Sáu vấn đề nghiêm trọng về dữ liệu cá nhân trong thẻ căn cước gắn chip

Chiếc thẻ căn cước gắn chip thuận tiện có thể mang lại nhiều rủi ro hơn bạn nghĩ

Thanh Ngọc

Bạn có thể là một trong những người đang sở hữu chiếc thẻ căn cước mới. Chiếc thẻ này sẽ giúp bạn thuận tiện, tiết kiệm hơn khi sử dụng dịch vụ của nhà nước.

Đồ họa: Luật Khoa. Ảnh: CafeF, Công an Nhân dân

Tuy nhiên, nếu bây giờ bạn cầm trên tay chiếc thẻ thì bạn đang chịu rủi ro rất lớn về bảo mật thông tin cá nhân. Dự thảo nghị định cụ thể, quan trọng nhất về bảo vệ thông tin từ thẻ căn cước vẫn đang được Bộ Công an lấy ý kiến.

Nói nôm na là chính quyền thu thập thông tin của bạn trong khi họ vẫn chưa quyết rằng thông tin của bạn sẽ được bảo vệ như thế nào.

Đây cũng chính là quan ngại của Thủ tướng Nguyễn Xuân Phúc. Khi bấm nút khai trương Cơ sở dữ liệu quốc gia về dân cư, ông Phúc đã nhắc Bộ Công an phải gấp rút trình chính phủ nghị định chính thức về bảo vệ dữ liệu cá nhân trong sáu tháng đầu năm 2021.

Bạn có thể cho rằng mình không sợ bị tiết lộ thông tin cá nhân. Nhưng bạn còn nhớ cảm giác khi nhận được điện thoại của các hãng chào bán nhà, hay khi biết rằng hành trình bay của bạn bị tiết lộ cho các hãng taxi? Thẻ căn cước mới có thể dẫn đến những hậu quả khó chịu và khó lường với 6 vấn đề sau.

1. Thẻ chip đã lỗi thời và không đảm bảo vệ sinh trong dịch COVID-19

Chip gắn trên thẻ căn cước mới có hình dạng giống như một chiếc thẻ sim điện thoại.

Bộ Công an xác nhận con chip này sẽ chứa 20 trường dữ liệu cá nhân do công an quản lý, và vô số các thông tin (như bảo hiểm, bằng lái, hải quan…) có thể đính kèm vào nhưng vẫn chưa được bộ này công bố.

Thẻ căn cước gắn chip (contact card – thẻ tiếp xúc, phải cắm vào máy để đọc thông tin) mà Bộ Công an sắp cấp cho bạn là loại thẻ đã lỗi thời và không đảm bảo vệ sinh trong đại dịch COVID-19.

Theo tập đoàn Thales, nhà cung cấp thẻ căn cước cho nước Bỉ, khi giao dịch với thẻ chip, người dùng phải cắm thẻ vào đầu đọc, rồi chủ thẻ mới nhập mã PIN hoặc chữ ký để xác nhận.

Trong khi đó, với thẻ không tiếp xúc, người dùng chỉ cần đưa ra trước máy và lấy lại trong tích tắc. Việc này vừa thuận tiện, lại vừa giảm rủi ro bị đánh cắp dữ liệu trong quá trình giao dịch. Thẻ không tiếp xúc còn có khả năng kết nối dễ dàng với điện thoại (qua cảm biến NFC), và giúp đảm bảo an toàn hơn trong đại dịch vì không phải trao đổi thẻ qua lại với người khác.

Năm 2019, Hội đồng Châu Âu đã thông qua tiêu chuẩn bảo mật mới đối với thẻ căn cước (ID Card). Hội đồng quy định rằng thẻ căn cước phải là loại thẻ không cần phải cắm vào máy đọc (thẻ không tiếp xúc – contactless card).

Từ năm 2017, nước Đức đã bắt đầu phát hành thẻ căn cước không tiếp xúc cho người dân song song với căn cước điện tử (electronic ID). Năm 2021, Việt Nam mới bắt đầu đổi thẻ căn cước, nhưng công nghệ được cấp 2.696 tỷ đồng mà Bộ Công an cho là hiện đại nay đã lỗi thời.

2. Chính quyền được phép thu thập thông tin diện rộng

Trong Luật Căn cước 2014, có một điều luật cho phép chính quyền thu thập thông tin không giới hạn.

Ngoài những thông tin về nhân thân được cập nhật vào Cơ sở dữ liệu quốc gia về dân cư, Điều 9, Khoản 2 của Luật Căn cước ghi rằng thông tin của bạn sẽ được cập nhật vào cơ sở dữ liệu này từ “…cơ sở dữ liệu về cư trú và cơ sở dữ liệu chuyên ngành khác”.

Những chuyên ngành khác đó hoàn toàn có thể là nơi bạn đi khám bệnh, nơi bạn gửi tiền, khách sạn bạn ở, món hàng bạn đặt từ trên mạng, v.v…

Rất có thể một ngày nào đó, cán bộ công an có thể ngồi trong phòng và biết bạn đang làm gì.

3. Chủ thẻ chưa có quyền đọc thông tin của mình một cách dễ dàng

Chúng ta có thể đồng ý rằng cần tích hợp nhiều thông tin để thuận tiện giao dịch hơn. Nhưng đối với những thông tin mà bạn không muốn bất kỳ ai biết, ví dụ thông tin về sức khỏe, tài chính, thì bạn phải làm như thế nào?

Để kiểm soát được thông tin của mình, bạn phải biết được chính quyền đã thu thập những thông tin nào của bạn. Tuy nhiên, điều này chưa chắc sẽ dễ dàng.

Theo dự thảo Nghị định về Bảo vệ dữ liệu cá nhân mà Bộ Công an đang lấy ý kiến, bạn cần yêu cầu bên xử lý dữ liệu cho bạn chỉnh sửa, xem hay cung cấp bản sao.

Điều này có nghĩa là bạn phải trải qua một thủ tục để được xem dữ liệu trên thẻ căn cước của chính mình. Trong khi, chính quyền hoàn toàn có thể cho bạn xem dữ liệu này ngay trên mạng, và bạn có quyền yêu cầu ngừng truy cập thông tin mà bạn không mong muốn.

Estonia là đất nước nổi tiếng về hệ thống dữ liệu cá nhân thông minh (thẻ chip đầu tiên được cấp vào năm 2002). Nước này cũng dùng loại thẻ chip như Việt Nam, nhưng công dân của họ được cung cấp tài khoản Digi-ID và Mobiil-ID. Thông tin trên thẻ căn cước của Estonia chỉ hiện ra những thông tin nhân thân cơ bản nếu không có mã PIN1 do chủ thẻ cung cấp và chỉ có chủ thẻ biết. Trong các giao dịch trực tuyến, chủ thẻ phải có thẻ căn cước, đầu đọc thẻ, mã PIN1 để xác định danh tính, và khi ký các giấy tờ hay thanh toán thì chủ thẻ phải cần nhập thêm mã PIN2 của mình.

4. Nhiều kẽ hở cho phép chính quyền truy cập, tiết lộ dữ liệu mà không cần hỏi chủ thẻ

Nếu dự thảo Nghị định về Bảo vệ dữ liệu cá nhân của Bộ Công an được thông qua mà không có sửa đổi, thông tin của bạn có thể bị tiết lộ, truy cập mà không cần bạn cho phép.

Theo Điều 6, Khoản 1 của dự thảo, thông tin của bạn sẽ bị tiết lộ nếu chiếu “theo quy định của pháp luật”, “…vì mục đích quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, đạo đức xã hội”.

Theo Điều 11, Khoản 3, Điểm b của dự thảo này, dữ liệu của bạn có thể bị “xử lý” (thu thập, ghi, phân tích, tiết lộ, cấp quyền truy cập, truy xuất, thu hồi, sao chép, chuyển giao) mà không cần phải thông báo cho bạn “nếu việc xử lý dữ liệu cá nhân được quy định bởi pháp luật…”.

5. Tình trạng tài chính, sức khỏe, tình dục có thể bị thu thập, truy cập

Theo dự thảo nghị định của Bộ Công an, tình trạng tài chính, sức khỏe, tình dục là loại dữ liệu nhạy cảm có thể được chính quyền thu thập và xử lý.

Nói cách khác, việc bạn có bao nhiêu tiền trong ngân hàng, sức khỏe của bạn thế nào, xu hướng tình dục của bạn ra sao sẽ được lưu trữ lại.

Theo dự thảo, loại dữ liệu nhạy cảm này sẽ không được tiết lộ cho bên thứ ba. Để xử lý (thu thập, phân tích, sao chép, chuyển giao…) loại dữ liệu này phải đăng ký trước với Ủy ban bảo vệ dữ liệu cá nhân.

Tuy nhiên, nhà nước vẫn chừa ra khoảng trống cho phép họ thu thập thông tin mà không cần phải đăng ký với ủy ban. Đó là các hoạt động điều tra vi phạm pháp luật, thực hiện chức năng tư pháp, và đáng chú ý hơn cả là “các hoạt động khác theo quy định của pháp luật”.

6. Công an thu thập, công an xử lý, công an giải quyết khiếu nại

Theo dự thảo Nghị định về Bảo vệ dữ liệu cá nhân, một ủy ban sẽ được thành lập chuyên để bảo vệ dữ liệu cá nhân.

Ủy ban này sẽ trực thuộc Bộ Công an. Người đứng đầu là Cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao của Bộ Công an. Tất cả thành viên khác cũng là người của Bộ Công an.

Giờ đây, thông tin của bạn sẽ được công an thu thập, xử lý, và nếu có xảy ra bất trắc gì thì công an cũng là người giải quyết khiếu nại.

T.N.

Nguồn: Luật Khoa

Sáng lập:

Nguyễn Huệ Chi - Phạm Toàn - Nguyễn Thế Hùng

Điều hành:

Nguyễn Huệ Chi [trước] - Phạm Xuân Yêm [nay]

Liên lạc: bauxitevn@gmail.com

boxitvn.online

boxitvn.blogspot.com

FB Bauxite Việt Nam


Bài đã đăng

Được tạo bởi Blogger.

Nhãn