Tin tức bảo mật liên quan đến Digital Markets Act (DMA) đang thu hút chú ý khi Liên minh châu Âu được cho là sắp công bố mức phạt lớn nhất từ trước đến nay đối với Google, với cáo buộc ưu tiên dịch vụ của chính mình trong kết quả tìm kiếm.
Lỗ hổng CVE không liên quan, trọng tâm là vi phạm DMA và hành vi tự ưu tiên
Vụ việc không phải lỗ hổng CVE hay khai thác kỹ thuật, mà là một cảnh báo CVE theo nghĩa quản lý rủi ro nền tảng số: cơ quan chức năng cáo buộc Google và công ty mẹ Alphabet đã vi phạm Digital Markets Act (DMA) bằng cách hệ thống hóa việc ưu tiên sản phẩm và dịch vụ của chính họ trong kết quả tìm kiếm.
Cuộc điều tra chính thức được khởi động vào tháng 3/2025, tập trung vào việc thuật toán tìm kiếm có đẩy người dùng đến các tài sản thuộc Google như Google Shopping, Google Maps và Google Flights, đồng thời làm giảm khả năng hiển thị của các dịch vụ đối thủ hay không.
Phạm vi điều tra và cơ chế bị cáo buộc
Theo khuôn khổ DMA, các nền tảng được chỉ định là gatekeeper có nghĩa vụ duy trì thị trường số công bằng và mở. Hành vi bị cấm ở đây là self-preferencing, tức ưu tiên sản phẩm hoặc dịch vụ của chính nền tảng trong môi trường cạnh tranh.
Mức phạt tối đa theo DMA có thể lên tới 10% doanh thu toàn cầu hằng năm. Theo nguồn được dẫn từ Handelsblatt, giới chức châu Âu đang chuẩn bị áp mức phạt ở vùng hàng trăm triệu euro, đủ để trở thành án phạt lớn nhất từng áp dụng theo DMA.
Tác động của tin tức bảo mật này đối với Google và DMA
Động thái thực thi này là một phần của tin bảo mật mới nhất ở cấp độ quản trị nền tảng, phản ánh việc cơ quan quản lý chuyển từ cảnh báo sang cưỡng chế tuân thủ. Mục tiêu chính của EU được mô tả là compliance, tức thay đổi hành vi hơn là chỉ phạt tiền.
Người phát ngôn Thomas Regnier nhấn mạnh rằng Brussels ưu tiên sửa đổi hành vi thị trường. Tuy vậy, việc chuẩn bị ban hành án phạt cho thấy các biện pháp khắc phục trước đó chưa đáp ứng yêu cầu của cơ quan quản lý.
Google được cho là đã thực hiện một số bước điều chỉnh để đáp ứng mối quan ngại của Ủy ban. Tuy nhiên, một đề xuất khắc phục trước đó bị đánh giá là chưa đạt kỳ vọng, khiến công ty được gia hạn thêm thời gian để sửa đổi.
Quy mô xử phạt và bối cảnh thực thi
Nếu án phạt được ban hành đúng như dự báo, đây sẽ là dấu mốc quan trọng trong an ninh mạng và quản trị nền tảng số, vì nó cho thấy DMA đã bước vào giai đoạn thực thi mạnh tay.
Hồ sơ này cũng nằm trong chuỗi các biện pháp xử phạt trước đó đối với Google tại Brussels:
- 2,42 tỷ euro năm 2017 liên quan đến Google Shopping.
- 4,34 tỷ euro năm 2018 liên quan đến hệ sinh thái Android.
- 1,49 tỷ euro năm 2019 liên quan đến hạn chế cạnh tranh trong quảng cáo trực tuyến.
- 2,95 tỷ euro vào tháng 9/2025 liên quan đến self-preferencing trong adtech.
Các con số này cho thấy rủi ro an toàn thông tin ở đây không nằm ở khai thác kỹ thuật, mà nằm ở rủi ro cạnh tranh và kiểm soát hành vi của nền tảng chi phối thị trường tìm kiếm.
Thời điểm công bố và yếu tố chính trị
Thời điểm công bố án phạt được xem là nhạy cảm về mặt chính trị. Quyết định có thể được đưa ra ngay trước kỳ nghỉ hè của Nghị viện châu Âu, trong khi Chủ tịch Ủy ban châu Âu Ursula von der Leyen được cho là vẫn đang cân nhắc.
Sự kiện này xuất hiện không lâu sau khi EU và Mỹ hoàn tất một thỏa thuận thương mại về hải quan, làm dấy lên lo ngại về căng thẳng mới trong quan hệ xuyên Đại Tây Dương. Tranh luận về việc phạt các công ty công nghệ Mỹ tại EU vì thế có thể được khơi lại.
Trước đó, Tổng thống Donald Trump từng chỉ trích các án phạt công nghệ của EU là hành vi nhắm mục tiêu không công bằng vào doanh nghiệp Mỹ. Một quyết định mới đối với Google có thể tái kích hoạt tranh luận này.
Những điểm cần theo dõi trong thực thi DMA
Với DMA, trọng tâm không phải là tìm kiếm exploit hay IOC, mà là đánh giá cách nền tảng vận hành thuật toán, bố cục kết quả và mức độ ưu tiên dịch vụ nội bộ. Các nhà phân tích threat intelligence trong mảng pháp lý – công nghệ sẽ theo dõi ba điểm chính:
- Thay đổi trong cách hiển thị kết quả tìm kiếm.
- Biện pháp khắc phục do Google đề xuất.
- Mức độ phù hợp của các biện pháp đó với yêu cầu tuân thủ DMA.
Trong bối cảnh này, cập nhật bản vá không phải là vá phần mềm, mà là vá quy trình và hành vi thị trường để tránh tiếp tục bị coi là vi phạm quy định.
Liên hệ dữ liệu tìm kiếm và cạnh tranh dịch vụ
Một nội dung liên quan khác từng được nêu là đề xuất buộc Google chia sẻ dữ liệu tìm kiếm người dùng với các công cụ tìm kiếm đối thủ. Đây là một phần của tranh luận về tính công bằng trong truy cập dữ liệu và khả năng cạnh tranh của các dịch vụ bên thứ ba.
Các diễn biến này củng cố nhận định rằng tin tức an ninh mạng và tin tức quản trị nền tảng ngày càng giao thoa với nhau, đặc biệt khi một nền tảng có quyền lực lớn trong việc định hình lưu lượng truy cập và khả năng tiếp cận thông tin.
Tài liệu tham khảo và nguồn liên quan
DMA, self-preferencing, gatekeeper, và mức phạt tối đa 10% doanh thu toàn cầu là các chi tiết trọng tâm của vụ việc này, phản ánh cách EU đang siết chặt thực thi đối với các nền tảng số có vị thế thống trị.
