Báo cáo mới nhất từ cơ quan kiểm toán độc lập ở California cho thấy cửa sổ bật lên chấp thuận cookie xuất hiện trên các trang web trong vài năm qua và tuyên bố cho phép người dùng "chọn" xem có bị theo dõi bởi quảng cáo hay không thực sự vô dụng trong nhiều trường hợp - ngay cả khi người dùng nhấp vào "từ chối" rõ ràng, các công ty công nghệ quảng cáo lớn bao gồm Google, Microsoft và Meta vẫn sẽ tạo cookie theo dõi như thường lệ và sẽ trả tiền phạt có thể lên tới hàng tỷ đô la dưới dạng tùy chọn "chi phí thấp hơn".

Báo cáo kiểm toán tháng 3 năm 2026 do cơ quan kiểm toán webXray công bố đã chỉ ra rằng các gã khổng lồ công nghệ thường bỏ qua tín hiệu từ chối Cookie của người dùng khi người dùng California truy cập các trang web và tiếp tục theo dõi hành vi của người dùng thông qua cookie giữa các trang web. Google, Microsoft và Meta đều phản đối kết luận này. Các cửa sổ bật lên cookie này được tạo để đáp ứng các quy định về quyền riêng tư của Châu Âu, trong đó yêu cầu các trang web phải có được sự đồng ý rõ ràng từ người dùng trước khi phân phát quảng cáo hoặc cookie theo dõi.

Sau nhiều năm người dùng phàn nàn về “nội dung tối nghĩa và gây nhấp chuột” và “về cơ bản mọi người không đọc trực tiếp”, các cơ quan quản lý Châu Âu gần đây đã nỗ lực đơn giản hóa các quy tắc cookie, nhưng cuộc kiểm tra mới nhất của webXray nhận thấy rằng tình hình thực tế vẫn không lạc quan. Trong một thử nghiệm mẫu với người dùng ở California, 55% trang web vẫn đặt cookie sau khi người dùng nhấp vào "Từ chối" và 78% cửa sổ bật lên chấp thuận cookie không thực hiện về mặt kỹ thuật lựa chọn của người dùng mà chỉ mang tính chất trang trí. webXray ước tính rằng nếu các quy định hiện hành được tuân thủ nghiêm ngặt, các công ty công nghệ quảng cáo này có thể phải trả khoảng 5,8 tỷ USD tiền phạt, nhưng họ có vẻ thích "theo dõi trước rồi mới để tiền phạt tính chi phí".

Kết quả kiểm tra cho thấy trên các trang web sử dụng mạng quảng cáo Google hoặc Microsoft, ngay cả khi hệ thống nhận được rõ ràng tín hiệu từ chối của người dùng, thành phần công nghệ quảng cáo vẫn sẽ đưa ra hướng dẫn đặt cookie trên thiết bị của người dùng. webXray đã theo dõi hành vi này thông qua hồ sơ lưu lượng truy cập mạng công cộng và tin rằng các công ty liên quan hầu như không che giấu nó mà vẫn tiếp tục theo dõi nó một cách công khai. Xét về số liệu cụ thể, mạng quảng cáo của Microsoft đã bỏ qua khoảng một nửa tín hiệu “từ chối” và tiếp tục theo dõi người dùng trên 35% website của khách hàng, với mức phạt ước tính khoảng 390 triệu USD.

Tình hình của Google thậm chí còn nghiêm trọng hơn: cuộc kiểm toán cho biết họ đã bỏ qua 86% yêu cầu từ chối và tiếp tục ghi lại hành vi của người dùng trên 77% trang web của mình, tương ứng với mức phạt có thể là 2,31 tỷ USD. Đồng thời, việc triển khai của Meta đã bị chỉ trích vì "hoàn toàn không xem xét các tín hiệu từ chối": về mặt kỹ thuật, mã theo dõi của nó dường như không kiểm tra các hướng dẫn chọn không tham gia thống nhất của người dùng. Trong số các trang web phát hiện tín hiệu thoát, 69% vẫn chọn bỏ qua chúng và 21% tiếp tục theo dõi chúng. webXray ước tính rằng Meta có thể đã phải trả tới 9,3 tỷ USD tiền phạt cho việc này.

người sáng lập và Giám đốc điều hành webXray Timothy Libert, người trước đây từng làm kỹ sư bảo mật tại Google, cho biết trong một cuộc phỏng vấn với 404 Media rằng trong nhiệm kỳ của mình, các giám đốc điều hành công ty thường không phân biệt rõ ràng giữa "thuế" và "hình phạt". Điều này có nghĩa là trong một số quyết định kinh doanh, tiền phạt được coi là chi phí hoạt động có thể dự đoán được và chấp nhận được, chứ không phải là những rủi ro tuân thủ cần phải tránh.

Đối mặt với kết luận kiểm toán, 3 công ty lớn đều phản bác, cho rằng báo cáo đã "hiểu sai" cách triển khai công nghệ của họ. Microsoft tuyên bố rằng một số cookie rất quan trọng đối với chức năng của trang web và không thể đơn giản được coi là công cụ theo dõi quảng cáo; trong khi Meta nhấn mạnh rằng theo một số cấu hình kỹ thuật nhất định, bản thân trang web có thể ghi đè hoặc sửa đổi tín hiệu thoát thống nhất, ngụ ý rằng một phần trách nhiệm thuộc về nhà điều hành trang web chứ không phải chính mã nền tảng của nó. Tuy nhiên, theo quan điểm của webXray, có một khoảng cách rõ ràng giữa kết quả triển khai thực tế hiện tại và mục đích giám sát ban đầu, nghĩa là ngay cả khi người dùng kiên nhẫn đọc cửa sổ bật lên và chọn “từ chối”, quyền riêng tư của họ vẫn khó được bảo vệ thực sự.