Privacy không phải Security: Cái bẫy tiếng Anh công nghệ thật sự quan trọng

Một ứng dụng tự hào thông báo: "Dữ liệu của bạn được bảo mật (secure)", và bạn thả lỏng, nghĩ: "Tuyệt, vậy nó cũng riêng tư (private)." Nhưng đó là hai lời hứa khác nhau. Một công ty có thể khóa dữ liệu của bạn sau những bức tường vững chắc (security) mà vẫn chia sẻ nó với hàng chục công ty khác (không có privacy). Cả hai từ đều cho cảm giác trấn an ấm áp như nhau, và đó chính là lý do chúng bị trộn lẫn.

Dùng đúng những từ này không chỉ là chuyện chẻ sợi tóc. Sự khác biệt quyết định liệu "chúng tôi bảo vệ dữ liệu của bạn" thật sự nghĩa là "chúng tôi sẽ không bán nó" hay chỉ nghĩa là "người ngoài không đột nhập được". Đó là những lời hứa rất khác nhau.

Đây là một cách đơn giản để tách bạch chúng cho cả đời: security là về cánh cửa, privacy là về danh sách khách mời. Security hỏi: "Người sai có vào được không?" Privacy hỏi: "Trong số những người được phép vào, họ được làm gì với những gì họ thấy?" Hai câu hỏi khác nhau, hai câu trả lời khác nhau, và một công ty có thể đạt cái này trong khi trượt cái kia.

Câu trả lời nhanh

Security là về việc bảo vệ khỏi tấn công và truy cập trái phép: ngăn kẻ xâm nhập bên ngoài. Privacy là về việc ai được phép thấy hay dùng dữ liệu của bạn và vì mục đích gì, bao gồm cả chính công ty. Bạn có thể có security mạnh và privacy yếu cùng lúc. Security canh cửa; privacy quyết định ai được mời vào và họ được làm gì với những gì họ tìm thấy.

Những từ then chốt

• Security. Bảo vệ chống lại tấn công, trộm cắp và truy cập trái phép. Khóa, mật khẩu, hàng phòng thủ. Câu hỏi nó trả lời: người sai có vào được không?
• Privacy. Quyền kiểm soát ai thấy hay dùng thông tin của bạn và vì sao, bao gồm cả những người nắm giữ nó một cách hợp pháp. Câu hỏi: ai được phép xem, và họ được làm gì với nó?
• Confidential. Chỉ được chia sẻ với những người cụ thể, được ủy quyền. Một tài liệu confidential không dành cho mắt mọi người.
• Anonymous. Không gắn tên; không tiết lộ danh tính. Bạn không thể bị liên kết ngược lại với dữ liệu.
• Encrypted. Được xáo trộn sao cho chỉ người có đúng khóa mới đọc được. Bảo vệ khi truyền hoặc khi lưu trữ.
• Personal data. Thông tin liên quan đến một người có thể nhận diện được. Các quy tắc privacy thường quan tâm nhất đến loại này, vì nó có thể bị gắn ngược về một ai đó.
• Consent. Sự đồng ý của bạn cho việc dữ liệu được dùng theo một cách nhất định. Một ý niệm privacy: nó về sự cho phép, không phải sự bảo vệ. Security mạnh mà không có sự đồng ý vẫn là một vấn đề privacy.

Những cái bẫy thường gặp

Một cái bẫy thường gặp là coi privacy và security như từ đồng nghĩa. Chúng chồng lấn, nhưng trả lời những câu hỏi khác nhau. Security ngăn người không được phép ở ngoài. Privacy kiểm soát điều người được phép, bao gồm cả chính công ty, được làm với dữ liệu của bạn. Một dịch vụ có thể rất bảo mật mà vẫn trao thông tin của bạn cho các nhà quảng cáo. Đó là security tốt và privacy kém. Điều ngược lại cũng có thể xảy ra: một dịch vụ có thể hứa không chia sẻ dữ liệu của bạn (ý định privacy tốt) nhưng bảo vệ nó yếu ớt (security kém).

Vậy nên khi một sản phẩm nói "we keep your data secure", hãy để ý điều nó không nói. Nó im lặng về việc liệu chính công ty có dùng hay chia sẻ dữ liệu của bạn không. "Secure" không phải một lời hứa về privacy.

Confidential bị nhầm với cả hai. Confidential nghĩa là "chỉ chia sẻ với người được ủy quyền". Nó gần với privacy hơn (ai được xem) nhưng được đóng khung quanh sự hạn chế. Gọi một thứ là "confidential" không nói gì về việc nó được bảo vệ kỹ thuật tốt đến đâu.

Anonymous bị thổi phồng rộng rãi. Nhiều người cho rằng "anonymous" nghĩa là "không thể truy vết mãi mãi". Trên thực tế, dữ liệu được cho là ẩn danh đôi khi có thể được liên kết lại với một người khi kết hợp với thông tin khác. "Anonymous" và "private" không giống nhau: anonymous nghĩa là không gắn tên; private nghĩa là quyền truy cập được kiểm soát. Bạn có thể có dữ liệu mang tên bạn nhưng được giữ riêng tư, và dữ liệu không có tên nhưng được chia sẻ rộng rãi.

Cái bẫy nguy hiểm nhất là cho rằng encrypted tự động nghĩa là private. Mã hóa xáo trộn dữ liệu để người ngoài không đọc được nếu không có khóa, đó là một biện pháp security. Nhưng công ty giữ khóa thường vẫn có thể đọc, dùng và chia sẻ nó. "Encrypted" cho bạn biết về việc bảo vệ khỏi người ngoài, không phải về những gì chính công ty làm với nội dung. Mã hóa thật tuyệt, nhưng tự nó không phải một bảo đảm về privacy.

Từ consent là nơi nhiều người ngừng suy nghĩ quá sớm. Họ cho rằng nếu dữ liệu được bảo vệ tốt thì mong muốn của họ đã được tôn trọng. Nhưng bảo vệ và cho phép là hai chuyện riêng. Một dịch vụ có thể canh giữ dữ liệu của bạn hoàn hảo mà vẫn dùng nó theo những cách bạn chưa bao giờ đồng ý. "We keep it safe" không giống "we only use it the way you allowed". Khi bạn thấy những lời hứa mạnh mẽ về sự an toàn, hãy tìm riêng những lời hứa về consent: bạn thật sự đã đồng ý điều gì, và vì mục đích gì?

Sẽ hữu ích khi chạy một bài kiểm tra nhanh trong đầu với bất kỳ lời tuyên bố trấn an nào. Hãy hỏi: câu này nói về việc ngăn kẻ xâm nhập bên ngoài, hay về việc kiểm soát những gì người bên trong làm? "Encrypted", "secure" và "protected" gần như luôn trả lời câu thứ nhất. "We don't sell your data", "only with your consent" và "we delete it after thirty days" trả lời câu thứ hai. Một lời hứa đáng tin thường cần cả hai nửa. Nếu một câu chỉ luôn nói về khóa mà chẳng bao giờ nói về cách dùng, thì sự im lặng đó chính là thông điệp.

Ví dụ tự nhiên vs gượng gạo

Gượng gạo: Your data is secure, so of course it's completely private.

Tự nhiên: Your data is secure from outsiders; how we use it is a separate question.

Kém tự nhiên: It's encrypted, which means no one, including the company, can ever use it.

Tốt hơn: It's encrypted, so outsiders can't read it, though the company may still access it.

Gượng gạo: This is anonymous, so it can never be traced to anyone.

Tự nhiên: This is anonymous, meaning no name is attached, though it might still be re-linked in some cases.

Gượng gạo: We keep your messages confidential, so they're technically unbreakable.

Tự nhiên: We keep your messages confidential, meaning only authorized people may see them.

Kém tự nhiên: We protect your data, so we'd never use it without asking.

Tốt hơn: We protect your data, and we only use it with your consent.

Phiên bản "tốt hơn" thêm vào nửa còn thiếu: sự bảo vệ (security) và sự cho phép (consent và privacy) đều được nêu ra, nên lời hứa trở nên trọn vẹn thay vì chỉ kể được một nửa.

Bảng nhỏ

Luyện tập nhanh

Với mỗi câu, hãy nêu ra khoảng trống (điều nó KHÔNG hứa). Đáp án theo sau.

1. "Your data is secure." What is left unsaid?
2. "It's encrypted." What might still happen?
3. "This survey is anonymous." What is the caution?
4. "These files are confidential." What does this not tell you?
5. "We protect your privacy." What does this not by itself promise?

Đáp án có thể:

1. Nó không nói gì về việc công ty có dùng hay chia sẻ dữ liệu của bạn không (privacy).
2. Công ty giữ khóa vẫn có thể đọc, dùng hoặc chia sẻ nó.
3. Nó vẫn có thể bị liên kết lại với con người khi kết hợp với dữ liệu khác.
4. Nó không nói các tệp được bảo vệ về kỹ thuật mạnh đến đâu.
5. Tự nó không bảo đảm sự bảo vệ mạnh khỏi những kẻ tấn công bên ngoài (security).

Điều rút ra

Privacy và security cho cảm giác như cùng một lời hứa an lòng, nhưng chúng canh giữ những thứ khác nhau. Security ngăn kẻ xâm nhập; privacy kiểm soát điều người bên trong, bao gồm cả công ty, được làm với dữ liệu của bạn. Mã hóa là một cái khóa chống người ngoài, không phải một lời thề về privacy. Anonymous nghĩa là không tên, không phải không truy vết được. Khi bạn đọc một dòng trấn an như "secure and protected", hãy hỏi lời hứa nào thật sự đang được đưa ra, và lời nào đang lặng lẽ thiếu vắng. Chỉ một thói quen đó sẽ khiến bạn vừa là người đọc văn bản công nghệ rõ ràng hơn, vừa là người khó bị đánh lừa hơn.