Thứ năm, 21/07/2022 11:03

Bảo vệ dữ liệu cá nhân trên các giao diện tương tác với người dân của chính quyền địa phương: Thực trạng và khuyến nghị

Nguyễn Quang Đồng, Tống Khánh Linh

Viện Nghiên cứu Chính sách và Phát triển Truyền thông,
Hội Truyền thông số Việt Nam

Dữ liệu cá nhân (DLCN) được thu thập rất nhiều qua các công cụ trên môi trường số, điển hình như cổng thông tin điện tử (TTĐT), cổng dịch vụ công trực tuyến (DVCTT) và ứng dụng thông minh của ủy ban nhân dân (UBND) cấp tỉnh. Tuy nhiên, việc bảo vệ DLCN, đảm bảo quyền riêng tư trên các giao diện đó chưa được chú ý; vẫn còn những khoảng cách nhất định so với quy định pháp luật, nhất là so với các thực hành tốt. Bài viết đánh giá thực trạng và đưa ra khuyến nghị từ kết quả cuộc khảo sát: Đánh giá việc bảo vệ DLCN trên các giao diện tương tác với người dân của chính quyền địa phương do Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) phối hợp cùng Chương trình Phát triển Liên Hợp quốc (UNDP) thực hiện và chia sẻ mới đây.

Thực trạng

Một số địa phương đã và đang có sự nỗ lực trong xây dựng và triển khai các công cụ khác nhau để bảo vệ DLCN và rộng hơn là quyền riêng tư, trên các giao diện tương tác với người dân. Tuy nhiên, nhìn chung, chính quyền các tỉnh, thành phố chưa quan tâm nhiều đến vấn đề này. Không có địa phương nào thực hiện tốt việc bảo vệ DLCN, đảm bảo quyền riêng tư trên các phương diện khác nhau, mà chỉ có một số cách làm tốt đối với một số khía cạnh riêng biệt. Chỉ có 4 trong số 63 cổng TTĐT và 3 trong số 63 cổng DVCTT có đăng tải văn bản quy định về bảo vệ DLCN (tên gọi chưa thống nhất - chính sách/quy định/thông báo về bảo vệ thông tin cá nhân; chính sách bảo mật; hoặc chính sách về quyền riêng tư). Trong số 50 tỉnh, thành phố có vận hành ứng dụng thông minh để tương tác với công dân, 32 địa phương có đăng tải chính sách bảo vệ quyền riêng tư do yêu cầu của Google Play và Apple Store phải làm như vậy đối với ứng dụng.

Có thể thấy, các chính sách, công cụ liên quan đến bảo vệ DLCN trên cổng TTĐT, cổng DVCTT và ứng dụng thông minh của các tỉnh, thành phố còn mang tính tự phát, chưa xuất phát từ nhận thức rõ ràng về tầm quan trọng của việc bảo vệ quyền riêng tư của công dân. Các địa phương chú ý nhiều đến các yêu cầu kỹ thuật nhằm đảm bảo an toàn, bảo mật của dữ liệu hơn là tính riêng tư của dữ liệu; phòng chống các mối nguy cơ, rủi ro đối với an ninh mạng hơn là quyền riêng tư của người sử dụng 3 giao diện tương tác nêu trên. Có thể dễ dàng tiếp cận trực tuyến các văn bản của chính quyền địa phương về an toàn thông tin, nhưng 59 cổng TTĐT và 60 cổng DVCTT không thể tìm thấy văn bản về bảo vệ DLCN. Không chỉ thế, hầu như các giao diện hiện thời chỉ yêu cầu người dùng khẳng định thông tin họ cung cấp là chính xác, nhưng lại không có công cụ để người dùng lựa chọn để bảo vệ quyền riêng tư.

Hơn thế, không một chính sách, công cụ nào nói trên đáp ứng đầy đủ yêu cầu của pháp luật liên quan đến quyền riêng tư trên môi trường số. Cụ thể, trong số 39 chính sách về quyền riêng tư được công khai, 16 chính sách chỉ bằng tiếng Anh, mà không có tiếng Việt, và 22 chính sách thì ngược lại, duy nhất có trường hợp của tỉnh Tiền Giang có cung cấp trên cả 2 ngôn ngữ. Những chính sách hiện có trên các giao diện tương tác với công dân ở cấp tỉnh chưa có các điều khoản bảo vệ thông tin, quyền riêng tư của trẻ em; song, lại đưa ra điều khoản để thu thập nhiều loại thông tin vượt quá giới hạn được phép; không viện dẫn cơ sở pháp lý; không nêu rõ mục đích thu thập thông tin cá nhân. Những chính sách này không thể hiện rõ quyền được đồng ý/không đồng ý của người dùng đối với việc thu thập thông tin cá nhân và chưa cung cấp công cụ để người dùng thể hiện quyền được tiếp cận, yêu cầu chỉnh sửa thông tin, khiếu nại...

Đặc biệt, trừ một trường hợp ứng dụng thông minh của tỉnh Hậu Giang, hầu hết các văn bản về chính sách quyền riêng tư trên các cổng và ứng dụng thông minh khác đều không xác định rõ mối quan hệ pháp lý giữa cơ quan Nhà nước chịu trách nhiệm chính với người sử dụng các ứng dụng và các cổng. Do không xác định rõ chủ thể quản lý dữ liệu, trách nhiệm pháp lý đối với DLCN bị lẫn lộn giữa “cơ quan chủ quản” (UBND tỉnh, thành phố) với “cơ quan/đơn vị vận hành” (sở thông tin và truyền thông) và doanh nghiệp cung cấp dịch vụ xây dựng giao diện). Chỉ có 1 trong số 39 chính sách về quyền riêng tư được rà soát nêu rõ, UBND tỉnh là cơ quan chịu trách nhiệm đối với việc thu thập, lưu trữ DLCN; còn sở thông tin và truyền thông là cơ quan thay mặt UBND vận hành, xử lý dữ liệu trên giao diện này. Thực trạng này đáng lưu ý ở chỗ, nó không chỉ tạo ra khoảng trống về trách nhiệm đối với thông tin cá nhân thu thập qua các giao diện nói trên, mà còn không rõ căn cứ để xác định chủ thể chịu trách nhiệm và xem xét trách nhiệm lưu trữ, quản lý, sử dụng, chia sẻ khối dữ liệu khổng lồ sau khi thu thập từ người dùng qua các giao diện tương tác của chính quyền địa phương.

Ở mức độ tổng quan, nếu đặt việc bảo vệ quyền riêng tư trong toàn bộ quá trình tương tác của chính quyền địa phương với công dân trên môi trường số, có thể nói, các yếu tố đầu vào như cơ sở vật chất, hạ tầng kỹ thuật đã được quan tâm khá nhiều. Tuy nhiên, quá trình thực hiện các chính sách, pháp luật có liên quan đến bảo vệ thông tin, DLCN của người dùng nói riêng và quyền riêng tư của người dân nói chung cần được cải thiện nhiều hơn nữa. Đặc biệt, kết quả đầu ra gồm mức độ bảo vệ DLCN và đáp ứng quyền riêng tư của người dân còn chưa được như mục tiêu mong muốn đã đề ra trong Hiến pháp năm 2013 và các văn bản quy phạm pháp luật có liên quan.

Khuyến nghị

Hoàn thiện khung pháp luật quốc gia

Ở tầm quốc gia, các văn bản quy phạm pháp luật có liên quan cần điều chỉnh một số vấn đề sau đây liên quan đến bảo vệ DLCN, quyền riêng tư:

Một là, cần xác định, phân loại rõ ràng DLCN phù hợp với các xu hướng mới của chuyển đổi số, trong đó có các loại DLCN được thu thập từ người sử dụng trên các giao diện tương tác của chính quyền. Đồng thời, cần phân biệt giữa tính riêng tư của dữ liệu và an toàn bảo mật dữ liệu, theo đó tính riêng tư quan tâm bảo vệ quyền riêng tư của người dân, còn an toàn bảo mật dữ liệu chú trọng bảo vệ hệ thống công nghệ thông tin và an ninh của cơ quan Nhà nước qua các công cụ kỹ thuật.

Hai là, cần phân biệt rõ ràng giữa chủ thể kiểm soát dữ liệu và chủ thể xử lý dữ liệu, từ đó xác định rõ trách nhiệm pháp lý của các chủ thể đó đối với chủ thể DLCN. Cần thiết lập chế độ trách nhiệm pháp lý mặc nhiên của cơ quan Nhà nước khi đăng tải văn bản tuyên bố chính sách về quyền riêng tư; hoặc khi họ cung cấp công cụ cho người dân thể hiện quyền của mình, ví dụ như quyền đồng ý hoặc không đồng ý cung cấp thông tin cá nhân trên ứng dụng thông minh. Tương tự, cần làm rõ mối quan hệ pháp lý giữa cơ quan Nhà nước thu thập DLCN với doanh nghiệp cung cấp giao diện tương tác trên môi trường số.

Ba là, xác định rõ trách nhiệm của các cơ quan liên quan và chuẩn hóa quy trình, thủ tục minh bạch trong sử dụng, chia sẻ DLCN trong các cơ quan Nhà nước với các chủ thể bên ngoài. Điều này đặc biệt quan trọng trong bối cảnh một khối DLCN khổng lồ được thu thập qua các giao diện tương tác của chính quyền với người dân, kéo theo mối quan tâm lớn để làm sao đảm bảo khối dữ liệu đó được bảo vệ, quyền riêng tư được đảm bảo trong quá trình lưu trữ, sử dụng, chia sẻ sau đó.

Bốn là, hoàn thiện các quy định liên quan đến xử lý vi phạm trong quá trình các cơ quan Nhà nước, cán bộ, công chức Nhà nước xử lý dữ liệu cá nhân, bao gồm: xác định rõ ràng, cụ thể các hành vi vi phạm kèm theo mức phạt phù hợp, kể cả bồi thường Nhà nước; quy trình, thủ tục xử lý vi phạm về mặt hành chính, hình sự, dân sự; cơ quan hoặc đơn vị đầu mối tiếp nhận, xử lý ban đầu các yêu cầu, khiếu nại liên quan đến dữ liệu cá nhân.

Năm là, cần có quy định về nhân sự phụ trách bảo vệ DLCN và quyền riêng tư trong hoạt động của các cơ quan Nhà nước, ít nhất ở cấp tỉnh; công bố thông tin về nhân sự này để người dân liên hệ khi cần thiết. Người này có nhiệm vụ tham mưu cho các cơ quan Nhà nước về những vấn đề bảo vệ DLCN và quyền riêng tư; theo dõi việc tuân thủ các quy định pháp luật, chuẩn mực chung và quy tắc nội bộ về bảo vệ DLCN và quyền riêng tư; kết nối người cung cấp dữ liệu với cơ quan Nhà nước kiểm soát dữ liệu.

Sáu là, trên phạm vi toàn quốc, để đạt được sự đồng nhất giữa các tỉnh, thành phố trong thực tiễn bảo vệ quyền riêng tư trên môi trường số, cần liên tục đánh giá, nghiên cứu các thông lệ, cách làm tốt. Từ đó, khái quát thành các quy định, hướng dẫn cụ thể để các địa phương nắm bắt được các chuẩn mực, dễ dàng bám sát, tuân theo; hướng tới tạo cơ sở pháp lý để các tỉnh bảo vệ quyền riêng tư tốt hơn trên môi trường số. Bộ Thông tin và Truyền thông có thể chủ trì xây dựng các văn bản mẫu cho các cơ quan chính quyền địa phương sử dụng trong quá trình cung cấp các DVCTT, bảo đảm quyền riêng tư, bảo vệ DLCN. Đó là Quy chế mẫu về quyền riêng tư; Thỏa thuận sử dụng mẫu; hoặc, Hợp đồng mẫu trong cung cấp các giao diện tương tác của chính quyền với người dân.

Cải thiện việc bảo vệ DLCN và quyền riêng tư trên môi trường số của chính quyền địa phương

Thực tế của các tỉnh/thành phố thực hiện tốt bảo vệ quyền riêng tư cho thấy, cần chú ý đến tất cả các yếu tố: xây dựng các quy tắc của địa phương; chú trọng quá trình thực hiện; đáp ứng quyền, lợi ích của người dân. Các chính sách bảo vệ quyền riêng tư, các công cụ thực tế để thực hiện các chính sách đó trên các giao diện tương tác của chính quyền cần bám sát, đáp ứng tất cả những yêu cầu theo các nội dung pháp luật Việt Nam quy định. Trong đó, cần chú ý xác định rõ chủ thể chịu trách nhiệm chính; các công cụ/kênh tiếp nhận ý kiến, khiếu nại về các vi phạm quyền riêng tư, phản hồi của người dân về chất lượng, hiệu quả của việc bảo vệ quyền riêng tư.

Đặc biệt, cần nhấn mạnh tầm quan trọng của việc đáp ứng quyền, lợi ích của người dân - là những người sử dụng các dịch vụ, sản phẩm, công cụ trên các cổng TTĐT, cổng DVCTT và các ứng dụng thông minh do chính quyền đưa vào sử dụng. Mức độ đáp ứng có thể được đánh giá dựa trên các tiêu chí của Liên hợp quốc về bảo vệ DLCN, quyền riêng tư. Qua đó, chính quyền địa phương các tỉnh, thành phố có thể nhận biết những vấn đề cần điều chỉnh, cải thiện để thông tin, dữ liệu và quyền riêng tư của người dùng được bảo vệ tốt hơn. Cụ thể là, chính quyền địa phương cần áp dụng các biện pháp, công cụ cụ thể để đảm bảo tính chính danh, hợp pháp trong xử lý thông tin cá nhân; thu thập, sử dụng thông tin cá nhân với mục đích rõ ràng; thu thập thông tin cá nhân một cách tương xứng với mục đích, căn cứ trên sự cần thiết; nêu rõ về thời hạn lưu trữ thông tin; tăng tính minh bạch, tính giải trình trong thu thập, xử lý, lưu trữ, sử dụng thông tin cá nhân.

Khuyến nghị về đánh giá việc bảo vệ thông tin, DLCN và quyền riêng tư trên môi trường số của các cấp chính quyền

Cần mở rộng hơn cách tiếp cận trong đánh giá việc bảo vệ thông tin, dữ liệu và quyền riêng tư trên môi trường điện tử, môi trường số của các cấp chính quyền nói chung và của chính quyền địa phương nói riêng. Cần xem xét bổ sung các chỉ số, chỉ tiêu quan trọng về bảo vệ thông tin, DLCN và quyền riêng tư vào mục tiêu chuyển đổi số quốc gia, đồng thời bổ sung các tiêu chí đánh giá việc bảo vệ DLCN vào Bộ chỉ số đánh giá chuyển đổi số của các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ và các tỉnh, thành phố trực thuộc trung ương (DTI) của Bộ Thông tin và Truyền thông, để chuyển đổi số được thành công cả về chất và lượng, đặc biệt là để đạt được mục tiêu cuối cùng là bảo đảm quyền và lợi ích chính đáng của người dân.

Đồng thời, các cơ quan có liên quan có thể đầu tư nguồn lực lớn hơn để tiến hành khảo sát, tìm hiểu, đánh giá sâu hơn về thực tiễn bảo vệ DLCN, quyền riêng tư không chỉ trên các cổng TTĐT, cổng DVCTT, các ứng dụng thông minh, mà còn trong các cơ sở dữ liệu do các cơ quan Nhà nước quản lý, nơi mà DLCN được lưu trữ, sử dụng, chia sẻ sau khi được thu thập từ các giao diện tương tác với người dân của chính quyền.

 

 

 

Đánh giá

X
(Di chuột vào ngôi sao để chọn điểm)