Khả năng dữ liệu cá nhân được bảo vệ khi mỗi công dân có mã QR riêng

(Lê Thị Minh Thư – Phuoc & Partners)

Theo Chiến lược phát triển Chính phủ điện tử hướng tới Chính phủ số giai đoạn 2021-2025, định hướng đến năm 2030 được Thủ tướng phê duyệt tại Quyết định số 942/QĐ-TTg (“Quyết định 942”) ngày 15/06/2021, mỗi công dân sẽ có danh tính số kèm theo mã QR riêng[1]. Nhằm xác định danh tính một cá nhân cụ thể, mã QR được hiểu là có thể tích hợp các dữ liệu cá nhân (“DLCN”) bao gồm họ và tên, ngày tháng năm sinh, giới tính, địa chỉ nhà, số Chứng minh thư nhân dân/Căn cước công dân…Theo Quyết định 942, ngoài mã QR riêng, mỗi công dân còn có hồ sơ số về sức khỏe cá nhân, mỗi học sinh, sinh viên sẽ có hồ sơ số về việc học tập cá nhân. Khi sử dụng mã QR và hồ sơ số sẽ dẫn đến cơ sở dữ liệu quốc gia được xây dựng để cơ quan Nhà nước có thể hiện đại hóa phương thức quản lý công dân.

Nhìn nhận tổng quan, việc áp dụng mã QR và hồ sơ số sẽ tạo thuận lợi cho Nhà nước trong việc quản lý các lĩnh vực khác nhau đồng thời phù hợp với sự phát triển của thế giới số. Tuy nhiên, việc áp dụng mã QR trong bối cảnh Việt Nam chưa có sự phát triển nhất định về trình độ khoa học, công nghệ sẽ đặc ra thách thức về tính bảo mật và tính pháp lý cần được xem xét kỹ lưỡng.

Vậy mã QR là gì?

Mã QR (Quick Response – phản hồi nhanh) được hiểu chung là một dạng thông tin được mã hóa dưới dạng một mã vạch ma trận, khi dùng các thiết bị điện tử thì ma trận này sẽ được giải mã nhanh chóng và cung cấp thông tin được mã hóa cho người đọc. Mã QR có đặc điểm là dễ tạo ra và dễ tiếp cận. Vì vậy, dễ bắt gặp nhất, mã QR được sử dụng trong lĩnh vực quảng cáo trên tạp chí, trên băng ghế công viên, xe buýt, đóng gói sản phẩm hay bất kỳ sản phẩm vật lý nào khác để cung cấp thông tin chi tiết cho người tiêu dùng.

DLCN có thể không được đảm bảo khi được mã hóa trong mã QR

Theo dự thảo Nghị định Chính phủ quy định về bảo vệ DLCN, DLCN là dữ liệu về cá nhân hoặc có liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể nào đó, trong đó bao gồm DLCN cơ bản như ngày tháng năm sinh, địa chỉ, số Chứng minh thư nhân dân và DLCN nhạy cảm như quan điểm chính trị, tôn giáo, tình trạng sức khỏe, sinh trắc học…. Để thực hiện mục tiêu hướng tới Chính phủ điện tử, cả hai loại DLCN này trong tương lai có thể được mã hóa trong mã QR.

Tuy nhiên, mã hóa DLCN vào trong mã QR tiềm ẩn nhiều nguy cơ DLCN bị xâm phạm theo nhiều hình thức khác nhau. Cụ thể, những DLCN có thể dễ dàng bị tiết lộ, rò rỉ chỉ bằng những thao tác đơn giản trên thiết bị điện tử mà có thể đọc được mã QR này như điện thoại di động. Hoặc DLCN trong mã QR có thể bị các cá nhân xử lý DLCN thu thập, trao đổi trong quá trình giao dịch hằng ngày mà không có sự đồng ý của cá nhân đó hoặc bị đối tượng xấu tấn công hoặc đánh cắp để phục vụ cho việc lừa đảo, phạm tội, giả mạo danh tính hoặc thậm chí là tống tiền.

Vì thế trên thế giới việc sử dụng mã QR mã hóa DLCN hiện chưa được nhiều quốc gia sử dụng vì họ lo ngại tính bảo mật của nó. Thay vào đó, một số quốc gia như Mỹ đã và đang sử dụng hộ chiếu và Căn cước công dân điện tử hoặc các loại hình Chứng minh nhân dân có gắn các thiết bị hỗ trợ điện tử. Các quốc gia như Pháp, Argentina,  Bulgaria, Panama, Estonia.. đã sử dụng Chứng minh nhân dân có gắn chip^[2] được thiết kế để tích hợp DLCN của chủ sở hữu.

Một ví dụ về việc sử dụng mã QR dẫn đến hậu quả là DLCN bị tiết lộ ở New South Wales, Úc. Để xác định những nơi công dân đã ở và theo dõi tiếp xúc nếu công dân có tiếp xúc với ca bệnh dương tính với Covid-19, chính quyền bang đã phát triển hệ thống mã QR trong ứng dụng Dịch vụ NSW[3] yêu cầu công dân ghi lại sự có mặt của họ khi vào một địa điểm nào đó thông qua quá trình đọc mã QR của ứng dụng này[4]. Mặc dù có đảm bảo sự bảo mật hợp lý đối với ứng dụng này, nhưng không có hệ thống nào là hoàn toàn chính xác, an toàn tuyệt đối và không có lỗ hổng. Dịch vụ NSW đã xác nhận rằng DLCN của 186.000 khách hàng và nhân viên đã bị rò rỉ[5] sau một cuộc tấn công mạng từ tháng 03/2020 đến đầu tháng 04/2020, ước tính có đến 736GB dữ liệu bị rò rỉ, có khả năng tiêu tốn tới 35 triệu USD để khắc phục hậu quả, tính đến tháng 03/2021[6].

Không rõ các thông tin này đã trực tuyến trong bao lâu hoặc ai đã truy cập vào chúng hay có hành vi phạm tội nào được thực hiện chưa, nhưng đó là một lời nhắc nhở kịp thời rằng cho dù bảo mật mạng có tốt đến đâu, dữ liệu vẫn có thể dễ dàng bị lỗi và đôi khi dẫn đến rò rỉ khi DLCN được mã hóa trong một mã QR. Hơn nữa, mã hóa DLCN trong mã QR còn tạo điều kiện cho các đối tượng xấu dễ dàng tấn công và đánh cắp DLCN nhằm phục vụ cho mục đích vi phạm pháp luật. Ở Việt Nam hiện nay, chưa tính đến việc Chính phủ sẽ triển khai sử dụng mã QR, trước sự bùng nổ các nền tảng công nghệ thông tin, DLCN đã và đang rất dễ bị xâm phạm và thậm chí được đem ra trao đổi, buôn bán vô cùng phức tạp. Nếu triển khai áp dụng mã QR mà không có những bước nghiên cứu kỹ lưỡng, DLCN sẽ dễ bị xâm phạm hơn.

Hành lang pháp lý bảo vệ DLCN 

Hiện nay, khi việc áp dụng mã QR chưa được triển khai, việc bảo vệ DLCN lại đang được quy định rải rác trong các văn bản pháp luật khác nhau, mức độ vi phạm và chế tài chưa được quy định chi tiết, cụ thể và thiếu tính khả thi trên thực tế vì khó có thể xác định được hành vi vi phạm, khó hiểu và khó áp dụng.

Hiến pháp 2013 quy định mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình và các thông tin có liên quan được pháp luật bảo vệ[7]. Dưới Hiến pháp thì có luật chung là Bộ luật Dân sự, quy định “đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ”[8].  Về luật chuyên ngành thì Luật An toàn thông tin mạng[9] quy định rằng tổ chức, cá nhân nào xử lý thông tin cá nhân thì có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý và phải xây dựng, công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của mình và chỉ thu thập thông tin cá nhân sau khi có sự đồng ý của chủ sở hữu thông tin đó.

Về chế tài vi phạm, hành vi xâm phạm đến DLCN thì có thể bị chế tài dưới các hình thức như buộc bồi thường thiệt hại, xử phạt vi phạm hành chính hoặc sẽ bị truy cứu trách nhiệm hình sự, tùy thuộc vào tính chất, mức độ nguy hiểm và hậu quả do hành vi vi phạm gây ra. Về trách nhiệm hành chính, Nghị định 98/2020/NĐ-CP của Chính phủ quy định mức phạt tiền từ 40.000.000 đồng đến 60.000.000 đồng đối với một số hành vi vi phạm của tổ chức đối với thông tin cua người tiêu dùng . Về truy cứu trách nhiệm hình sự, Bộ Luật Hình sự quy định, “Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt tù tới 3 năm[10]. Bộ Luật Hình sự cũng quy định “Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” sẽ chịu mức hình phạt cao nhất là 7 năm tù giam[11]. Tuy nhiên, hai loại tội danh này lại chưa được quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật có liên quan tới DLCN đang diễn ra như hiện nay.

Khi sử dụng mã QR để tham gia vào các hoạt động thường ngày, cá nhân vô tình tự nguyện tiết lộ công khai DLCN một cách thường xuyên. Mặc dù dự thảo Nghị định của Chính phủ về bảo vệ DLCN đã có những bước tiến vượt bậc trong việc bảo vệ DLCN, vẫn còn những câu hỏi được đặt ra trong bối cảnh triển khai áp dụng mã QR cho mỗi cá nhân việc xác định hành vi xâm phạm về DLCN ở đây là hành vi nào, luật nào sẽ được áp dụng và sẽ xử lý ra sao, xử lý ai trong tình huống này là vấn đề cần phải nghiên cứu để luật hóa thành những quy định mang tính thực tế và chi tiết để áp dụng trong tình huống mới này.

Đề xuất

Trước bối cảnh các quốc gia trên thế giới rất dè chừng trong việc sử dụng mã QR để mã hóa DLCN và đang hoàn thiện hệ thống pháp luật để phù hợp với sự phát triển không ngừng của thế giới số, việc áp dụng mã QR để xác định danh tính mỗi cá nhân nên được nghiên cứu kỹ lưỡng về mặt kỹ thuật và pháp lý trước khi được áp dụng trong phạm vi quốc gia.

Để tránh rủi ro về việc DLCN bị tiết lộ khi mỗi công dân sẽ có mã QR riêng, các cơ quan Nhà nước nên phối hợp cùng với các doanh nghiệp công nghệ thông tin lớn khi thiết kế và hoàn thiện mã QR để xây dựng một quy trình tiếp cận DLCN một cách gắt gao. Bên cạnh đó, có thể triển khai các biện pháp yêu cầu xác minh danh tính đối với các thiết bị có quyền truy cập vào mã QR hoặc cá nhân, tổ chức xử lý DLCN và thông báo xác nhận cho công dân về phiên đăng nhập và đặt giới hạn thời gian (thường là trong vòng hai hai đến ba phút) cho mỗi phiên đăng nhập.

Các tổ chức có khả năng đọc mã QR có thể tích hợp tính năng bảo mật sẵn trong ứng dụng của họ để giúp phát hiện kịp thời và ngăn chặn các tài khoản giả mạo sử dụng mã QR của người khác.

Về phía công dân, khi đã có mã QR riêng thì nên hạn chế hoặc không cho phép các chủ thể khác sử dụng mã QR của mình để ngăn chặn việc các chủ thể đó có thể thực hiện các hành vi trái pháp luật và cần nâng cao cảnh giác khi thực hiện tất cả các giao dịch hằng ngày, giải quyết các thủ tục hành chính, hoạt động trên mạng internet.

[1] http://baochinhphu.vn/Chi-dao-quyet-dinh-cua-Chinh-phu-Thu-tuong-Chinh-phu/Chien-luoc-phat-trien-Chinh-phu-dien-tu-huong-toi-Chinh-phu-so-giai-doan-20212025/434941.vgp

[2] https://en.wikipedia.org/wiki/List_of_national_identity_card_policies_by_country

[4] https://baouc.com.au/ung-dung-service-nsw-ngung-hoat-dong-a39621.html

[5] https://www.smh.com.au/national/nsw/data-of-186-000-customers-leaked-in-service-nsw-cyber-attack-20200907-p55t7g.html

[6] https://www.itnews.com.au/news/service-nsw-unable-to-notify-54000-customers-impacted-by-cyber-attack-562675

[7] Điều 21 Hiến pháp 2013

[8] Khoản 1, Điều 38 Bộ luật Dân sự

[9] Điều 16 và 17 Luật An toàn thông tin mạng 2015

[10] Điều 159 Bộ Luật Hình sự

[11] Điều 288 Bộ Luật Hình sự