'Lỗ hổng' bảo mật thông tin cá nhân trên các cổng dịch vụ công trực tuyến. Ảnh: UNDP Việt Nam.

Đây là thông tin được chia sẻ tại tọa đàm chuyên đề “Đánh giá việc bảo vệ dữ liệu cá nhân trên các nền tảng tương tác với người dân của chính quyền địa phương” do Chương trình phát triển Liên Hợp quốc (UNDP) tại Việt Nam và Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) phối hợp với tổ chức ngày 28/6.

Công tác bảo mật dữ liệu cá nhân ở dịch vụ công địa phương còn hạn chế

Phát biểu tại tọa đàm, ông Nguyễn Lâm Thanh, Phó Chủ tịch Hội truyền thông số Việt Nam cho biết, trong thời gian qua, Chính phủ Việt Nam đã làm được một khối lượng công việc khổng lồ khi xây dựng được cơ sở dữ liệu định danh cá nhân của toàn bộ người dân Việt Nam.

Đây chính là nền tảng để các dịch vụ công được thực hiện trực tuyến và mọi người dân được hưởng lợi khi không phải đi lại trực tiếp tại các cơ sở chính quyền, giảm chi phí, thời gian, chính quyền minh bạch hơn.

Ông Nguyễn Lâm Thanh, Phó Chủ tịch Hội truyền thông số Việt Nam phát biểu tại tọa đàm. Ảnh: UNDP Việt Nam.

“Trong quá trình thực hiện chuyển đổi số, chính quyền phải thu thập rất nhiều dữ liệu cá nhân nhạy cảm của người dân. Làm thế nào nhận diện được rủi ro? Giảm thiểu được rủi ro nếu lỡ xảy ra? Bảo vệ dữ liệu cá nhân trên môi trường số nói chung và trong các nền tảng tương tác giữa chính quyền với người dân nói riêng sẽ giúp củng cố niềm tin của người dân và thúc đẩy họ tham gia quá trình chuyển đổi số”, ông Thanh nêu ý kiến.

Ông Patrick Haverman, Phó trưởng đại diện thường trú của UNDP tại Việt Nam hoan nghênh Chính phủ và các địa phương đã có nhiều nỗ lực trong cung cấp dịch vụ công trực tuyến. “Dịch Covid-19 khiến người dân tương tác trên môi trường số nhiều hơn, tuy vậy, kết quả khảo sát hiệu quả quản trị và hành chính công cấp tỉnh tại Việt Nam (PAPI) trong hai năm 2020 và 2021 cho thấy mới chỉ có 3,5% số người được hỏi cho biết họ đã sử dụng Cổng dịch vụ công trực tuyến quốc gia,” ông Haverman cho biết.

Ông Patrick Haverman, Phó trưởng đại diện thường trú của UNDP tại Việt Nam phát biểu tại tọa đàm. Ảnh: UNDP Việt Nam.

Cùng quan điểm với ông Thanh, ông Haverman nhấn mạnh thực hành tốt về bảo vệ dữ liệu cá nhân của công dân trong khu vực công là một trong những yếu tố then chốt để tạo dựng niềm tin của người dân về dịch vụ công trực tuyến.

“Kinh nghiệm từ các quốc gia phát triển cho thấy, để chuyển đổi số thành công, phải bảo đảm các nguyên tắc bảo vệ dữ liệu cá nhân theo tiêu chuẩn của Liên Hợp Quốc, bao gồm: Công bằng và hợp pháp trong xử lý dữ liệu cá nhân; Làm rõ mục đích thu thập, xử lý dữ liệu cá nhân; Tương xứng và cần thiết; Lưu trữ dữ liệu cá nhân; Minh bạch; Trách nhiệm giải trình,” ông Haverman nói.

Theo khảo sát của nhóm nghiên cứu, có tới 59/63 cổng thông tin điện tử và 60/63 cổng dịch vụ công trực tuyến chưa công bố chính sách về quyền riêng tư - một dạng thỏa thuận điện tử thiết lập trách nhiệm của các cơ quan nhà nước trước chủ thể dữ liệu là người dân, là căn cứ để người dân bảo vệ các quyền đối với dữ liệu của họ khi có sự cố hay tranh chấp xảy ra.

Nhóm nghiên cứu cũng cũng chỉ ra rằng, phần lớn các địa phương chưa thực hiện đầy đủ các quy định pháp luật về bảo vệ dữ liệu cá nhân. Không có địa phương nào thực hiện tốt việc bảo vệ dữ liệu cá nhân nói chung trên các nền tảng khác nhau, mà chỉ có một số cách làm tốt ở một số khía cạnh cụ thể.

Chỉ có 4/63 cổng thông tin điện tử và 3/63 cổng dịch vụ công trực tuyến có đăng tải văn bản đề cập chính sách bảo vệ quyền riêng tư của mình (thường được gọi là Quy chế). Trong số 50 tỉnh, thành phố có vận hành ứng dụng thông minh để tương tác với công dân, 32 địa phương có đăng tải chính sách bảo vệ quyền riêng tư do yêu cầu của Google Play và Apple Store phải làm như vậy đối với ứng dụng.

Kết quả khảo sát cũng cho thấy, các chính sách, công cụ liên quan đến bảo vệ dữ liệu cá nhân trên cổng thông tin điện tử, cổng dịch vụ công trực tuyến và ứng dụng thông minh của các tỉnh, thành phố còn mang tính tự phát, mà chưa xuất phát từ nhận thức rõ ràng về tầm quan trọng của việc bảo vệ quyền riêng tư của công dân. Các địa phương chú ý nhiều đến các yêu cầu kỹ thuật nhằm đảm bảo an toàn, bảo mật của dữ liệu; phòng chống các mối nguy cơ, rủi ro đối với an ninh mạng hơn là tính riêng tư của dữ liệu cá nhân và quyền riêng tư của người sử dụng ba nền tảng tương tác nêu trên.

Nhóm nghiên cứu chỉ ra rằng, có thể dễ dàng tiếp cận trực tuyến các văn bản của chính quyền địa phương về an toàn thông tin, tuy nhiên 59 cổng thông tin điện tử và 60 cổng dịch vụ công trực tuyến không thể tìm thấy văn bản nào về bảo vệ dữ liệu cá nhân. Không chỉ thế, hầu như các nền tảng hiện thời chỉ yêu cầu người dùng khẳng định thông tin họ cung cấp là chính xác, nhưng lại không có công cụ để người dùng lựa chọn để bảo vệ quyền riêng tư.

Hơn thế nữa, không một chính sách, nền tảng nào nói trên đáp ứng đầy đủ yêu cầu của pháp luật liên quan đến quyền riêng tư trên môi trường số theo 17 chỉ tiêu nhỏ mà báo cáo này đánh giá, cũng như theo 6 nguyên tắc của LHQ về bảo vệ dữ liệu cá nhân và quyền riêng tư như đã đề cập ở trên.

Đặc biệt, trừ một trường hợp của ứng dụng thông minh tỉnh Hậu Giang, hầu hết các văn bản về chính sách quyền riêng tư trên các Cổng và ứng dụng thông minh đều không xác định rõ mối quan hệ pháp lý giữa cơ quan Nhà nước chịu trách nhiệm chính với người sử dụng các ứng dụng và các Cổng.

Do không xác định rõ chủ thể quản lý dữ liệu, trách nhiệm pháp lý đối với dữ liệu cá nhân bị lẫn lộn giữa “cơ quan chủ quản” (Ủy ban nhân dân tỉnh, thành phố), “cơ quan/đơn vị vận hành” (Sở Thông tin – Truyền thông) và doanh nghiệp cung cấp dịch vụ xây dựng nền tảng. Chỉ có 1 trong số 39 chính sách về quyền riêng tư được rà soát nêu rõ UBND tỉnh là cơ quan chịu trách nhiệm đối với việc thu thập, lưu trữ dữ liệu cá nhân qua các cổng dịch vụ công trực tuyến và các ứng dụng thông minh; còn Sở TTTT là cơ quan thay mặt UBND vận hành, xử lý dữ liệu trên các nền tảng này.

Thực trạng này đáng lưu ý ở chỗ, nó không chỉ tạo ra khoảng trống về trách nhiệm đối với thông tin cá nhân thu thập qua các nền tảng nói trên, mà còn không rõ căn cứ để xác định chủ thể chịu trách nhiệm và xem xét trách nhiệm lưu trữ, quản lý, sử dụng, chia sẻ khối dữ liệu khổng lồ sau khi đã được thu thập từ người dùng qua các nền tảng tương tác của chính quyền địa phương.

Ở mức độ tổng quan, nếu đặt việc bảo vệ quyền riêng tư trong toàn bộ quá trình tương tác của chính quyền địa phương với công dân trên môi trường số, có thể nói, các yếu tố đầu vào như cơ sở vật chất, hạ tầng kỹ thuật đã được quan tâm khá nhiều. Tuy nhiên, quá trình thực hiện các chính sách, pháp luật có liên quan đến bảo vệ thông tin, dữ liệu cá nhân của người dùng nói riêng, và quyền riêng tư của người dân nói chung cần được cải thiện nhiều hơn nữa.

Đặc biệt, kết quả đầu ra gồm mức độ bảo vệ dữ liệu cá nhân và đáp ứng quyền riêng tư của người dân còn chưa được như mục tiêu mong muốn đã đề ra trong Hiến pháp năm 2013, Luật số 86/2015/QH13 về an toàn thông tin mạng, Luật số 67/2006/QH11 về công nghệ thông tin, Nghị định số 47/2020/NĐ-CP về quản lý, kết nối và chia sẻ dữ liệu số của cơ quan nhà nước.

Bên cạnh đó còn có Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước, Nghị định số 43/2011/NĐ-CP quy định về việc cung cấp thông tin và dịch vụ công trực tuyến trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước, và Thông tư số 25/2010/TT-BTTTT quy định việc thu thập, sử dụng, chia sẻ thông tin cá nhân và các biện pháp đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước.

Yếu tố quan trọng tạo dựng niềm tin của người dân vào chính phủ số

Từ các kết quả nêu trên, nghiên cứu đã đưa ra một số khuyến nghị phù hợp về mặt chính sách, pháp luật và thực thi pháp luật đối với các cơ quan hữu quan ở trung ương và địa phương nhằm cải thiện việc bảo vệ dữ liệu cá nhân trên các nền tảng tương tác giữa chính quyền và người dân.

Do vậy, trong ngắn hạn, cần thường xuyên đánh giá việc thực thi các quyền đối với dữ liệu cá nhân của người dân trên các nền tảng tương tác giữa chính quyền địa phương với người dân. Đồng thời, cần bổ sung các tiêu chí đánh giá bảo vệ dữ liệu cá nhân vào Bộ chỉ số chuyển đổi số cấp bộ, cấp tỉnh, cấp quốc gia (DTI). Bên cạnh đó, Bộ Thông tin - Truyền thông cần xây dựng hướng dẫn quốc gia về bảo vệ dữ liệu cá nhân trong khu vực công và ban hành quy chế mẫu về chính sách quyền riêng tư cho các nền tảng trực tuyến.

Chia sẻ kinh nghiệm của địa phương, ông Nguyễn Dương Anh, Phó Giám đốc Sở Thông tin và Truyền thông tỉnh Thừa Thiên Huế cho rằng bảo vệ dữ liệu cá nhân là yếu tố đặc biệt quan trọng trong việc tạo dựng niềm tin của người dân vào chính quyền điện tử.

Ông Nguyễn Dương Anh, Phó Giám đốc Sở Thông tin và Truyền thông tỉnh Thừa Thiên Huế phát biểu tại tọa đàm. Nguồn: UNDP Việt Nam.

“Ví dụ, ứng dụng phản ánh hiện trường - một thành phần của ứng dụng dịch vụ đô thị thông minh (Hue-S) - đã tiếp nhận hơn 50.000 phản ánh của người dân từ năm 2021 đến nay. Kết quả này là nhờ chúng tôi bảo mật tuyệt đối thông tin về người phản ánh theo quy chế vận hành, khai thác dữ liệu cá nhân tỉnh đã ban hành”, ông Nguyễn Dương Anh nói.