Kill switch và sự thâu tóm thể chế

Lời hứa dựa trên khả năng thu hồi nó

Vào năm 2017, trong cơn bão Irma, một số chủ sở hữu Tesla ở Florida phát hiện ra rằng chiếc xe của họ, khi nhận được bản cập nhật từ xa từ nhà sản xuất, đã đột ngột có thêm km phạm vi hoạt động. Họ không trả tiền cho chúng. Pin luôn có thể cung cấp điều đó; nhà sản xuất đã quyết định, nhằm phân khúc thị trường, không cho phép khách hàng có được nó. Trong trường hợp khẩn cấp, Tesla đã kích hoạt tạm thời toàn bộ công suất. Sau khi tình trạng khẩn cấp qua đi, họ đã vô hiệu hóa nó.

Những gì tin tức mô tả là một cử chỉ hào phóng, khi đọc kỹ lại là một chuyện khác. Chủ sở hữu chưa bao giờ thực sự sở hữu toàn bộ sản phẩm mà họ đã trả tiền. Nhà sản xuất vẫn giữ khả năng kỹ thuật — mở rộng hoặc cắt giảm các tính năng từ xa — và đã chọn thực hiện nó vì lợi ích của khách hàng trong trường hợp cụ thể đó. Họ có thể đã chọn ngược lại. Câu chuyện không kể về một hành động tử tế; nó kể về một kiến trúc quyền lực.

Bài viết này đề cập đến kiến trúc đó. Chúng tôi gọi nó, theo quy ước của ngành, là kill switch: công tắc từ xa cho phép nhà điều hành vô hiệu hóa, sửa đổi hoặc thu hồi các khả năng của một sản phẩm, dịch vụ hoặc thiết bị mà người dùng đã tin là của mình. Câu hỏi không phải là liệu nhà điều hành có trung thực hay không. Câu hỏi là điều gì sẽ xảy ra khi họ không còn trung thực, hoặc khi ai đó buộc họ phải sử dụng công tắc theo một hướng khác.

Kill switch chính xác là gì

Thuật ngữ này bắt nguồn từ tiếng Anh và rất khó dịch: interruptor de muerte nghe có vẻ bi kịch; interruptor remoto nghe có vẻ quá trung tính. Điều định nghĩa kill switch không phải là sự kịch tính, mà là một đặc tính đơn giản: khả năng kỹ thuật để vô hiệu hóa một thứ gì đó từ xa, nằm trong tay một người không phải là người đang sử dụng nó. Đó có thể là việc đóng hoàn toàn —chiếc xe không khởi động được, tệp bị xóa, tài khoản bị đình chỉ— hoặc đóng một phần —chức năng biến mất, pin giảm dung lượng, gói thuê bao bị gián đoạn.

Không phải mọi hoạt động điều khiển từ xa đều là kill switch. Một bản cập nhật bảo mật định kỳ, được người dùng cho phép khi cài đặt sản phẩm, không phải là kill switch. Hệ thống chống trộm mà chủ sở hữu có thể tự kích hoạt khi bị mất điện thoại cũng vậy. Kill switch, theo nghĩa đúng đắn, có ba đặc điểm: việc sử dụng nó là quyết định của nhà điều hành, không phải của người dùng; nó không cần sự đồng ý cụ thể của người bị ảnh hưởng để kích hoạt; và nó được thực hiện trên một sản phẩm hoặc dịch vụ mà người dùng vốn đã coi là của riêng mình một cách trọn vẹn.

Phòng trưng bày các công tắc đang hoạt động tại Châu Âu

Tesla thường xuyên lặp lại mô hình này, trong trường hợp của họ là theo cách có hồ sơ rõ ràng: các đợt giảm phạm vi hoạt động theo hợp đồng áp dụng cho các xe cũ đã đổi chủ, thu hồi các chức năng hỗ trợ lái xe sau khi giấy phép bị hủy bỏ, các sửa đổi đơn phương đối với hành vi của sản phẩm giữa các phiên bản phần sụn (firmware). John Deere đã đứng giữa cuộc tranh luận của Châu Âu và Hoa Kỳ về quyền được sửa chữa trong nhiều năm: việc mua máy kéo bao gồm một lớp phần mềm mà dịch vụ của nó phụ thuộc vào mạng lưới chính thức của nhà sản xuất; khi mạng lưới đó từ chối đăng ký, máy kéo sẽ giảm các chức năng thiết yếu. BMW đã cung cấp gói thuê bao hàng tháng vào năm 2022 để kích hoạt tính năng sưởi ghế trên những chiếc xe vốn đã được lắp đặt sẵn về mặt vật lý; áp lực từ công chúng đã buộc họ phải rút lại mô hình này, nhưng khả năng kỹ thuật vẫn còn đó.

Về mặt phần mềm, mô hình này mang tính cấu trúc. Adobe Creative Cloud thu hồi giấy phép hàng tháng khi thuê bao không được gia hạn, khiến các tệp mà người dùng đã tạo bằng các công cụ đó không thể sử dụng được. Microsoft có thể vô hiệu hóa các bản sao Windows mà họ coi là không chính hãng mà không có biện pháp khắc phục thực tế nào. Google gỡ bỏ các ứng dụng khỏi Play Store để tuân thủ lệnh của tòa án hoặc các quyết định nội bộ; ứng dụng bị gỡ cài đặt cũng bị gỡ cài đặt khỏi điện thoại nơi nó từng tồn tại. Apple Pay đã bị vô hiệu hóa tại Nga vào tháng 3 năm 2022 khi Apple tuân thủ các lệnh trừng phạt quốc tế: hợp pháp trong bối cảnh đó, nhưng quy trình này luôn có sẵn.

Lập luận hợp lý từ phía nhà sản xuất

Người thiết kế một trong những hệ thống này thường đưa ra những lập luận hoàn toàn xác đáng:

1. Ngăn ngừa trộm cắp. Nếu xe hoặc điện thoại của tôi bị đánh cắp, tôi trân trọng việc nhà sản xuất có thể vô hiệu hóa nó từ xa.
2. Ngăn ngừa gian lận. Các gói thuê bao chưa thanh toán cần có cơ chế cắt; không có cơ chế đó, mô hình kinh doanh sẽ sụp đổ.
3. Ngăn ngừa lạm dụng. Một công cụ nguy hiểm rơi vào tay kẻ xấu có thể được lợi từ khả năng bị thu hồi.
4. Tuân thủ quy định. Một số lệnh pháp lý buộc nhà điều hành phải gỡ bỏ nội dung, vô hiệu hóa các tính năng hoặc tạm dừng tài khoản, và một hệ thống không có công tắc là một hệ thống không thể tuân thủ các lệnh đó.

Cả bốn lập luận đều đúng. Không có lập luận nào làm thay đổi bản chất của vấn đề. Đúng là kill switch giúp ngăn ngừa trộm cắp; cũng đúng là khả năng tương tự đó phục vụ cho việc cưỡng ép khách hàng đang sống, chứ không chỉ để gây hại cho kẻ trộm. Đúng là mô hình đăng ký cần có một sự cắt đứt; cũng đúng là sự cắt đứt đó có thể được thực hiện vào ngày mai đối với một khách hàng hiện tại vì một lý do khác với lý do được quy định trong hợp đồng. Vấn đề không phải là liệu kill switch có các mục đích sử dụng hợp pháp hay không. Vấn đề là, một khi nó tồn tại, các mục đích sử dụng của nó không chỉ giới hạn ở những gì được dự báo trong tài liệu ban đầu.

Sự thao túng thể chế (Institutional capture)

Đây là khái niệm đặt tên cho bài viết. Sự thao túng thể chế là tình trạng mà một tác nhân — một công ty tư nhân, một cơ quan hành chính, một cơ quan quản lý — cuối cùng lại thực hiện các khả năng mà họ có được hoặc được ban cho cho các mục đích hạn chế với các mục đích rộng hơn, khác biệt, hoặc hoàn toàn trái ngược với các mục đích ban đầu. Kinh tế chính trị học đã biết đến hiện tượng này trong nhiều thập kỷ qua trong các quy định tài chính. Ngành công nghiệp công nghệ đang tự mình khám phá ra điều đó.

Cơ chế như sau. Công ty thiết kế kill switch cho các mục đích hợp pháp: chống trộm, quản lý đăng ký, tuân thủ. Công ty ghi lại các mục đích đó trong các điều khoản sử dụng, trong chính sách bảo mật, trong các thông điệp công khai. Năm tháng trôi qua. Một Chính phủ ban hành lệnh theo luật mới; công ty bị buộc phải sử dụng công tắc theo một hướng không được mô tả trong tài liệu ban đầu của mình. Một cổ đông hoạt động tích cực tham gia hội đồng quản trị và sửa đổi chính sách thương mại; các công tắc tồn tại, và được áp dụng theo chính sách mới. Công ty bị một công ty lớn hơn thâu tóm; các điều khoản dịch vụ được viết lại đơn phương với thông báo trước ba mươi ngày. Trong mỗi trường hợp, khách hàng tin tưởng vào công tắc cho các mục đích đã được ghi trong tài liệu nhận thấy rằng công tắc vẫn ở đó, nhưng lại phục vụ cho các lợi ích khác.

Trường hợp điển hình cho độc giả châu Âu: vụ kiện Apple chống lại FBI tại San Bernardino, vào năm 2016. Sau một vụ tấn công ở California, FBI đã yêu cầu Apple mở khóa chiếc iPhone của thủ phạm. Apple đã từ chối, một phần dựa trên các lập luận về nguyên tắc và một phần dựa trên lập luận kỹ thuật: hệ thống, như đã được thiết kế, không cho phép chính công ty mở khóa thiết bị mà không viết lại phần mềm cơ sở. Sự bảo vệ vững chắc nhất không phải là đạo đức; đó là kiến trúc. Apple không dựa trên lời hứa sẽ không nhấn công tắc; họ dựa trên sự vắng mặt của công tắc. Các công ty khác, với các công tắc có mặt trong kiến trúc của họ, đã không thể duy trì vị thế tương tự trước các áp lực tương đương.

Quỹ đạo quy định của châu Âu

Luật pháp Châu Âu, trong nhiệm kỳ lập pháp vừa qua, đã thúc đẩy các khả năng điều khiển từ xa nhiều hơn chứ không ít đi. Đạo luật Dịch vụ Kỹ thuật số (DSA), có hiệu lực đầy đủ từ tháng 2 năm 2024, bắt buộc các nền tảng phải kích hoạt các cơ chế gỡ bỏ nội dung nhanh chóng theo lệnh của cơ quan có thẩm quyền; những cơ chế mà sẽ không tồn tại nếu không có khả năng kỹ thuật cốt lõi. Đạo luật Trí tuệ Nhân tạo (AI Act), có hiệu lực theo từng giai đoạn từ tháng 8 năm 2024, yêu cầu các nhà cung cấp một số hệ thống AI có rủi ro cao phải có các biện pháp cho phép vô hiệu hóa hoặc có sự giám sát đáng kể của con người: một hình thức quy định của kill switch bắt buộc. Ngược lại, Đạo luật Thị trường Kỹ thuật số (DMA) đưa ra các nghĩa vụ về khả năng tương tác: một luồng tư tưởng đối lập nhằm hạn chế các hiệu ứng khóa chặt.

Đối với các chuyên gia Châu Âu, cách hiểu trung thực là: câu hỏi "nhà điều hành có thể vô hiệu hóa dịch vụ này đối với tôi không?" mỗi năm lại có thêm nhiều câu trả lời khẳng định do yêu cầu pháp lý, chứ không ít đi. Điều này không đặt nghi vấn về tính hợp pháp của các quy định — DSA giải quyết các vấn đề thực tế —, nhưng nó củng cố một điều: tin tưởng rằng nhà điều hành sẽ không sử dụng công tắc đòi hỏi thêm sự tin tưởng rằng không có nghĩa vụ pháp lý nào trong tương lai buộc họ phải sử dụng nó theo một hướng mà ngày nay chưa được dự tính. Đó là một sự tin tưởng không chỉ đặt vào công ty; nó đặt vào toàn bộ môi trường pháp lý.

Câu hỏi về thiết kế hiếm khi được đặt ra

Hầu hết các thiết kế kỹ thuật đương đại đều giả định rằng công tắc sẽ tồn tại và sau đó hứa sẽ không lạm dụng nó. Có một giải pháp thay thế, đòi hỏi khắt khe hơn nhưng hoàn toàn khả thi: thiết kế dựa trên giả định rằng công tắc không được phép tồn tại. Đó không phải là một khẩu hiệu. Nó bao gồm các quyết định cụ thể: kiến trúc phân tán thay vì tập trung, quyền trên thiết bị của người dùng thay vì quyền phái sinh từ tài khoản, nội dung được mã hóa bằng các khóa mà nhà điều hành không có thay vì nội dung được mã hóa bằng các khóa mà nhà điều hành giữ, danh tính mật mã của người dùng thay vì danh tính do nhà điều hành quản lý. Mỗi quyết định này đều có chi phí kỹ thuật thực tế và hệ quả thương mại thực tế. Nhưng tất cả chúng đều có chung một đặc tính: một khi đã được thực hiện, chúng loại bỏ một số lệnh pháp lý nhất định như một đối tượng có thể thực hiện. Những gì không thể thực thi thì không thể ra lệnh thực thi.

Dành cho độc giả chuyên nghiệp

Năm câu hỏi nên đặt ra cho nhà cung cấp bất kỳ dịch vụ chuyên nghiệp quan trọng nào trước khi áp dụng nó, được trình bày theo thứ tự mà một thanh tra viên về tính liên tục của doanh nghiệp sẽ đưa ra:

1. Liệu nhà cung cấp có khả năng kỹ thuật để tạm dừng, chặn, xóa hoặc làm suy giảm dịch vụ, dữ liệu hoặc sản phẩm của tôi từ xa không?
2. Trong những giả định nào được tuyên bố theo hợp đồng mà nhà cung cấp có thể thực hiện năng lực đó?
3. Trong những giả định nào chưa được tuyên bố — lệnh tư pháp, lệnh trừng phạt quốc tế, thay đổi chính sách đơn phương, thâu tóm doanh nghiệp — mà họ cũng có thể thực hiện năng lực đó?
4. Nếu năng lực đó được thực hiện, tôi có bao nhiêu thời gian để duy trì hoạt động chuyên môn, và có kế hoạch rút lui nào không?
5. Có giải pháp thay thế về mặt kiến trúc nào mà câu trả lời cho câu hỏi một là "không" nhờ vào cấu trúc, chứ không phải nhờ vào lời hứa không?

Không phải lúc nào câu trả lời cho câu hỏi số năm cũng có sẵn hoặc tương xứng. Một bảng tính cá nhân có lẽ không xứng đáng với yêu cầu đó. Một hồ sơ pháp lý đang hoạt động, hồ sơ y tế của bệnh nhân, kế toán thuế, một cuộc trò chuyện được bảo vệ về mặt đạo đức nghề nghiệp, thì có. Tính tương xứng là một quyết định chuyên nghiệp; việc đọc câu hỏi số một một cách trung thực thì không: hoặc công tắc tồn tại, hoặc nó không tồn tại.

---

Sự bảo vệ giữ lại khả năng rút lui không phải là sự bảo vệ mang tính cấu trúc; đó là niềm tin được đổi tên. Niềm tin, như chúng tôi đã nói trong một Cuốn sổ tay khác, là một giải pháp xã hội hợp lệ khi được trao cho những người xứng đáng, nhưng lại mong manh ngay khi đổi chủ lần đầu. Sự phòng thủ cấu trúc sạch nhất là sự phòng thủ không thể rút lui vì ngay từ đầu nó đã không tồn tại. Giống như mọi thứ trong kiến trúc: một lựa chọn thiết kế, không phải là một quyết định tiếp thị.