Các vấn đề về bảo vệ dữ liệu trong quá trình phát triển đô thị thông minh: Tiềm năng và thách thức  


Author’s Information:
Phạm Minh Thành - Technical University of Darmstadt
Hồ Trúc Chi - Ho Chi Minh City University of Social Sciences and Humanities

1. Bảo vệ dữ liệu và các khái niệm liên quan

Từ những năm 1960, với sự hỗ trợ từ công nghệ thông tin,  các doanh nghiệp cũng như tổ chức chính phủ bắt đầu thực hiện quá trình tin học hóa bằng cách thu thập, ghi nhận và lưu trữ dữ liệu. Tùy thuộc vào tổ chức và các bên liên quan, dữ liệu về công dân, khách hàng, thương mại, điều hành và nhiều hoạt động khác có thể được kết hợp để khai thác thông tin cho các tác vụ phù hợp, hoặc phát triển thành tri thức mới đóng góp cho quá trình phát triển. Dữ liệu được cấu trúc hóa (structured data) và được lưu trữ trong những hệ thống cơ sở dữ liệu máy tính (computerized database system). Thông qua các hệ thống cơ sở dữ liệu này, dữ liệu có thể được tìm kiếm, chỉnh sửa, tham chiếu, tổng hợp và chia sẻ một cách hiệu quả và nhanh chóng.

Hình 1: Từ dữ liệu đến tri thức

Trên thực tế, nhiều tổ chức, chính phủ và doanh nghiệp đã tận dụng ưu thế về việc kiểm soát dữ liệu để hỗ trợ và mở rộng các hoạt động của mình. Mặc dủ các hoạt động này mang lại nhiều tiện ích cho các bên, những đối tượng được thu thập dữ liệu thường không được lấy ý kiến cũng như thiếu nhận thức về việc dữ liệu liên quan đến mình sẽ được sử dụng ra sao. Với việc các ứng dụng công nghệ thông tin và dữ liệu ngày càng trở nên phổ biến cùng với nhiều vụ việc liên quan đến hành vi lạm dụng dữ liệu xảy ra trong thời gian gần đây, các chủ đề về bảo vệ dữ liệu đã và đang thu hút sự chú ý của dư luận. Nhiều câu hỏi liên quan đến tính riêng tư và bảo mật của dữ liệu được đặt ra:

  • Ai là người có quyền truy cập thông tin và dữ liệu cá nhân?
  • Dữ liệu cá nhân có được lưu giữ một cách an toàn hay không?
  • Liệu các bên liên quan có được thông báo hoặc lấy ý kiến đồng thuận về quá trình thu thập và phân phối dữ liệu hay chưa?
  • Dữ liệu cá nhân có bị phát tán hoặc lạm dụng hay không?

Để có thể trả lời những câu hỏi trên cũng như giải quyết những vấn đề tồn đọng về bảo vệ dữ liệu, nhu cầu lập ra một bộ quy định mang tính pháp lý về bảo vệ dữ liệu trở nên cấp thiết. Quá trình bảo vệ dữ liệu được hiện thực hóa thông qua những bộ luật quy định về việc bảo vệ dữ liệu cá nhân. Những bộ luật này được soạn thảo dựa trên các nguyên tắc cơ bản sau [1]:

  • Giới hạn về loại dữ liệu và thông tin cá nhân được thu thập.
  • Thông tin cá nhân cần được thu thập một cách hợp pháp và nhận được sự đồng thuận từ các đối tượng liên quan.
  • Thông tin cá nhân được thu thập phải chính xác, cập nhật và mang tính liên quan đến mục đích sử dụng.

Các giai đoạn xử lý dữ liệu và thông tin cá nhân (bao gồm các hoạt động liên quan đến thu thập, ghi nhận, tổ chức, cấu trúc, lưu trữ, chỉnh sửa, truy xuất và phân phối dữ liệu) cần đạt được sự đồng thuận giữa các bên liên quan cũng như phải được kiểm soát bởi bên thứ ba dưới sự ủy quyền của các tổ chức hay cá nhân mang tính pháp lý. Các quy định này đóng góp vai trò quan trọng trong việc hạn chế và định hình các hoạt động của các tổ chức, doanh nghiệp và chính phủ. Mục tiêu của chúng là  trao quyền kiểm soát dữ liệu cá nhân về phía người dân hoặc khách hàng.

2. Tầm quan trọng của bảo vệ dữ liệu

Sự phát triển của dữ liệu gắn liền với quá trình phát triển và phổ biến Internet, truyền thông cũng như các ứng dụng công nghệ thông tin. Dữ liệu là nguồn tài nguyên quan trọng trong hầu hết các lĩnh vực. Bên cạnh những lợi ích mang lại, khía cạnh bảo mật của dữ liệu là chủ đề gây tranh cãi trong nhiều năm qua. Trong nhiều trường hợp, quá trình ghi nhận và thu thập dữ liệu được tiến hành mà không có thông báo đến các đối tượng liên quan hoặc bên liên quan không ý thức được quyền lợi và trách nhiệm của mình về dữ liệu, dẫn đến các nguy cơ về rò rỉ hoặc lạm dụng dữ liệu, bao gồm cả các dữ liệu và thông tin mang tính nhạy cảm.

Quá trình bảo vệ dữ liệu bao gồm các hoạt động phòng ngừa việc lạm dụng dữ liệu cũng như triển khai các biện pháp kiểm soát đặt ra các yêu cầu về chi phí, thời gian, công sức cũng như năng lực phân  phối nguồn lực sẵn có. Các yêu cầu này chỉ có thể được cụ thể hóa khi các đối tượng liên quan nhận thức được lý do cần thiết đẻ bảo vệ dự liệu. Những lý do phổ biến bao gồm:

  • Các bộ luật hay quy định mang tính bắt buộc về bảo vệ dữ liệu mà các bên liên quan đến việc xử lý dữ liệu và thông tin phải tuân theo. Hiện đã có hơn 100 quốc gia ban hành các văn bản mang tính pháp lý về bảo vệ dữ liệu. Trong đó có thể kể đến một số đạo luật tiêu biểu như Data Protection Directive (chỉ thị bảo vệ dữ liệu) được triển khai bởi Liên Minh Châu Âu (European Union - EU) vào năm 1995 [2][3]. Kể từ năm 2018, chỉ thị này được thay thế bằng GDPR (General Data Protection Regulation). Những quy định về quyền riêng tư dữ liệu thường chỉ ra những loại thông tin nào được pháp giữ lại, trong thời hạn bao lâu cũng như dưới hoàn cảnh hay điều kiện nào. Trong khi đó, các bộ luật khác đảm bảo tính riêng tư về mặt thông tin trong các loại tài liệu, tập tin hay cơ sở dữ liệu. Các bên liên quan đến việc xử lý và khai thác dữ liệu có thể phải đối mặt với nhiều khung hình phạt khác nhau nếu không tuân thủ chúng. Trong một số trường hợp, việc để mất hay thất thoát các phương tiện hoặc dữ liệu mang tính riêng tư cũng có thể bị quy thành vi phạm quy định pháp luật về bảo vệ dữ liệu.
  • Thiệt hại về tài chính cũng  như các loại thiệt hại khác đối với các rủi ro liên quan đến dữ liệu vì dữ liệu hiện nay được xem là nguồn tài sản quan trọng cần phải được bảo vệ nghiêm ngặt trước các sự đe dọa từ cả bên trong lẫn bên ngoài.Trong quá khứ, các đối tượng liên quan thường thiếu cảnh giác về các rủi ro như sai sót về mặt dữ liệu, rò rỉ thông tin, dữ liệu có chất lượng kém hoặc các mối đe dọa đến từ bên ngoài như các vụ tấn công xâm nhập của hacker hay bên trong như khả năng kiếm soát thiếu hiệu quả từ các dối tượng có trách nhiệm liên quan. Trong bản báo cáo năm 2014 về các vụ rò rỉ dữ liệu, IBM và Ponemon Institute thống kê được chi phí trung bình cho mỗi hồ sơ thông tin bị đánh mất hoặc mất cắp đã gia tăng từ 188 USD lên đến 201 USD cũng như tổng chi phí mà mỗi tổ chức phải chịu cho các rủi ro liên quan đến dữ liệu đã tăng từ 5.4 triệu USD lên 5.9 triệu USD [4]. Những tốn thất tài chính như đánh giá sai, mất thị trường hay các khoản phạt có tác động trực tiếp đến đối tượng liên quan. Ngoài ra còn có những tổn thất gián tiếp khác do đánh mất niềm tin từ các bên chịu ảnh hưởng, hay giảm uy tín cũng như khả năng cạnh tranh so với các đối thủ.
  • Sự gia tăng ảnh hưởng của nền kinh tế toàn cầu dẫn đến những đòi hỏi nghiêm ngặt về mặt thời gian trong nhiều hoạt động khác nhau. Tất cả các hoạt động từ thương mại điện tử, sản xuất, tài chính, dịch vụ, chăm sóc sức khỏe cho đến quản lý chính phủ cần được đảm bảo về mặt thời gian, bao gồm độ chính xác, tính liên tục, do đó, và độ tin cậy. Hệ thống cần được vận hành ngay cả trong trường hợp không có sự hiện diện của các đối tượng liên quan. Bất kì trường hợp rủi ro về dữ liệu nào, kể cả tạm thời chỉ trong khoảng thời gian ngắn, cũng có thể gây ra hậu quả nghiêm trọng.
  • Rủi ro về dữ liệu cũng làm giảm năng suất hoạt động của các hệ thống liên quan. Sự yếu kém về chiến lược bảo vệ dữ liệu có thể dẫn đến lãng phí thời gian và chi phí do các bên liên quan phải chờ đợi để thực hiện tác vụ của mình, qua đó dẫn đến sự kém hiệu quả về mặt năng suất.
  • Tiến trình ra quyết định cần được hỗ trợ bởi dữ liệu. Theo Data Warehouse Institute ước tính, các vấn đề về chất lượng dữ liệu gây thiệt hại đến hơn 600 tỉ USD hàng năm [5]. Để có thể nâng cao chất lượng dữ liệu cũng như giảm đi những sai lầm trong tiến trình ra quyết định, toàn bộ quy trình xử lý dữ liệu cần phải được cải thiện, trong đó bao gồm cả khía cạnh bảo mật và tính riêng tư của dữ liệu. Chính vì vậy, chất lượng dữ liệu, tính chính xác, liên tục và độ cập nhật giữ vai trò then chốt trong tất cả các giai đoạn của tiến trình ra quyết định.

Việc cải thiện quy trình xử lý dữ liệu để đáp ứng việc tuân thủ các bộ luật sẽ đồng thời mang lại nhiều lợi ích cho các thực thể và đối tượng liên quan, cũng như nâng cao nhận thức của các thành phần trong nền kinh tế về tầm quan trọng của dữ liệu.

3. Vai trò của GDPR trong phát triển đô thị thông minh

GDPR (General Data Protection Regulation) là bộ quy định chung về bảo vệ dữ liệu được ban hành bởi EU và đã chính thức có hiệu lực từ tháng 5/2018. Bộ luật này ra đời để thay thế cho chỉ thị bảo vệ dữ liệu (Data Protection Directive) 95/46/EC trong việc cân bằng và thúc đẩy việc bảo vệ dữ liệu riêng tư của công dân EU cũng như thay đổi cách tiếp cận vấn đề của các tổ chức liên quan về quyền riêng tư dữ liệu. Bên cạnh những điều khoản bắt buộc, các quốc gia thành viên cũng có thể sửa đổi các quy định về quyền riêng tư dữ liệu ở một số lĩnh vực cụ thể sao cho phù hợp. So với những bộ luật trước đó, GDPR mang tính bao quát và chính xác hơn, đồng thời chú trọng hơn về dữ liệu cá nhân.

Hình 2: GDPR - Công cụ pháp lý để bảo vệ dữ liệu (Nguồn: SB_photos/Shutterstock.com)

Với mục tiêu bảo vệ thông tin cá nhân của tất cả công dân EU trong một xã hội hướng dữ liệu (data-driven) như hiện nay, GDPR mang đến nhiều thay đổi so với những bộ luật cũ như chỉ thị 95/46/EC vốn đã bộc lộ nhiều mặt hạn chế do được ban hành từ năm 1995, thời kì mà bối cảnh ứng dụng công nghệ thông tin còn khác xa so với thời điểm hiện tại [6]. Trong đó, các quy định về điều kiện cho sự đồng thuận (consent) được thắt chặt hơn thông qua việc yêu cầu các tổ chức liên quan đến việc xử lý dữ liệu phải đưa ra các điều khoản một cách rõ ràng và có thể truy cập được khi tiến hành lấy ý kiến đồng thuận từ các đối tượng liên quan. Ngoài ra, GDPR cũng đưa ra các điều khoản về quyền chủ thể dữ liệu (Data Subject Rights) để trao vai trò điều khiển dữ liệu (data controller) về tay người dùng. Thông qua các điều khoản này, các tác vụ xử lý dữ liệu dẫn đến nguy cơ rò rỉ thông tin và ảnh hướng đến quyền tự do cần phải được cảnh báo đến các cá nhân liên quan. Đồng thời, các cá nhân kể trên phải được trao quyền xác nhận việc thông tin về họ sẽ được sử dụng khi nào, ở đâu và cho mục đích gì. Các chủ thể dữ liệu này cũng có quyền yêu cầu xóa bỏ dữ liệu (Data Erasure) liên quan đến họ cũng như cắt quyền truy cập và sử dụng thông tin của họ từ các nhóm tổ chức xử lý dữ liệu hay bên thứ ba. Bên cạnh đó, điều khoản 23 trong GDPR cũng kêu gọi giới hạn quyền sử dụng dữ liệu để dữ liệu chỉ được khai thác và sử dụng trong những trường hợp thật sự cần thiết. Xét trên toàn cục, GDPR cung cấp các điều khoản quy định về xử lý và bảo vệ dữ liệu một cách toàn diện và chính xác, cũng như đưa ra mức phạt cao cho các bên không tuân thủ. [7]

Trong những năm gần đây, khái niệm thành phố thông minh (smart city) hoặc các thuật ngữ tương tự đang ngày càng trở nên phổ biến trên các phương tiện truyền thông cũng như trở thành xu hướng phát triển ở nhiều nơi trên thế giới. Mặc dù vẫn chưa có một khái niệm thống nhất về thuật ngữ này, nhưng nhìn chung, thông qua ứng dụng công nghệ thông tin và truyền thông (Information and Communications Technology – ICT), dữ liệu về các hoạt động của người dân sẽ được thu thập hoặc tạo ra từ các thiết bị IoT (Internet of Things) theo thời gian thực (real-time tracking) để hỗ trợ cho đa dạng các lĩnh vực, từ kinh doanh hay thương mại điện tử (E-business hay E-commerce), dịch vụ trực tuyến (online service) cho đến các mô hình như chính phủ điện tử (E-government). Từ đó, các thành phần trong hệ thống đô thị phức tạp sẽ được kết nối và tương tác với nhau nhằm cắt giảm chi phí và nâng cao chất lượng cuộc sống của người dân.

Xu hướng gia tăng xử lý dữ liệu trong phát triển đô thị nói chung và ở các lĩnh vực liên quan nói riêng mang hỗ trợ cải thiện chất lượng cuộc sống của người dân nhưng cũng đồng thời mang đến nhiều lo ngại về quyền riêng tư. Do đó, GDPR trở thành một công cụ pháp lý quan trọng để đảm bảo cho sự phát triển dài hạn của nền kinh tế và quản trị số (digital economy). Cụ thể hơn, điều 5 của GDPR quy định rằng dữ liệu cá nhân phải đầy đủ, mang tính liên quan và chỉ giới hạn trong mục đích sử dụng cần thiết, qua đó có thể hiểu rằng các hoạt động thu thập dữ liệu cá nhân của công dân trong quá trình phát triển đô thị thông minh cần phải đảm bảo về tính chính xác cũng như giới hạn cho một mục đích cụ thể nào đó. Thời gian lưu trữ thông tin cũng phải có thời hạn  nhất định. Trong trường hợp dữ liệu được sử dụng cho mục đích công cộng, ví dụ như xây dựng mô hình giao thông, thì các thông tin đó phải mang tính ẩn danh. Những trường hợp phục vụ cho mục đích công cộng kể trên được quy định chi tiết hơn trong điều 6 của bộ luật. Ngoài ra, điều 32 trong GDPR còn tính tới chi phí triển khai, phạm vi, bối cảnh và mục đích cho việc xử lý dữ liệu, vốn trước đây chỉ được triển khai thông qua các bộ tiêu chuẩn về an toàn thông tin từ ISO/IEC 27000. [8]

Mặc dù có một số ý kiến cho rằng GDPR sẽ làm chậm tốc độ thông minh hóa đô thị, trên thực tế, với việc khai thác và sử dụng dữ liệu trên mọi lĩnh vực phát triển, việc liên kết quá trình phát triển với các đạo luật về bảo vệ dữ liệu như GDPR là không thể tránh khỏi. Trong bối cảnh Việt Nam đang đưa ra chủ trương về xây dựng và phát triển đô thị thông minh, các nhà làm luật cần chú ý để đưa ra những đạo luật và điều chỉnh phù hợp để đảm bảo tính an toàn của dữ liệu, đồng thời nâng cao nhận thức của người dân về quyền lợi của mình, cũng như trách nhiệm của các bên liên quan trong quá trình xử lý dữ liệu.

Tài liệu tham khảo

[1] Kyriazoglou, J. (2010). IT strategic and operational controls. Ely, Cambridgeshire: IT Governance Pub.

[2] Banisar, D. (2018). National Comprehensive Data Protection/Privacy Laws and Bills 2018. Retrieved from https://papers.ssrn.com/sol3/papers.cfm?abstract_id=1951416

[3] Greenleaf, G. (2017). Global Data Privacy Laws: 89 Countries, and Accelerating. Retrieved from https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2000034.3

[4] Ponemon Institute Releases 2014 Cost of Data Breach: Global Analysis. (2018). Retrieved from https://www.ponemon.org/blog/ponemon-institute-releases-2014-cost-of-data-breach-global-analysis

[5] https://tdwi.org/Home.aspx

[6] Official Journal of the European Union L281, 23/11/1995 P.0031-0050

[7] Key Changes with the General Data Protection Regulation – EUGDPR. (2018). Retrieved from https://eugdpr.org/the-regulation/

[8] ISO/IEC 27001 Information security management. (2018). Retrieved from https://www.iso.org/isoiec-27001-information-security.html