Trong bối cảnh mất an toàn dữ liệu gia tăng, tình trạng lộ lọt, mua bán và khai thác trái phép dữ liệu cá nhân diễn ra ngày càng phổ biến hơn trên môi trường số. Vậy hướng đi nào giúp bảo vệ an toàn dữ liệu cá nhân và quyền riêng tư của công dân tốt hơn, từ câu chuyện ‘thẻ căn cước công dân’ (CCCD) lẫn rộng hơn là tiến trình chuyển đổi số toàn diện?
Bộ Công An đang gấp rút cấp thẻ công dân gắn chip cho người dân, đặt ra mục tiêu đến tháng 6/2021 cấp cho 50 triệu người. Ảnh: nhandan.com.vn
Từ CCCD gắn chíp điện tử đến thu thập dữ liệu cá nhân ở khu vực công
Hiện tại, Luật Căn cước công dân 2014 quy định 23 loại thông tin cá nhân được thu thập và lưu trữ trong Cơ sở dữ liệu CCCD và Thông tư 06/2021/TT-BCA của Bộ Công an quy định về mẫu thẻ CCCD có gắn chíp điện tử (dòng MRZ – machine-readable zone) thì chíp này chỉ ‘lưu trữ thông tin cơ bản của công dân’ được gắn ở mặt sau thẻ CCCD (Điểm d Khoản 3 Điều 3). Tuy nhiên các loại thông tin nào là thông tin cơ bản theo quy định pháp luật hiện hành và trong thời gian sắp tới, theo (Dự thảo) Nghị định quy định về bảo vệ dữ liệu cá nhân chưa được cơ quan có thẩm quyền làm rõ. Quan trọng hơn, chưa có thông tin công bố đầy đủ về quá trình lưu trữ và khai thác dữ liệu này như thế nào để phục vụ hoạt động của công dân. Tương tự như vậy, trong các lĩnh vực khác như hộ tịch, y tế, giáo dục, các cơ quan nhà nước khi tiến hành cung cấp dịch vụ công theo yêu cầu của công dân cũng chưa có thông báo cụ thể và chính thức đến người dân về các loại thông tin cá nhân được lưu trữ hay hủy bỏ theo vòng đời dữ liệu.
Chia sẻ dữ liệu trong khu vực công và giữa khu vực công với khu vực tư – đảm bảo dòng chảy dữ liệu liên thông
Theo thông tin được đăng tải trên Cổng thông tin điện tử của Bộ Công an, chíp điện tử sẽ được tích hợp thông tin về bảo hiểm xã hội, bảo hiểm y tế, thuế, ngân hàng,… của người dân. Để đạt được mục tiêu này, buộc phải có sự chia sẻ dữ liệu cá nhân giữa Bộ Công an với Bảo hiểm Xã hội Việt Nam, Bộ Tài chính và các ngân hàng nhà nước cũng như ngân hàng tư nhân. Như vậy, xuất hiện hai mối quan hệ liên quan đến dữ liệu cá nhân:
Ở khía cạnh thứ nhất là chia sẻ dữ liệu giữa các cơ quan nhà nước. Hiện tại, Nghị định 47/2020/NĐ-CP của Chính phủ đã quy định về quản lý, kết nối và chia sẻ dữ liệu số của cơ quan nhà nước với nguyên tắc dữ liệu hình thành trong hoạt động của cơ quan nhà nước được chia sẻ phục vụ các hoạt động của cơ quan nhà nước hướng tới phục vụ người dân, doanh nghiệp tuân thủ quy định của pháp luật trong việc tạo lập, quản lý và sử dụng dữ liệu. Việc chia sẻ dữ liệu giữa các cơ quan nhà nước không làm ảnh hưởng tới quyền lợi và trách nhiệm của tổ chức, cá nhân có liên quan, không được xâm phạm quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình trừ trường hợp pháp luật có quy định khác. Phạm vi chia sẻ ở đây là giữa nội bộ các cơ quan nhà nước, nhằm phục vụ nhu cầu quản lý nhà nước chứ chưa đề cập đến chia sẻ dữ liệu công dân do cơ quan nhà nước thu thập và xử lý đến bên thứ ba.
Khía cạnh thứ hai là chia sẻ dữ liệu giữa cơ quan nhà nước với tổ chức, đơn vị tư nhân. Hiện nay, chưa có văn bản pháp luật quy định cụ thể về điều kiện, quy trình chia sẻ dữ liệu giữa các chủ thể này. Về nguyên tắc, mối quan hệ ở đây là ba bên: Công dân, tức chủ thể dữ liệu; Cơ quan Nhà nước là bên thu thập dữ liệu và đang quản lý dữ liệu đã được thu thập; và bên thứ ba là tổ chức, doanh nghiệp – có thể được tổ chức Nhà nước chuyển giao dữ liệu. Về nguyên tắc, việc chuyển giao dữ liệu của công dân của bên thứ nhất (là một công dân cụ thể) do bên thứ hai nắm giữ (là một cơ quan nhà nước cụ thể) cho một bên thứ ba (là một tổ chức, cá nhân cụ thể) cần có sự đồng ý của chủ thể dữ liệu (là bên thứ nhất). Trên thực thế, để phục vụ mục đích phát triển kinh tế xã hội – giao dịch này là cần thiết. Đơn cử, trước đây Ủy ban Nhân dân Thành phố Hà Nội từng nêu ý tưởng chia sẻ dữ liệu dân cư cho doanh nghiệp khai thác. Tuy nhiên, các điều kiện cụ thể gồm sự đồng ý của chủ thể dữ liệu; phạm vi và mức độ khai thác dữ liệu; cơ chế đảm bảo an toàn dữ liệu; sự giám sát độc lập của một cơ quan/ tổ chức độc lập nhằm đảm bảo an toàn, tránh lạm dụng và thương mại hóa trái phép là những câu hỏi đặt ra và chưa có văn bản pháp lý nào quy định rõ ràng.
Như vậy, trong trường hợp Bộ Công an muốn tích hợp dữ liệu ngân hàng, chữ kí số của người dân (từ các đơn vị tư nhân cung cấp) vào chíp điện tử thì chưa đủ cơ sở pháp lý. Hiện nay, tuy đã có Nghị định hướng dẫn tổ chức tín dụng, tổ chức cung cấp dịch vụ chữ kí số khai thác cơ sở dữ liệu quốc gia về dân cư nhưng đây là hình thức khai thác một chiều, đơn vị tư nhân có yêu cầu khai thác đến cơ quan quản lý dữ liệu dân cư và phải được chấp thuận mới được khai thác.
Khuyến nghị giải pháp bảo đảm an toàn dữ liệu cá nhân
Để xử lý các vấn đề nêu trên, bốn nhóm công việc cần được xem xét và thực hiện.
Thứ nhất, để đảm bảo quyền tiếp cận thông tin của công dân và tính minh bạch trong hoạt động của cơ quan nhà nước, các cơ quan này cần thông báo đến người dân ở hình thức văn bản, phát thanh hay truyền hình về các loại dữ liệu cá nhân được thu thập; công bố quá trình lưu trữ, xử lý dữ liệu cá nhân; công bố các bên thứ ba có thể tiếp cận với dữ liệu cá nhân của công dân.
Thứ hai, khi xây dựng văn bản pháp luật bảo vệ dữ liệu cá nhân cần quy định trường hợp xử lý dữ liệu cá nhân không cần có sự đồng ý của chủ thể là: ‘vì lợi ích hợp pháp của chủ thể dữ liệu’. Quy định này vừa đảm bảo tính hợp pháp, thuận tiện của việc chia sẻ dữ liệu dân cư giữa các cơ quan nhà nước phục vụ công tác quản lý vừa đảm bảo thuận tiện cho người dân trong giao dịch dân sự hay thực hiện thủ tục hành chính. Tuy nhiên, để tránh tình trạng lạm quyền, cần quy định các trường hợp được coi là ‘vì lợi ích của chủ thể dữ liệu’.
Thứ ba, từ tình hình thực tế pháp luật – xã hội, Việt Nam cần sớm xây dựng văn bản luật chung về dữ liệu cá nhân, trong đó mỗi lĩnh vực chuyên ngành sẽ có quy định cụ thể và tiêu chuẩn ngành riêng phù hợp với quy định chung và của ngành. Hiện nay, Bộ Công an đang triển khai xây dựng Dự thảo về Nghị định quy định về bảo vệ dữ liệu cá nhân mang ‘dáng dấp’ của văn bản luật chung điều chỉnh về vần đề này nhưng lại chưa đủ ‘tầm’ để bao quát hết các lĩnh vực vì chỉ dựa trên căn cứ pháp lý là Luật An ninh mạng và Luật Bảo vệ bí mật Nhà nước.
Thứ tư, Việt Nam cần có hành lang pháp lý về việc chia sẻ dữ liệu giữa khu vực công với khu vực tư. Trước tiên, đây là cơ sở để tích hợp thông tin ngân hàng của người dân vào chíp điện tử CCCD như định hướng, tuyên bố của Bộ Công an. Về lâu dài, đây là cơ sở pháp lý để khai thác dữ liệu lẫn nhau giữa các cơ quan nhà nước với tổ chức, đơn vị tư nhân nhằm tạo ra dịch vụ tốt hơn, phù hợp hơn với mỗi người dân mà vẫn đảm bảo dữ liệu an toàn, không bị bán tràn lan.
Theo tiasang.com.vn