21/09/2021
Bộ Công an đang nắm trong tay mọi quyền hành để tùy nghi sử dụng dữ liệu của công dân.
Đầu tháng 9/2021, Bộ Công an gửi công điện mật đến Công an thành phố Hồ Chí Minh yêu cầu triển khai ứng dụng VNEID để quản lý di chuyển nội địa. [1] Đây là ứng dụng được phát triển từ hệ thống Di biến động dân cư, ra mắt vào tháng 8/2021 vừa qua. [2]
Một tuần trước khi phát hành ứng dụng, Công an TP. Hồ Chí Minh cho báo chí biết họ đã phát hiện ra 30 F0 di chuyển trên đường nhờ khai báo qua Di biến động dân cư. [3]
Công nghệ nhận diện F0 của ứng dụng này có vẻ rất hứa hẹn. Tuy nhiên, nó cũng mở ra nhiều điều đáng quan ngại, nhất là về khả năng kiểm soát toàn dân bằng công nghệ của Bộ Công an.
Tùy tiện kết nối với dữ liệu cá nhân của bạn trong Cơ sở Dữ liệu Quốc gia về Dân cư
Nếu là F0 ở thành phố Hồ Chí Minh, dữ liệu của bạn có lẽ đã được Sở Y tế cập nhật vào Cơ sở Dữ liệu (CSDL) Quốc gia về Dân cư của Bộ Công an. [4] Từ đó, bạn sẽ bị quản lý qua “phần mềm quản lý công dân nghi nhiễm COVID-19” của Bộ Công an. Bạn có được thông báo trực tiếp về việc Bộ Công an xử lý thông tin này? [5]
Ngoài ra, khi đi lại bạn sẽ phải khai báo qua ứng dụng VNEID để nhận một mã QR rồi trình cho công an mỗi khi qua chốt kiểm soát. [6] Ứng dụng kết nối với dữ liệu cá nhân của bạn trong CSDL Quốc gia về Dân cư để tìm ra F0. Trong điều khoản về quyền riêng tư của ứng dụng vào thời điểm hiện tại, Bộ Công an không giải thích rõ vấn đề này.
Việc kiểm soát F0 để hạn chế lây lan dịch bệnh là việc làm cần thiết. Tuy nhiên, cách triển khai ứng dụng này cho thấy Bộ Công an rất tùy tiện với việc quản lý và sử dụng dữ liệu cá nhân của người dân.
Thượng tá Tô Anh Dũng, Phó Cục trưởng Cục Cảnh sát Quản lý Hành chính về Trật tự Xã hội, trong một cuộc họp báo vào ngày 9/9/2021 cho biết phần mềm quản lý công dân nghi nhiễm COVID-19 được dùng để cập nhật, theo dõi các trường hợp nhiễm COVID-19 (F0) và có nguy cơ nhiễm (F1, F2). Tuy nhiên, tại thời điểm họp báo, ông tiết lộ có 1.114 trường hợp F3 đã được cập nhật vào ứng dụng này. [7]
Trên báo chí, Bộ Công an cũng không thông báo về thời gian lưu trữ thông tin F0, F1, F2. Điểm b, Khoản 2, Điều 21 của Luật Công nghệ Thông tin quy định: Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân phải “sử dụng đúng mục đích thông tin cá nhân thu thập được và chỉ lưu trữ những thông tin đó trong một khoảng thời gian nhất định theo quy định của pháp luật hoặc theo thỏa thuận giữa hai bên”. [8]
CSDL Quốc gia về Dân cư có thể đem lại nhiều lợi ích cho người dân nhưng cũng có thể giúp nhà nước kiểm soát toàn bộ hoạt động của người dân bằng công nghệ.
Khi vận động người dân làm thẻ căn cước gắn chip để xây dựng CSDL Quốc gia về Dân cư, Bộ Công an quảng cáo là sẽ mang lại sự thuận tiện cho người dân, tiết kiệm thời gian thực hiện các thủ tục hành chính. [9] Tuy nhiên, Luật Căn cước Công dân cho Bộ Công an một thẩm quyền rất rộng về việc sử dụng CSDL này. “Cơ sở dữ liệu quốc gia về dân cư là tập hợp thông tin cơ bản của tất cả công dân Việt Nam được chuẩn hóa, số hóa, lưu trữ, quản lý bằng cơ sở hạ tầng thông tin để phục vụ quản lý nhà nước và giao dịch của cơ quan, tổ chức, cá nhân”. Khái niệm “quản lý nhà nước” ở đây có thể được dùng cho bất kỳ một mục đích nào do cơ quan nhà nước tự ý quy định. [10]
Việc triển khai ứng dụng VNEID là một ví dụ cho thấy Bộ Công an có thể tùy nghi sử dụng CSDL Quốc gia về Dân cư để hạn chế quyền của người dân mà chỉ cần làm động tác thông báo qua báo chí.
Theo Công an TP. Hồ Chí Minh, ứng dụng VNEID sắp tới có thể trở thành một chiếc thẻ thông hành, tức là người dân có thể bị Bộ Công an kiểm soát hoàn toàn việc đi lại bằng công nghệ. [11]
Mập mờ về khả năng người dân được truy cập dữ liệu cá nhân của mình
Vào cuối tháng 8/2021, 30 F0 đã bị phát hiện qua việc khai báo di biến động dân cư tại TP. Hồ Chí Minh. Tuy nhiên, công an vẫn không thể đưa ra kết luận nào về những ca F0 này.
Theo giải thích của đại diện Công an TP. Hồ Chí Minh được dẫn lại trên báo Thanh Niên vào thời điểm trên, “các F0 di chuyển trên đường này chưa xác định được là F0 lúc nào, có thể họ đã khỏi bệnh. Hoặc đang là F0 nhưng đang di chuyển đến các khu cách ly và có thể có lý do khác”. [12]
Đến ngày 19/9/2021, Công an TP. Hồ Chí Minh tiếp tục thông báo phát hiện 135 F0 đang lưu thông trên đường, tuy nhiên, tất cả những người này đều không biết mình đang là F0. [13]
Như vậy thông tin chính xác về các F0 chưa được cập nhật kịp thời trong CSDL Quốc gia về Dân cư. Người dân cũng chưa được phép truy cập hay được nhận thông báo về việc mình bị xác định F0 khi CSDL Quốc gia về Dân cư cập nhật thông tin này.
Người dân có quyền, bằng văn bản hoặc thông qua dịch vụ nhắn tin và các cổng dịch vụ công, truy cập vào dữ liệu cá nhân của mình do chính quyền thu thập được. Điều này được đề cập trong Nghị định 137/2015/NĐ-CP, quy định chi tiết về một số điều và biện pháp thi hành Luật Căn cước Công dân (sửa đổi bằng Nghị định 37/2021/NĐ-CP). [14] [15]
Tuy nhiên, Bộ Công an vẫn rất mập mờ về việc cho phép người dân truy cập dữ liệu của mình.
Theo dự thảo thông tư về khai thác, sử dụng thông tin trong Cơ sở dữ liệu quốc gia về dân cư, Bộ Công an vẫn chưa cho người dân biết rõ họ sẽ được truy cập vào dữ liệu cá nhân nào của mình. [16] Liệu người dân có được phép truy cập các dữ liệu chuyên ngành được Bộ Công an thu thập về họ hay không?
Việc công dân được quyền truy cập vào dữ liệu cá nhân bị thu thập của mình là vấn đề rất quan trọng. Chỉ khi đọc được dữ liệu cá nhân, bạn mới có thể yêu cầu điều chỉnh những thông tin bị sai, hoặc thực hiện quyền được quên của mình – yêu cầu xóa dữ liệu trong một số trường hợp được quy định.
Công dân được quyền truy cập giám sát dữ liệu cá nhân của bản thân cũng góp phần khiến chính quyền phải minh bạch, có trách nhiệm khi thu thập, sử dụng, chia sẻ dữ liệu cá nhân của người dân.
Không có cơ quan giám sát độc lập về xử lý dữ liệu
Cho đến thời điểm hiện tại, Ủy ban Bảo vệ Dữ liệu cá nhân vẫn chưa được thành lập như trong nội dung của dự thảo nghị định về bảo vệ dữ liệu cá nhân. Bộ Công an vẫn là cơ quan nắm toàn bộ CSDL Quốc gia về dân cư. [17]
Tuy nhiên, ngay cả khi được thành lập, ủy ban này vẫn sẽ là cơ quan trực thuộc Bộ Công an chứ không phải một cơ quan độc lập. Đây là một rào cản đối với việc bảo vệ dữ liệu cá nhân do Bộ Công an quản lý.
Theo Khoản 13, Điều 24 của dự thảo nghị định về bảo vệ dữ liệu cá nhân, ủy ban trên còn “được quyền xử lý dữ liệu cá nhân phục vụ hoạt động của Nhà nước, trừ trường hợp pháp luật có quy định khác”.
Nếu một công ty tư nhân xâm phạm dữ liệu cá nhân của bạn, bạn có thể khiếu nại đến ủy ban này. Nhưng nếu chính Bộ Công an xâm phạm dữ liệu của công dân, bạn có tự tin rằng ủy ban sẽ giúp người dân xử lý một cách công bằng?
Liên minh Châu Âu quy định các cơ quan giám sát bảo vệ dữ liệu cá nhân cấp quốc gia phải được thành lập và hoạt động theo nguyên tắc độc lập. Theo đó, các quốc gia thành viên phải đảm bảo các cơ quan này không chịu sự can thiệp từ bất kỳ yếu tố bên ngoài nào. [18]
Tại Vương quốc Anh, ICO (Information Commissioner’s Office – Văn phòng Ủy viên Thông tin Vương quốc Anh) là cơ quan độc lập với chính phủ. Người dân có thể gửi khiếu nại trực tiếp đến cơ quan này về những vấn đề liên quan đến dữ liệu cá nhân. [19]
Tại Nhật Bản, PPC (Personal Information Protection Commission – Ủy ban Bảo vệ Thông tin Cá nhân) là cơ quan độc lập, gồm một chủ tịch và tám ủy viên được thủ tướng bổ nhiệm với sự đồng ý của cả hai viện lập pháp. Cả chín người đều phải có kiến thức và kinh nghiệm về dữ liệu cá nhân liên quan đến một trong các lĩnh vực như quyền lợi người tiêu dùng, bảo vệ và sử dụng phù hợp, hiệu quả thông tin cá nhân, hoạt động của doanh nghiệp tư nhân, công nghệ xử lý thông tin, v.v. [20]
Trong khi đó, theo dự thảo nghị định bảo vệ dữ liệu cá nhân của Bộ Công an, điều kiện để chọn các thành viên của Ủy ban Bảo vệ Dữ liệu được quy định một cách chung chung: “Có trình độ chuyên môn và kinh nghiệm về pháp luật về bảo vệ dữ liệu cá nhân, hoạt động kiêm nhiệm”. [21]
Sự độc lập của các cơ quan giám sát, bảo vệ thông tin cá nhân là thực hành phổ biến ở nhiều quốc gia. Bạn nên đặt câu hỏi vì sao một cơ quan như vậy vẫn chưa được thành lập tại Việt Nam và vì sao đề xuất thành lập nó không tuân theo các tiêu chuẩn chung của thế giới?
Không có đạo luật về bảo vệ dữ liệu cá nhân
Ngoài việc không có cơ quan bảo vệ dữ liệu cá nhân độc lập như các nước khác, Bộ Công an cũng không kiến nghị ban hành một đạo luật về bảo vệ dữ liệu cá nhân của gần 100 triệu người dân.
Các điều khoản về bảo vệ dữ liệu cá nhân của người dân hiện nay nằm rải rác và không thống nhất trong các văn bản vi phạm pháp luật.
Tiến sĩ Chu Thị Hoa, Phó Viện trưởng Viện Khoa học pháp lý, Bộ Tư Pháp, cho rằng Việt nam cần ban hành một đạo luật về bảo vệ dữ liệu cá nhân.
“Việc ban hành Luật bảo vệ dữ liệu cá nhân là cần thiết, bởi vì luật sẽ bao hàm được nhiều vấn đề mang tính nguyên tắc hơn, các quy định của luật có tính bền vững hơn”, bà Hoa trả lời báo Chính phủ trong một bài viết vào tháng 6/2021. [22]
Năm 2017, Bộ Công an chính là cơ quan chủ trì, soạn thảo ra Luật An ninh mạng vào năm 2018, một đạo luật chứa nhiều điều khoản hạn chế quyền tự do thông tin của người dân để bảo vệ lợi ích của nhà nước. [23] [24]
Trong khi đó, việc bảo vệ dữ liệu cá nhân của toàn dân chỉ được Bộ Công an quy định trong một nghị định sắp sửa ban hành (Dự thảo nghị định về bảo vệ dữ liệu cá nhân). Điều này đồng nghĩa với việc Bộ Công an vừa đá bóng vừa thổi còi, tự trao cho mình những quyền hạn về bảo vệ dữ liệu cá nhân, trong khi chính bộ này là cơ quan duy nhất sử dụng, quản lý toàn bộ CSDL Quốc gia về Dân cư.
Khi ai đó mang lại cho bạn một lợi ích nào đó, bạn có thường tự hỏi rủi ro mà bạn phải chịu là gì? Việc này phải thực hiện một cách sòng phẳng bằng các cam kết rõ ràng. Câu hỏi tương tự cũng nên dành cho Bộ Công an khi bộ này đang tiến tới việc nắm giữ đầy đủ những công cụ, thẩm quyền để có thể làm được điều mà công chúng lo ngại nhất – kiểm soát toàn bộ người dân bằng công nghệ.