Phần mềm nguồn mở: Trên đường bảo vệ dữ liệu cá nhân

Sự ra đời của GDPR - Quy định Bảo vệ Dữ liệu Chung (General Data Protection Regulation) của Liên minh châu Âu (EU) vào năm 2016 đã thay đổi to lớn cách xử lý các dữ liệu cá nhân của các công ty công nghệ. Thay vì lạm dụng dữ liệu của những người dùng, các công ty này phải trao cho họ gần như toàn quyền kiểm soát dữ liệu của bản thân mà các công ty thu thập, lưu giữ và xử lý. Nguồn mở có thể là một trong những giải pháp giúp các công ty tuân thủ được các yêu cầu của GDPR và tránh những hình phạt đáng tiếc khi không tuân thủ.

Nguon mo gdpr: Ảnh: Opensource.com

GDPR là Quy định Bảo vệ Dữ liệu Chung (General Data Protection Regulation) của Liên minh châu Âu (EU). Đây được cho là một trong những quy định toàn diện nhất và tiên tiến nhất trong việc xử lý dữ liệu cá nhân, và đang thay đổi cách các tổ chức thu thập và sử dụng dữ liệu không chỉ ở các nước trong EU mà còn trên toàn thế giới.

Quy định này được mô tả trong một tài liệu 88 trang bao gồm các nguyên tắc và bổn phận phải tuân thủ khi thu thập và xử lý dữ liệu cá nhân của các công dân của Liên minh châu Âu1. Nghị viện châu Âu ban hành GDPR vào tháng 4/2016 và quy định này có hiệu lực kể từ ngày 25/5/2018. Mặc dù quy định này chỉ áp dụng đối với những việc xử lý dữ liệu liên quan đến các công dân EU nhưng nó đã và đang thay đổi cách vận hành của nhiều công ty công nghệ – vốn là các công ty toàn cầu.

Dữ liệu cá nhân (personal data) trong GDPR được định nghĩa như là bất kỳ thông tin nào liên quan tới thể nhân được nhận dạng hoặc có khả năng nhận dạng được, bao gồm:

* thông tin có thể nhận dạng trực tiếp ai đó, cần hoặc không cần theo ngữ cảnh – đôi khi được gọi là “thông tin có khả năng nhận dạng được cá nhân” (ví dụ, mã số định danh quốc gia như số chứng minh thư, số hộ chiếu; tên; ngày sinh; địa chỉ thư điện tử).

* thông tin có thể gián tiếp nhận dạng được ai đó (ví dụ, tên công việc + công ty – “Giám đốc về Vật tư tại Công ty ABC”).

* thông tin có thể kết nối được tới một cá nhân xác định (ví dụ, các bài post trên mạng xã hội, các chi tiết đơn hàng, các chi tiết ngân hàng, thông tin y tế, các địa chỉ IP…).

GDPR hết sức khắt khe với các hoạt động xử lý dữ liệu cá nhân. Theo đó định nghĩa về “xử lý” bao trùm gần như tất cả các hoạt động, ở bất kì thời điểm nào thực hiện liên quan đến dữ liệu. Điều này bao gồm thu thập, lưu giữ, truyền, xóa dữ liệu cá nhân và thậm chí cả truyền và xem dữ liệu, dù sử dụng hay không sử dụng các công cụ tự động.

Để hạn chế tối đa việc lợi dụng dữ liệu cá nhân. GDPR xác định bảy nguyên tắc chính về xử lý dữ liệu cá nhân. Trong đó, xử lý dữ liệu cá nhân phải hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu. Dữ liệu cá nhân cũng chỉ được thu thập ở mức tối thiểu, xử lý dữ liệu và lưu trữ dữ liệu trong khoảng thời gian phù hợp với các mục đích hợp pháp mà dữ liệu đó được thu thập. Hơn nữa, các dữ liệu thu thập phải được duy trì chính xác và cập nhật, đồng thời thực hiện mọi bước hợp lý để xóa hoặc sửa dữ liệu không chính xác. Việc xử lý dữ liệu phải đảm bảo tính bảo mật thích hợp. Người kiểm soát dữ liệu cá nhân phải có trách nhiệm giải trình trong việc chứng minh mình tuân thủ tất cả các nguyên tắc trên.

Phần mềm nguồn mở còn là một xu thế tất yếu, là điều kiện tiên quyết để phát triển Khoa học mở – phong trào nhằm giúp cho bất cứ ai có điều kiện kết nối internet đều có thể tiếp cận tri thức một cách bình đẳng, dễ dàng và miễn phí.

Đặc biệt, GDPR đề cập đến tính mở trong nguyên tắc đối với các tổ chức xử lý dữ liệu cá nhân2. Trong đó, các tổ chức này phải: Mở với mọi người về dữ liệu cá nhân nào họ đang thu thập; Mở với mọi người về cách thức họ sử dụng, chia sẻ và bảo vệ dữ liệu cá nhân; Mở về các cơ chế trách nhiệm giải trình đối với việc sử dụng sai các dữ liệu cá nhân; Giải thích cho mọi người hiểu cách dữ liệu của họ được thu thập và sử dũng cũng cách thức mà các tổ chức đưa ra quyết định sau khi phân tích và xử lý dữ liệu cá nhân của họ; Kết quả của quá trình thu thập, sử dụng và xử lý dữ liệu cũng cần phải càng mở càng tốt.

Dữ liệu cá nhân và dữ liệu mở là hai khái niệm không loại trừ lẫn nhau. Khi xử lý dữ liệu cá nhân là các dữ liệu mở, phương pháp ẩn danh (Anonymisation) thường được sử dụng để không thể nhận dạng hoặc tái nhận dạng được các thể nhân từ các dữ liệu mở đó. Tuy nhiên, đây không phải là trọng tâm của bài viết này.

Tại sao phần mềm nguồn mở lại phù hợp với các quy định của GDPR?

Phần mềm nguồn mở và mã nguồn mở được định nghĩa là phần mềm với mã nguồn của nó được công khai sẵn sàng, theo cách thức kịp thời và thân thiện với người sử dụng, ở định dạng người và máy đọc được và sửa được, theo một giấy phép mở trao cho những người khác quyền để sử dụng, truy cập, sửa đổi, mở rộng, nghiên cứu học tập, tạo ra các tác phẩm phái sinh và chia sẻ phần mềm đó và mã nguồn, thiết kế và kế hoạch chi tiết của nó. Mã nguồn phải được đưa vào nội dung phát hành phần mềm đó và được lưu trong các kho truy cập mở và giấy phép được chọn phải cho phép các sửa đổi, các tác phẩm phái sinh và chia sẻ theo các điều khoản và điều kiện mở bình đẳng và tương thích.

Phần mềm nguồn mở đã trở thành một “bảo chứng” cho tính bảo mật của phần mềm. Đến năm 2022, 97% mã phần mềm thương mại có chứa nguồn mở. Sự hiện diện của thành phần nguồn mở trong một ứng dụng được coi là yêu cầu tối thiểu và bắt buộc đối với bất kì nỗ lực DevSecOps và AppSec nào3. Trong đó, DevSecOps là viết tắt của Phát triển (Development), Bảo mật (Security) và Vận hành (Operation), AppSec (App Security) là các quá trình kiểm soát nguy cơ về bảo mật trong suốt vòng đời của ứng dụng – từ khi thiết kế đến lúc kết thúc một sản phẩm.

Bảo mật dữ liệu, nhất là bảo mật dữ liệu cá nhân, là một trong những vấn đề quan trọng của bảo mật trong DevSecOps và AppSec. Vì rất nhiều ứng dụng được sử dụng để thu thập/phân tích/xử lý dữ liệu cá nhân của các công dân, bảo mật dữ liệu chắc chắn cũng là mối quan tâm của tất cả các bên liên quan tới các dự án Phần mềm nguồn mở trên thế giới, bao gồm cả những người làm chính sách về nó ở tất cả các mức quản lý.

Phần mềm nguồn mở còn là một xu thế tất yếu, là điều kiện tiên quyết để phát triển Khoa học mở – phong trào nhằm giúp cho bất cứ ai có điều kiện kết nối internet đều có thể tiếp cận tri thức một cách bình đẳng, dễ dàng và miễn phí. Khuyến nghị Khoa học Mở của UNESCO đã được 193 quốc gia thành viên của nó thông qua vào ngày 23/11/20214, khẳng định Khoa học Mở là xu thế không thể đảo ngược của thế giới ngày nay. Trong đó, phần mềm nguồn mở và mã nguồn mở là một trong năm thành phần của Kiến thức Khoa học Mở, điều được khuyến nghị cho các quốc gia trên thế giới ưu tiên đầu tư để ứng dụng và phát triển,

Mặc dù “phần mềm nguồn mở không tự nhiên bảo mật hơn so với phần mềm nguồn đóng sở hữu độc quyền. GDPR sẽ có tác động lớn tới cộng đồng phần mềm nguồn mở. Để tuân thủ quy định này, những người phát triển – các lập trình viên, hay những người sử dụng phần mềm nguồn mở, đặc biệt là các doanh nghiệp cần phải ý thức và khắc phục các lỗ hổng, rủi ro bảo mật liên quan đến rò rỉ thông tin cá nhân. Trên thực tế một trên 18 thành phần nguồn mở chứa những rủi ro bảo mật và 84% các dự án sử dụng nó không vá lỗi.5

Tuy nhiên, phần mềm nguồn mở có nhiều cơ hội hơn trong việc đáp ứng các yêu cầu khắt khe của GDPR, bởi hai bên đều chia sẻ các quan điểm về hợp pháp, công bằng, bình đẳng và tự do. Phần lớn các triết lý mà cộng đồng nguồn mở theo đuổi đều gắn liền với các nguyên tắc cơ bản của GDPR. Nếu phải thu thập dữ liệu cá nhân, đại đa số dự án nguồn mở cũng chỉ giới hạn trong mục đích hợp lí và chỉ ở mức tối thiểu. Mục đích của các dự án nguồn mở là để sửa chữa các lỗi lập trình chứ không phải để thu thập dữ liệu cá nhân. Hơn nữa, mọi dữ liệu cá nhân thu thập được cũng như toàn bộ mã nguồn đều cập nhật và công khai về mục đích của chúng.6

Mặc dù phần mềm nguồn mở không hoàn hảo “nhưng các hệ thống sẵn có để sửa lỗi cho phần mềm nguồn mở được lên kế hoạch, được triển khai, và được phân bổ nhân sự, tốt hơn nhiều” phần mềm nguồn đóng. Vì thế, “nếu bạn phải tin tưởng phần mềm bạn đã không kiểm tra, thì hãy chọn tin tưởng mã nguồn được phơi ra cho nhiều lập trình viên, những người có khả năng độc lập nói ra về các lỗi”7, vì theo Luật Linus, ‘Nhiều con mắt soi vào thì lỗi sẽ cạn’ (given enough eyeballs, all bugs are shallow)8.

Đối với mỗi phần mềm nguồn mở, hay nói chính xác hơn, đối với mỗi dự án phần mềm nguồn mở đúng nghĩa, thuộc sở hữu của cộng đồng dự án phần mềm nguồn mở đó, tất cả các hoạt động phát triển của nó đều là minh bạch sao cho bất kỳ ai cũng có thể soi xét được từng dòng mã lệnh của nó, và vì thế, bất kỳ ai cũng có thể kiểm tra được mục đích của từng dòng mã lệnh của nó được viết ra để làm gì.

Khác với phần mềm nguồn mở, bản chất của các phần mềm nguồn đóng cùng mã nguồn của nó là thường phụ thuộc vào chỉ một công ty sở hữu độc quyền. Vì vậy, việc sử dụng các phần mềm và mã nguồn đóng là không dễ đưa ra sự minh bạch đủ để tuân thủ “Các nguyên tắc của tính mở đối với các tổ chức xử lý dữ liệu cá nhân” của GDPR như được nêu ở trên. Ví dụ, làm thế nào có thể biết mã nguồn của phần mềm nguồn đóng thực sự không làm những gì được coi là bất hợp pháp đối với các dữ liệu cá nhân, khi không ai có thể nhìn thấy mã nguồn của nó ngoài các lập trình viên của chính công ty phần mềm nguồn đóng đó?

Hiện nay, các doanh nghiệp, các tổ chức phi lợi nhuận và các tổ chức nhà nước ngày càng có nhu cầu sử dụng các phần mềm, giải pháp phần mềm tuân thủ GDPR để tránh bị phạt, nhiều trong số chúng là các PMNM. Nếu phi phạm GDPR, số tiền phạt là 2% của doanh thu trên toàn cầu của công ty đó, bất kể công ty đó đặt trụ sở ở đâu.

Hơn nữa, việc sử dụng các phần mềm nguồn đóng và mã nguồn đóng, chắc chắn là đi ngược với xu thế không thể đảo ngược của thế giới trong phát triển Khoa học mở của UNESCO mà đã có 193 nước cam kết theo đuổi.□

Ảnh: Bảng 1: 17 dự án nguồn mở sẵn sàng với GDPR cho Doanh nghiệp (ERP, CRM, CMS, CHAT, Đám mây, Phân tích)9

PMNM Magento EspoCRM SuiteCRM Vtiger CRM NextCloud
Giấy phép mở OSL v3, AFLv3 GPLv3 AGPLv3 SUGARCRM PL v1.1.2 AGPLv3
PMNM OwnCloud RocketChat ERPNext Axelor ERP Dolibarr ERP/ CRM
Giấy phép mở AGPLv3 MIT GPL AGPLv3 GPLv3+
PMNM Matomo OWA GrandNode 0 A.D. Wordpress
Giấy phép mở AGPLv3 MIT GPLv3 GPLv2 GPLv2+
PMNM Zenario CMS Jahia CMS
Giấy phép mở BSD GPLv3

Bảng 2: 5 công cụ phân tích tuân thủ với GDPR là PMNM10

PMNM PostHog Plausible Countly GoAccess Matomo
Giấy phép mở MIT AGPLv3 AGPLv3 MIT AGPLv3

—–

Chú thích

1EU, 27 April 2016: General Data Protection Regulation: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679

2Open Data Institute, 2018: Openness principles for organisations handling personal data: https://theodi.org/article/openness-principles-for-organisations-handling-personal-data/. Bản dịch sang tiếng Việt: https://vnfoss.blogspot.com/2018/02/cac-nguyen-tac-cua-tinh-mo-oi-voi-cac.html

3Synopsys: 2022 Open Source Security and Risk Analysis Report: https://www.synopsys.com/content/dam/synopsys/sig-assets/reports/rep-ossra-2022.pdf, p.22

4UNESCO, 2021: UNESCO Recommendation on Open Science: https://unesdoc.unesco.org/ark:/48223/pf0000379949. Bản dịch sang tiếng Việt: https://www.dropbox.com/s/l3q04t99nil5mgo/379949eng_Vi-25112021.pdf?dl=0

5Glyn Moody, 2/5/2018, https://www.linuxjournal.com/content/gdpr-takes-open-source-next-level

6Amye Scavarda Perrin 2021, https://open.mitchellhamline.edu/cgi/viewcontent.cgi?article=1101&context=cybaris

7Seth Kenlon (Red Hat), 09/02/2021: Understanding Linus’s Law for open source security: https://opensource.com/article/21/2/open-source-security. Bản dịch sang tiếng Việt: https://giaoducmo.avnuc.vn/phan-mem-tu-do-nguon-mo/hieu-luat-linus-ve-bao-mat-cua-nguon-mo-431.html

8Lê Trung Nghĩa, 2021: Những điều cơ bản về nguồn mở (Phần 1): https://giaoducmo.avnuc.vn/bai-viet-toan-van/nhung-dieu-co-ban-ve-nguon-mo-phan-1-448.html, phần C. Mô hình phát triển của phần mềm nguồn mở.

9Hamza Musa, 10/03/2019: 17 GDPR-Ready Open source Projects for the Enterprise (ERP, CRM, CMS, CHAT, Cloud, Analytics): https://medevel.com/gdpr-opensource/

10Posthog: The 5 best GDPR-compliant analytics tools: https://posthog.com/blog/best-gdpr-compliant-analytics-tools

Tác giả