Đầu Tháng Bảy 2024, người dân Việt Nam bất ngờ trước thông báo yêu cầu khai báo dữ liệu sinh trắc học trên app ngân hàng và bắt buộc xác thực khuôn mặt cho các giao dịch trên 10 triệu đồng. Quy định này lập tức gây ra nhiều tranh cãi, đặc biệt là lo ngại về việc lộ thông tin cá nhân. Câu hỏi lớn nhất là lấy dữ liệu sinh trắc học của mọi người dân, có thật sự cần thiết không? Bởi lẽ, vấn đề bảo mật dữ liệu cá nhân ở Việt Nam đã bị buôn bán, ít nhất là bị làm phiền bởi hàng loạt cuộc gọi hay tin rác mời gọi đầu tư, chào hàng dự án.
Xác thực sinh trắc học, đặc biệt là vân tay, không phải là công nghệ gì mới khi đã phổ biến trên điện thoại thông minh và được nhiều ứng dụng ngân hàng tại Việt Nam áp dụng. Tuy nhiên, công nghệ nhận diện khuôn mặt, dù được đánh giá cao trên các thiết bị của Apple với công nghệ FaceID, nhưng với nền tảng Android, kể cả dòng cao cấp, khi sử dụng xác thực khuôn mặt dù có tích hợp công nghệ AI như Google Pixels người dùng đều nhận được cảnh báo về mức độ bảo mật trung bình khi cài đặt bảo mật khuôn mặt.
Mới đây, việc người dùng dễ dàng lừa hệ thống nhận diện khuôn mặt của app ngân hàng khi chuyển khoản bằng ảnh thông thường đã dấy lên lo ngại lỗ hổng bảo mật. Ngân hàng đã biện minh rằng việc tạm thời tắt chức năng chống giả mạo là do quá tải giao dịch. Tuy nhiên, giải pháp lưu trữ dữ liệu trên máy chủ và sự thiếu minh bạch trong quyết định bật/tắt hệ thống bảo mật khi hacker có thể xâm nhập càng khiến người dùng lo ngại về sự an toàn của thông tin cá nhân mà không có cách nào kiểm soát.
Tháng Bảy 2023, một hacker đã tiến hành xâm nhập vào hệ thống ngân hàng ở Việt Nam sau khi mở tài khoản tiền gửi với sổ tiết kiệm trực tuyến tại một ngân hàng và chỉnh sửa số dư của sổ tiết kiệm từ 1 triệu đồng lên đến 50 tỷ đồng. Sau đó sử dụng sổ tiết kiệm này làm tài sản thế chấp để vay tiền và chuyển về tài khoản cá nhân 10 tỷ đồng.
Các quốc gia phát triển như Mỹ, Anh, Nhật… đều không có quy định bắt buộc xác thực sinh trắc học, nhất là khuôn mặt vì yếu tố bảo mật kém. Ngay tại Việt Nam, hacker cũng có thể thuật toán để chia nhỏ các lệnh rút dưới 10 triệu đồng khi xâm nhập và chiếm quyền tài khoản để không cần xác thực khuôn mặt.
Hóa ra công an CSVN muốn thu thập dữ liệu cá nhân là chuyện chính
Trên thế giới, việc thu thập dữ liệu cá nhân và lưu trữ tập trung cũng đã được vài nước áp dụng như Ấn Độ và điển hình nhất là Trung Quốc, quốc gia mà mô hình kiểm soát công dân điện tử được chế độ Công An trị tại Việt Nam noi theo. Nhưng tất cả những nước này đều đã từng có những vụ bê bối về rò rỉ dữ liệu công dân gây rúng động.
Năm 2009, Ấn Độ khởi động dự án Aadhaar, một hệ thống định danh điện tử quốc gia đầy tham vọng, nhằm giải quyết vấn nạn hàng tỷ người dân thiếu giấy tờ tùy thân. Với hơn 1 tỷ dân nhưng chỉ khoảng 60 triệu người có hộ chiếu, việc xác minh danh tính trở nên vô cùng khó khăn, đẩy người nghèo vào cảnh bế tắc khi không thể tiếp cận các dịch vụ công cơ bản như xin việc, nhận trợ cấp, đồng thời tạo điều kiện cho tham nhũng hoành hành.
Dự án Aadhaar tập trung vào việc đơn giản hóa quy trình xác định danh tính. Mỗi công dân, sau khi được thu thập dấu vân tay và mống mắt, sẽ được cấp một mã số định danh 12 chữ số (Aadhaar). Ban đầu, Aadhaar chủ yếu được sử dụng cho việc phân phối trợ cấp xã hội minh bạch và hiệu quả hơn.
Tuy nhiên, chính phủ Ấn Độ nhanh chóng nhận ra tiềm năng to lớn của Aadhaar. Aadhaar được nhiều doanh nghiệp yêu cầu khi cung cấp dịch vụ như mở tài khoản ngân hàng, đăng ký thuê bao điện thoại cho đến tiếp cận dịch vụ y tế, giáo dục.
Mặc dù Aadhaar không trực tiếp liên kết với những dữ liệu nhạy cảm như sức khỏe, tôn giáo, tài chính, nhiều chuyên gia bày tỏ lo ngại về nguy cơ xâm phạm quyền riêng tư. Việc doanh nghiệp dễ dàng tiếp cận Aadhaar, kết hợp với khả năng thu thập thông tin bổ sung, có thể tạo ra bức tranh chi tiết về đời sống cá nhân của người dân.
Tháng Bảy 2018, ông RS Sharma, chủ tịch Cơ Quan Quản Lý Viễn Thông Ấn Độ (TRAI) gây xôn xao dư luận khi công khai số Aadhaar của mình trên Twitter (nay là X), thách thức cộng đồng mạng chứng minh rằng chỉ với dãy số 12 số này, họ có thể gây hại cho ông như thế nào. Ông tin rằng việc tiết lộ Aadhaar không đồng nghĩa với rủi ro bảo mật.
Tuy nhiên, sau đó không lâu, một chuyên gia bảo mật người Pháp có biệt danh là Elliot Alderson đã tiết lộ một số thông tin cá nhân của ông Sharma như số điện thoại di động, số PAN (số thuế), email và một số chi tiết nhạy cảm khác. Điều này đã gây ra một cuộc tranh luận sôi nổi về vấn đề bảo mật dữ liệu Aadhaar.
Trung Quốc cũng không ngoại lệ khi người dân Trung Quốc chấn động trước một trong những vụ rò rỉ dữ liệu nghiêm trọng nhất lịch sử nước này, khi vào Tháng Bảy 2022, thông tin cá nhân của khoảng 1 tỷ người dân Trung Quốc bị phát tán từ cơ sở dữ liệu của Cảnh sát Thượng Hải. Tổng cộng 23 terabytes dữ liệu, bao gồm họ tên, địa chỉ, số ID quốc gia, số điện thoại và cả hồ sơ hình sự, đã được phát hiện có thể truy cập công khai qua một liên kết không bảo mật, không yêu cầu mật khẩu.
Điều đáng nói là lỗ hổng này đã tồn tại từ Tháng Tư 2021 mà không được phát hiện. Một hacker đã rao bán toàn bộ dữ liệu với giá $200,000 (tương đương 10 bitcoin thời điểm đó) trên diễn đàn ngầm, thậm chí còn cung cấp 750,000 mục dữ liệu mẫu để chứng minh tính xác thực.
Rõ là hai quốc gia Ấn Độ và Trung Quốc được đánh giá là có nền khoa học công nghệ lẫn lập trình phần mềm vượt bậc hơn Việt Nam nhưng đều dễ dàng bị hacker khai thác với truy cập dữ liệu trái phép một cách dễ dàng. Vậy liệu Bộ Công An sẽ lấy gì làm đảm bảo cho việc bảo mật thông tin khi thu thập cả dữ liệu sinh trắc học và một loạt các thông tin nhạy cảm của người dân?
Quay trở lại với Việt Nam, thực tế Bộ Công An Việt Nam không chỉ được quyền thu thập dữ liệu sinh trắc học và một số thông tin nhân thân cơ bản để làm hành chính công như Ấn Độ mà còn được quyền thu thập rất nhiều dữ liệu nhạy cảm mà không cần hỏi ý kiến người dân thông qua app định danh điện tử VNeID và Căn Cước Công Dân (CCCD) gắn chip.
Tháng Tư năm 2023, Bộ Công An thông qua nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Đây là một nghị định chỉ nhằm mở rộng phạm vi thu thập dữ liệu cá nhân của bạn.
Các quy định về Dữ liệu cá nhân cơ bản tại khoản 3, điều 2 của nghị định này, đã cho Bộ Công An mở rộng phạm vi thu thập thông tin cá nhân của người dân, bao gồm cả những thông tin nhạy cảm như thông tin chi tiết về tài khoản ngân hàng (tích hợp thẻ ATM), hồ sơ bệnh án, hồ sơ sinh trắc học như mã gen thông qua tích hợp thẻ bảo hiểm y tế, dữ liệu về vị trí của bạn…và cả những dữ liệu về hoạt động đời tư, đời sống và xu hướng tình dục (điều 2, khoản 4, mục e), đặc biệt là quan điểm chính trị, quan điểm tôn giáo, thông qua dữ liệu về hoạt động, lịch sử hoạt động trên không gian mạng của bạn.
Việc Bộ Công an được quyền sử dụng những dữ liệu này mà không cần sự đồng ý của người dân, dưới danh nghĩa bảo vệ an ninh quốc phòng (khoản 3 điều 17), là một nguy cơ tiềm ẩn rò rỉ thông tin nghiêm trọng.
Ai bảo đảm công an CSVN không lạm dụng dữ liệu công dân?
Công nghệ AI ngày càng phát triển càng làm gia tăng nguy cơ bị vi phạm bảo mật. Nếu một lớp bảo mật sinh trắc học bị bẻ gãy, chúng ta sẽ bắt buộc phải nâng cấp lên hệ thống cao hơn, sử dụng dữ liệu cá nhân nhạy cảm hơn, và đây chính là một bước đi “không thể đảo ngược.” Đến khi mức độ bảo mật tận cùng là mã gen bị phá vỡ, người dân sẽ không còn bất cứ một khả năng bảo vệ chính mình nào khi dữ liệu được khai thác trái phép và giả danh tính mà họ không thể chứng minh khi kẻ xấu có thể dễ dàng tạo ra một bản sao hoàn hảo của chúng ta.
Nguy cơ càng lớn khi trong khoản 2, điều 6 Nghị Định 37/2021/NĐ-CP, Chính phủ cho phép Bộ Công An được quyền cung cấp dữ liệu cá nhân cho các tổ chức tài chính, viễn thông và các tổ chức khác, dẫn tới mở rộng phạm vi dữ liệu cá nhân bị xâm phạm. Vụ rò rỉ dữ liệu gần đây ở Ấn Độ và Thượng Hải đã cho thấy hậu quả nghiêm trọng khi thông tin cá nhân của hàng triệu người bị phát tán.
Khi điện thoại của bạn liên tục bị làm phiền bởi hàng loạt cuộc gọi hay tin rác mời gọi đầu tư, chào hàng dự án.. chính là dấu hiệu cho thấy dữ liệu cá nhân đã bị rò rỉ và lợi dụng một cách trắng trợn, quay lại mời chào bạn. Nguy hiểm hơn, khi các đối tượng lừa đả có thể sử dụng thông tin này để thực hiện các chiêu trò lừa đảo tinh vi, chiếm đoạt tài sản của bạn như truyền thông Việt Nam đưa tin gần đây.
Hãy thử tưởng tượng, nếu chúng nắm được cả sở thích, xu hướng tình dục, thói quen… và cả những câu chuyện chỉ có bạn và người nhà bạn biết như những gì Bộ Công An được phép thu thập, mọi lớp phòng bị của bạn sẽ vô hiệu hoàn toàn. Bạn sẽ dễ dàng trở thành con mồi trong những cạm bẫy được giăng ra quá chân thực và tinh vi.
Có thể thấy rằng, việc định danh điện tử và lưu trữ tập trung bởi Bộ Công An về lý thuyết có thể đem lại một số lợi ích về thương mại, kinh tế cũng như hành chính công thuận lợi hơn. Nhưng với việc Bộ Công An nắm quá nhiều dữ liệu nhạy cảm, dư thừa thì chả khác nào mỗi người dân Việt Nam như đeo một cái vòng kim cô và trở thành “con tin” của một xã hội Công An trị khi có thể bị siết bất cứ lúc nào chỉ với lý do an ninh quốc phòng.
Đó là còn chưa kể rủi ro quá lớn trong trường hợp những dữ liệu cá nhân nhạy cảm bị rò rỉ và lợi dụng, lúc đó công dân Việt Nam thực sự chả còn một tấm khiên bảo vệ nào cho danh tính cá nhân và quyền riêng tư của mình nữa.
