Khả năng dữ liệu cá nhân được bảo vệ khi công dân có mã QR riêng

Lê Thị Minh Thư và Luật sư Nguyễn Hữu Phước – Phuoc & Partners

Theo Chiến lược phát triển Chính phủ điện tử hướng tới Chính phủ số giai đoạn 2021-2025, định hướng đến năm 2030 được Thủ tướng phê duyệt tại Quyết định số 942/QĐ-TTg (“Quyết định 942”) ngày 15/06/2021, mỗi công dân sẽ có danh tính số kèm theo mã QR riêng[1]. Quyết định 942 không nêu rõ mã QR sẽ mã hóa thông tin, dữ liệu nào của mỗi công dân, nhưng nhằm xác định danh tính một cá nhân cụ thể thì mã QR được hiểu là có thể tích hợp các dữ liệu cá nhân (“DLCN”) bao gồm họ và tên, ngày tháng năm sinh, giới tính, địa chỉ nhà, số Chứng minh thư nhân dân/Căn cước công dân…Theo Quyết định 942, ngoài mã QR riêng, mỗi công dân còn có hồ sơ số về sức khỏe cá nhân, mỗi học sinh, sinh viên sẽ có hồ sơ số về việc học tập cá nhân. Khi sử dụng mã QR và hồ sơ số sẽ dẫn đến cơ sở dữ liệu quốc gia được xây dựng để cơ quan Nhà nước có thể hiện đại hóa phương thức quản lý công dân; thống nhất việc quản lý thông tin của công dân giữa các ngành, cấp, địa phương; tạo điều kiện thuận lợi cho việc vận hành cơ sở dữ liệu chuyên ngành giúp triển khai các dịch vụ công trực tuyến được thuận tiện và đổi mới quản trị quốc gia theo hướng hiện đại, đáp ứng nhu cầu hội nhập quốc tế và khu vực[2].

Nhìn nhận tổng quan, việc áp dụng mã QR và hồ sơ số cho mỗi công dân sẽ tạo thuận lợi cho Nhà nước trong việc quản lý các lĩnh vực khác nhau đồng thời phù hợp với sự phát triển của thế giới số. Tuy nhiên, việc áp dụng mã QR nhằm xác định danh tính mỗi công dân trong bối cảnh Việt Nam chưa có sự phát triển nhất định về trình độ khoa học, công nghệ sẽ đặc ra thách thức về tính bảo mật và tính pháp lý nên cần được xem xét kỹ lưỡng.

Vậy mã QR là gì?

Mã QR (Quick Response – phản hồi nhanh) được hiểu chung là một dạng thông tin được mã hóa dưới dạng một mã vạch ma trận, khi dùng các thiết bị điện tử thì ma trận này sẽ được giải mã nhanh chóng và cung cấp thông tin được mã hóa cho người đọc (có thể hiểu là quá trình đọc mã QR). Tùy vào nội dung được mã hóa trong mã QR mà sẽ dẫn tới một trang web, gọi đến một số điện thoại, xem một tin nhắn, thông tin của một sản phẩm, dịch vụ nào đó.

Mã QR có đặc điểm là dễ tạo ra và dễ tiếp cận. Ai cũng có thể tạo ra một mã QR chứa đựng thông tin mà người đó mong muốn và tiếp cận thông tin được mã hóa trong mã QR bằng các thiết bị công nghệ hiện đại. Vì vậy, thông thường và dễ bắt gặp nhất, đó là mã QR được sử dụng trong lĩnh vực quảng cáo các ý tưởng quảng cáo tạp chí, trên băng ghế công viên, xe buýt, đóng gói sản phẩm hay bất kỳ sản phẩm vật lý nào khác để cung cấp thông tin chi tiết cho người tiêu dùng.

DLCN có thể không được đảm bảo khi được mã hóa trong mã QR

Theo dự thảo Nghị định Chính phủ quy định về bảo vệ DLCN, DLCN là dữ liệu về cá nhân hoặc có liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể nào đó, trong đó bao gồm DLCN cơ bản như ngày tháng năm sinh, địa chỉ, số Chứng minh thư nhân dân và DLCN nhạy cảm như quan điểm chính trị, tôn giáo, tình trạng sức khỏe, sinh trắc học…. Để thực hiện mục tiêu hướng tới Chính phủ điện tử, các DLCN chẳng hạn như số Chứng minh thư nhân dân/Căn cước công dân, ngày tháng năm sinh, giới tính, hồ sơ số về tình trạng sức khỏe, hồ sơ số về việc học tập, thông tin công việc, thông tin trong sổ hộ khẩu và thậm chí chữ ký số, chữ ký điện tử, thông tin về tài khoản ngân hàng trong tương lai có thể cũng được mã hóa trong mã QR. Có thể thấy những DLCN này có ý nghĩa quan trọng với một cá nhân nào đó mà khi bị tiết lộ sẽ để lại hậu quả vô cùng lớn với cá nhân đó.

Vì vậy, mã hóa DLCN vào trong mã QR (cả DLCN cơ bản và DLCN nhạy cảm) đều tiềm ẩn nguy cơ DLCN của cá nhân bị xâm phạm theo nhiều hình thức khác nhau vì tính chất dễ dàng tiếp cận của nó. Cụ thể, những DLCN có thể dễ dàng bị tiết lộ, rò rỉ chỉ bằng những thao tác đơn giản trên thiết bị điện tử như điện thoại di động và các thiết bị điện tử khác mà có thể đọc được mã QR này. Hoặc DLCN trong mã QR có thể bị các cá nhân xử lý DLCN thu thập trong quá trình giao dịch hằng ngày mà không có sự đồng ý của cá nhân đó hoặc bị đối tượng xấu tấn công hoặc đánh cắp. Các đối tượng xấu sau đó sử dụng DLCN để phục vụ cho việc lừa đảo, phạm tội, giả mạo danh tính hoặc thậm chí là tống tiền.

Vì thế trên thế giới việc sử dụng mã QR riêng để tích hợp DLCN nhằm xác định danh tính một cá nhân cụ thể hiện chưa được nhiều quốc gia sử dụng vì họ lo ngại tính bảo mật của nó. Thay vào đó, một số quốc gia như Mỹ đã và đang sử dụng hộ chiếu và Căn cước công dân điện tử hoặc các loại hình Chứng minh nhân dân có gắn các thiết bị hỗ trợ điện tử. Bên cạnh đó, các quốc gia như Pháp, Argentina,  Bulgaria, Panama, Estonia.. đã sử dụng Chứng minh nhân dân có gắn chip^[3] được thiết kế để tích hợp thông tin cá nhân của chủ sở hữu như họ và tên, giới tính, ngày và nơi sinh, dữ liệu sinh trắc học, địa chỉ nhà, số thẻ bảo hiểm y tế,…mà chỉ có các thiết bị chuyên dụng của cơ quan chức năng có trách nhiệm xử lý DLCN mới đọc được. Đặt biệt, tại Pháp, công dân có thể lựa chọn sử dụng chip trong Căn cước công dân để hỗ trợ việc sử dụng các dịch vụ trực tuyến, cho phép triển khai chữ ký điện tử có thể được sử dụng trong các thủ tục hành chính, trao đổi ngân hàng hoặc các giao dịch thương mại khác.

Một ví dụ về việc sử dụng mã QR dẫn đến hậu quả là DLCN bị tiết lộ ở New South Wales, Úc. Để xác định những nơi công dân đã ở và theo dõi tiếp xúc nếu công dân có tiếp xúc với ca bệnh dương tính với Covid-19, chính quyền bang đã phát triển một hệ thống mã QR trong ứng dụng Dịch vụ NSW[4] yêu cầu công dân khi vào một địa điểm nào đó đều phải ghi lại sự có mặt của họ qua trình đọc mã QR của ứng dụng Dịch vụ NSW[5]. Mặc dù có đảm bảo sự bảo mật hợp lý đối với ứng dụng Dịch vụ NSW, nhưng không có hệ thống nào là hoàn toàn chính xác, an toàn tuyệt đối và không có lỗ hổng. Dịch vụ NSW đã xác nhận rằng DLCN của 186.000 khách hàng và nhân viên đã bị rò rỉ[6] sau một cuộc tấn công mạng từ tháng 03/2020 đến đầu tháng 04/2020, ước tính có đến 736GB dữ liệu bị rò rỉ, có khả năng tiêu tốn tới 35 triệu USD để khắc phục hậu quả, tính đến tháng 03/2021[7].

Có thể bạn quan tâm: Bảo vệ dữ liệu cá nhân người lao động – Doanh nghiệp cần lưu ý

Bảo Vệ Dữ Liệu Cá Nhân Người Lao Động – Doanh Nghiệp Cần Lưu Ý

Năm ngoái, thông tin của hơn 54.000 giấy phép lái xe ở tiểu bang này cũng được phát hiện đang nằm trong kho dữ liệu điện toán đám mây của Amazon[8]. Các thông tin này được phát hiện bởi một chuyên viên cố vấn an ninh mạng người Ukraina, trong lúc ông này đang điều tra về một vụ vi phạm dữ liệu khác, ông này nói rằng tất cả dữ liệu đều được để ở chế độ hiển thị công khai và dễ dàng truy cập.

Không rõ các thông tin này đã trực tuyến trong bao lâu hoặc ai đã truy cập vào chúng hay có hành vi phạm tội nào được thực hiện chưa, nhưng đó là một lời nhắc nhở kịp thời rằng cho dù bảo mật mạng có tốt đến đâu, dữ liệu vẫn có thể dễ dàng bị lỗi và đôi khi dẫn đến rò rỉ khi DLCN được mã hóa trong một mã QR với đặc điểm dễ dàng được tiếp cận bởi bất cứ chủ thể nào. Hơn nữa, mã hóa DLCN trong mã QR còn tạo điều kiện cho các đối tượng xấu dễ dàng tấn công và đánh cắp DLCN nhằm phục vụ cho mục đích vi phạm pháp luật. Ở Việt Nam hiện nay, chưa tính đến việc Chính phủ sẽ triển khai sử dụng mã QR mã hóa DLCN, trước sự bùng nổ các nền tảng công nghệ thông tin, DLCN đã và đang rất dễ bị thu thập, bị lộ, lọt, đánh cắp, và thậm chí được đem ra trao đổi, buôn bán vô cùng phức tạp. Nếu triển khai áp dụng mã QR cho từng công dân mà không có những bước nghiên cứu kỹ lưỡng, công dân sẽ dễ dàng rơi vào tình trạng bị thu thập, bị lộ, lọt hay bị đánh cắp DLCN hơn.

Hành lang pháp lý bảo vệ DLCN 

Hiện nay, khi việc áp dụng mã QR với từng cá nhân chưa được triển khai, thì việc bảo vệ DLCN lại đang được quy định rải rác trong các văn bản pháp luật khác nhau, mức độ vi phạm và chế tài chưa được quy định chi tiết, cụ thể và thiếu tính khả thi trên thực tế vì khó có thể xác định được hành vi vi phạm, khó hiểu và khó áp dụng.

Hiến pháp 2013 quy định mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình và các thông tin có liên quan được pháp luật bảo vệ[9]. Dưới Hiến pháp thì có luật chung là Bộ luật Dân sự, quy định “đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ”[10].  Về luật chuyên ngành thì Luật An toàn thông tin mạng[11] quy định rằng thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể. Tổ chức, cá nhân nào xử lý thông tin cá nhân thì có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý và phải xây dựng, công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của mình. Tổ chức, cá nhân xử lý thông tin cá nhân chỉ thu thập thông tin cá nhân sau khi chủ thể thông tin cá nhân đồng ý về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó; không được cung cấp, chia sẻ, phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba,… cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cung cấp thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ. Tuy nhiên, Luật An toàn thông tin mạng chỉ quy định bảo vệ thông tin cá nhân trên môi trường không gian mạng mà chưa mở rộng cho những phạm vi khác.

Về chế tài vi phạm, các hành vi nào xâm hại đến DLCN thì có thể bị chế tài dưới các hình thức như buộc bồi thường thiệt hại, xử phạt vi phạm hành chính hoặc sẽ bị truy cứu trách nhiệm hình sự, tùy thuộc vào tính chất, mức độ nguy hiểm và hậu quả do hành vi vi phạm gây ra. Về trách nhiệm hành chính, Nghị định 98/2020/NĐ-CP của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dung quy định mức phạt tiền từ 40.000.000 đồng đến 60.000.000 đồng đối với một số hành vi vi phạm của tổ chức như sau: “a) Thu thập thông tin cá nhân của người tiêu dùng mà không được sự đồng ý trước của chủ thể thông tin; b) Thiết lập cơ chế mặc định buộc người tiêu dùng phải đồng ý với việc thông tin cá nhân của mình bị chia sẻ, tiết lộ hoặc sử dụng cho mục đích quảng cáo và các mục đích thương mại khác; c) Sử dụng thông tin cá nhân của người tiêu dùng không đúng với mục đích và phạm vi đã thông báo”[12]. Về truy cứu trách nhiệm hình sự, Bộ Luật Hình sự quy định, “Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt tù tới 3 năm[13]. Bộ Luật Hình sự cũng quy định “Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” sẽ chịu mức hình phạt cao nhất là 7 năm tù giam[14]. Tuy nhiên, hai loại tội danh này lại chưa được quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật có liên quan tới DLCN đang diễn ra như hiện nay.

Khi sử dụng mã QR để tham gia vào các hoạt động thường ngày cho mục đích giáo dục, y tế, giao dịch hàng hóa, giải quyết các thủ tục hành chính,…cá nhân vô tình tự nguyện tiết lộ công khai các thông tin cá nhân của mình một cách thường xuyên với một mục đích cụ thể nào đó. Mặc dù dự thảo Nghị định của Chính phủ về bảo vệ DLCN đã có những bước tiến vượt bậc trong việc bảo vệ DLCN với 6 chương, 30 điều quy định về DLCN, xử lý DLCN, các biện pháp bảo vệ DLCN, Ủy ban bảo vệ DLCN, xử lý vi phạm về DLCN, trách nhiệm bảo vệ DLCN của cơ quan, tổ chức, cá nhân có liên quan. Vẫn còn những câu hỏi được đặt ra trong bối cảnh triển khai áp dụng mã QR cho mỗi cá nhân việc xác định hành vi xâm phạm về DLCN ở đây là hành vi nào, luật nào sẽ được áp dụng và sẽ xử lý ra sao, xử lý ai trong tình huống này là vấn đề cần phải nghiên cứu để luật hóa thành những quy định mang tính thực tế và chi tiết để áp dụng trong tình huống mới này.

Đề xuất

Trước bối cảnh các quốc gia trên thế giới rất dè chừng trong việc sử dụng mã QR để mã hóa DLCN và đang hoàn thiện hệ thống pháp luật để phù hợp với sự phát triển không ngừng của thế giới số, việc áp dụng mã QR để xác định danh tính mỗi cá nhân nên được nghiên cứu kỹ lưỡng về mặt kỹ thuật và pháp lý trước khi được áp dụng trong phạm vi quốc gia.

Để tránh rủi ro về việc DLCN bị tiết lộ khi mỗi công dân sẽ có mã QR riêng, các cơ quan Nhà nước có thể phối hợp cùng với các doanh nghiệp công nghệ thông tin lớn để thiết kế mã QR sao cho khi sử dụng mã QR cho một mục đích cụ thể nào đó thì chỉ những DLCN cụ thể được hiển thị thay vì tất cả. Bên cạnh đó, có thể xây dựng hệ thống DLCN làm sao mà quy trình tiếp cận sẽ gắt gao khi sử dụng mã QR. Triển khai các biện pháp yêu cầu xác minh danh tính đối với các thiết bị có quyền truy cập vào mã QR hoặc cá nhân, tổ chức xử lý DLCN.

Bên cạnh đó thể xem xét triển khai một thông báo hoặc thông báo xác nhận cho công dân hiển thị thông tin đặc trưng về phiên đăng nhập và đặt giới hạn thời gian (thường là trong vòng hai hai đến ba phút) để hoàn thành mỗi phiên đăng nhập. Hạn chế các quy trình xác thực dựa trên các mạng khác nhau và/hoặc các vị trí khác nhau cũng sẽ làm giảm nguy cơ bị tấn công đến các dữ liệu được tích hợp trong mã QR. Bên cạnh các biện pháp của cơ quan Nhà nước như trên, các tổ chức có khả năng đọc mã QR có thể tích hợp tính năng bảo mật sẵn trong ứng dụng của họ để giúp phát hiện kịp thời và ngăn chặn các tài khoản giả mạo sử dụng mã QR của người khác.

Về phía công dân, khi đã có mã QR riêng thì nên hạn chế hoặc không cho phép các chủ thể khác sử dụng mã QR của mình để ngăn chặn việc các chủ thể đó có thể thực hiện các hành vi trái pháp luật và cần nâng cao cảnh giác khi thực hiện tất cả các giao dịch hằng ngày, giải quyết các thủ tục hành chính, hoạt động trên mạng internet.

[1] http://baochinhphu.vn/Chi-dao-quyet-dinh-cua-Chinh-phu-Thu-tuong-Chinh-phu/Chien-luoc-phat-trien-Chinh-phu-dien-tu-huong-toi-Chinh-phu-so-giai-doan-20212025/434941.vgp

[3] https://en.wikipedia.org/wiki/List_of_national_identity_card_policies_by_country

[5] https://baouc.com.au/ung-dung-service-nsw-ngung-hoat-dong-a39621.html

[6] https://www.smh.com.au/national/nsw/data-of-186-000-customers-leaked-in-service-nsw-cyber-attack-20200907-p55t7g.html

[7] https://www.itnews.com.au/news/service-nsw-unable-to-notify-54000-customers-impacted-by-cyber-attack-562675

https://www.dailymail.co.uk/news/article-8683145/Massive-security-breach-50-000-Australian-drivers-licences-leaked-online.html

[9] Điều 21 Hiến pháp 2013

[10] Khoản 1, Điều 38 Bộ luật Dân sự

[11] Điều 16 và 17 Luật An toàn thông tin mạng 2015

[12] Điều 4.4.b và Điều 65.4 Nghị định 98/2020/NĐ-CP ngày 26/08/2020

[13] Điều 159 Bộ Luật Hình sự

[14] Điều 288 Bộ Luật Hình sự