Bảo vệ dữ liệu cá nhân: Cơ quan nhà nước cần làm gương
Chừng nào vẫn còn khoảng trống chính sách về quyền kiểm soát dữ liệu, chừng đó các cơ quan nhà nước vẫn chưa chú trọng nghĩa vụ - trách nhiệm của mình đối với dữ liệu cá nhân của người dân.
Vào năm 2020, tỉnh Đồng Tháp thông báo rằng có hiện tượng sử dụng không đúng mục đích thông tin cá nhân của người dân phản ánh kiến nghị qua tổng đài 1022 – nơi để người dân phản ánh, góp ý, kiến nghị về hiệu quả dịch vụ công, tiếp cận thông tin, chính sách của tỉnh. Điều này không chỉ ảnh hưởng đến người dân phản ánh, kiến nghị mà còn cả quá trình tương tác với người dân của tỉnh.
Trong khi Chính phủ Việt Nam nỗ lực ngăn ngừa các đơn vị tư nhân lạm dụng khai thác dữ liệu cá nhân thì dường như lại quên nhìn lại chính mình – các đơn vị nhà nước trong việc sử dụng và quản lý các dữ liệu cá nhân của người dân. Một nghiên cứu gần đây của Viện Nghiên cứu Chính sách và Phát triển Truyền thông cùng Chương trình phát triển Liên Hợp Quốc (UNDP) tại Việt Nam phối hợp thực hiện và công bố vào tháng 7/2022 hé lộ một phần nào đó thực trạng này. Nhóm tác giả chúng tôi đã khảo sát tất cả các cổng thông tin điện tử, cổng dịch vụ công trực tuyến và ứng dụng thông minh của 63 tỉnh, thành trên cả nước. Trong đó có 50 ứng dụng thông minh (ƯDTM), 63 cổng dịch vụ công trực tuyến (DVCTT), 63 cổng thông tin điện tử (TTĐT) mà trên đó có tổng cộng 78 kênh thu thập dữ liệu cá nhân qua các chuyên mục (i) Hỏi đáp, (ii) Phản ánh kiến nghị, (iii) Lấy ý kiến xây dựng văn bản quy phạm pháp luật.
Kết quả cho thấy, chỉ có bốn trong số 63 cổng TTĐT và ba trong số 63 cổng DVCTT có đăng tải văn bản quy định về bảo vệ dữ liệu cá nhân, nhưng với nhiều tên gọi, thể hiện nhận thức chưa đồng nhất về vấn đề này (Ví dụ: chính sách/ quy định/ thông báo về bảo vệ thông tin cá nhân; chính sách bảo mật; hoặc chính sách về quyền riêng tư.. Trong khi đó, tính “bảo mật” và tính “riêng tư” của dữ liệu là hai khái niệm khác nhau). Đây là một tỷ lệ quá thấp khi mà cổng TTĐT và cổng DVCTT là hai kênh tương tác chính thống của chính quyền địa phương với người dân và người dân sẵn sàng, thậm chí là buộc phải trao gửi dữ liệu, thông tin cá nhân cho hai cổng này để thực hiện những thủ tục quan trọng trong cuộc sống của mình như kết hôn, khai sinh, thừa kế…hay phản ánh những bức xúc ảnh hưởng đến quyền lợi thiết thân của họ.
Hiện nay, các văn bản quy phạm pháp luật hiện hành chưa đưa ra một định nghĩa rõ ràng về quyền kiểm soát dữ liệu thu thập từ khu vực công.
Trái ngược với thực tại trên thì một tỉ lệ khá cao là 32/50 tỉnh, thành phố đã đăng tải công khai chính sách về quyền riêng tư trên ứng dụng điện thoại tương tác với người dân của mình. Nhưng lí do không hẳn là các tỉnh ý thức hơn về bảo vệ dữ liệu người dân trên điện thoại, mà chỉ bởi đó là yêu cầu kĩ thuật bắt buộc của các “chợ ứng dụng” như Google Play và App Store. Nội dung chính sách bảo vệ dữ liệu cá nhân của các ƯDTM có phần khá hơn các cổng TTĐT và DVCTT ở chỗ không chỉ giới hạn khái niệm dữ liệu cá nhân trong phạm vi thông tin trực tiếp gắn liền với danh tính như tên, họ, số căn cước công dân…mà còn mở rộng ra các thông tin về vị trí, hành vi người dùng, hình ảnh, dữ liệu điện thoại khi dùng ứng dụng. Hơn nữa, một số chính sách của các ƯDTM còn nhắc đến quyền riêng tư của trẻ em và có nội dung chi tiết hơn về các đối tượng được trao quyền tiếp cận dữ liệu cá nhân. Tuy vậy, những nội dung này vẫn khá chung chung. Chẳng hạn, trong đa số chính sách này, cơ quan chịu trách nhiệm quản lý dữ liệu được ghi là “Chúng tôi”, nhưng cụ thể “chúng tôi” này là ai thì lại chưa được làm rõ. Cả ƯDTM lẫn các cổng DVCTT và TTĐT đều bỏ qua nhiều quyền được biết của chủ thể dữ liệu: Thời gian lưu trữ thông tin là bao lâu? Thông tin được chia sẻ với những ai? Rủi ro và biện pháp ngăn chặn khi rò rỉ dữ liệu cá nhân? Thông tin liên hệ để khiếu nại, hỏi đáp về thông tin cá nhân?…
Về cơ bản, nội dung của các chính sách này “chi tiết” đến đâu phụ thuộc vào độ…tự nguyện và hiểu biết của các tỉnh đứng sau các cổng thông tin và ứng dụng điện thoại này. Thành ra, thường là các tỉnh chỉ làm tốt được một vài khía cạnh này còn “quên đi” những khía cạnh khác trong việc bảo vệ dữ liệu người dân. Ví dụ, tỉnh Thừa Thiên Huế là một nơi hiếm hoi trong 63 tỉnh, thành công bố chính sách về bảo vệ dữ liệu cá nhân trên tất cả các giao diện điện tử tiếp xúc với người dân nhưng lại không chỉ đúng và chỉ rõ cơ quan nào chịu trách nhiệm quản lý các dữ liệu này. Tức là nếu người dân bị lộ lọt thông tin thì họ không biết tìm ai để báo cáo, khiếu nại cả. Một trường hợp khác, Hậu Giang là địa phương duy nhất ở Việt Nam có chính sách về quyền riêng tư trên ứng dụng thông minh của tỉnh xác định rõ Ủy ban nhân dân tỉnh là cơ quan thu thập và quản lý dữ liệu, và thể hiện cam kết chịu trách nhiệm trước sự cố lộ lọt thông tin cá nhân người dân “Trong trường hợp máy chủ lưu trữ thông tin người dùng bị hacker tấn công dẫn đến mất mát dữ liệu cá nhân, chúng tôi có trách nhiệm thông báo đến người dùng thông qua ứng dụng Hậu Giang.” Nhưng trong chính sách của họ chưa đề cập đến thông tin cá nhân của trẻ em cũng như chưa thể hiện cam kết đối với Quyền được thông báo về các thay đổi trong chính sách quyền riêng tư (privacy policy) của người dân.
Lỗ hổng pháp lý
Sẽ không công bằng nếu “đổ lỗi” hết cho ý thức hay hiểu biết của các cơ quan nhà nước về thực tại này. Cần nhìn nhận rõ, nguyên nhân chính dẫn đến thực trạng này là do lỗ hổng pháp lý, thiếu các quy định, hướng dẫn cụ thể để các địa phương nắm bắt được các chuẩn mực, dễ dàng bám sát, tuân theo.
Hiện nay, các văn bản quy phạm pháp luật hiện hành chưa đưa ra một định nghĩa rõ ràng về quyền kiểm soát dữ liệu thu thập từ khu vực công. Chẳng hạn, trong Điều 2 Thông tư 25/2010/TT-BTTTT quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước có ghi, đối tượng áp dụng là “cơ quan nhà nước theo quy định tại Nghị định 64/2007/NĐ-CP đang quản lý, vận hành cổng thông tin điện tử (sau đây gọi là cơ quan chủ quản)”. Nhưng cơ quan nhà nước – cơ quan chủ này là ai thì các quy định này lại không làm rõ. Vậy nên, nếu sự cố xảy ra như trong trường hợp của tỉnh Đồng Tháp, nếu công dân quyết định đưa vụ việc ra tòa án, trách nhiệm bồi thường thuộc về ai? Ủy ban nhân dân, cơ quan chủ quản của cổng TTĐT hay là Sở TT&TT, đơn vị vận hành nó? Nếu vi phạm liên quan đến dữ liệu hộ tịch, thì liệu cơ quan xử lý và kiểm tra dữ liệu này – là Sở Tư pháp, có phải chịu một phần trách nhiệm?
Đáng lẽ, các quy định cần phải tách bạch rõ vai trò, trách nhiệm và quy trình làm việc của các bên có liên quan đến việc thu thập, quản lý, lưu trữ, xử lý… dữ liệu cá nhân của công dân, bao gồm các đơn vị vận hành các giao diện điện tử tương tác với người dân (như Sở TT&TT hoặc các tổ chức, doanh nghiệp tư nhân), trách nhiệm pháp lí của cơ quan thu thập và quản lý dữ liệu (UBND các địa phương) và các đơn vị khác cũng tham gia xử lý và sử dụng dữ liệu.
Sự không rõ ràng trong các quy định hiện nay là lí do mà trong chính sách quyền riêng tư của gần 50% các giao diện tiếp xúc với người dân xác định chủ thể quản lý dữ liệu một cách mơ hồ là “chúng tôi”.
Sự không rõ ràng trong các quy định hiện nay là lí do mà trong chính sách quyền riêng tư của gần 50% các giao diện tiếp xúc với người dân xác định chủ thể quản lý dữ liệu một cách mơ hồ là “chúng tôi”. Điều này vừa dẫn đến việc không chỉ người dân mà chính nội bộ chính quyền cũng sẽ bối rối khi xác định đầu mối chịu trách nhiệm giải quyết các khiếu nại hành chính và tư pháp, thông báo các vi phạm dữ liệu cá nhân khi có sự vụ lộ lọt thông tin diễn ra. Người dân khi muốn truy cập, sửa chữa, xóa dữ liệu cũng không biết phải liên lạc ra sao. Hơn nữa, sự không rõ ràng này cũng tạo ra khoảng trống khiến các cơ quan chức năng “vượt rào” trong việc chia sẻ dữ liệu của người dân. Theo khảo sát của chúng tôi, chính sách quyền riêng tư của ƯDTM của tỉnh Quảng Ninh (Smart Quảng Ninh) ghi rằng “Chúng tôi có thể kết hợp thông tin cá nhân do bạn cung cấp với các thông tin khác ngoài Dịch vụ hoặc từ các bên thứ ba để phân tích các nội dung mà bạn quan tâm. Chúng tôi có thể sử dụng thông tin cá nhân của bạn để xác định xem liệu bạn có thể quan tâm đến các sản phẩm hay dịch vụ của bên thứ ba nào không.” Nhưng bên thứ ba này là ai thì lại không được làm rõ. Cổng DVCTT của Thừa Thiên – Huế ghi rằng sẽ “có thể cung cấp các số liệu thống kê tổng hợp” cho “những bên thứ ba có uy tín”, nhưng cũng không chỉ rõ những thống kê này đã được “lọc” thông tin nhận diện cá nhân như thế nào.
Ngoài ra, các văn bản pháp luật cũng chưa quy định cá nhân, tổ chức có thể khiếu nại, khởi kiện đơn vị sử dụng dữ liệu không đúng mục đích ra sao; cũng như cơ chế xử lý vi phạm giải quyết, khiếu nại, khiếu kiện, bồi thường thiệt hại. “Lỗ hổng” này dẫn tới thực trạng thiếu tương tác phản hồi của chính quyền địa phương đối với yêu cầu liên quan đến dữ liệu cá nhân. Cũng trong nghiên cứu trên, nhóm nghiên cứu đã thực hiện kiểm tra “thử” bằng cách gửi yêu cầu cập nhật thông tin tài khoản và tiếp cận các phương thức bảo vệ dữ liệu cá nhân (dùng “tạm” đầu mối liên hệ hiển thị trên trang chủ các cổng DVCTT và TTĐT) tới 130 email điện tử, nhưng chỉ nhận về chín phản hồi. Trong đó, chỉ có duy nhất một phản hồi từ tỉnh Bến Tre là cung cấp đầy đủ thông tin như được yêu cầu.
Đánh giá cũng cho thấy chỉ có tám chính sách về quyền riêng tư cung cấp email công vụ của cơ quan nhà nước, còn lại là email cá nhân/doanh nghiệp. Thậm chí chính sách về quyền riêng tư trên các ƯDTM của Cần Thơ và Quảng Nam còn dùng chung địa chỉ liên hệ [email protected], Việt Nam cũng chưa có một Luật về bảo vệ dữ liệu cá nhân, và chưa quy định cơ chế khiếu nại rõ ràng cho người bị ảnh hưởng.
Hiểm nguy trước mắt
Mặc dù báo cáo của chúng tôi chưa điều tra sâu hơn về việc các cơ quan nhà nước thu thập và quản lý dữ liệu của người dân bên trong nội bộ cơ sở dữ liệu trên thực tế ra sao. Tuy nhiên, ở bước đầu, các chính sách về quyền riêng tư – một dạng thỏa thuận điện tử thiết lập trách nhiệm của các cơ quan nhà nước trước chủ thể dữ liệu là người dân, là căn cứ để người dân bảo vệ các quyền đối với dữ liệu của họ được thu thập qua các giao diện tương tác trực tuyến, đã không được quan tâm nghiêm túc, thì khó có thể kì vọng nhiều ở khâu thực hành bên trong các cơ sở dữ liệu.
Kể từ năm 2015, Việt Nam đã nỗ lực gia tăng mức độ sẵn có của dữ liệu bằng cách triển khai sáu cơ sở dữ liệu quốc gia. Bên cạnh đó, Bộ TT&TT đã xây dựng, đưa Giao diện tích hợp, chia sẻ dữ liệu quốc gia vào sử dụng, kết nối với hơn 90 bộ, ngành, địa phương, doanh nghiệp với mười cơ sở dữ liệu, tám hệ thống thông tin. Riêng trong năm 2021, Giao diện đã đạt 180.919.031 giao dịch dữ liệu, với khoảng 500 nghìn giao dịch mỗi ngày, giúp hạn chế kê khai thông tin nhiều lần, tăng cường sử dụng lại dữ liệu.
Bên cạnh những điểm lợi tích cực, việc tập trung hóa dữ liệu của công dân cũng dẫn đến nhiều nguy cơ tiềm tàng. Có thể đã có rất nhiều câu chuyện tương tự trường hợp ở Đồng Tháp nhưng chưa được công bố. Trên thực tế, nhóm nghiên cứu chúng tôi đã chứng kiến cổng TTĐT của TP. Đà Nẵng công khai họ tên, địa chỉ nhà riêng, số an sinh xã hội của công dân trên mục Hỏi-Đáp. Theo thống kê của Viettel Security, trong quý 1/2022, hằng tuần có đến trên dưới 100 GB dữ liệu cá nhân bị lộ lọt trên không gian mạng. Đáng lưu ý là thông tin đăng nhập dịch vụ công đã trở thành một trong những dạng dữ liệu được rao bán phổ biến. Bên cạnh đó, Bộ Công an cũng nhiều lần cảnh báo nguy cơ các cổng TTĐT, website của cơ quan nhà nước bị các đối tượng mạo danh phục vụ mục đích lừa đảo, chiếm đoạt tài sản.
Dẫu chưa có số liệu thống kê cụ thể, từ đây có thể suy ra, dữ liệu khu vực công đang trở thành một trong những nguồn lộ lọt dữ liệu cá nhân phổ biến tại Việt Nam, “sánh vai” cùng các nguồn truyền thống như doanh nghiệp hàng không (Việt Nam Airlines), doanh nghiệp kinh doanh điện tử (Thế giới di động, Điện máy xanh), doanh nghiệp giải trí viễn thông (VNG), …
Thiệt hại cả về kinh tế lẫn niềm tin
Khi dữ liệu cá nhân của người dân được cơ quan nhà nước thu thập nhưng không được bảo vệ, thì việc lộ lọt thông tin là rất dễ xảy ra, gây thiệt hại có giá trị kinh tế lớn. Đây là thực tế không chỉ ở Việt Nam, mà cả trên toàn cầu. Theo báo cáo năm 2021 của IBM Security thống kê phí tổn từ lộ lọt dữ liệu, thiệt hại kinh tế từ lộ lọt dữ liệu trung bình tăng 10%/năm, từ 3.86 triệu USD lên 4.24 triệu USD. Trong đó, khu vực công đã chứng kiến một sự gia tăng đáng kể – 78.7% từ mức 1.08 triệu USD năm 2020 lên 1.93 triệu USD năm 2021. Dữ liệu định danh cá nhân được ghi nhận là có thiệt hại cao nhất với 180 triệu USD/trường hợp.
Dữ liệu khu vực công đang trở thành một trong những nguồn lộ lọt dữ liệu cá nhân phổ biến tại Việt Nam, “sánh vai” cùng các nguồn truyền thống như doanh nghiệp hàng không (Việt Nam Airlines), doanh nghiệp kinh doanh điện tử (Thế giới di động, Điện máy xanh), doanh nghiệp giải trí viễn thông (VNG), …
Tại Việt Nam, nguy cơ thiệt hại về kinh tế được thể hiện rõ trong bối cảnh Bộ Công an được giao nhiệm vụ nhanh chóng hoàn thiện cơ sở dữ liệu dân cư quốc gia theo Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phủ. Theo đó, 100% tài khoản định danh điện tử của cá nhân sẽ thực hiện được việc xác thực với danh tính điện tử do Bộ Công an cấp, với mục tiêu đưa cơ sở dữ liệu dân cư quốc gia trở thành xương sống cho các giao dịch kỹ thuật số trong cả khu vực công lẫn tư. Mới đây, ngày 03/08/2022, Bộ Tài chính ban hành Thông tư 48/2022/TT-BTC quy định mức thu chế độ thu, nộp, quản lý, và sử dụng phí khai thác, sử dụng thông tin trong Cơ sở dữ liệu Quốc gia về dân cư. Theo điều 2 Thông tư này, các doanh nghiệp, tổ chức, cá nhân cung cấp dịch vụ xác thực điện tử và định danh điện tử như ngân hàng, nhà mạng viễn thông, các tổ chức chứng thực chữ ký số, văn phòng công chứng, … đều phải “xin” truy cập dữ liệu có “nộp phí.” Quy định này càng làm gia tăng giá trị kinh tế của dữ liệu công dân, và cùng với đó là phí tổn nếu những dữ liệu này không được bảo vệ cẩn thận.
Bên cạnh rủi ro thiệt hại về tiền bạc, nguy cơ lộ lọt dữ liệu cá nhân còn khiến người dân e ngại khi tiếp cận các dịch vụ công trực tuyến. Điển hình như thực tế nhiều người dân còn lo ngại về việc căn cước công dân có gắn chip điện tử sẽ có chức năng định vị, có thể theo dõi, xác định vị trí của công dân, ảnh hưởng đến các hoạt động riêng tư cá nhân. Sự “e ngại” và thiếu niềm tin này có thể ảnh hưởng tiêu cực đến sự tham gia của người dân vào chuyển đổi số nói chung, và quá trình phát triển chính phủ số nói riêng.
Sự “e ngại” đó của người dân đã thể hiện qua những con số biết nói. Dẫu chuyển đổi số luôn được chính phủ hô hào mạnh mẽ trên các kênh truyền thông như một chìa khóa vạn năng cho cải cách hành chính, đưa người dân lại gần chính quyền, thì kết quả khảo sát hiệu quả quản trị và hành chính công cấp tỉnh tại Việt Nam (PAPI) 2021 cho thấy chỉ mới dưới 1% số người được hỏi cho biết họ đã sử dụng Cổng dịch vụ công trực tuyến quốc gia để thực hiện dịch vụ công. Báo cáo Chuyển đổi số quốc gia 2021 cũng đưa ra kết luận tương tự, với trụ cột Xã hội số có giá trị chỉ đạt 0.3989/1 điểm.
Cần hoàn thiện khung khổ pháp lý
Khi phát hiện ra sự vụ lộ lọt thông tin cá nhân của công dân qua cổng dịch vụ công, Đồng Tháp đã ngay lập tức ban hành công văn thông báo rộng rãi và yêu cầu các cơ quan, đơn vị, địa phương cũng như đơn vị cho thuê và khai thác hạ tầng cổng này (VNPT) phải siết chặt việc bảo mật dữ liệu cá nhân của công dân.
Vụ việc ở Đồng Tháp tuy đáng quan ngại, nhưng phản ứng của tỉnh là có trách nhiệm và minh bạch, nhất là trong bối cảnh các cơ quan công quyền địa phương nói chung sẽ chọn cách tránh đối mặt với một sự kiện như vậy, “đóng cửa bảo nhau” mà không thông báo cho người dân. Nhưng việc dựa vào ý thức tự nguyện của các cơ quan như vậy sẽ là không đủ mà còn cần những quy định pháp luật rõ ràng. Với tốc độ chuyển đổi số nhanh chóng cùng xu thế tập trung hóa dữ liệu đang dâng cao như hiện nay, khoảng trống trong khung chính sách, pháp luật về bảo vệ dữ liệu cá nhân ngày càng mở ra những hiểm họa khôn lường.
Hiến pháp năm 2013 và nhiều đạo luật khác đã quy định quyền riêng tư, bí mật cá nhân và bí mật gia đình, bảo vệ thông tin cá nhân là bất khả xâm phạm. Việc hoàn thiện khung chính sách, pháp luật quốc gia về bảo vệ dữ liệu cá nhân cần chú trọng tiếp cận từ góc độ quyền con người đã được hiến định này. Đây là thách thức, cũng như là cơ hội để chính phủ làm gương trong các hoạt động thu thập, phân tích, chia sẻ dữ liệu cá nhân người dùng.□
——
*Viện Nghiên cứu Chính sách và Phát triển truyền thông (IPS), đồng tác giả của báo cáo.