Đề xuất sửa đổi eIDAS của châu Âu - Bài học nào cho Việt Nam trong tiến trình CĐS quốc gia?

Trong bài phát biểu ngày 16/9/2020, Chủ tịch Ủy ban châu Âu đã thông báo về tham vọng của Ủy ban trong việc cung cấp danh tính số an toàn và đáng tin cậy cho tất cả công dân EU: “Chúng tôi muốn có một bộ quy tắc đặt mọi người vào trung tâm, điều này bao gồm quyền kiểm soát dữ liệu cá nhân của chúng ta, điều mà ngày nay chúng ta vẫn còn rất hiếm khi có được. Mỗi khi một ứng dụng hoặc trang web yêu cầu chúng ta tạo danh tính số mới hoặc để dễ dàng đăng nhập thông qua một nền tảng lớn, chúng ta không biết điều gì sẽ xảy ra với dữ liệu của mình trong thực tế. Đó là lý do tại sao Ủy ban sẽ sớm đề xuất một danh tính điện tử châu Âu an toàn. Một điều mà chúng tôi tin tưởng với bất kỳ công dân nào cũng có thể sử dụng ở bất kỳ đâu ở châu Âu để làm bất cứ việc gì, từ đóng thuế đến thuê xe đạp. Một công nghệ mà chúng ta có thể tự kiểm soát dữ liệu và dữ liệu được sử dụng như thế nào”.

Hội đồng châu Âu tán thành tham vọng của Ủy ban, trong kết luận của Hội đồng châu Âu ngày 01/10/2020 đã nêu rõ “Sự phát triển của khuôn khổ toàn châu Âu về định danh điện tử công cộng, an toàn, bao gồm chữ ký số có thể tương tác liên thông, để cung cấp cho mọi người quyền kiểm soát danh tính và dữ liệu trực tuyến của họ cũng như cho phép truy cập vào và các dịch vụ số xuyên biên giới”. 

Định danh điện tử cho phép công dân và doanh nghiệp chứng minh họ là ai khi truy cập các dịch vụ trực tuyến. Các dịch vụ tin cậy, chẳng hạn như chữ ký điện tử, giúp các giao dịch trực tuyến trở nên an toàn, thuận tiện và hiệu quả hơn. Quy định eIDAS (eIDAS) là khuôn khổ xuyên biên giới duy nhất để định danh điện tử tin cậy (eID) về các thể nhân và pháp nhân cũng như các dịch vụ tin cậy. 

 eIDAS cho phép công nhận xuyên biên giới các định danh điện tử eID do chính phủ cấp để truy cập vào các dịch vụ công, với điều kiện eID đã được thông báo theo quy định eIDAS. eIDAS cũng thiết lập một thị trường EU cho các dịch vụ tin cậy được công nhận xuyên biên giới với tính chất pháp lý tương đương như các quy trình truyền thống dựa trên giấy.

Hiện trạng việc áp dụng eIDAS ở châu Âu 

Mặc dù eIDAS đóng một vai trò không thể tranh cãi trong thị trường nội bộ châu Âu, nhưng đã có rất nhiều thay đổi kể từ khi áp dụng. eIDAS, được thông qua vào năm 2014, dựa trên các hệ thống eID quốc gia tuân theo các tiêu chuẩn đa dạng và tập trung vào một phân khúc tương đối nhỏ trong nhu cầu nhận dạng điện tử của công dân và doanh nghiệp: truy cập an toàn xuyên biên giới vào các dịch vụ công. Các dịch vụ được nhắm mục tiêu chủ yếu liên quan đến 3% dân số của Liên minh châu Âu cư trú tại một Quốc gia thành viên khác với quốc gia họ sinh ra.

Các chương trình eID quốc gia có tỷ lệ chấp nhận xuyên biên giới thấp, hiện nay chỉ có 19 quốc gia đã thông báo các chương trình eID của họ ở cấp độ EU, do đó, các chương trình eID được thông báo chỉ bao gồm khoảng 59% dân số EU. Ngoài ra, các yêu cầu về chứng nhận lại khác nhau giữa các quốc gia thành viên EU, vì vậy, việc chấp nhận và liên thông tương tác của các eID được thông báo ở cấp độ EU là thấp, ứng dụng các eID xuyên biên giới có phạm vi quá hẹp, tính ứng dụng là tối thiểu và các giao thức liên kết không mở rộng quy mô. 

Cũng có những lo ngại về quyền riêng tư. Tất cả các danh tính điện tử, thường là chứng thư số, chứa một tập hợp các thuộc tính về chủ sở hữu. Công dân không thể giới hạn thuộc tính eID nào họ muốn xuất trình để xác thực, đôi khi chỉ cần xuất trình một thuộc tính cụ thể (chẳng hạn như tuổi). Tuy nhiên, các chương trình eID trong nước thành công hơn rất nhiều. Đặc biệt, các tổ chức tư nhân cung cấp dịch vụ phát hành eID đang xử lý hàng tỷ xác thực và chữ ký số mỗi năm ở mỗi quốc gia. 

Kể từ khi ban hành quy định eIDAS 2014, việc số hóa tất cả các chức năng của xã hội đã tăng lên đáng kể, không những thế, đại dịch COVID-19 đã ảnh hưởng rất mạnh đến tốc độ số hóa. Một cuộc khảo sát của McKinsey cho thấy COVID-19 đã tăng tốc quá trình số hóa 7 năm trên toàn cầu. Kết quả là, việc cung cấp cả dịch vụ công và dịch vụ tư nhân trên môi trường số ngày càng mạnh mẽ. Kỳ vọng của người dân và doanh nghiệp là đạt được tính bảo mật cao và thuận tiện cho bất kỳ hoạt động trực tuyến nào như nộp tờ khai thuế, đăng ký vào trường đại học nước ngoài, mở tài khoản ngân hàng từ xa hoặc yêu cầu vay, thuê xe, thành lập doanh nghiệp ở các nước thành viên khác ở châu Âu, xác thực cho các khoản thanh toán qua Internet, thầu trực tuyến và hơn thế nữa.

Do đó, nhu cầu về các phương tiện để định danh và xác thực trực tuyến, cũng như trao đổi thông tin liên quan đến danh tính số, thuộc tính hoặc chứng nhận (danh tính, địa chỉ, tuổi, nhưng cũng như bằng cấp, chứng chỉ nghề, giấy phép lái xe và các giấy phép khác và hệ thống thanh toán), an toàn và với mức độ bảo vệ dữ liệu cao, đã tăng lên cao. Điều này đã kích hoạt một sự thay đổi mô hình, hướng tới các giải pháp tiên tiến và tiện lợi có thể tích hợp các dữ liệu và chứng chỉ có thể xác minh được khác nhau của người dùng.

Người dùng mong đợi một môi trường tự xác định phương tiện có thể lưu trữ và chia sẻ nhiều loại chứng thư xác thực và thuộc tính khác nhau, chẳng hạn như thẻ eID quốc gia, chứng chỉ nghề nghiệp, thẻ giao thông công cộng hoặc trong một số trường hợp, thậm chí cả vé xem hòa nhạc. Đây gọi là ví, được quản lý thông qua thiết bị di động của người dùng, cho phép truy cập an toàn và dễ dàng vào các dịch vụ khác nhau, cả công khai và riêng tư, dưới sự kiểm soát toàn bộ của người dùng. 

Ngày nay, nhu cầu này không thể được đáp ứng bởi các eID và các dịch vụ tin cậy theo quy định của eIDAS, với những hạn chế hiện tại. Liên quan đến các phương tiện định danh hoặc xác thực, được phát triển bởi khu vực tư nhân bên ngoài khuôn khổ eIDAS, chúng chỉ giải đáp được một phần thách thức này. Mặc dù cũng là cung cấp các dịch vụ xác thực của bên thứ ba thân thiện với người dùng (ví dụ: sử dụng tài khoản Facebook hoặc Google để đăng nhập vào các dịch vụ khác nhau), nhưng thông thường truy cập vào các dịch vụ trực tuyến khu vực tư không được kiểm soát và không yêu cầu mức độ bảo mật cao. Tài khoản mạng xã hội không thể cung cấp cùng một mức độ chắc chắn về mặt pháp lý, bảo vệ dữ liệu và quyền riêng tư, chủ yếu là do nhà cung cấp tự khẳng định và không thể cung cấp liên kết đến eID do chính phủ cấp đáng tin cậy và an toàn. Khi đó, liên quan đến việc trao đổi các thuộc tính danh tính số hoặc chứng chỉ trong khu vực công và hay tư nhân đều là thiếu các hiệu lực pháp lý xuyên biên giới.

Vào tháng 02/2020, Ủy ban đã cam kết trong Chiến lược Định hình Tương lai số của châu Âu sẽ sửa đổi Quy định eIDAS nhằm nâng cao hiệu quả, mở rộng ứng dụng cho khu vực tư nhân và thúc đẩy danh tính số đáng tin cậy cho tất cả công dân và doanh nghiệp của Liên minh châu Âu. Tính cấp thiết của việc sửa đổi này đã trở nên rõ ràng khi đại dịch COVID-19 bùng phát. Sự gián đoạn đối với các dịch vụ công và dịch vụ tư nhân ngoại tuyến, cũng như nhu cầu đột xuất truy cập và sử dụng tất cả các loại dịch vụ công và tư trực tuyến, đã cho thấy sự thất bại của eIDAS trong việc cung cấp các lợi ích mong đợi cho người dân, doanh nghiệp và chính phủ sau sáu năm kể từ khi áp dụng. Do đó, đa số người trả lời trong bản Tham vấn cộng đồng mở đồng ý rằng eIDAS nên được tăng cường mạnh hơn. 

Quy định eIDAS được sửa đổi và tăng cường mạnh hơn sẽ có thể đáp ứng các nhu cầu mới của thị trường và xã hội bằng cách giải quyết nhu cầu về các giải pháp liên kết eID đáng tin cậy của chính phủ, cũng như đối với các thuộc tính và chứng chỉ xác thực do khu vực công và tư nhân cung cấp, tất cả đều được quản lý hoàn toàn bởi người dùng và được công nhận trên toàn Liên minh châu Âu để tiếp cận cả dịch vụ công và dịch vụ tư nhân.

Điều này sẽ hỗ trợ một số lượng lớn các khuôn khổ quy định hiện có hoặc được đề xuất củng cố Thị trường chung của EU, chẳng hạn như việc liên tục củng cố khuôn khổ về chống rửa tiền của EU, giấy phép lái xe kỹ thuật số của châu Âu trong tương lai, Hộ chiếu an sinh xã hội châu Âu trong tương lai, Đồng tiền Euro kỹ thuật số, Môi trường một cửa hàng hải của châu Âu, Quy định về Thông tin vận tải hàng hóa điện tử hoặc sáng kiến phát triển môi trường Cơ chế một cửa của EU cho hải quan. 

Đại dịch COVID-19 cũng nêu bật tiềm năng của danh tính số để hỗ trợ sự phục hồi và khả năng phục hồi của nền kinh tế châu Âu. Các khoản đầu tư thông minh vào công nghệ số, trong đó có eID và các dịch vụ tin cậy, là một trong những trụ cột cho Kế hoạch Phục hồi của Liên minh châu Âu. Một khuôn khổ châu Âu mạnh mẽ hơn và rộng hơn để cung cấp các giải pháp định danh điện tử đáng tin cậy được củng cố bởi danh tính có tính pháp lý do các Quốc gia thành viên cung cấp có thể thúc đẩy thương mại toàn cầu và hỗ trợ lợi thế cạnh tranh của các doanh nghiệp có trụ sở tại EU. 

Điều này có thể thúc đẩy lợi thế cạnh tranh của các doanh nghiệp châu Âu trên toàn cầu, thông qua việc số hóa mạnh mẽ hơn (và do đó mang lại hiệu quả và hiệu lực) trong việc cung cấp dịch vụ của họ. Hơn nữa, nó cũng có thể kích hoạt sự phát triển của các thị trường xuyên biên giới mới liên quan đến danh tính, chẳng hạn như thị trường cung cấp và trao đổi các thuộc tính liên quan đến danh tính (ví dụ: tên, địa chỉ và tuổi, chứng chỉ y tế hoặc các loại thông tin khác được liên kết với một người chẳng hạn như bằng cấp chuyên nghiệp hoặc bằng lái xe kỹ thuật số).

Tóm lại vấn đề nảy sinh bao gồm: 

Do nhu cầu ngày càng tăng của các dịch vụ công và dịch vụ tư về danh tính số tin cậy và trao đổi các thuộc tính danh tính số không được đáp ứng. 

Kỳ vọng hiện tại của người dùng về các giải pháp thông suốt, liền mạch và đáng tin cậy để xác định và chia sẻ các thuộc tính xuyên biên giới không được đáp ứng. 

Các mối quan tâm về bảo mật và kiểm soát dữ liệu không được giải quyết đầy đủ bằng các giải pháp định danh số hiện tại. 

Các điều kiện không bình đẳng đối với việc cung cấp các dịch vụ tin cậy và phạm vi của quy định eIDAS là không đủ. 

Nguyên nhân 

Bối cảnh thay đổi do sự phát triển của công nghệ, thị trường và xã hội đã kích hoạt nhu cầu của người dùng và thị trường mới.

Một số điểm yếu của Quy định eIDAS xuất hiện như: 

- Việc thông báo của các Quốc gia thành viên về các chương trình eID (mô hình hoạt động, mô hình kỹ thuật,…) theo eIDAS là tự nguyện và quá trình này rất phức tạp; 

- Các nhà cung cấp tư nhân về các thuộc tính danh tính số không phải tuân theo một khuôn khổ quy định hài hòa để đảm bảo sự tin cậy và bảo mật xuyên biên giới (điểm yếu về quy định); 

- Các điều kiện đa dạng và không hiệu quả đối với các nhà cung cấp dịch vụ trực tuyến tư nhân không thể dựa vào các eID đáng tin cậy và an toàn xuyên biên giới; 

- Bộ dữ liệu danh tính do eIDAS cung cấp quá hạn chế và cứng nhắc; 

- Không phải tất cả các Quốc gia thành viên đều thông báo eID quốc gia và mở cho khu vực tư nhân vì lý do trong nước hoặc vì thiếu động lực; 

- Diễn giải không nhất quán, áp dụng khác nhau và không chấp nhận Quy định eIDAS liên quan đến chứng thư xác thực cho website. 

Quy định eIDAS hiện tại của EU về các tiêu chuẩn kỹ thuật để vận hành các nhà cung cấp dịch vụ tin cậy đủ điều kiện (QTSP) được coi là hoạt động bình thường (đúng đắn), mặc dù một số khoảng cách về kỹ thuật và pháp lý cần được đóng lại gần nhau hơn. Tuy nhiên, khi quy định về eIDAS được soạn vào năm 2014, không có tiêu chuẩn sẵn có nào về cách vận hành thiết bị ký bởi nhà cung cấp dịch vụ tin cậy trong một môi trường an toàn. Vì vậy, khuôn khổ pháp lý eIDAS đã không quy định cách người dùng có thể xác thực một cách an toàn với nhà cung cấp dịch vụ ký để giành quyền kiểm soát duy nhất đối với quy trình ký.

Một số nội dung đề xuất mới về eIDAS của Ủy ban châu Âu 

a) Bắt buộc các quốc gia thành viên EU phải cung cấp ví danh tính số của EU 

Cải tiến đáng kể nhất là ví danh tính số của EU, sẽ được cung cấp cho tất cả công dân EU. Các trường hợp sử dụng cho ví danh tính số của Liên minh châu Âu, ví dụ như giấy phép lái xe điện tử, hộ chiếu điện tử, thẻ định danh ID quốc gia điện tử, định danh cho các dịch vụ trực tuyến hoặc ký kết hợp đồng, thỏa thuận bằng kỹ thuật số. 

Mỗi quốc gia thành viên EU sẽ bắt buộc phải cung cấp miễn phí ví danh tính số của EU cho tất cả công dân, trái ngược với tình hình hiện tại khi các chương trình eID là tự nguyện. Các tổ chức tư nhân cũng sẽ được phép phát hành ví danh tính số của Liên minh châu Âu, trái ngược với tình trạng hiện tại mà các cơ quan cấp chứng nhận quốc gia đang thống trị việc phát hành thẻ eID. Quyền riêng tư của công dân sẽ là một chủ đề quan trọng đối với quy định eIDAS sửa đổi. Công dân sẽ tự nguyện nhận được ví danh tính số của Liên minh châu Âu và người dùng cũng có thể chọn thuộc tính nào (chẳng hạn như tuổi) mà họ muốn hiển thị trình cho bên xác thực.

b) Thiết lập hộp công cụ chung sẽ chuẩn hóa ví danh tính số của EU

Ủy ban châu Âu sẽ hợp tác với các Quốc gia thành viên để thiết lập Hộp công cụ chung vào tháng 10 năm 2022. Hộp công cụ này phải bao gồm kiến trúc kỹ thuật, tiêu chuẩn và hướng dẫn cho ví danh tính số của Liên minh châu Âu. 

Các tiêu chuẩn kỹ thuật của ví danh tính số của Liên minh châu Âu và Hộp công cụ liên quan vẫn chưa được nêu rõ, mặc dù có các tham chiếu trong báo cáo eIDAS về một số tiêu chuẩn và sáng kiến. Các tiêu chuẩn W3C về danh tính phân tán và Chứng chỉ xác thực có thể xác minh được đề cập đến như là nền tảng kỹ thuật tiềm năng của ví danh tính số của Liên minh châu Âu. Đối với cơ sở hạ tầng blockchain của EU, các ứng cử viên là hạ tầng dịch vụ chuỗi khối châu Âu (EBSI), Đối tác chuỗi khối châu Âu (EBP) và Khung định danh tự chủ của châu Âu (ESSIF). Chứng thư xác thực số Europass và Sáng kiến chứng chỉ xác thực COVID-19 (CCI) cũng có thể được tính đến cho Hộp công cụ.

c) Cải thiện dịch vụ chữ ký số từ xa 

Để đảm bảo kiểm soát duy nhất các quy trình ký từ xa an toàn, quy định eIDAS sẽ được cập nhật với các tham chiếu đến tiêu chuẩn CEN quy định hoạt động, vận hành và xác thực cho các thiết bị tạo chữ ký đủ điều kiện từ xa. Hình dưới minh họa hoạt động của phương án ưu tiên được mô tả: người dùng kiểm soát việc cung cấp các thuộc tính danh tính số dựa trên eID quốc gia. Chứng thực các thuộc tính bởi các nhà cung cấp thuộc tính/chứng thư xác thực dựa trên các xác nhận chính thức dựa trên các nguồn dữ liệu đáng tin cậy ở các Quốc gia thành viên. Sử dụng ví, người dùng có thể định danh, xác thực và cung cấp các thuộc tính đã được chứng thực cho các nhà cung cấp dịch vụ cho nhiều trường hợp sử dụng.

Theo phương án ưu tiên, các khối xây dựng sau sẽ đạt được các mục tiêu đã đặt ra: Thiết lập hệ sinh thái app ví danh tính số cá nhân châu Âu bằng cách:

- Ủy quyền cho các Quốc gia thành viên hoặc các nhà cung cấp dịch vụ tin cậy đủ điều kiện để triển khai; 

- Thiết lập các tiêu chuẩn chung cho ví danh tính số châu Âu với mục đích đảm bảo khả năng tương tác với các tổ chức cung cấp dịch vụ tin cậy đủ điều kiện (QTSP) và các nhà cung cấp dịch vụ. Ngoài ra, các tiêu chuẩn tham chiếu sẽ được yêu cầu để đảm bảo tuân thủ các yêu cầu về an toàn, bảo mật và chức năng được đặt ra trong Quy định sửa đổi.

Cho phép trao đổi dữ liệu danh tính số xuyên biên giới và liên kết mạnh mẽ, đáng tin cậy giữa dữ liệu danh tính số và Wallet app bằng cách: 

- Mở rộng phạm vi của Quy định với Dịch vụ tin cậy đủ điều kiện mới giúp cho việc trao đổi an toàn dữ liệu được liên kết với danh tính; 

- Yêu cầu các Quốc gia thành viên cung cấp dữ liệu có sẵn được lưu trữ trong các nguồn dữ liệu được xác thực, dưới sự kiểm soát hoàn toàn của người dùng, để trao đổi an toàn dữ liệu được liên kết với danh tính. Đây là điều kiện tiên quyết để các nhà cung cấp dịch vụ tin cậy đủ điều kiện cung cấp các thuộc tính và thông tin xác thực; 

- Đặt ra các yêu cầu an toàn, bảo mật và tiêu chuẩn kỹ thuật chung để trao đổi dữ liệu an toàn được liên kết với danh tính; 

- Xác định hiệu lực pháp lý của danh tính số đảm bảo rằng chứng thư xác thực danh tính số được công nhận xuyên biên giới và không bị từ chối hiệu lực pháp lý;

- Yêu cầu các lĩnh vực cấp phép (được quản lý) dựa trên chứng thư xác thực số đủ điều kiện để cải thiện việc sử dụng xuyên biên giới các chứng thư đủ điều kiện; 

- Tăng cường các yêu cầu an toàn, bảo mật để công nhận lẫn nhau và đảm bảo rằng các thành phần thiết yếu cho an toàn, bảo mật của ví phải được chứng nhận phù hợp với các tiêu chuẩn an toàn, bảo mật mạng hiện đại nhất; 

- Mở rộng tập dữ liệu định danh người được công nhận xuyên biên giới để nhân lên các cơ hội của người dùng dựa vào ví danh tính số.

Đảm bảo tính đáng tin cậy xuyên biên giới của ứng dụng ví (wallet app) bằng cách liên kết ứng dụng với eID được các Quốc gia thành viên thông báo: 

- Thiết lập nghĩa vụ cho các Quốc gia thành viên trong việc cung cấp eID và thông báo cho họ theo eIDAS, được hỗ trợ bởi một thủ tục thông báo hợp. 

Đảm bảo bảo vệ dữ liệu người dùng và người dùng toàn quyền kiểm soát đối với dữ liệu danh tính bằng cách: 

- Thiết lập các yêu cầu pháp lý để đảm bảo việc bảo vệ dữ liệu cá nhân, các quy tắc áp dụng cho các tổ chức cấp phát chứng thư xác thực đủ điều kiện sẽ đảm bảo lấy người dùng làm trung tâm và bảo vệ dữ liệu cá nhân; 

- Tăng cường các yêu cầu an toàn, bảo mật để công nhận lẫn nhau sẽ đảm bảo rằng Wallet app được trang bị mức an toàn, bảo mật cao nhất để bao gồm các trường hợp sử dụng trực tuyến ở tất cả các cấp độ đảm bảo;

- Xây dựng dựa trên những nỗ lực chung của khu vực công và tư nhân để cung cấp cho công dân và doanh nghiệp EU một hệ sinh thái các hệ thống danh tính số an toàn và đáng tin cậy, đảm bảo sự hài hòa và tính khả dụng phổ biến của các phương tiện eID ở EU. Hệ sinh thái này sẽ dựa trên ba trụ cột: các chương trình eID quốc gia được thông báo bởi eIDAS, một dịch vụ tin cậy đủ điều kiện để trao đổi dữ liệu an toàn được liên kết với danh tính và ví EUeID cùng đảm bảo tính khả dụng phổ biến, khả năng sử dụng rộng rãi của các phương tiện eID ở EU và quyền kiểm soát của người dùng đối với dữ liệu cá nhân; 

- Cung cấp một khung tham chiếu chung cho sự tin cậy, bảo mật và các nghĩa vụ tối thiểu đối với các nhà cung cấp dịch vụ để hỗ trợ sự chấp nhận phổ biến đối với eID ở EU; 

- Tăng cường quyền kiểm soát và quyền riêng tư của người dùng, cho phép công dân kiểm soát việc cung cấp và sử dụng dữ liệu danh tính dựa trên chứng chỉ xác thực được cấp bởi các Quốc gia thành viên.

Phương án ưu tiên không vượt quá những gì cần thiết để giải quyết các vấn đề đã xác định và tương xứng với việc đạt được các mục tiêu của nó: 

- Đề xuất ưu tiên sẽ được xây dựng dựa trên các chương trình eID đã được thông báo hiện có và vai trò hiện có của các Quốc gia thành viên với tư cách là cơ quan giám sát để đảm bảo mức độ tin cậy cao phù hợp với khuôn khổ đã được thống nhất chung; 

- Đề xuất ưu tiên sẽ không hạn chế vai trò của các Quốc gia thành viên với vai trò là cơ quan cấp mã định danh đã được xác minh cũng như đề xuất các biện pháp ảnh hưởng đến mức độ đảm bảo cho việc tiếp cận các dịch vụ công trực tuyến ở EU. Các phương pháp tiếp cận sử dụng và cung cấp chứng chỉ xác thực, chứng nhận và thuộc tính của danh tính xác minh được nhằm tạo ra sự cân bằng giữa quy định của Liên minh châu Âu và lợi ích chính sách công của các Quốc gia thành viên; 

- Đề xuất ưu tiên chấp nhận bằng chứng trong tương lai vì nó là không thể không biết về nội dung và công nghệ, cung cấp cho công dân một giải pháp danh tính số khả chuyển hỗ trợ xu hướng hiện tại hướng tới danh tính số lấy người dùng làm trung tâm hơn trên các nền tảng di động và an toàn cho phép người dùng chứng minh họ là ai và xác minh các khai nhận trong vô số các trường hợp sử dụng xuyên biên giới; 

- Điều đó cũng thích ứng phù hợp với những phát triển thị trường gần đây nhất và gắn vào phương pháp tiếp cận linh hoạt nhất hiện nay để tích hợp eID đáng tin cậy và an toàn do các Quốc gia thành viên cung cấp và các thuộc tính danh tính được cung cấp bởi số lượng không giới hạn nhà cung cấp có khả năng; 

- Ngoài ra, đề xuất ưu tiên này mở ra cho những thay đổi trong tương lai trong môi trường công nghệ và pháp lý vì các biện pháp mang tính trung lập về mặt công nghệ và để lại cơ hội cho việc thực hiện chung thông qua một bộ tiêu chuẩn và tham chiếu kỹ thuật chung đã được thống nhất với các Quốc gia thành viên. Bằng cách xây dựng dựa trên các tiêu chuẩn ngành có sẵn, thời gian thực hiện sẽ giảm xuống và đảm bảo tính thân thiện với đổi mới và sự thích ứng với các nhu cầu thay đổi. Các cơ chế rà soát sẽ giảm thiểu hơn nữa rủi ro rằng các tiêu chuẩn và tham chiếu kỹ thuật bị tụt hậu so với sự phát triển tiến bộ của công nghệ.

Mô tả sơ bộ hình thức triển khai kỹ thuật ví danh tính số 

Phát triển ứng dụng ví danh tính số trên di động cho từng nền tảng (Google Play Store, Apple App Store, Microsoft Store, Huawei AppGallery, v.v.). Ứng dụng (app) sẽ phải đáp ứng các yêu cầu liên quan của các cửa hàng ứng dụng (app store) tương ứng; 

Thiết kế kiến trúc bảo mật của ứng dụng để ứng dụng đáp ứng mức độ an toàn, bảo mật cần thiết theo luật của Liên minh châu Âu (xem bên dưới) để cung cấp Ví danh tính số châu Âu, bao gồm khả năng lưu trữ các khóa mật mã. Nhà cung cấp dịch vụ sẽ quyết định dựa vào yếu tố phần cứng được nhúng trong thiết bị (eSE) hay thẻ SIM được nhúng (eSIM). Trong trường hợp eSE, các nhà sản xuất thiết bị di động sẽ phải cung cấp quyền truy cập vào eSE. Đối với thẻ SIM, phải đạt được các thỏa thuận với tất cả các nhà khai thác mạng di động có liên quan. 

Nhà cung cấp ứng dụng cũng sẽ cần dự kiến các thỏa thuận với các nhà cung cấp chứng chỉ xác thực và nhà cung cấp dịch vụ liên quan bao gồm các khía cạnh về trách nhiệm pháp lý, lập hóa đơn, khả năng tương tác liên thông, tính khả dụng, sẵn sàng, hỗ trợ, v.v..; Các thỏa thuận quản trị cụ thể để đảm bảo việc triển khai nhất quán và hiệu quả có thể phải được đồng ý như một phần của khung tham chiếu cho Ví danh tính số châu Âu (xem biện pháp 2 bên dưới). 

Nhà cung cấp sẽ cần thực hiện các biện pháp tổ chức để đối phó với các sự cố và cung cấp hỗ trợ khách hàng cho các nhà cung cấp chứng thư xác thực, nhà cung cấp dịch vụ và người dùng cuối. 

Liên kết ví danh tính số châu Âu với danh tính chính thức 

Sau khi tải xuống ứng dụng ví từ một cửa hàng ứng dụng, nhà cung cấp ví sẽ đảm bảo ví có thể được liên kết với eID được thông báo của người dùng để dịch vụ được công nhận ở cấp độ đủ điều kiện và đảm bảo nó có thể nhận và trao đổi các thuộc tính và chứng chỉ xác thực đủ điều kiện hoặc cho phép người dùng tạo chữ ký điện tử đủ điều kiện. 

Có hai khả năng để thiết lập liên kết này, tùy thuộc vào việc quốc gia cư trú của người dùng đã thông báo chương trình eID quốc gia theo eIDAS hay chưa: 

- Các nhà cung cấp ví danh tính số châu Âu sẽ liên kết bằng kỹ thuật số của ví với eID quốc gia của người dùng. Không cần thêm giấy tờ chứng minh danh tính hoặc quy trình định danh. 

- Liên kết có thể được thiết lập bằng hình thức hiện diện hoặc các phương tiện xác minh từ xa tương đương, tuân theo các quy tắc yêu cầu mức độ đảm bảo cao. Các tham chiếu kỹ thuật cho các thủ tục này sẽ được thiết lập khi thực hiện các hành vi.

Bài học nào cho Việt Nam để thúc đẩy tiến trình chuyển đổi số quốc gia? 

Việt Nam đang trong giai đoạn xây dựng đề xuất sửa đổi Luật Giao dịch điện tử 2005 để thúc đẩy chuyển đổi số quốc gia. Các bài học về những vấn đề như quy định eIDAS 2014 của châu Âu mặc dù đã được bổ sung, sửa đổi nhưng đến nay vẫn gặp phải sự chưa theo kịp với sự phát triển công nghệ, thị trường, nhu cầu giao dịch điện tử trong khu vực tư nhân, đặc biệt là khi đại dịch COVID-19 hoành hành thì nhu cầu áp dụng giao dịch điện tử, triển khai chuyển đổi số tăng mạnh ở các lĩnh vực của đời sống. 

Các nội dung đề xuất của Ủy ban châu Âu sửa đổi bổ sung eIDAS giai đoạn tới là những nội dung rất cần thiết và có tính tương lai. Đặc biệt là việc đề xuất xây dựng một Ví danh tính số cho mọi người dân và doanh nghiệp để lưu trữ danh tính số, bằng chứng số, các chứng chỉ số đã được xác minh bởi cơ quan có thẩm quyền nhằm giúp cho người dân và doanh nghiệp dễ dàng sử dụng để xác thực với các nhà cung cấp dịch vụ số trong khu vực công và khu vực tư là rất đáng học tập để thúc đẩy chuyển đổi số toàn diện. Việc xây dựng Ví danh tính số cũng bảo được giải quyết được các vấn đề về quyền riêng tư của người dân, doanh nghiệp, tổ chức khi chia sẻ thông tin trên môi trường số./.

Tài liệu tham khảo:

1. 2020 - 2021 lessons learned - The impact of eIDAS on the adoption of remote signing: https://blog.ascertia.com/2020-2021-lessons-learned-the-impact-of-eidas-on-the-adoption-of-remote-signing

2. European Commission: Digital Strategy: eIDAS Regulation: https://digital-strategy.ec. europa.eu/en/policies/eidas-regulation

3. EU unveils plan for new digital ID wallet: https://p.dw.com/p/3uOOP

4. Proposal to amend the eIDAS regulation: New horizon for the European electronic identification: https://www.twobirds.com/en/news/articles/2021/global/proposal-to-amend-the-eidas-regulation

(Bài đăng ấn phẩm in Tạp chí TT&TT số 11/tháng 11/2021)