Mã QR riêng và bảo mật dữ liệu cá nhân

Lê Thị Minh Thư| 19/09/2021 09:39
Theo dõi ICTVietnam trên

Theo Chiến lược phát triển chính phủ điện tử hướng tới Chính phủ số giai đoạn 2021-2025, định hướng đến năm 2030 được Thủ tướng phê duyệt tại Quyết định 942/QĐ-TTg ngày 15-6-2021 (Quyết định 942), mỗi công dân sẽ có danh tính số kèm theo mã QR riêng(1).

Theo Chiến lược phát triển chính phủ điện tử hướng tới Chính phủ số giai đoạn 2021-2025, định hướng đến năm 2030 được Thủ tướng phê duyệt tại Quyết định 942/QĐ-TTg ngày 15-6-2021 (Quyết định 942), mỗi công dân sẽ có danh tính số kèm theo mã QR riêng(1).

Mã QR tích hợp các dữ liệu cá nhân (DLCN) bao gồm họ tên, ngày tháng năm sinh, giới tính, địa chỉ số chứng minh nhân dân/căn cước công dân… Ngoài mã QR riêng, mỗi công dân còn có hồ sơ số về sức khỏe cá nhân; mỗi học sinh/sinh viên có hồ sơ số về việc học tập.

Với mã QR và hồ sơ số xây dựng thành hệ thống cơ sở dữ liệu quốc gia, Nhà nước có thể hiện đại hóa phương thức quản lý công dân, phù hợp với khuynh hướng phát triển của thế giới số. Tuy nhiên, việc áp dụng mã QR ở Việt Nam khi chưa có sự phát triển tương thích về khoa học công nghệ đang đặt ra những thách thức về tính bảo mật và tính pháp lý, cần được xem xét kỹ lưỡng.

Mã QR riêng và bảo mật dữ liệu cá nhân - Ảnh 1.

DLCN có thể không được đảm bảo trong mã QR

Mã QR (Quick Response – phản hồi nhanh) được hiểu là thông tin được mã hóa dưới dạng một mã vạch ma trận. Khi dùng các thiết bị điện tử thì ma trận này sẽ được giải mã nhanh chóng và cung cấp thông tin mã hóa cho người đọc. Mã QR có đặc điểm là dễ tạo và dễ tiếp cận nên được sử dụng khá phổ biến, dễ bắt gặp nhất là trong quảng cáo trên tạp chí, trên băng ghế công viên, xe buýt, trên bao bì sản phẩm hay bất kỳ sản phẩm vật lý nào, để cung cấp thông tin chi tiết cho người tiêu dùng.

Theo dự thảo Nghị định Chính phủ quy định về bảo vệ DLCN, DLCN là những dữ liệu có liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể, bao gồm DLCN cơ bản (ngày tháng năm sinh, địa chỉ, số chứng minh nhân dân…) và DLCN nhạy cảm (quan điểm chính trị, tôn giáo, tình trạng sức khỏe, sinh trắc học…).

Để thực hiện mục tiêu hướng tới chính phủ điện tử, trong tương lai, cả hai loại DLCN này có thể được mã hóa trong mã QR, tuy nhiên, DLCN có nguy cơ bị xâm phạm. Cụ thể, chúng dễ dàng bị tiết lộ, rò rỉ chỉ bằng những thao tác đơn giản trên thiết bị điện tử có thể đọc được mã QR, như điện thoại di động. Hoặc chúng có thể bị các cá nhân xử lý DLCN thu thập, trao đổi, giao dịch mà không được sự đồng ý của chủ sở hữu; hoặc bị các đối tượng xấu tấn công, đánh cắp để phục vụ cho việc lừa đảo, phạm tội, giả mạo danh tính, tống tiền…

Trên thế giới, việc sử dụng mã QR mã hóa DLCN chưa được nhiều quốc gia sử dụng cũng chính bởi họ lo ngại tính bảo mật của nó. Thay vào đó, Mỹ đã và đang sử dụng hộ chiếu và căn cước công dân điện tử hoặc các loại chứng minh nhân dân có gắn các thiết bị hỗ trợ điện tử; một số nước như Pháp, Argentina, Bulgaria, Panama, Estonia… sử dụng chứng minh nhân dân có gắn chip(2) được thiết kế để tích hợp DLCN của chủ sở hữu.

Năm ngoái từng có chuyện DLCN trong mã QR bị tiết lộ ở New South Wales (Úc). Để xác định nơi ở và theo dõi sự tiếp xúc của công dân với các ca dương tính với Covid-19, chính quyền bang này đã phát triển hệ thống mã QR trong ứng dụng Dịch vụ NSW(3), yêu cầu công dân ghi lại sự có mặt của họ khi vào một địa điểm nào đó thông qua quá trình đọc mã QR của ứng dụng này(4).

Mặc dù có đảm bảo về sự bảo mật hợp lý, nhưng dịch vụ NSW cũng đã xác nhận DLCN của 186.000 khách hàng và nhân viên bị rò rỉ (5) sau một cuộc tấn công mạng hồi tháng 3 đến đầu tháng 4-2020, ước tính có đến 736GB dữ liệu bị rò rỉ, có khả năng tiêu tốn tới 35 triệu đô la Mỹ để khắc phục hậu quả, tính đến tháng 3-2021(6).

Chưa rõ các thông tin này đã trực tuyến trong bao lâu, những ai đã truy cập chúng hay đã có hành vi phạm tội nào được thực hiện hay chưa, nhưng đó là một lời nhắc nhở rằng, cho dù bảo mật mạng có tốt đến đâu thì dữ liệu vẫn có thể bị lỗi và đôi khi dẫn đến rò rỉ khi DLCN được mã hóa trong một mã QR.

Ở Việt Nam hiện nay, trước sự bùng nổ các nền tảng công nghệ thông tin, DLCN vốn đã và đang rất dễ bị xâm phạm, thậm chí được đem trao đổi, mua bán vô cùng phức tạp. Nếu sắp tới triển khai áp dụng mã QR mà không có những bước nghiên cứu kỹ lưỡng, DLCN sẽ dễ bị xâm phạm hơn nữa.

Hành lang pháp lý bảo vệ DLCN

Điều 21 Hiến pháp 2013 quy định mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân, bí mật gia đình, và các thông tin có liên quan được pháp luật bảo vệ. Dưới Hiến pháp, Bộ luật Dân sự ở điều 38 cũng quy định “đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ”.

Về luật chuyên ngành, điều 16 và 17 Luật An toàn thông tin mạng quy định tổ chức, cá nhân nào xử lý thông tin cá nhân thì có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý và phải xây dựng, công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân và chỉ thu thập thông tin cá nhân sau khi có sự đồng ý của chủ sở hữu thông tin đó.

Về chế tài, hành vi xâm phạm DLCN có thể bị buộc bồi thường thiệt hại, xử phạt vi phạm hành chính hoặc bị truy cứu trách nhiệm hình sự, tùy thuộc vào tính chất, mức độ nguy hiểm và hậu quả do hành vi vi phạm gây ra. Về trách nhiệm hành chính, Nghị định 98/2020/NĐ-CP của Chính phủ quy định mức phạt tiền từ 40-60 triệu đồng đối với một số hành vi vi phạm của tổ chức đối với thông tin của người tiêu dùng.

Về truy cứu trách nhiệm hình sự, điều 159 Bộ luật Hình sự quy định “xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt tù tới ba năm. Điều 288 Bộ luật này cũng quy định “tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” sẽ chịu mức hình phạt cao nhất là bảy năm tù giam. Tuy nhiên, hai loại tội danh này lại chưa được quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật có liên quan tới DLCN đang diễn ra như hiện nay.

Theo chúng tôi, việc bảo vệ DLCN hiện nay được quy định rải rác trong các văn bản pháp luật khác nhau, mức độ vi phạm và chế tài cũng chưa được quy định chi tiết, cụ thể và thiếu tính khả thi trên thực tế vì khó xác định hành vi vi phạm, khó hiểu và khó áp dụng. Một khi sử dụng mã QR trong các hoạt động thường ngày, các cá nhân sẽ vô tình tự nguyện tiết lộ công khai DLCN một cách thường xuyên.

Mặc dù dự thảo nghị định về bảo vệ DLCN đã có những bước tiến vượt bậc, nhưng vẫn còn những câu hỏi được đặt ra trong các tình huống áp dụng mã QR cá nhân, như hành vi nào là hành vi xâm phạm về DLCN; luật nào sẽ được áp dụng; sẽ xử lý ra sao, xử lý ai… Do vậy, cần nghiên cứu để luật hóa thành những quy định mang tính thực tế và chi tiết thì khi đưa vào áp dụng mới khả thi.

Đề xuất

Để tránh rủi ro DLCN bị tiết lộ khi mỗi công dân có mã QR riêng, trong khi thiết kế và hoàn thiện mã QR, các cơ quan nhà nước cần phối hợp với các doanh nghiệp công nghệ thông tin lớn xây dựng một quy trình tiếp cận DLCN một cách gắt gao. Bên cạnh đó có thể triển khai các biện pháp yêu cầu xác minh danh tính đối với các thiết bị (hoặc cá nhân, tổ chức xử lý DLCN) có quyền truy cập vào mã QR, và thông báo xác nhận cho công dân về phiên đăng nhập, và đặt giới hạn thời gian (thường là trong vòng 2-3 phút) cho mỗi phiên đăng nhập.

Các tổ chức có khả năng đọc mã QR có thể tích hợp sẵn tính năng bảo mật trong ứng dụng của họ để giúp phát hiện kịp thời và ngăn chặn các tài khoản giả mạo sử dụng mã QR của người khác.

Về phía công dân, nên hạn chế hoặc không cho phép các chủ thể khác sử dụng mã QR của mình và nâng cao cảnh giác khi thực hiện mọi giao dịch hàng ngày, cũng như khi giải quyết các thủ tục hành chính hay hoạt động trên mạng Internet.

(*) Công ty Luật Phuoc & Partners

(1)http://baochinhphu.vn/Chi-dao-quyet-dinh-cua-Chinh-phu-Thu-tuong-Chinh-phu/Chien-luoc-phat-trien-Chinh-phu-dien-tu-huong-toi-Chinh-phu-so-giai-doan-20212025/434941.vgp

(2)https://en.wikipedia.org/wiki/List_of_national_identity_card_policies_by_country

(3) https://www.service.nsw.gov.au/covid-safe-check-businesses-faqs

(4) https://baouc.com.au/ung-dung-service-nsw-ngung-hoat-dong-a39621.html

(5) https://www.smh.com.au/national/nsw/data-of-186-000-customers-leaked-in-service-nsw-cyber-attack-20200907-p55t7g.html

(6) https://www.itnews.com.au/news/service-nsw-unable-to-notify-54000-customers-impacted-by-cyber-attack-562675



Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
Mã QR riêng và bảo mật dữ liệu cá nhân
POWERED BY ONECMS - A PRODUCT OF NEKO