Ngày 23 tháng 6 năm 2026
Kế hoạch cấm người dưới 16 tuổi sử dụng mạng xã hội của Chính phủ Anh đã khiến vấn đề xác minh độ tuổi một lần nữa trở thành tâm điểm chú ý.
Khi các quy định về xác minh độ tuổi theo Đạo luật An toàn Trực tuyến có hiệu lực vào ngày 25 tháng 7 năm 2025, mục đích của quy định này rất rõ ràng và có cơ sở: trẻ em cần được bảo vệ tốt hơn khỏi những trải nghiệm trực tuyến có hại.
Tuy nhiên, việc triển khai này cũng đã làm nổi bật một thách thức hiện đang là vấn đề cốt lõi của niềm tin vào môi trường số: khi các biện pháp xác minh độ tuổi được áp dụng, các hành vi lách luật sẽ xuất hiện ngay sau đó.
Proton VPN báo cáo số lượng người đăng ký tại Anh tăng vọt khoảng 1.400% khi các quy định có hiệu lực; NordVPN ghi nhận mức tăng khoảng 1.000%. Dữ liệu từ Ofcom cho thấy lượng người dùng VPN hàng ngày tại Anh đã tăng hơn gấp đôi lên 1,4 triệu người trước khi ổn định ở mức khoảng 900.000, một mức cơ sở đã tăng đáng kể.
Việc sử dụng Tor cũng cho thấy xu hướng tương tự tại các thị trường khác, nơi vấn đề xác minh độ tuổi đã trở thành ưu tiên trong chương trình nghị sự chính sách; dữ liệu từ Úc sau khi áp dụng các quy định về xác minh độ tuổi trên mạng xã hội là một ví dụ:
Để rõ ràng hơn, các quy định này cũng đang phát huy hiệu quả: Ofcom báo cáo lượng truy cập từ Anh vào các trang web người lớn lớn nhất đã giảm mạnh sau khi áp dụng biện pháp thực thi, và các cuộc thăm dò ý kiến cho thấy phần lớn người dân Anh ủng hộ mục đích của luật. Vấn đề không phải là việc xác minh độ tuổi không thể hiệu quả. Mà là, khi các biện pháp kiểm tra phụ thuộc vào các tín hiệu mà người dùng có thể che giấu, cùng một biện pháp triển khai có thể vừa đảm bảo tuân thủ vừa thúc đẩy việc lách luật.
Các luật tương tự tại Vương quốc Anh, Úc và một số bang của Hoa Kỳ đã bộc lộ cùng một thách thức cốt lõi.
Vấn đề không phải là liệu có nên có các luật về xác minh độ tuổi hay không; vấn đề là liệu các phương pháp hiện nay trong việc đảm bảo độ tuổi có đang bộc lộ một điểm yếu lớn hơn trong niềm tin số hay không.
VPN không bỏ qua quá trình xác minh, mà chỉ bỏ qua cơ chế kích hoạt
Hầu hết các hệ thống xác minh độ tuổi đều dựa vào định vị địa lý qua địa chỉ IP để quyết định liệu có yêu cầu người dùng xác minh ngay từ đầu hay không. Nếu một trang web phát hiện địa chỉ IP từ Vương quốc Anh, hệ thống sẽ kích hoạt quy trình kiểm tra độ tuổi. Nếu địa chỉ IP đó dường như xuất phát từ bên ngoài phạm vi quản lý, do người dùng kết nối qua VPN, quy trình xác minh sẽ không bao giờ được khởi động.
VPN không thể vượt qua các biện pháp xác minh độ tuổi. Chúng chỉ giúp người dùng tránh khỏi điều kiện bắt buộc phải thực hiện xác minh độ tuổi.
Đây không phải là sự thất bại của công nghệ xác minh danh tính. Điều này nhắc nhở chúng ta rằng yếu tố kích hoạt cũng quan trọng không kém so với quá trình kiểm tra. Nếu quy trình xác minh không bao giờ được kích hoạt, thì dù là xác minh sinh trắc học mạnh mẽ, kiểm tra giấy tờ hay phát hiện sự hiện diện của người dùng cũng sẽ không bao giờ có cơ hội phát huy tác dụng.
Còn có một vấn đề thiết kế khác ở đây: không phải tất cả các phương pháp xác minh độ tuổi đều mang lại mức độ chắc chắn như nhau. Nhiều giải pháp được triển khai để tuân thủ các quy định pháp luật về xác minh độ tuổi thực chất là các công cụ ước tính độ tuổi, vốn mang tính xác suất và có thể không đáp ứng được mức độ chắc chắn cần thiết trong các bối cảnh tuân thủ hoặc thực thi pháp luật có rủi ro cao. Tìm hiểu thêm trong bài viết trên blog của chúng tôi về sự khác biệt giữa xác minh độ tuổi và ước tính độ tuổi.
Chính phủ Anh đã trích dẫn số liệu từ AVPA cho thấy có thêm 5 triệu lượt kiểm tra độ tuổi mỗi ngày sau khi hệ thống được triển khai, đây là bằng chứng thực tế cho thấy hệ thống đang hoạt động hiệu quả đối với những người dùng mà nó tiếp cận được. Tuy nhiên, những con số này không phản ánh được tất cả những người chưa bao giờ phải trải qua quá trình kiểm tra độ tuổi, bởi vì việc sử dụng VPN đã khiến họ nằm ngoài phạm vi áp dụng của hệ thống.
Đó chính là vấn đề cốt lõi, tóm gọn trong một câu: ngay cả hệ thống xác thực mạnh nhất trên thế giới cũng không thể bảo vệ một luồng dữ liệu mà chưa bao giờ bắt đầu.
Tại sao vấn đề này lại quan trọng, không chỉ dừng lại ở việc giới hạn độ tuổi
Khi ai đó sử dụng VPN hoặc Tor để truy cập nội dung bị hạn chế, họ đang sử dụng những công cụ mà các băng nhóm lừa đảo có tổ chức thường dựa vào để:
- Che giấu vị trí của họ khi mở các tài khoản ngân hàng gian lận
- Vượt qua các biện pháp kiểm soát vùng địa lý trên các sàn giao dịch tiền điện tử
- Tránh các biện pháp trừng phạt bằng cách giả danh là khách hàng đến từ các khu vực không bị hạn chế
- Tiến hành tạo tài khoản hàng loạt từ một địa điểm vật lý duy nhất
- Kiểm tra thông tin đăng nhập bị đánh cắp trên nhiều dịch vụ mà không kích hoạt cơ chế kiểm soát tốc độ
Mục đích là khác nhau. Một thiếu niên cố gắng truy cập vào một nền tảng không giống như một tên tội phạm mở các tài khoản trung gian. Nhưng mô hình cơ bản thì giống nhau: che giấu tín hiệu, tránh các yếu tố kích hoạt, và vượt qua các biện pháp kiểm soát.
Sự trùng lặp đó chính là lý do tại sao các rào cản độ tuổi lại quan trọng không chỉ trong việc bảo vệ trẻ em. Chúng giúp vấn đề phòng chống gian lận trở nên rõ ràng hơn đối với công chúng. Không phải ai tải xuống VPN cũng trở thành kẻ gian lận. Tất nhiên là không. Nhưng điều này nhắc nhở chúng ta rằng con người sẵn sàng sử dụng các công cụ vượt rào — VPN, proxy, giả mạo vị trí — ngay khi một biện pháp kiểm soát tạo ra cảm giác cản trở. Bộ công cụ này trùng lặp với những gì các hoạt động gian lận quy mô lớn dựa vào, ngay cả khi mục đích hoàn toàn khác biệt.
Từ VPN đến tính năng hoán đổi khuôn mặt: Một loạt các phương thức che giấu danh tính
Nếu VPN che giấu vị trí của bạn, thì kỹ thuật hoán đổi khuôn mặt và deepfake lại che giấu danh tính của bạn. VPN cho thấy điều gì sẽ xảy ra khi người dùng có thể tránh được việc kiểm tra. Kỹ thuật hoán đổi khuôn mặt cho thấy điều gì sẽ xảy ra khi người dùng phải đối mặt với việc kiểm tra và cố gắng giả mạo danh tính của người khác.
Một nhân vật hư cấu trong trò chơi điện tử đã vượt qua được một cuộc kiểm tra độ tuổi thực tế. Khi Discord triển khai tính năng xác minh độ tuổi qua khuôn mặt, người dùng phát hiện ra rằng chế độ chụp ảnh trong Death Stranding cho phép họ điều khiển khuôn mặt của nhân vật thông qua bước “mở và đóng miệng” để vượt qua kiểm tra (PC Gamer). Bài học đằng sau trò đùa này: các cơ chế xác minh sự hiện diện dựa trên các hành động có thể dự đoán và lặp lại dễ bị lợi dụng bằng cách tái hiện hoặc bắt chước. Sự hiện diện thực sự phụ thuộc vào một thử thách không thể dự đoán trước hoặc tái sử dụng.
Quỹ đạo đó có tiềm năng mở rộng vượt xa phạm vi của một giải pháp tạm thời trong chế độ chơi:
- Dữ liệu tình báo về mối đe dọa của iProov cho thấy số vụ tấn công chèn mã trên iOS đã tăng vọt 1.151% trong nửa cuối năm 2025.
- Deloitte dự báo rằng thiệt hại do gian lận liên quan đến trí tuệ nhân tạo tạo sinh (generative AI) tại Mỹ sẽ tăng từ 12,3 tỷ USD vào năm 2023 lên 40 tỷ USD vào năm 2027.
Đây không phải là những vấn đề riêng lẻ. Chúng là những biểu hiện khác nhau của cùng một logic lừa đảo: nếu một dịch vụ kỹ thuật số cần tin tưởng vào một thứ gì đó, những kẻ tấn công sẽ tìm cách làm giả nó. Vị trí có thể bị che giấu. Thiết bị có thể bị thao túng. Tài liệu có thể bị làm giả. Khuôn mặt có thể bị hoán đổi. Dòng video có thể bị chèn vào.
Đó chính là các hình thức trốn tránh bản sắc.
Điểm tựa đáng tin cậy duy nhất: Sự hiện diện chân thành của con người
Nếu tất cả những tín hiệu tin cậy đó đều có thể bị làm giả, thì còn lại gì?
Câu trả lời chính là sự hiện diện thực sự của con người, được xác thực trực tiếp, ngay tại khoảnh khắc đó.
Các công nghệ như Dynamic Liveness của iProov xác minh sự hiện diện thực sự bằng cách trả lời một câu hỏi tưởng chừng đơn giản: đây có phải là một người thật, đúng người đó, và đang có mặt tại đây ngay lúc này không? Công nghệ phát hiện sự hiện diện sinh trắc học mạnh mẽ giúp vô hiệu hóa các mối đe dọa như video ghi sẵn, deepfake, hoán đổi khuôn mặt và các cuộc tấn công chèn dữ liệu.
Trong hầu hết các trường hợp xác minh danh tính, như mở tài khoản ngân hàng, sử dụng các dịch vụ của chính phủ và hoàn tất quy trình KYC cho các nền tảng tài chính, yếu tố kích hoạt không phụ thuộc vào vị trí mạng. Dù bạn kết nối từ London hay Lagos, có sử dụng VPN hay không, hệ thống vẫn yêu cầu bạn xác minh danh tính bằng các thông tin xác thực hợp lệ như giấy tờ do chính phủ cấp. Trong những trường hợp này, tính xác thực sinh trắc học cung cấp một điểm neo tin cậy vững chắc mà VPN và Tor không thể vượt qua.
Việc xác minh độ tuổi có một điểm khác biệt đặc biệt. Khi cơ chế kích hoạt hoàn toàn phụ thuộc vào định vị địa lý dựa trên địa chỉ IP – tức là câu hỏi “Bạn có đang ở trong khu vực pháp lý được quản lý không?” – thì các dịch vụ VPN và Tor sẽ vượt qua hệ thống này trước khi quá trình xác minh sự hiện diện thực sự kịp bắt đầu. Điều này không phải là sự thất bại của công nghệ sinh trắc học; nó là lời nhắc nhở rằng cơ chế kích hoạt cũng quan trọng không kém gì chính quá trình kiểm tra.
Con đường phía trước
Lệnh cấm sử dụng mạng xã hội đối với trẻ em dưới 16 tuổi tại Anh là một trường hợp điển hình rất kịp thời, nhưng đó chưa phải là toàn bộ bức tranh. Đây chỉ là một ví dụ trong xu hướng rộng lớn hơn nhiều nhằm xác minh độ tuổi, danh tính và tư cách sử dụng trên mạng.
Hãy nói rõ: VPN và Tor phục vụ những mục đích quan trọng. Việc chặn hoàn toàn các công cụ này không chỉ là điều không khả thi về mặt kỹ thuật mà còn gây tranh cãi về mặt đạo đức. Vấn đề không nằm ở sự tồn tại của cơ sở hạ tầng bảo vệ quyền riêng tư, mà nằm ở việc phụ thuộc vào các cơ chế kích hoạt thực thi pháp luật mà những công cụ này có thể vượt qua.
Điều đó chỉ ra hướng đi mà cơ chế xác minh độ tuổi cần hướng tới. Một cơ chế xác minh phụ thuộc quá nhiều vào tín hiệu IP – vốn có thể bị giả mạo – sẽ có nguy cơ trở thành “điểm yếu nhất”, do đó cơ chế kích hoạt phải được chuyển gần hơn đến người dùng, chứ không phải vị trí hiển thị của họ. Điều đó có nghĩa là cần có các tín hiệu độ tuổi ở cấp độ thiết bị và hệ điều hành, các thông tin xác thực đã được xác minh và có thể tái sử dụng, cùng với các phương thức bảo vệ quyền riêng tư để người dùng có thể chứng minh độ tuổi hoặc danh tính của mình một lần duy nhất mà không cần phải thực hiện lại quy trình xác minh – vốn có thể bị lách qua các lỗ hổng địa lý. Đó cũng chính là nguyên tắc đằng sau bước đi của EU hướng tới ví danh tính kỹ thuật số: sự tin cậy được gắn với thông tin xác thực đã được xác minh, chứ không phải tín hiệu mạng.
Trong những lĩnh vực mà việc xác minh đã là bắt buộc và không phụ thuộc vào vị trí địa lý — như ngân hàng, xác minh danh tính khách hàng (KYC), dịch vụ công, khôi phục tài khoản và làm việc từ xa — sự hiện diện thực sự chính là điểm tựa vững chắc ngày nay. Việc xác minh độ tuổi chỉ đơn thuần chứng minh nguyên tắc này thông qua phương pháp phủ định: giá trị của một cuộc kiểm tra phụ thuộc hoàn toàn vào yếu tố kích hoạt nó.
Để hoạt động hiệu quả nhất, các hệ thống trong tương lai phải:
- Di chuyển bộ kích hoạt ra xa các tín hiệu mạng dễ bị giả mạo
- Nên ưu tiên thiết kế lấy quyền riêng tư làm trọng tâm, kết hợp với các thông tin xác thực bảo vệ quyền riêng tư, để quá trình xác minh không trở thành một “bẫy thu thập dữ liệu”
- Đảm bảo quá trình xác minh rủi ro cao dựa trên sự hiện diện thực sự của con người
- Áp dụng các biện pháp kiểm soát an ninh theo từng lớp để việc vô hiệu hóa một tín hiệu không làm sụp đổ toàn bộ hệ thống
- Giảm thiểu những trở ngại cho người dùng nhằm hạn chế động cơ tìm cách lách luật
- Thiết kế để đối phó với hành vi gây rối ngay từ đầu
Hãy giả định rằng hệ thống sẽ bị thử nghiệm. Không phải vì mọi người dùng đều có ý đồ xấu, mà bởi vì một số người sẽ tò mò, một số sẽ cảm thấy bực bội, một số sẽ làm theo các hướng dẫn, và một số sẽ là tội phạm.
Vấn đề lớn hơn là các dịch vụ kỹ thuật số ngày càng cần phải xây dựng niềm tin mà không cần sự hiện diện vật lý. Họ cần xác định xem một người có đủ tuổi để sử dụng dịch vụ hay không, liệu khách hàng hay nhân viên làm việc từ xa có đúng là người mà họ tự xưng hay không, liệu người mở tài khoản là người thật hay tài khoản ảo, và liệu khuôn mặt trên màn hình là khuôn mặt thật hay được tạo ra bằng công nghệ.
Các lỗ hổng trong việc xác minh độ tuổi phản ánh vấn đề gian lận lớn hơn, bởi cả hai đều bộc lộ cùng một điểm yếu: quá nhiều hệ thống kỹ thuật số vẫn tin tưởng vào các tín hiệu có thể bị giả mạo, né tránh hoặc tạo ra một cách giả tạo.
Tương lai của niềm tin số phụ thuộc vào việc chứng minh điều quan trọng nhất: đó là một con người thực sự đang có mặt tại thời điểm đó và được ủy quyền để hành động.
- Niềm tin vào công nghệ số đang thay đổi nhanh chóng. Để tìm hiểu thêm về cách niềm tin này đang được thử thách và xây dựng lại, hãy đăng ký theo dõi Biometric Beat.
- Đăng ký buổi giới thiệu thử nghiệm iProov tại đây.

