Báo cáo phơi bày sự thật đáng lo ngại: Cookie theo dõi vẫn hoạt động dù người dùng từ chối
Cookie theo dõi vẫn hoạt động dù người dùng từ chối

Báo cáo phơi bày sự thật đáng lo ngại: Cookie theo dõi vẫn hoạt động dù người dùng từ chối

Trong vài năm qua, những banner yêu cầu chấp thuận cookie đã trở nên phổ biến trên internet, với mục đích ban đầu là trao quyền cho người dùng để từ chối các công cụ theo dõi quảng cáo. Tuy nhiên, một báo cáo kiểm toán mới đây tại California đã tiết lộ một thực tế hoàn toàn trái ngược: ngay cả khi người dùng đã nhấn nút "từ chối", nhiều công ty quảng cáo lớn vẫn tiếp tục thu thập dữ liệu như thể không có gì xảy ra.

Bề mặt tuân thủ và thực tế vi phạm

Theo báo cáo từ webXray, các mạng quảng cáo hàng đầu vẫn duy trì việc cài đặt cookie theo dõi trên nhiều website, bất chấp tín hiệu không đồng ý từ người dùng. Những banner cookie này vốn xuất phát từ các đạo luật quyền riêng tư tại châu Âu, yêu cầu website phải có sự chấp thuận rõ ràng trước khi kích hoạt công cụ theo dõi. Tuy nhiên, trên thực tế, việc tuân thủ dường như chỉ tồn tại trên bề mặt.

Sau nhiều năm bị phàn nàn vì các banner cookie rối rắm, mang tính dẫn dắt hoặc cố tình gây khó dễ, cơ quan quản lý đã cố gắng đơn giản hóa quy định để người dùng dễ kiểm soát dữ liệu cá nhân hơn. Nhưng cuộc kiểm toán vào tháng 3/2026 của webXray cho thấy vấn đề gần như không thay đổi.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Con số đáng báo động từ California

Gần 200 dịch vụ quảng cáo bị phát hiện phớt lờ hoàn toàn tín hiệu từ chối của người dùng tại California, nơi áp dụng nhiều quy định bảo mật tương tự như châu Âu. Khi nút "Từ chối tất cả" chỉ còn mang tính hình thức, những con số đi kèm càng cho thấy mức độ nghiêm trọng của vấn đề.

  • Có tới 55% website trong mẫu thử nghiệm vẫn thiết lập cookie sau khi người dùng từ chối.
  • 78% banner không thể bảo vệ người dùng một cách hiệu quả.

Nói cách khác, người dùng được trao một nút bấm, nhưng nút bấm ấy không thật sự có giá trị trong việc ngăn chặn việc theo dõi.

Hành vi vi phạm của các ông lớn công nghệ

webXray ước tính các công ty quảng cáo có thể sẵn sàng đối mặt với khoản phạt lên tới 5,8 tỷ USD thay vì từ bỏ nguồn doanh thu khổng lồ từ dữ liệu người dùng. Trên các website sử dụng hệ thống quảng cáo của Google hoặc Microsoft, quá trình thiết lập cookie vẫn diễn ra thường xuyên dù tín hiệu từ chối đã được gửi đi rõ ràng.

Đáng chú ý, những hành vi này được phát hiện trực tiếp qua lưu lượng mạng công khai (open network traffic), cho thấy đây không phải là lỗi hiếm gặp hay hiện tượng ngẫu nhiên. Ở từng công ty, mức độ vi phạm cũng khác nhau:

  • Mạng quảng cáo của Microsoft bị cho là phớt lờ khoảng một nửa số yêu cầu từ chối và vẫn theo dõi người dùng trên 35% website khách hàng, tương ứng với mức phạt ước tính khoảng 390 triệu USD.
  • Với Google, tỷ lệ bị bỏ qua cao hơn nhiều: 86% tín hiệu từ chối không được thực thi và hoạt động theo dõi xuất hiện trên 77% số website được kiểm tra, kéo theo khoản phạt có thể lên tới 2,31 tỷ USD.

Trường hợp đặc biệt của Meta

Trường hợp gây chú ý nhất là Meta. Theo báo cáo, mã theo dõi của công ty này dường như không được thiết kế để kiểm tra tín hiệu từ chối ngay từ đầu. Trong số các website có phát hiện tín hiệu đó, 69% vẫn bị phớt lờ và 21% chủ động tiếp tục bám đuôi người dùng. webXray cho rằng tổng mức phạt tiềm năng dành cho Meta có thể chạm mốc 9,3 tỷ USD.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Góc nhìn từ chuyên gia

Timothy Libert, nhà sáng lập kiêm CEO của webXray và từng là kỹ sư quyền riêng tư tại Google, cho biết trong thời gian làm việc tại đây, giới lãnh đạo nhiều khi không phân biệt giữa "thuế phải đóng" và "tiền phạt vi phạm". Nhận định này phản ánh một góc nhìn đáng chú ý: với những tập đoàn có doanh thu khổng lồ, tiền phạt đôi khi chỉ được xem như một chi phí kinh doanh thông thường.

Phản hồi từ các công ty

Tất nhiên, cả ba ông lớn công nghệ đều bác bỏ kết luận của báo cáo. Microsoft cho rằng một số cookie là cần thiết để website hoạt động bình thường. Meta nói rằng ở một số cấu hình nhất định, website chủ quản có thể tự ghi đè lựa chọn từ chối của người dùng. Các công ty liên quan cho rằng báo cáo đã diễn giải sai cách công nghệ của họ vận hành.

Báo cáo này làm dấy lên lo ngại về hiệu quả thực sự của các quy định bảo vệ quyền riêng tư, đồng thời đặt ra câu hỏi lớn về trách nhiệm của các công ty công nghệ trong việc tôn trọng lựa chọn của người dùng.