Định danh và xác thực điện tử - Nền tảng cho chuyển đổi số

Theo đánh giá của Ngân hàng thế giới, hiện nay có khoảng 3,2 tỉ người có định danh và sử dụng chúng trong môi trường số, còn McKinsey dự đoán, vào năm 2030, định danh số có tiềm năng tạo ra giá trị kinh tế tương đương 6% GDP ở các nền kinh tế mới nổi và 3% ở các nền kinh tế trưởng thành.

Chuyển đổi số

Nguyễn Thiện Nghĩa (Giám đốc Trung tâm Chứng thực điện tử quốc gia – Bộ Thông tin và Truyền thông)
09:26 AM 15/03/2021
In bài viết này

Chia sẻ bài viết này

Định danh và xác thực điện tử giúp khẳng định chính xác danh tính số hợp pháp của người thực hiện giao dịch, nâng cao độ bảo mật và tin tưởng giữa cả người dân, chính quyền và doanh nghiệp (DN) trên môi trường số. Định danh và xác thực điện tử đã trở thành nền tảng cho chuyển đổi số.

1. Danh tính, định danh và xác thực điện tử - vai trò và lợi ích trong môi trường số

Theo ước tính của Ngân hàng thế giới, hiện nay có khoảng 1 tỷ người không được định danh, 3,4 tỉ người có định danh nhưng còn giới hạn khả năng sử dụng trong thới giới số. 3,2 tỉ người còn lại có định danh và sử dụng chúng trong môi trường số. Định danh điện tử hứa hẹn tạo ra giá trị kinh tế bằng cách thúc đẩy tăng cường hòa nhập, mang lại khả năng tiếp cận hàng hóa và dịch vụ nhiều hơn; tăng cường quy trình hóa, giúp giảm gian lận danh tính, duy trì quyền hạn và tăng tính minh bạch và thúc đẩy số hóa, thúc đẩy tính năng động và dễ sử dụng của các dịch vụ được cung cấp.

Định danh và xác thực điện tử - Nền tảng cho chuyển đổi số  - Ảnh 1.

Hình 1. Sử dụng danh tính số trong cuộc sống

Theo báo cáo của McKinsey, thống kê tại Brazil, Trung Quốc, Ethiopia, Ấn Độ, Nigeria, Vương quốc Anh và Hoa Kỳ chỉ ra rằng các quốc gia có thể đạt được giá trị kinh tế tương đương từ 3% - 13% GDP vào năm 2030 từ việc triển khai các chương trình định danh và xác thực điện tử. Ở các nền kinh tế mới nổi, chỉ riêng định danh điện tử cơ bản có thể mở khóa 50% - 70% tiềm năng kinh tế với giả sử tỷ lệ ứng dụng khoảng 70%. McKinsey dự đoán, vào năm 2030, định danh điện tử có tiềm năng tạo ra giá trị kinh tế tương đương 6% GDP ở các nền kinh tế mới nổi và 3% ở các nền kinh tế đã phát triển.

Danh tính (Identity) là một hoặc nhiều thuộc tính miêu tả duy nhất một đối tượng/thực thể trong một ngữ cảnh cụ thể.

Danh tính số (Digital Identity) danh tính của một thực thể đủ chi tiết để phân biệt thực thể đó trong một ngữ cảnh số.

Danh tính số của một người thể bao gồm nhiều thuộc tính: dữ liệu tiểu sử (như: tên, tuổi, giới tính, địa chỉ,…), dữ liệu sinh trắc học (như: vân tay, mống mắt,…) cũng như các thuộc tính mở rộng khác liên quan đến những người đó làm hoặc điều đó người khác biết về nhân đó. Khi những dữ liệu này được thu thập xác minh, chúng thể được sử dụng để xác định một người bằng cách trả lời câu hỏi "Bạn ai?". Các thuộc tính này, cùng với thông tin xác thực do nhà cung cấp dịch vụ cấp (như: số ID duy nhất, eDocument, eID, mobile ID) sau đó cũng thể được sử dụng làm yếu tố xác thực để trả lời câu hỏi "Bạn phải người bạn tuyên b không?". Các thuộc tính và yếu t c thực được s dụng trong danh tính số thể thay đổi tùy theo ngữ cảnh hoặc tùy thuộc mỗi hệ thống nhận dạng.

Định danh (Identification) là quá trình thiết lập, xác định hoặc công nhận danh tính của một đối tượng.

Định danh điện tử (Electronic Identification) là quá trình thiết lập, xác định hoặc công nhận danh tính số của một đối tượng.

Xác thực điện tử (Authentication) là quá trình xác minh điện tử đối với danh tính một thực thể. Thực thể có thể người sử dụng máy tính/điện thoại, là chính máy tính/điện thoại hoặc là một chương trình máy tính/ ứng dụng điện thoại. Xác thực là cách đảm bảo là người sử dụng đang định thực hiện các chức năng của hệ thống đúng thật là người sử dụng đã được cho quyền làm điều đó.

Hiện nay, danh tính số đã và đang được sử dụng rộng rãi tại các dịch vụ trong nhiều lĩnh vực của cuộc sống hàng ngày, từ y tế, giáo dục, thương mại điện tử, đô thị thông minh cho tới giải trí, giao dịch xã hội,... Hình 1 thể hiện bức tranh về sử dụng định danh và xác thực điện tử trong cuộc sống hàng ngày.

Từ thực tế trên cho thấy, danh tính số, định danh và xác thực điện tử có vai trò hết sức quan trọng cuộc sống và là nền tảng của chuyển đổi số (CĐS), cụ thể đối với từng nhóm đối tượng như sau: Đối với cơ quan Chính phủ: Danh tính số là một yếu tố quyết định cho việc CĐS các dịch vụ của chính phủ và là một khối chức năng nền tảng cho kinh tế số. Danh tính số được triển khai chính xác sẽ cung cấp sự tin tưởng (niềm tin, sự tin cậy) cho các dịch vụ khi giao dịch với người dùng, giảm trùng lặp giữa các cơ quan chính phủ, đơn giản hóa việc triển khai cho các nhà cung cấp dịch vụ, cụ thể: 

(i) Đảm bảo tính sẵn sàng của các dịch vụ công trực tuyến (DVCTT) (24/7). 

(ii) Giảm thiểu những sai sót, gian lận của con người trong quá trình thực hiện xác thực danh tính; Đảm bảo quyền tiếp cận thông tin, tiếp cận dịch vụ công của nhiều cá nhân, tổ chức, nhiều nhóm đối tượng người dùng khác nhau, đặc biệt là người dùng ở các khu vực vùng sâu, vùng xa, biên giới, hải đảo hoặc những người khuyết tật và những người làm việc trong khu vực kinh tế chưa được quản lý. 

(iii) Nâng cao hiệu quả hoạt động của Chính phủ: việc duy trì hệ thống quản lý nhận dạng và xác thực điện tử giúp giải phóng nhân lực về cả thời gian và nỗ lực, tạo điều kiện để nhân lực trong khối cơ quan chính phủ tập trung cho việc cung cấp và nâng cao chất lượng dịch vụ. 

(iv) Giảm chi phí vận hành: nhờ cắt giảm nhu cầu xác thực danh tính qua hình thức gặp gỡ trực tiếp, quy trình nghiệp vụ được rút ngắn, một số quy trình được số hóa hoàn toàn nhờ đó chi phí vận hành được cắt giảm. 

(v) Tăng cường tính minh bạch, trách nhiệm giải trình của các cơ quan chính phủ. 

(vi) Cải thiện cung cấp dịch vụ: Chính phủ quản lý và cung cấp dịch vụ hiệu quả và trải rộng hơn, tiếp cận được nhiều đối tượng hơn, đảm bảo sự phát triển và lợi ích của toàn xã hội. Chính phủ cũng có cơ sở dữ liệu ít trùng lặp, ít dữ liệu ảo từ đó đảm bảo tính hiệu quả và tiết kiệm chi phí.

Định danh và xác thực điện tử - Nền tảng cho chuyển đổi số  - Ảnh 3.

Hình 2. Tổng thể một hệ thống định danh và xác thực điện tử

(vii) Đảm bảo an toàn: Đảm bảo giảm tính gian lận, đặc biệt là gian lận về danh tính. 

(viii) Danh tính số cũng tạo ra khả năng cho thương mại, thanh toán quốc tế, và các sáng tạo các dịch vụ xuyên biên giới được triển khai. Điều này sẽ hỗ trợ thanh toán xuyên biên giới, tăng khả năng bảo vệ dữ liệu trong các giao dịch thương mại quốc tế và tạo môi trường cho các doanh nhân thiết lập các đề xuất kinh doanh sáng tạo nhằm thúc đẩy mở rộng nền kinh tế số. 

 Đối với DN: (i) Cải thiện chất lượng dịch vụ theo hướng lấy khách hàng làm trung tâm. (ii) Đảm bảo an toàn cho các giao dịch số, giảm thiệt hại cho các DN từ các vụ gian lận, trộm cắp danh tính; (iii) Mở ra cơ hội kinh doanh mới cho các DN, đặc biệt trong lĩnh vực tài chính ngân hàng. (iv) Cắt giảm chi phí và thời gian vận hành: các DN có thể giảm chi phí mà họ phải duy trì để tiếp cận với khách hàng và xác thực định danh của khách hàng như giảm nhân sự, giảm điểm giao dịch, giảm giấy tờ và thời gian cần thiết để hoàn thành yêu cầu của người dùng…

Đối với người sử dụng dịch vụ (bao gồm cơ quan Chính phủ, DN và người dân, trong đó người dân là đối tượng được hưởng lợi nhiều nhất từ việc xây dựng hệ thống định danh và xác thực điện tử thông qua nhiều vai trò như: là công dân được bảo đảm quyền lợi theo pháp luật, là người sở hữu danh tính, là đối tượng quản lý của các chính sách Pháp luật và Nhà nước, là người lao động trong DN hoặc cơ quan chính phủ, là khách hàng…): (i) Được đảm bảo an toàn về danh tính. Được chủ động quản lý, sử dụng, cho phép sử dụng các dữ liệu cá nhân của mình một cách dễ dàng, hiệu quả. (ii) Gia tăng mức độ hài lòng và hưởng thụ các dịch vụ số: người dân và DN được trao quyền và chủ động hơn trong việc lựa chọn cách thức tiếp cận dịch vụ. (iii) Gia tăng tính thuận tiện của dịch vụ, tiết kiệm chi phí thực hiện dịch vụ.

2. Hệ thống định danh và xác thực điện tử và môi trường phát triển

Danh tính số tồn tại trên một mạng máy tính, trên đó cho phép thực hiện giao dịch giữa các thực thể trong nội bộ mạng đó. Những mạng máy tính này có xu hướng phát triển cho các nhóm người sử dụng có nhu cầu và đặc điểm tương tự nhau.

Gian lận, trộm cắp danh tính

Theo từ điển Oxford, trộm cắp danh tính là một hành vi phạm tội trong việc lấy thông tin nhận dạng cá nhân, thường là để thu lợi tài chính.

Trước sự tăng trưởng của các giao dịch điện tử, các nhà cung cấp dịch vụ phải đối diện với thách thức rất lớn về tính an toàn, đảm bảo về danh tính của các đối tượng giao dịch và xác thực định danh. Theo Báo cáo về các gian lận xác thực năm 2019 của Hãng nghiên cứu và Chiến lược Javelin (Mỹ), số lượng người dùng tại Mỹ là nạn nhân của các vụ trộm cắp danh tính là 14,4 triệu người, trong đó 3,3 triệu người chịu ảnh hưởng từ những thiệt hại liên quan đến họ và tổng giá trị thiệt hại là 1,7 tỷ đô la Mỹ năm 2018. Hệ thống định danh và xác thực điện tử cho phép cung cấp cho người dùng một công cụ an toàn để bảo vệ danh tính của mình và hỗ trợ các DN nhanh chóng nhận diện các giao dịch trái phép.

Hệ thống phục vụ cho việc thực hiện giao dịch danh tính số giữa các thực thể gọi là hệ thống định danh và xác thực điện tử (hệ thống nhận dạng). Mục đích của những hệ thống nhận dạng là cho phép các người sử dụng (thực thể/đối tượng) không có quan hệ (không biết nhau) trước đó tham gia vào các giao dịch tin cậy.

Trong hệ thống định danh và xác thực điện tử, các thuộc tính của người sử dụng được bên thứ ba tin đáng cậy (có thể là một hoặc nhiều cơ quan/tổ chức) chứng thực. Các bên thứ ba này phát hành các thông tin định danh điện tử và phương thức xác thực gắn với một đối tượng. Người dùng có thể dùng các thông tin xác thực tham gia vào các giao dịch mà trong đó các đối tượng giao dịch khác yêu cầu người dùng chứng minh danh tính (xác thực điện tử).

 Mỗi hệ thống định danh và xác thực điện tử bao gồm 4 vai trò và 1 chức năng chính để hoạt động là: Người sử dụng, các Tổ chức cung cấp danh tính số (Digital Identity Provider - IdP), các Bên tin tưởng (Relying Party - RP) - các tổ chức cung cấp dịch vụ điện tử sử dụng dịch vụ từ IdP, Cơ quan quản lý nhà nước và Nền tảng trao đổi thuộc tính (chức năng). Trong đó: 

- Người sử dụng: là đối tượng được hệ thống cung cấp danh tính số để cho phép tham gia thực hiện các giao dịch điện tử.

- Tổ chức cung cấp danh tính số: là tổ chức nắm giữ các thuộc tính xác thực của người sử dụng, cung cấp dịch vụ thiết lập danh tính số, xác thực danh tính người dùng và các dịch vụ khác liên quan phục vụ giao dịch điện tử. Ví dụ: Bộ Công an, ngân hàng, cơ quan bảo hiểm, công ty viễn thông,…

- Bên tin tưởng: là các tổ chức, cá nhân chấp nhận chứng thực từ nhà cung cấp danh tính về danh tính người dùng để cho phép người dùng truy cập, sử dụng dịch vụ của họ. Ví dụ: cơ quan cung cấp dịch vụ công trực tuyến.

- Cơ quan quản lý nhà nước: là cơ quan thực hiện việc giám sát và đưa ra các tiêu chuẩn, quy định cho việc định danh và xác thực điện tử.

- Nền tảng trao đổi thuộc tính: thực hiện việc hoàn thành các giao dịch bằng cách đối sánh các truy vấn nhận dạng từ Bên tin tưởng với các thuộc tính từ Tổ chức cung cấp danh tính, trao đổi thuộc tính hoặc bằng chứng nhận dạng.

Trong hệ thống định danh và xác thực điện tử, việc đảm bảo an toàn danh tính số/định danh số là vấn đề đầu tiên. Theo chuyên gia của các tổ chức Omdyar Network, Open Society Foundations, Rockefeller Foundation, Ngân hàng thế giới và Diễn đàn kinh tế thế giới, một danh tính số đảm bảo an toàn cần phải đảm bảo 4 yếu tố sau:

(i). Được xác minh và xác thực ở mực độ đảm bảo cao: Đáp ứng các tiêu chuẩn khi đăng ký định danh mới và các bước xác nhận sau đó để sử dụng với vô số mục đích như mở tài khoản ngân hàng…. Mức độ đảm bảo cao duy trì việc đáp ứng các tiêu chuẩn mỗi khi định danh số được xác thực. Yếu tố này không phụ thuộc cụ thể vào loại công nghệ được áp dụng. Các yếu tố xác thực đảm bảo cao có thể bao gồm sinh trắc học, mật khẩu, mã QR, và các thiết bị thông minh với các thông tin định danh được tích hợp bên trong.

 (ii). Duy nhất: Với một danh tính số duy nhất, một cá nhân chỉ có một danh tính trong hệ thống, và mỗi danh tính trong hệ thống tương quan duy nhất với một cá thể.

 (iii). Được thiết lập với sự đồng ý của cá nhân đó: Sự chấp thuận có nghĩa là các cá nhân biết việc tạo lập danh tính số và sử dụng danh tính số với các thông tin cá nhân có thể đi kèm và họ biết các thông tin sẽ được dùng như thế nào. 

(iV). Đảm bảo quyền riêng tư và kiểm soát thông tin cá nhân: Thiết lập cơ chế bảo vệ quyền riêng tư khi cho phép người dùng truy cập thông tin cá nhân của họ, quyền quyết định của chủ sở hữu các thông tin đó với sự minh bạch khi truy cập.  

Để xây dựng và phát triển hệ thống định danh và xác thực điện tử cho một quốc gia được hiệu quả, việc tạo dựng môi trường pháp lý hay Khung danh tính số quốc gia là hết sức quan trọng. Khung danh tính số quốc gia là tập hợp các chính sách, quy định của pháp luật; quy trình, thủ tục; tiêu chuẩn kỹ thuật; công nghệ và các thành phần khác để xây dựng, thiết lập môi trường phát triển, sử dụng định danh số một cách tin cậy trong các hoạt động giao dịch điện tử. Khung Danh tính số quốc gia sẽ làm rõ một số nội dung quan trọng sau đây:

  - Một là, hình thành các tổ chức cung cấp danh tính số (IdP). Trong đó, Primary IdP là tổ chức nguyên gốc, chính yếu cung cấp dịch vụ trực tiếp từ CSDL quốc gia về dân cư (CSDL về CCCD) và Secondary IdP là tổ chức thứ cấp cung cấp dịch vụ trên cơ sở Primary ID, ví dụ như các Nhà mạng di động cung cấp danh tính số (Digital ID) trên cơ sở CSDL thuê bao được thiết lập ban đầu dựa trên thông tin nhận dạng cá nhân là chứng minh nhân dân/căn cước công dân (CMND/CCCD).

  - Hai là, Mô hình Danh tính số quốc gia (National Digital Identity Scheme) được xây dựng theo hướng mô hình định danh liên hợp (Federated Identification Model). Dịch vụ từ các IdP được tích hợp và sử dụng rộng rãi bởi các tổ chức cung cấp dịch vụ trực tuyến thông qua hệ thống National Digital Identity Exchange.  

  - Ba là, Digital Identity Framework sẽ tạo môi trường cho Hệ sinh thái về danh tính số phát triển (Digital Identity  Ecosystem) với các thành phần cơ bản là tổ chức cung cấp danh tính số (IdP), tổ chức cung cấp dữ liệu thuộc tính (Attribute Provider - AP), các bên tin tưởng (RP) và cơ quan quản lý nhà nước (Accreditation Authority) thực hiện chức năng thẩm định và cấp phép dịch vụ cho các IdP.

- Bốn là, phương pháp luận đánh giá rủi ro nhất quán để xác định yêu cầu về mức độ đảm bảo (LoA) của các dịch vụ trực tuyến, cũng như của dịch vụ do IdP cung cấp và các nguyên tắc về đảm bảo an toàn thông tin cá nhân khi cung cấp, chia sẻ thông tin danh tính cá nhân, tổ chức theo hướng mọi thông tin cá nhân chỉ được chia sẻ khi có sự đồng ý tường minh của người dùng.

3. Tình hình triển khai định danh và xác thực điện tử tại Việt Nam

Trong thời gian qua, Đảng và Nhà nước đã có nhiều chủ trương, chính sách thúc đẩy mạnh mẽ việc ứng dụng và phát triển công nghệ thông tin và truyền thông (CNTT-TT) trong phát triển kinh tế - xã hội, đặc biệt là tham gia cuộc Cách mạng công nghiệp (CMCN) 4.0 và CĐS nhằm phát triển kinh tế số, chính quyền điện tử, tiến tới chính quyền số, xã hội số. Tại các văn bản quan trọng như Nghị quyết số 52- NQ/TW ngày 27/9/2019 của Bộ Chính trị về một số chủ trương, chính sách chủ động tham gia cuộc CMCN lần thứ tư, Quyết định số 749/QĐ-TTg ngày 6/3/2020 của Thủ tướng Chính phủ phê duyệt Chương trình CĐS quốc gia đến năm 2025, định hướng 2030, đều xác định danh tính số, định danh và xác thực điện tử là yếu tố nền tảng cho CĐS.

Hiện nay ở Việt Nam, các điều kiện cơ bản để đẩy mạnh định danh và xác thực điện tử đã được đáp ứng. Các điều kiện đó là:

- Có tổ chức với hạ tầng CNTT đủ mạnh để lưu trữ danh tính của người dân. Hiện nay, Tổng công ty Bưu điện Việt Nam, Bảo hiểm Xã hội Việt Nam, các nhà mạng viễn thông, v.v.. đã cơ bản thiết lập được CSDL về khách hàng, có sự xác thực danh tính của khách hàng. CSDL về khách hàng của các tổ chức trên được khẳng định trong các văn bản quy phạm pháp luật chuyên ngành. Cần phải nhận định thêm rằng, việc tạo lập danh tính cho mỗi công dân Việt Nam không đồng nghĩa với dịch vụ định danh điện tử. Dịch vụ định danh điện tử giúp khẳng định danh tính đang được sử dụng để giao dịch trực tuyến là có tồn tại và được pháp luật công nhận (thông qua CMND hoặc CCCD hoặc hộ chiếu).

- Có tổ chức với hạ tầng CNTT đủ mạnh để xác thực người dùng. Khi đã chứng minh được danh tính đang sử dụng để giao dịch là danh tính hợp pháp, người dân cần chứng minh đúng là mình đang thực hiện giao dịch. Theo các hệ thống xác thực điện tử đang áp dụng trên thế giới (châu Âu eIDAS, Mỹ NIST), người dân có thể xác thực qua nhiều phương thức trên môi trường điện tử (mật khẩu, vân tay, thiết bị mật mã, …). Các tổ chức định danh điện tử tại Việt Nam như Tổng công ty Bưu điện Việt Nam, Bảo hiểm Xã hội Việt Nam, các nhà mạng viễn thông... hoàn toàn có đủ hạ tầng CNTT để đảm bảo việc xác thực này.

- Có một chính quyền số cởi mở và sẵn sàng kết nối. Dưới sự chỉ đạo quyết liệt của Chính phủ, Thủ tướng Chính phủ, với vai trò là đầu mối của Bộ Thông tin và Truyền thông, các hệ thống CNTT trong Chính phủ điện tử cơ bản sẵn sàng kết nối với dịch vụ định danh và xác thực điện tử, tạo thành một chuỗi liên thông trong việc giải quyết thủ tục hành chính trực tuyến cũng như cung cấp cấp các dịch vụ trực tuyến khác.

Tuy nhiên, hiện nay, tại Việt Nam, ngoài chữ ký số, vẫn đang thiếu Khung danh tính quốc gia để làm nền tảng cho việc thiết lập môi trường phát triển định danh và xác thực điện tử tin cậy cho các hoạt động giao dịch điện tử trên môi trường số. Đây là vấn đề lớn đặt ra cho các cơ quan quản lý nhà nước cần giải quyết ngay trong thời gian tới.

Lời kết

CĐS làm hình thành nên một thế giới số tồn tại song hành với thế giới hữu hình nhưng ưu thế hơn về mặt năng suất, hiệu quả, năng lực số không bị giới hạn, khoảng cách về mặt không gian vật lý không tồn tại… Con người (với vai trò là thực thể quan trọng nhất của xã hội) cần phải được bảo vệ thống nhất về tính mạng, tài sản, quyền và lợi ích hợp pháp, chính đáng dù sự hiện diện của họ ở thế giới vật lý hay thế giới số. Danh tính số có vai trò nền tảng trong chuyển đổi cách thức cung cấp dịch vụ trên môi trường điện tử, môi trường số. 

Vì vậy, việc xây dựng Khung danh tính số quốc gia, xây dựng nền tảng định danh và xác thực an toàn cần được xem là nội dung tiên quyết và cần thực hiện ngay để phục vụ công cuộc CĐS của Việt Nam trong thời kỳ mới.

Tài liệu tham khảo:

1. GSMA, Digital Identities – Advancing digital societies in Asia Pacific, 6/2018.

2. McKinsey Global Institute, "Digital identification: A key to inclusive growth", 4/2019.

3. World Economic Forum, "A Blue print for Digital Identity", 8/2016.

4. World Economic Forum, "Identity in a Digital World: A new chapter in the social contract", 9/2018.

5. World Bank, "G20 Digital Identity Onboarding", 2018.

6. Tiêu chuẩn ISO/IEC 29115 hướng dẫn 04 mức độ đảm bảo xác thực cho giao dịch điện tử từ LoA1 – LoA4 (LoA: Level of Assurance).

(Bài đăng ấn phẩm in Tạp chí TT&TT Số 2 tháng 2/2021)