Thanh Ngọc
13-7-2021
Chiếc thẻ căn cước sẽ sớm trở thành một vật có chức năng không giới hạn.
Sau khi đồng bộ hơn 98 triệu nhân khẩu vào Cơ sở Dữ liệu Quốc gia về Dân cư, [1] chiến lược vừa làm vừa trình (các dự thảo nghị định, thông tư) của Bộ Công an đã đi đến bước quy định dữ liệu của bạn sẽ được chia sẻ cho những ai.
Bước đi này đang được Bộ Công an thực hiện qua việc lấy ý kiến người dân về văn bản mới do bộ này soạn thảo: Dự thảo Thông tư quy định dịch vụ được khai thác, sử dụng thông tin trong Cơ sở Dữ liệu Quốc gia về Dân cư. [2]
Song song với dự thảo này, ngày 20/6/2021, Bộ Công an đã thành lập Trung tâm Nghiên cứu, Ứng dụng Dữ liệu Dân cư và Căn cước Công dân (NCDLDC và CCCD). [3] Trung tâm này sẽ thực hiện các giải pháp nhằm khai thác thông tin của bạn một cách triệt để.
Không bao lâu nữa, chiếc thẻ căn cước mới của bạn có thể sẽ trở thành một vật có chức năng không giới hạn. Bạn nên vui hay nên lo về điều này?
1. Giao dịch dân sự có bắt buộc truyền dữ liệu đến Bộ Công an?
Khi Bộ Công an ra mắt Trung tâm NCDLDC và CCCD, Trung tá Nguyễn Thành Vĩnh, Giám đốc trung tâm cho biết đơn vị này đang có những thiết bị, dịch vụ có thể cung ứng ngay cho doanh nghiệp nào cần. [4]
Dịch vụ tư vấn kiểm soát an ninh bằng thẻ căn cước công dân, thiết bị thu nhận vân tay, thiết bị đọc chip, các kết quả thống kê phân tích dữ liệu, v.v. là các “sản phẩm” mà trung tâm này sẽ cung cấp cho doanh nghiệp.
Trung tâm này cũng sẽ sớm cung ứng các sản phẩm như thiết bị xác thực sinh trắc; ứng dụng xác minh qua điện thoại di động cho lĩnh vực tài chính, ngân hàng; phát triển định danh số, xác thực điện tử và chữ ký số, v.v.
Tham vọng này của Bộ Công an cho thấy nguồn dữ liệu dân cư, căn cước công dân sẽ trở thành một “món hàng” vô cùng giá trị trong tương lai. Chiếc thẻ căn cước công dân không chỉ giúp bạn đơn giản hóa thủ tục hành chính, mà sẽ đi sâu đi sát vào đời sống của bạn thông qua các giao dịch dân sự.
Điều đáng quan tâm là các giao dịch dân sự của bạn có bắt buộc xác nhận danh tính điện tử thông qua căn cước công dân, và dữ liệu giao dịch của bạn có bắt buộc truyền đến Bộ Công an (đơn vị quản lý dữ liệu cá nhân) hay không? Hay đúng hơn là bạn có quyền lựa chọn chia sẻ hay không chia sẻ với Bộ Công an hay không?
Chẳng hạn, bạn có thể bị bắt buộc xác nhận danh tính điện tử khi mở tài khoản ngân hàng, nhưng khi mua hàng qua mạng thì sao? Lo ngại này đến nay vẫn chưa được quy định rõ ràng.
2. Khả năng bạn có thể tự kiểm soát dữ liệu của mình là không chắc chắn
Trong bài viết trước, Luật Khoa đã từng đề cập đến tình trạng không rõ ràng trong quy định về khả năng bạn có thể tiếp cận dữ liệu cá nhân của chính mình trong Cơ sở Dữ liệu Quốc gia về Dân cư. [5]
Cuối cùng thì việc này cũng đã được đề cập trong dự thảo thông tư nêu ở đầu bài viết. Dự thảo này có nhắc đến những dữ liệu cá nhân cụ thể mà một người có thể truy cập qua tin nhắn và các cổng dịch vụ công.
Cụ thể, dự thảo chỉ cho phép bạn truy cập những thông tin sau: tra cứu thông tin cá nhân; thẻ căn cước công dân điện tử (danh tính số trên thiết bị di động) và chữ ký số trong một số giao dịch trực tuyến được cho phép. (Xem phụ lục 2 đính kèm dự thảo).
Vấn đề của dự thảo này là chưa quy định “thông tin cá nhân” bao gồm những gì.
Cả Luật Căn cước Công dân năm 2014, Nghị định 37/2021/NĐ-CP (sửa đổi, bổ sung Nghị định 137/2015/NĐ-CP) về thi hành Luật Căn cước Công dân, và dự thảo Nghị định Bảo vệ Dữ liệu Cá nhân của Bộ Công an đều không định nghĩa về “thông tin cá nhân”. [6] [7] [8]
Tuy nhiên, rải rác tại một số văn bản pháp luật khác, thông tin cá nhân được định nghĩa như sau.
– Nghị định Ứng dụng Công nghệ Thông tin trong Hoạt động của Cơ quan Nhà nước năm 2007 quy định tại Điều 3.5: “thông tin cá nhân là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất một trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác”. [9]
– Nghị định về Thương mại Điện tử năm 2013 quy định tại Điều 3.13 “thông tin cá nhân là các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật”. [10]
– Luật An toàn Thông tin mạng năm 2015 quy định tại Điều 3.15 “thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể”. [11]
Như vậy, pháp luật Việt Nam hiện nay còn có nhiều định nghĩa khác nhau về thông tin cá nhân. Do đó, trong bối cảnh mới hiện nay, văn bản hướng dẫn của Bộ Công an về việc khai thác, sử dụng dữ liệu của bạn cần phải trả lời được câu hỏi: bộ này định nghĩa “thông tin cá nhân” là gì? Bên cạnh đó, thông tin cá nhân mà bạn được truy cập sẽ bao gồm những gì?
Quan trọng hơn, “thông tin cá nhân” có bao gồm những dữ liệu chuyên ngành cập nhật về bạn hay không (bảo hiểm, tài chính, y tế, đất đai, v.v) và dữ liệu cá nhân của bạn đang được chia sẻ cho những bên nào?
3. Không quy định thời hạn doanh nghiệp được xử lý, lưu trữ dữ liệu của bạn
Theo dự thảo thông tư nêu ở đầu bài viết, doanh nghiệp sẽ điền một mẫu đơn rất đơn giản để khai thác thông tin của bạn.
Theo mẫu đơn này, ngoài thông tin về đơn vị xin khai thác thông tin thì chỉ cần điền thêm ba mục khác là có thể khai thác thông tin của bạn, bao gồm: nội dung sản phẩm, dịch vụ cần cung cấp, mục đích sử dụng, và hình thức cung cấp.
Đáng chú ý, mẫu đơn này không yêu cầu đơn vị xin khai thác phải nêu rõ thời hạn khai thác thông tin hay sử dụng dịch vụ được cung cấp.
Điều này không đáp ứng Điểm b, Khoản 2, Điều 21, Luật Công nghệ Thông tin năm 2006 về trách nhiệm của tổ chức, cá nhân khi thu thập, xử lý và sử dụng thông tin cá nhân của người khác.
Theo điểm b của điều khoản trên, tổ chức, cá nhân phải “sử dụng đúng mục đích thông tin cá nhân thu thập được và chỉ lưu trữ những thông tin đó trong một khoảng thời gian nhất định theo quy định của pháp luật hoặc theo thoả thuận giữa hai bên”.
Bộ Công an cần giải thích có hay không thời hạn mà doanh nghiệp được phép khai thác dữ liệu cá nhân khi được cung cấp. Nếu không có thời hạn thì họ sẽ cần trả lời một câu hỏi khác: đâu là lý do chính đáng để không tuân thủ quy định của Luật Công nghệ Thông tin?
4. Tính minh bạch khi Bộ Công an độc quyền kiểm soát Cơ sở Dữ liệu Quốc gia về Dân cư
Hiện nay, Bộ Công an gần như bao trọn cả quy trình thu thập, xử lý, khai thác, chia sẻ dữ liệu cá nhân của toàn bộ dân cư.
Bên cạnh đó, các văn bản pháp luật liên quan đến dữ liệu cá nhân cũng do bộ này soạn thảo. Việc thu thập dữ liệu được giao cho công an các tỉnh, huyện, xã.
Hệ thống Cơ sở Dữ liệu Quốc gia về Dân cư do các doanh nghiệp của nhà nước thiết kế và xây dựng, bao gồm: Tập đoàn VNPT, HADIC (do VNPT sở hữu), Gtel ICT (một công ty của Bộ Công an). [12]
Trung tâm nghiên cứu có cái tên rất dài vừa ra mắt (Trung tâm NCDLDC và CCCD), nơi chịu trách nhiệm phát triển các giải pháp để phát triển chính phủ số, kinh tế số, xã hội số, bán các sản phẩm, dịch vụ cho doanh nghiệp, trực thuộc Trung tâm Dữ liệu Quốc gia về Dân cư, thuộc Cục Cảnh sát Quản lý Hành chính về Trật tự Xã hội, cũng thuộc Bộ Công an. Tập đoàn VNPT và Gtel ICT là đối tác của trung tâm này. [13]
Theo dự thảo Nghị định Bảo vệ Dữ liệu Cá nhân của Bộ Công an, các thành viên của Ủy ban Bảo vệ Dữ liệu đều là người do Bộ Công an quyết định bổ nhiệm sau khi được chính phủ đồng ý (Điều 23.2 của dự thảo). [14]
Hoạt động gần như độc quyền như vậy, liệu Bộ Công an có thể đảm bảo minh bạch trong hoạt động quản lý, khai thác dữ liệu cá nhân của gần 100 triệu cư dân?
Với việc ôm trọn này, Bộ Công an gần đây đã tự xác định cho mình một nhiệm vụ khá xa lạ với chức năng của ngành này: phát triển nền kinh tế số, xã hội số. [15]
Đọc thêm:
6 vấn đề nghiêm trọng về dữ liệu cá nhân trong thẻ căn cước gắn chip
Chính phủ âm thầm sửa nghị định về dữ liệu công dân: Đây là những gì bạn cần biết