thuật toán AI tự động đảm nhận vai trò giám sát trung gian kết nối dữ liệu cá nhân của chúng ta với các cơ quan chức năng.

Đề xuất CSAR có nhiều lời ca ngợi mâu thuẫn về giá trị của mã hóa đầu-cuối:

“[M]ã hóa đầu-cuối,” CSAR thừa nhận, “là phương tiện cần thiết để bảo vệ các quyền cơ bản và an ninh kỹ thuật số của chính phủ, ngành công nghiệp và xã hội.”

Tuy nhiên, những gì nó đang tìm cách tạo ra lại làm suy yếu rõ ràng quyền riêng tư dữ liệu mà mã hóa dữ liệu nhằm bảo vệ. Công nghệ giám sát hay “theo dõi,” đề xuất làm rõ (26a),

“đảm bảo rằng cơ chế phát hiện có thể truy cập dữ liệu ở dạng chưa mã hóa để phân tích và hành động hiệu quả, mà không làm suy yếu bảo vệ được mã hóa đầu-cuối cung cấp sau khi dữ liệu được truyền đi.”

Làm thế nào mà giám sát có thể “truy cập dữ liệu ở dạng chưa mã hóa […] mà không làm suy yếu” mã hóa đầu-cuối là một điều dối trá táo bạo.

Sự đồng thuận của người dùng

Một thay đổi lớn khác trong đề xuất CSAR là người dùng phải được hỏi để đồng ý cho việc sử dụng các công nghệ giám sát này:

“tài liệu lạm dụng tình dục trẻ em nên vẫn có thể phát hiện được trong tất cả các dịch vụ giao tiếp giữa các cá nhân thông qua việc áp dụng các công nghệ được kiểm duyệt, khi tải lên, với điều kiện người dùng đồng ý rõ ràng theo các điều khoản và điều kiện của nhà cung cấp.”

Điều này chính xác có nghĩa là gì? Bất kỳ người dùng nào không đồng ý việc dữ liệu của họ bị quét vẫn có thể sử dụng dịch vụ web, miễn là dịch vụ đó “không liên quan đến việc gửi nội dung hình ảnh và URL.” Điều này có thể khiến nhiều dịch vụ truyền thông trở nên không thể hoạt động. Vậy hãy tưởng tượng bạn muốn một ứng dụng nhắn tin riêng tư, nhưng EU bắt buộc họ phải quét dữ liệu của bạn trước, và bạn từ chối vì lý do chính đáng. Vì ứng dụng cũng cho phép gửi ảnh và liên kết, bạn đơn giản là không thể sử dụng dịch vụ đó.

Conclusion

Cuộc bỏ phiếu về CSAR đã bị hoãn, nhưng không có nghĩa là kết thúc. Dự luật sẽ lại nổi lên, có thể với những sửa đổi ngôn ngữ nhằm làm dịu tình hình để đẩy mạnh giám sát kỹ thuật số hàng loạt tại châu Âu.

Tuy nhiên, điều rõ ràng với nhiều người là loại giám sát hàng loạt này sẽ không giải quyết vấn đề, vì đó là vấn đề xã hội chứ không phải kỹ thuật. Như Bart Praneel, một trong những cố vấn thân cận của Nym, đã bình luận:

"[thật] không rõ lý do tại sao một số chính phủ tiếp tục thúc đẩy cách làm giám sát hàng loạt này thay vì tập trung vào phòng ngừa lạm dụng tình dục trẻ em."

Cần ngăn chặn tổn hại đối với trẻ em thông qua việc cấp kinh phí cho dịch vụ xã hội và các phương pháp phòng ngừa khác. Ella Jukubowska và EDri đã nghiên cứu các lựa chọn thực sự cho vấn đề CSAM và lạm dụng trẻ em, cả trực tuyến và thực tế. Việc lạm dụng không nên được sử dụng như một chiêu trò PR mưu mẹo để phá mã hóa và làm tổn hại quyền riêng tư cũng như an ninh của toàn bộ dân cư châu Âu trong quá trình đó. Và chúng ta không nên tự nguyện cho phép các chính phủ vi phạm quyền riêng tư của mình chỉ vì sợ các mối nguy.

Hy vọng sự trì hoãn bỏ phiếu gần đây là dấu hiệu các nhà quản lý đang bắt đầu nhận thức rõ điều này.

Nym Dispatch

Chuỗi Nym Dispatch đi sâu vào hệ sinh thái quyền riêng tư trực tuyến và xã hội. Hãy đón xem để tìm hiểu thêm về rủi ro và chiến thuật kiếm tiền trong nền kinh tế giám sát trực tuyến, bắt đầu với thị trường VPN miễn phí. Chuỗi bài sẽ sớm đề cập đến các hoạt động ghi nhật ký của các VPN miễn phí; các hợp đồng đồng thuận mơ hồ cố ý; cách thức, lý do và đối tượng họ bán dữ liệu của chúng ta; cùng các chiến dịch quảng cáo xâm phạm của họ.