Mã QR riêng và bảo mật dữ liệu cá nhân

Theo Chiến lược phát triển chính phủ điện tử hướng tới Chính phủ số giai đoạn 2021-2025, định hướng đến năm 2030 được Thủ tướng phê duyệt tại Quyết định 942/QĐ-TTg ngày 15-6-2021 (Quyết định 942), mỗi công dân sẽ có danh tính số kèm theo mã QR riêng⁽¹⁾.

Mã QR tích hợp các dữ liệu cá nhân (DLCN) bao gồm họ tên, ngày tháng năm sinh, giới tính, địa chỉ số chứng minh nhân dân/căn cước công dân… Ngoài mã QR riêng, mỗi công dân còn có hồ sơ số về sức khỏe cá nhân; mỗi học sinh/sinh viên có hồ sơ số về việc học tập.

Với mã QR và hồ sơ số xây dựng thành hệ thống cơ sở dữ liệu quốc gia, Nhà nước có thể hiện đại hóa phương thức quản lý công dân, phù hợp với khuynh hướng phát triển của thế giới số. Tuy nhiên, việc áp dụng mã QR ở Việt Nam khi chưa có sự phát triển tương thích về khoa học công nghệ đang đặt ra những thách thức về tính bảo mật và tính pháp lý, cần được xem xét kỹ lưỡng.

Mã QR (Quick Response – phản hồi nhanh) được hiểu là thông tin được mã hóa dưới dạng một mã vạch ma trận. Khi dùng các thiết bị điện tử thì ma trận này sẽ được giải mã nhanh chóng và cung cấp thông tin mã hóa cho người đọc. Mã QR có đặc điểm là dễ tạo và dễ tiếp cận nên được sử dụng khá phổ biến, dễ bắt gặp nhất là trong quảng cáo trên tạp chí, trên băng ghế công viên, xe buýt, trên bao bì sản phẩm hay bất kỳ sản phẩm vật lý nào, để cung cấp thông tin chi tiết cho người tiêu dùng.

Theo dự thảo Nghị định Chính phủ quy định về bảo vệ DLCN, DLCN là những dữ liệu có liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể, bao gồm DLCN cơ bản (ngày tháng năm sinh, địa chỉ, số chứng minh nhân dân…) và DLCN nhạy cảm (quan điểm chính trị, tôn giáo, tình trạng sức khỏe, sinh trắc học…).

Để thực hiện mục tiêu hướng tới chính phủ điện tử, trong tương lai, cả hai loại DLCN này có thể được mã hóa trong mã QR, tuy nhiên, DLCN có nguy cơ bị xâm phạm. Cụ thể, chúng dễ dàng bị tiết lộ, rò rỉ chỉ bằng những thao tác đơn giản trên thiết bị điện tử có thể đọc được mã QR, như điện thoại di động. Hoặc chúng có thể bị các cá nhân xử lý DLCN thu thập, trao đổi, giao dịch mà không được sự đồng ý của chủ sở hữu; hoặc bị các đối tượng xấu tấn công, đánh cắp để phục vụ cho việc lừa đảo, phạm tội, giả mạo danh tính, tống tiền…

Trên thế giới, việc sử dụng mã QR mã hóa DLCN chưa được nhiều quốc gia sử dụng cũng chính bởi họ lo ngại tính bảo mật của nó. Thay vào đó, Mỹ đã và đang sử dụng hộ chiếu và căn cước công dân điện tử hoặc các loại chứng minh nhân dân có gắn các thiết bị hỗ trợ điện tử; một số nước như Pháp, Argentina, Bulgaria, Panama, Estonia… sử dụng chứng minh nhân dân có gắn chip⁽²⁾ được thiết kế để tích hợp DLCN của chủ sở hữu.

Năm ngoái từng có chuyện DLCN trong mã QR bị tiết lộ ở New South Wales (Úc). Để xác định nơi ở và theo dõi sự tiếp xúc của công dân với các ca dương tính với Covid-19, chính quyền bang này đã phát triển hệ thống mã QR trong ứng dụng Dịch vụ NSW⁽³⁾, yêu cầu công dân ghi lại sự có mặt của họ khi vào một địa điểm nào đó thông qua quá trình đọc mã QR của ứng dụng này⁽⁴⁾.

Mặc dù có đảm bảo về sự bảo mật hợp lý, nhưng dịch vụ NSW cũng đã xác nhận DLCN của 186.000 khách hàng và nhân viên bị rò rỉ ⁽⁵⁾ sau một cuộc tấn công mạng hồi tháng 3 đến đầu tháng 4-2020, ước tính có đến 736GB dữ liệu bị rò rỉ, có khả năng tiêu tốn tới 35 triệu đô la Mỹ để khắc phục hậu quả, tính đến tháng 3-2021^(6).

Chưa rõ các thông tin này đã trực tuyến trong bao lâu, những ai đã truy cập chúng hay đã có hành vi phạm tội nào được thực hiện hay chưa, nhưng đó là một lời nhắc nhở rằng, cho dù bảo mật mạng có tốt đến đâu thì dữ liệu vẫn có thể bị lỗi và đôi khi dẫn đến rò rỉ khi DLCN được mã hóa trong một mã QR.

Ở Việt Nam hiện nay, trước sự bùng nổ các nền tảng công nghệ thông tin, DLCN vốn đã và đang rất dễ bị xâm phạm, thậm chí được đem trao đổi, mua bán vô cùng phức tạp. Nếu sắp tới triển khai áp dụng mã QR mà không có những bước nghiên cứu kỹ lưỡng, DLCN sẽ dễ bị xâm phạm hơn nữa.

Hành lang pháp lý bảo vệ DLCN

Điều 21 Hiến pháp 2013 quy định mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân, bí mật gia đình, và các thông tin có liên quan được pháp luật bảo vệ. Dưới Hiến pháp, Bộ luật Dân sự ở điều 38 cũng quy định “đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ”.

Về luật chuyên ngành, điều 16 và 17 Luật An toàn thông tin mạng quy định tổ chức, cá nhân nào xử lý thông tin cá nhân thì có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý và phải xây dựng, công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân và chỉ thu thập thông tin cá nhân sau khi có sự đồng ý của chủ sở hữu thông tin đó.

Về chế tài, hành vi xâm phạm DLCN có thể bị buộc bồi thường thiệt hại, xử phạt vi phạm hành chính hoặc bị truy cứu trách nhiệm hình sự, tùy thuộc vào tính chất, mức độ nguy hiểm và hậu quả do hành vi vi phạm gây ra. Về trách nhiệm hành chính, Nghị định 98/2020/NĐ-CP của Chính phủ quy định mức phạt tiền từ 40-60 triệu đồng đối với một số hành vi vi phạm của tổ chức đối với thông tin của người tiêu dùng.

Về truy cứu trách nhiệm hình sự, điều 159 Bộ luật Hình sự quy định “xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt tù tới ba năm. Điều 288 Bộ luật này cũng quy định “tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” sẽ chịu mức hình phạt cao nhất là bảy năm tù giam. Tuy nhiên, hai loại tội danh này lại chưa được quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật có liên quan tới DLCN đang diễn ra như hiện nay.

Theo chúng tôi, việc bảo vệ DLCN hiện nay được quy định rải rác trong các văn bản pháp luật khác nhau, mức độ vi phạm và chế tài cũng chưa được quy định chi tiết, cụ thể và thiếu tính khả thi trên thực tế vì khó xác định hành vi vi phạm, khó hiểu và khó áp dụng. Một khi sử dụng mã QR trong các hoạt động thường ngày, các cá nhân sẽ vô tình tự nguyện tiết lộ công khai DLCN một cách thường xuyên.

Mặc dù dự thảo nghị định về bảo vệ DLCN đã có những bước tiến vượt bậc, nhưng vẫn còn những câu hỏi được đặt ra trong các tình huống áp dụng mã QR cá nhân, như hành vi nào là hành vi xâm phạm về DLCN; luật nào sẽ được áp dụng; sẽ xử lý ra sao, xử lý ai… Do vậy, cần nghiên cứu để luật hóa thành những quy định mang tính thực tế và chi tiết thì khi đưa vào áp dụng mới khả thi.

Đề xuất

Để tránh rủi ro DLCN bị tiết lộ khi mỗi công dân có mã QR riêng, trong khi thiết kế và hoàn thiện mã QR, các cơ quan nhà nước cần phối hợp với các doanh nghiệp công nghệ thông tin lớn xây dựng một quy trình tiếp cận DLCN một cách gắt gao. Bên cạnh đó có thể triển khai các biện pháp yêu cầu xác minh danh tính đối với các thiết bị (hoặc cá nhân, tổ chức xử lý DLCN) có quyền truy cập vào mã QR, và thông báo xác nhận cho công dân về phiên đăng nhập, và đặt giới hạn thời gian (thường là trong vòng 2-3 phút) cho mỗi phiên đăng nhập.

Các tổ chức có khả năng đọc mã QR có thể tích hợp sẵn tính năng bảo mật trong ứng dụng của họ để giúp phát hiện kịp thời và ngăn chặn các tài khoản giả mạo sử dụng mã QR của người khác.

Về phía công dân, nên hạn chế hoặc không cho phép các chủ thể khác sử dụng mã QR của mình và nâng cao cảnh giác khi thực hiện mọi giao dịch hàng ngày, cũng như khi giải quyết các thủ tục hành chính hay hoạt động trên mạng Internet.

^(*) Công ty Luật Phuoc & Partners

⁽¹⁾http://baochinhphu.vn/Chi-dao-quyet-dinh-cua-Chinh-phu-Thu-tuong-Chinh-phu/Chien-luoc-phat-trien-Chinh-phu-dien-tu-huong-toi-Chinh-phu-so-giai-doan-20212025/434941.vgp

⁽²⁾https://en.wikipedia.org/wiki/List_of_national_identity_card_policies_by_country

⁽³⁾ https://www.service.nsw.gov.au/covid-safe-check-businesses-faqs

⁽⁴⁾ https://baouc.com.au/ung-dung-service-nsw-ngung-hoat-dong-a39621.html

⁽⁵⁾ https://www.smh.com.au/national/nsw/data-of-186-000-customers-leaked-in-service-nsw-cyber-attack-20200907-p55t7g.html

⁽⁶⁾ https://www.itnews.com.au/news/service-nsw-unable-to-notify-54000-customers-impacted-by-cyber-attack-562675