Trang chủ Proton

Mã hóa > Thuật ngữ > Quyền riêng tư và bảo mật

Quyền riêng tư và bảo mật khác nhau như thế nào?

Đảm bảo an toàn trực tuyến đòi hỏi cả quyền riêng tư và bảo mật. Dù hai thuật ngữ này thường được đề cập cùng nhau, chúng chỉ hai khái niệm khác nhau. Quyền riêng tư và bảo mật dữ liệu giao thoa theo những cách quan trọng, nhưng việc nhầm lẫn giữa hai khái niệm này có thể gây khó khăn cho việc hiểu rõ nguồn gốc thực sự của các rủi ro.

Nói một cách đơn giản, quyền riêng tư là khả năng kiểm soát thông tin cá nhân, trong khi bảo mật là việc bảo vệ thông tin đó khỏi bị truy cập trái phép. Có thể có yếu tố này mà không có yếu tố kia, nhưng để thực sự an toàn trực tuyến, cần phải có cả hai.

Quyền riêng tư là gì?

Quyền riêng tư trực tuyến (còn gọi là quyền riêng tư dữ liệu) là việc kiểm soát cách thông tin được thu thập, sử dụng và chia sẻ. Khái niệm này thường bị nhầm lẫn với tính ẩn danh, nhưng quyền riêng tư không phải là giữ bí mật hoàn toàn dữ liệu. Thay vào đó, quyền riêng tư là việc quyết định ai có quyền truy cập dữ liệu, theo điều kiện nào và cho mục đích gì.

Thông tin này bao gồm thông tin cá nhân — như tên, địa chỉ email và số điện thoại — và dữ liệu nhạy cảm ít rõ ràng hơn, bao gồm vị trí, lịch sử duyệt web, thư, ảnh và các tệp bảo mật. Siêu dữ liệu như dấu thời gian, thông tin thiết bị hoặc thói quen tương tác cũng có thể được sử dụng để nhận dạng khi kết hợp với các nguồn dữ liệu khác, làm xâm phạm quyền riêng tư.

Về cốt lõi, quyền riêng tư là sự lựa chọn và đồng ý. Khái niệm này đặt ra các câu hỏi như:

  • Ai đang thu thập dữ liệu của tôi?
  • Tại sao dữ liệu đó lại được thu thập?
  • Dữ liệu được lưu trữ trong bao lâu?
  • Những ai khác có thể truy cập hoặc sử dụng dữ liệu đó?
  • Tôi có thực sự kiểm soát được các quyết định này không?

Bảo mật trực tuyến là gì?

Bảo mật trực tuyến bao gồm tất cả các biện pháp được sử dụng để bảo vệ dữ liệu khỏi bị truy cập trái phép, bao gồm tin tặc hoặc bất kỳ ai ngoài những người đã chọn chia sẻ. Trong các hệ thống được bảo vệ bằng mã hóa đầu cuối, sự bảo vệ này mở rộng đến cả công ty lưu trữ dữ liệu và các bên thứ ba có thể có quyền truy cập, chẳng hạn như nhà quảng cáo, nhà môi giới dữ liệu hoặc hệ thống giám sát.

Các mối đe dọa bảo mật bao gồm tin tặc, phần mềm độc hại(cửa sổ mới) (bao gồm phần mềm gián điệp và mã độc tống tiền), các cuộc tấn công lừa đảo dụ dỗ người dùng tiết lộ thông tin, đánh cắp danh tính và chiếm đoạt tài khoản.

Bảo mật trực tuyến đặt ra các câu hỏi như:

  • Ai được phép truy cập dữ liệu của tôi?
  • Quyền truy cập được xác minh và thực thi như thế nào?
  • Các biện pháp bảo vệ nào được áp dụng để ngăn chặn truy cập trái phép?
  • Dữ liệu của tôi được bảo vệ như thế nào khi được lưu trữ và khi được truyền tải?
  • Điều gì xảy ra với dữ liệu của tôi nếu hệ thống bị xâm phạm?
  • Các mối đe dọa có thể được phát hiện và giảm thiểu nhanh chóng đến mức nào?

Quyền riêng tư và bảo mật dữ liệu: Sự giao thoa giữa hai yếu tố

Bảo mật hỗ trợ quyền riêng tư bằng cách ngăn chặn dữ liệu bị đánh cắp, rò rỉ hoặc bị can thiệp. Nếu không có bảo mật, các cam kết về quyền riêng tư không thể được thực thi, vì bất kỳ ai cũng có thể truy cập dữ liệu bất kể chính sách hoặc sự đồng ý.

Tuy nhiên, chỉ riêng bảo mật không đảm bảo quyền riêng tư. Một dịch vụ có thể sử dụng mã hóa mạnh và máy chủ bảo mật nhưng vẫn thu thập lượng lớn dữ liệu cá nhân để xử lý hoặc chia sẻ theo những cách có thể không được biết đến, chẳng hạn như để quảng cáo hoặc phân tích.

Ví dụ: hệ sinh thái của Meta và Google phụ thuộc vào dữ liệu để làm một phần trong mô hình kinh doanh của họ, mặc dù áp dụng các biện pháp bảo vệ bảo mật mạnh mẽ để bảo vệ dữ liệu đó khỏi bị truy cập trái phép.

Ví dụ về cách bảo mật dữ liệu và quyền riêng tư hoạt động cùng nhau

Khi tạo tài khoản email, người dùng tin tưởng giao cho dịch vụ thông tin nhạy cảm, chẳng hạn như thư, tập tin đính kèm, danh bạ và thường là thông tin liên lạc riêng tư trong nhiều năm. Điều gì xảy ra tiếp theo phụ thuộc vào cả quyền riêng tư và bảo mật:

Cả quyền riêng tư và bảo mật đều được bảo vệ

Email được bảo vệ bằng mã hóa đầu cuối, nghĩa là chỉ người gửi và người nhận dự kiến mới có thể đọc nội dung thư. Do nhà cung cấp không thể truy cập thư, các thư này không thể bị quét để lập hồ sơ, bán hoặc quảng cáo nhắm mục tiêu. Các biện pháp bảo mật mạnh mẽ như xác thực hai yếu tố (2FA) giúp bảo vệ tài khoản tốt hơn khỏi truy cập trái phép.

Ví dụ: Proton Mail mặc định sử dụng mã hóa đầu cuối khi gửi email cho người dùng Proton khác, đồng thời cung cấp tính năng bảo vệ bằng mật khẩu khi liên lạc với người nhận bên ngoài.

Quyền riêng tư thiếu bảo mật

Nhà cung cấp email cam kết không quét hoặc bán dữ liệu, nhưng cơ chế xác thực kém và công nghệ mã hóa lỗi thời khiến tài khoản dễ bị tấn công. Dù công ty có ý định tôn trọng quyền riêng tư, kẻ tấn công vẫn có thể truy cập vào email.

Ví dụ: Yahoo đã bị xâm nhập trong khoảng thời gian từ năm 2013 đến năm 2014(cửa sổ mới), khi kẻ tấn công truy cập được vào hàng tỷ tài khoản người dùng do các quy trình bảo mật yếu kém và lỗi thời.

Bảo mật thiếu quyền riêng tư

Hộp thư đến được bảo vệ tốt trước các cuộc tấn công nhờ mã hóa mạnh mẽ, nhưng nhà cung cấp email vẫn quét nội dung email để cá nhân hóa quảng cáo, huấn luyện thuật toán hoặc xây dựng hồ sơ hành vi. Không có sự cố bảo mật nào xảy ra, nhưng thông tin liên lạc cá nhân vẫn bị phân tích và xử lý theo những cách không mong muốn.

Ví dụ: trước đây Gmail đã quét nội dung email để nhắm mục tiêu quảng cáo cho đến năm 2017(cửa sổ mới). Ngày nay, với các tính năng AI như Gemini được tích hợp vào Gmail, nhiều câu hỏi lại dấy lên về cách xử lý dữ liệu email khi tương tác với các tính năng AI, và cách những tương tác này liên quan đến hệ sinh thái dữ liệu rộng lớn hơn của Google.

Mẹo bảo vệ quyền riêng tư và bảo mật

Giữ an toàn trực tuyến có nghĩa là thực hiện các hành động nhỏ, nhất quán nhằm giảm thiểu rủi ro về quyền riêng tư và bảo mật. Dưới đây là những việc có thể làm:

  • Thường xuyên kiểm tra quyền của ứng dụng và xóa quyền truy cập không cần thiết (chẳng hạn như vị trí hoặc danh bạ).
  • Cần cẩn trọng với những gì chia sẻ trực tuyến, đặc biệt là trên các mạng xã hội như Instagram hoặc Snapchat, nơi thông tin có thể lan truyền vượt ra ngoài phạm vi đối tượng mong muốn.
  • Chọn các dịch vụ có chính sách quyền riêng tư rõ ràng, thân thiện với người dùng, trong đó giải thích cách dữ liệu được thu thập và sử dụng.
  • Hạn chế thu thập dữ liệu bất cứ khi nào có thể, chẳng hạn như vô hiệu hóa tính năng cá nhân hóa quảng cáo hoặc các tính năng theo dõi không cần thiết.
  • Sử dụng mật khẩu mạnh, riêng biệt cho từng tài khoản, tốt nhất là dùng trình quản lý mật khẩu.
  • Kích hoạt 2FA để tăng cường thêm một lớp bảo vệ.
  • Cảnh giác với các email, thư hoặc liên kết lạ, ngay cả khi chúng có vẻ hợp pháp.
  • Sử dụng VPN(cửa sổ mới) để bảo vệ hoạt động trên mạng WiFi công cộng hoặc không đáng tin cậy, giảm thiểu việc theo dõi dựa trên địa chỉ IP(cửa sổ mới) và vị trí, đồng thời ngăn các nhà cung cấp dịch vụ internet giám sát hoạt động trực tuyến.
  • Khi chia sẻ tệp bằng lưu trữ đám mây, hãy giới hạn quyền truy cập cho những người cụ thể, chỉ cấp các quyền tối thiểu cần thiết và thiết lập ngày hết hạn.
  • Nếu cần một trợ lý AI(cửa sổ mới), hãy chọn một trợ lý riêng tư không lưu nhật ký dữ liệu hoặc huấn luyện dựa trên các cuộc hội thoại, đặc biệt là khi xử lý thông tin nhạy cảm.
  • Sử dụng các dịch vụ đã mã hóa đầu cuối để chỉ người gửi và người nhận mong muốn mới có thể truy cập dữ liệu — chứ không phải tin tặc, nhà quảng cáo hay thậm chí là nhà cung cấp dịch vụ.
Proton

Giữ dữ liệu riêng tư và bảo mật

Proton được xây dựng để bảo vệ quyền riêng tư và bảo mật ngay từ đầu. Nhờ có mã hóa đầu cuối, các ứng dụng nguồn mở và hoạt động kiểm toán độc lập, dữ liệu luôn được an toàn.

Các email gửi đến người dùng Proton khác hoặc các địa chỉ hỗ trợ PGP (một tiêu chuẩn mở dành cho E2EE) đều được mã hóa đầu cuối, bao gồm cả nội dung thư và tập tin đính kèm.

Trong các trường hợp khác, có thể thêm tính năng bảo vệ bằng mật khẩu. Bằng cách đó, chỉ người gửi và người nhận thư mới có thể đọc email.

Các sự kiện lịch được tạo đều đã mã hóa đầu cuối, bao gồm tiêu đề, mô tả, vị trí và danh sách khách mời.

Ngay cả khi chia sẻ lịch trình hoặc gửi lời mời, không ai khác — kể cả Proton — có thể thấy thông tin đó dành cho ai.

Mật khẩu, tên người dùng, địa chỉ web, ghi chú, thẻ tín dụng, thông tin chi tiết về danh tính và dữ liệu khác được lưu đều được bảo vệ bằng mã hóa đầu cuối.

Khi chia sẻ kho, cả nội dung và các liên kết chia sẻ đều đã mã hóa đầu cuối, vì vậy chỉ những người được mời mới có thể xem nội dung bên trong.

Mọi thứ được lưu trữ và chia sẻ trong lưu trữ đám mây đều đã mã hóa đầu cuối, bao gồm nội dung tệp, tên tệp, tên thư mục, hình thu nhỏ xem trước và liên kết được chia sẻ.

Chỉ người dùng và những người được chia sẻ mới có thể truy cập tệp — ngay cả Proton cũng không thể xem chúng.

Tìm hiểu thêm về mã hóa