Tin tức bảo mật liên quan đến Digital Markets Act (DMA) cho thấy Ủy ban châu Âu đã đề xuất biện pháp buộc Google chia sẻ dữ liệu tìm kiếm đã được ẩn danh với các công cụ tìm kiếm đối thủ và chatbot AI. Đây là một bước thực thi đáng chú ý trong bối cảnh an ninh mạng và quản trị dữ liệu nền tảng.
Phạm vi yêu cầu theo Article 6(11) của DMA
Thông báo ngày 15/04/2026 nêu rõ sáu nhóm yêu cầu tuân thủ mà Google phải đáp ứng theo Article 6(11) của DMA. Các yêu cầu này tập trung vào quyền truy cập dữ liệu, cơ chế chia sẻ và tiêu chuẩn ẩn danh hóa.
- Tiêu chí đủ điều kiện của bên nhận dữ liệu.
- Phạm vi dữ liệu được phép chia sẻ.
- Tần suất và phương thức kỹ thuật của việc chia sẻ.
- Tiêu chuẩn ẩn danh hóa trước khi truyền dữ liệu.
- Nguyên tắc định giá theo điều kiện FRAND (fair, reasonable, and non-discriminatory).
- Quy trình quản trị đối với quyền truy cập dữ liệu.
Dữ liệu tìm kiếm nằm trong phạm vi chia sẻ
Phạm vi dữ liệu được nhắc đến gồm bốn nhóm chính: ranking data, query data, click data và view data. Đây là tập tín hiệu hành vi cốt lõi thường được dùng để tinh chỉnh và cải thiện thuật toán tìm kiếm.
Theo đề xuất, Google phải cung cấp dữ liệu qua API và giới hạn ở 24 giờ hoạt động tìm kiếm của người dùng tại châu Âu. Trong phạm vi này, các AI chatbots có tích hợp chức năng tìm kiếm cũng được xem là bên nhận dữ liệu đủ điều kiện.
Các biện pháp bảo vệ dữ liệu và giảm rủi ro tái định danh
Để giảm nguy cơ tái định danh, khung đề xuất tích hợp một số kiểm soát kỹ thuật. Các biện pháp này nhằm hạn chế việc truy vết cá nhân từ dữ liệu đã được ẩn danh.
- Data binning để khái quát hóa các trường nhạy cảm.
- Suppress các truy vấn hiếm hoặc tần suất thấp có khả năng nhận diện cá nhân.
- Xóa định danh trực tiếp trước khi truyền dữ liệu.
- Ràng buộc hợp đồng ngăn việc sử dụng thứ cấp ngoài mục đích được phép.
Ủy ban nhấn mạnh rằng đề xuất này không yêu cầu bàn giao lịch sử tìm kiếm cá nhân, mà chỉ cung cấp các tín hiệu hành vi đã được tổng hợp và ẩn danh. Tài liệu tham khảo chính thức có thể xem tại European Commission press release.
Rủi ro bảo mật từ dữ liệu đã ẩn danh
Dù không phải lỗ hổng CVE hay zero-day vulnerability, vấn đề này vẫn đặt ra rủi ro bảo mật đáng kể ở cấp độ dữ liệu. Các nhóm phân tích quyền riêng tư cảnh báo rằng tập truy vấn ẩn danh vẫn có thể bị tái định danh khi kết hợp với mẫu tìm kiếm hiếm, siêu dữ liệu vị trí và hành vi lặp lại.
Trong bối cảnh tin tức an ninh mạng, đây là ví dụ điển hình của bài toán cân bằng giữa truy cập dữ liệu, bảo vệ quyền riêng tư và kiểm soát lạm dụng. Khi dữ liệu được chia sẻ qua API, bề mặt rủi ro không nằm ở khai thác kỹ thuật mà ở khả năng hợp nhất nhiều tín hiệu để suy luận lại danh tính.
Tiến trình thực thi và mốc thời gian
Ủy ban đã mở tham vấn công khai, cho phép các bên liên quan gửi phản hồi đến 01/05/2026. Sau khi tổng hợp ý kiến từ các bên thứ ba và Google, quyết định ràng buộc cuối cùng sẽ được ban hành không muộn hơn 27/07/2026.
Các thủ tục này diễn ra tách biệt nhưng song song với cơ chế xử lý vi phạm DMA rộng hơn. Google đã được chỉ định là nền tảng cổng vào từ 09/2023 và phải tuân thủ đầy đủ nghĩa vụ DMA kể từ 03/2024.
Tác động kỹ thuật đối với hệ sinh thái tìm kiếm và AI
Về mặt kỹ thuật, yêu cầu chia sẻ dữ liệu tìm kiếm đã ẩn danh có thể ảnh hưởng trực tiếp đến cách các mô hình xếp hạng và hệ thống truy vấn được huấn luyện, đặc biệt với các sản phẩm AI tìm kiếm cạnh tranh. Trong tin tức bảo mật này, trọng tâm không nằm ở exploit hay IOC, mà ở cơ chế quản trị dữ liệu và biện pháp giảm thiểu nguy cơ bảo mật khi mở rộng quyền truy cập dữ liệu nền tảng.
Các nội dung cần theo dõi tiếp theo gồm: chuẩn FRAND, điều kiện truy cập qua API, phạm vi dữ liệu được ẩn danh hóa, và cơ chế giám sát việc sử dụng thứ cấp. Đây là các điểm then chốt quyết định mức độ an toàn dữ liệu trong toàn bộ quy trình chia sẻ.
