(KTSG) – Chính phủ đang lấy ý kiến về dự thảo nghị định định danh điện tử và xác thực điện tử(1). Không chỉ ở cơ quan nhà nước, hệ thống giao dịch tư nhân cũng cần được định danh theo hướng mở, nhưng cần đánh giá đúng nhu cầu sử dụng.
Định danh điện tử
Như hiện nay, một người trên nhiều hệ thống khác nhau sẽ có riêng từng định danh và không có xác thực chuẩn và an toàn về chủ thể.
Muốn truy xuất, chứng minh nguồn gốc thì phải có cơ sở dữ liệu chung thống nhất. Hiện nay Chính phủ đã có dữ liệu quốc gia về dân cư, cơ sở dữ liệu căn cước công dân, cơ sở dữ liệu quốc gia về xuất nhập cảnh, chưa tính cơ sở dữ liệu chuyên ngành. Có quy định đầy đủ, Chính phủ sẽ quản lý được kết nối và yêu cầu chia sẻ dữ liệu liên thông.
Không có gì là vô hình trên không gian mạng, từ con người cho đến giao dịch. Một hệ thống thông tin dù chằng chịt nhưng yêu cầu cơ bản là phải quy củ, có phép tắc, quản lý đầu mối. Định danh, xác thực điện tử chỉ là một nhánh thông tin nhưng là thông tin cơ bản nhất về chủ thể hoạt động có ý thức. Từ đây hy vọng nhiều thứ sẽ được truy vết.
Câu hỏi hiện nay là làm sao và có nên quản lý thống nhất các mã định danh giữa các hệ thống giao dịch điện tử công, tư khác nhau.
Không có gì là vô hình trên không gian mạng, từ con người cho đến giao dịch… Định danh, xác thực điện tử chỉ là một nhánh thông tin nhưng là thông tin cơ bản nhất về chủ thể hoạt động có ý thức. Từ đây hy vọng nhiều thứ sẽ được truy vết.
Theo khoản 2, điều 22, dự thảo quy định việc sử dụng tài khoản định danh điện tử, xác thực điện tử được tạo lập bởi hệ thống định danh và xác thực điện tử của Bộ Công an để thực hiện các hoạt động không thuộc trường hợp quy định tại khoản 1 điều này (phục vụ cho các giao dịch hành chính công) do tổ chức, cá nhân tự lựa chọn sử dụng. Với quy định này thì dự thảo chỉ dừng lại ở mức khuyến khích, cho phép tồn tại các hệ thống có định danh khác nhau, không nhắc nhiều đến hệ thống giao dịch điện tử tư nhân.
Tuy nhiên sẽ có các phương án cần xem xét thêm.
Phương án 1: Hoạt động trên nhiều hệ thống. Ở phương án này, điều kiện quản lý là phải có hệ quy chiếu để truy xuất nguồn gốc chủ thể – thường đó là nhận dạng cá nhân phổ biến được quy định cụ thể (ID – căn cước công dân; số điện thoại), đây là đầu mối để truy được dữ liệu cá nhân; chỉ cần hệ thống giao dịch nào cũng thêm một trường nhận dạng, yêu cầu khách hàng cung cấp bắt buộc.
Nếu thuận tiện, tốt nhất giao dịch không cần căn cước công dân gốc của người dùng, nhất là trên các hệ thống giao dịch tư nhân. Ví dụ, bên mua đặt hàng với nick định danh giả lập (khác tên khai sinh) và cung cấp địa chỉ giao dịch, hàng tới đúng địa chỉ đã đăng ký, họ nhận hàng và trả tiền. Một giao dịch kinh doanh trực tuyến, tính thương mại, như vậy là cơ bản.
Mục đích cuối cùng là trên hệ thống thống nhất, liên kết, chia sẻ, ta có thể cảnh báo, truy xuất hành vi thông qua định dạng.
Các nhà bán hàng không dại gì quản lý luôn ID cá nhân bên mua – khách hàng (ngoại trừ có ý đồ ở khâu xử lý dữ liệu), vì sẽ thêm một công đoạn nữa là bảo mật, chống tiết lộ. Trên không gian mạng, nếu hệ thống quản lý tư nhân cam kết đầu tư tốt hơn, giảm nguy cơ xâm phạm thông tin cá nhân thì đây sẽ là những lý do để cân nhắc và họ (các bên bán) sẽ sử dụng hệ thống điện tử riêng để quản lý thông tin khách hàng, giao dịch một cách chủ động. Doanh nghiệp bán hàng cũng cần san sẻ nghĩa vụ quản lý, cùng xử lý tại chỗ những phát sinh về kỹ thuật, quy trình, con người tham gia trong hệ thống.
Ngoài ra người dùng cũng không thích cung cấp thông tin cơ bản về họ quá nhiều, nhất là trên các hệ thống khác nhau.
Song về mặt pháp lý lại là vấn đề khác, đặc biệt là khi giao dịch có xảy ra tranh chấp pháp lý. Định danh điện tử lúc này là nguồn để xác định đúng chủ thể; khi có xác nhận chính xác thì các yêu cầu tranh chấp, điều tra, xác minh lỗi hay vấn đề bồi thường mới hợp pháp.
Do vậy giữa cần ID và không cần ID chỉ nên là lý do hợp pháp và thuận tiện (nhất) để quản lý, nhưng bớt ở khâu nào vẫn hay khâu đó, và buộc quản lý phải thu gọn về một số đầu mối. Đối với các giao dịch thương mại điện tử, chỉ cần có số điện thoại (cùng với các thông tin nhận dạng, bảo mật do người dùng biết hoặc chủ sở hữu) là trường bắt buộc khi đăng ký tài khoản là có thể truy ra định danh gốc, vì chúng được quản lý theo thông tin người dùng từ các nhà mạng đã có đầy đủ.
Không có điện thoại hoặc thiết bị cá nhân có tích hợp thì người truy cập không thể nhận được mã xác thực, ví dụ như mã OTP (One Time Password); mà điện thoại hay thiết bị cá nhân có tích hợp trở thành vật bất ly thân theo đúng nghĩa đen, cũng không có nghĩa là đã an toàn, vì nếu người khác chiếm hữu được điện thoại đã đăng ký thì mọi chuyện sẽ khác. Do vậy, đối với các giao dịch ở mức độ tinh vi hoặc nguy cơ lừa đảo cao thì định danh có thể có thêm sinh trắc học hình ảnh, vân tay (mức độ 2) mà nhiều doanh nghiệp, ngân hàng, tổ chức tài chính, chứng khoán hiện nay đang áp dụng.
Phương án 2: Là sử dụng mã định danh điện tử để đăng nhập trực tiếp vào hệ thống giao dịch (tư). Một mắc mớ ở đây là người truy cập có quyền sử dụng hoặc không sử dụng mã định danh điện tử do Bộ Công an cấp cho nhiều giao dịch điện tử mà họ được phép lựa chọn, chủ yếu là trên hệ thống giao dịch tư nhân (khoản 2, điều 22).
Phương án này đòi hỏi chủ sở hữu nền tảng hệ thống giao dịch phải đấu nối với hệ thống dữ liệu quốc gia để xác thực chủ thể giao dịch, nhưng có bắt buộc làm vậy hay không thì không thấy dự thảo nhắc tới.
Phương án này cũng có lợi thế là định danh trực tiếp lấy từ dữ liệu gốc của hệ thống quốc gia. Người dùng không phải khai báo rườm rà nhiều lần trên nhiều hệ thống. Nhược điểm của phương án này là các hệ thống giao dịch điện tử tư nhân phải xây dựng lại hoặc bổ sung, gây tốn kém và như quy định trên, hiện giờ chưa có cơ chế hay lộ trình mở rộng thành diện bắt buộc.
Song phương án 2 trước mắt cũng chỉ nên khuyến khích, vì với xu hướng cạnh tranh nó có thể làm ảnh hưởng đến những hoạt động kinh doanh, quảng cáo, tiếp thị của doanh nghiệp do định danh tài khoản, thông tin đăng nhập theo sở thích cá nhân hiện nay đang là “mốt” (ví dụ tài khoản ngân hàng, tên đăng nhập theo số điện thoại, ngày sinh, các liên kết cá nhân dễ nhớ, dễ thuộc), có tính thương mại cao, được khai thác nhiều, nhất là các tổ chức tài chính, ngân hàng.
Theo lộ trình thì có thể nghiên cứu sử dụng phương án 2 này trong điều kiện cho phép về hạ tầng và quản lý nhà nước.
Phương án 3: Là quy định sử dụng định danh của Bộ Công an bắt buộc (ngoài giao dịch hành chính công) đối với một số lĩnh vực tư nhân, ngành nghề có điều kiện, nhạy cảm, giao dịch có yếu tố nước ngoài, mạng xã hội, cơ sở yếu kém về hạ tầng… với mục đích làm thử nghiệm hoặc làm chính thức luôn.
Xác thực điện tử
Một vấn đề khác là chống giả mạo định danh, giả dụ một số bên có thể dùng tên, định danh cá nhân của người khác đăng ký và giao dịch (vì lý do nào đó) thì vấn đề không còn nằm ở định danh nữa mà chốt chặn cuối cùng là khâu xác thực điện tử. Nhưng xác thực an toàn nhất vẫn là sinh trắc học (vân tay, hình ảnh…), đặc biệt là áp dụng cho các giao dịch về tài chính; mục đích là để cá thể hóa bên giao dịch vào từng thời điểm giao dịch, tránh sử dụng các dạng mật mã, OTP, phương thức xác thực điện tử hay vật lý truyền thống vốn dễ bị theo dõi, đánh cắp và thường được sử dụng phổ biến trên các thiết bị cá nhân phổ biến như điện thoại di động thông minh, máy tính để bàn, máy tính xách tay…
Làm điều này thì hệ thống phương tiện công cụ phục vụ cần được đề cao đi kèm trách nhiệm giữa cơ quan nhà nước và các nhà sản xuất thiết bị đầu cuối nhận dạng sinh trắc học và các giai đoạn khi cần khai báo, kiểm tra.
Mục đích cuối cùng là trên hệ thống thống nhất, liên kết, chia sẻ, ta có thể cảnh báo, truy xuất hành vi thông qua định dạng.
Nhiều người có hoạt động kinh doanh thương mại trực tuyến, thu tiền nhưng không bị thu thuế, hành vi có thể bị phát hiện nhưng không thể thay thế cho ý thức khai báo của chủ thể. Do vậy hiệu quả của các công cụ hỗ trợ là đòi hỏi đương nhiên.
Dù vậy, giám sát nào thì cũng không thể xâm phạm đến các quyền cá nhân, riêng tư của người dùng là được.
———
(1) http://bocongan.gov.vn/van-ban/van-ban-moi/bo-cong-an-lay-y-kien-gop-y-doi-voi-du-thao-nghi-dinh-quy-dinh-ve-dinh-danh-va-xac-thuc-dien-tu-621.html
