Vấn đề lập pháp liên quan đến bảo vệ dữ liệu sinh trắc học

09:23 | 23/08/2021
Trần Văn Liệu (Bộ Công an)

Sự phát triển nhanh chóng của công nghệ sinh trắc học đã làm dấy lên lo ngại liên quan đến quyền cá nhân. Vì thông tin sinh trắc học có tính duy nhất và bất biến, một khi bị lộ sẽ dẫn đến vi phạm quyền riêng tư của đối tượng. Do đó, việc ứng dụng công nghệ sinh trắc học, không chỉ đơn thuần quan tâm đến sự phát triển của công nghệ mà còn phải thiết lập một cơ sở bảo vệ vững chắc hơn, đó chính là luật pháp.

SỰ CẦN THIẾT QUẢN LÝ CÔNG NGHỆ SINH TRẮC HỌC

Công nghệ sinh trắc học (Biometric technology) là việc kết hợp giữa các phương tiện như máy tính, cảm biến sinh học, thống kê,… để cá nhân hóa các đặc điểm sinh học của con người (dấu vân tay, khuôn mặt, mống mắt,...) và các đặc điểm hành vi (chữ viết tay, giọng nói, dáng đi,…) phục vụ phân biệt và nhận biết đối tượng (người). Những năm gần đây, công nghệ nhận dạng sinh trắc học mà nổi bật là nhận dạng khuôn mặt, đã thay đổi cách thu thập và xử lý thông tin cá nhân truyền thống. Nhận dạng sinh trắc học có đặc điểm là an toàn, thuận tiện và hiệu quả, kịch bản ứng dụng cũng đa dạng hơn. Vì vậy, công nghệ này dần đóng vai trò quan trọng trong lĩnh vực bảo mật (như bảo mật máy tính, điện thoại, tài khoản ngân hàng, các hệ thống kiểm soát ra vào,…); đảm bảo an ninh công cộng (hệ thống camera giám sát công cộng, kiểm soát xuất nhập cảnh,…) hay quá trình xây dựng các thành phố thông minh

Nhiều quốc gia trên thế giới đã áp dụng công nghệ sinh trắc học hiệu quả, có thể kể đến: Hoa Kỳ kiểm soát dấu vân tay của khách du lịch nước ngoài từ năm 2004; Nhật Bản kiểm soát dấu vân tay du khách nước ngoài từ năm 2007; Trung Quốc yêu cầu tất cả các du khách nước ngoài khi đến Trung Quốc phải lấy dấu vân tay từ năm 2017; tháng 6/2020, EU triển khai xây dựng hệ thống sinh trắc học bảo đảm an ninh biên giới….

Tuy nhiên, việc lạm dụng công nghệ sinh trắc học cũng đang trở nên phổ biến, đe dọa nghiêm trọng đến quyền thông tin cá nhân. Những vụ việc điển hình như vào năm 2015, bang Illinois, Hoa Kỳ cáo buộc Facebook thu thập dữ liệu sinh trắc học của người dùng; tháng 7/2020 Facebook phải nâng số tiền đề nghị hòa giải cho vụ kiện lên đến 650 triệu USD. Đầu năm 2019, kho dữ liệu giám sát khuôn mặt của 2,5 triệu người Trung Quốc ở Tân Cương của Công ty Công nghệ SenseNets bị lộ, dấy lên lo ngại về khả năng bảo mật của hệ thống camera giám sát Skynet của nước này. Gần đây, công nghệ deepfake phát triển nhanh chóng, một số kẻ xấu đã lợi dụng công nghệ này tạo ra những nội dung khiêu dâm giả mạo. Chính phủ các nước đang bày tỏ mối lo ngại thời gian tới sẽ có nhiều video giả mạo với mục đích dẫn dắt dư luận, gây bất ổn chính trị hoặc ảnh hưởng xấu đến tình hình kinh doanh của một công ty nào đó.

Việc thu thập và xử lý thông tin cá nhân rất quan trọng đối với sự phát triển của công nghệ trí tuệ nhân tạo và dữ liệu lớn, giúp nhận dạng con người nhanh chóng và chính xác hơn. Nhưng so với các dạng thông tin khác, thông tin sinh trắc học có mức độ rủi ro cao hơn.

Thứ nhất, nó không thể thay đổi: mật khẩu tài khoản ngân hàng, số điện thoại và thông tin nhận dạng khác được phép sửa đổi, còn thông tin sinh trắc học thì hầu như không thể thay đổi do dữ liệu sinh học có thể định nghĩa chính xác từng cá nhân.

Thứ hai, nó không thể ẩn danh: thông tin cá nhân có thể được ẩn danh bằng cách khử danh tính, thông tin ẩn danh không còn là thông tin cá nhân nữa. Tuy nhiên thông tin thu thập bằng công nghệ sinh trắc học không thể được ẩn danh và khử danh tính.

Thứ ba, thông tin nhận dạng sinh trắc học dễ dàng thu thập: trong thu thập truyền thống, các cá nhân chủ động nộp hồ sơ cho chính phủ, doanh nghiệp (nộp tài liệu giấy, bản điện tử, sau đó được nhập vào hệ thống cơ sở dữ liệu). Trong khi đó, công nghệ sinh trắc học sử dụng Internet, dữ liệu lớn, cảm biến sinh học, thiết bị camera,… để thu thập thông qua “quét khuôn mặt” hoặc “tiếp xúc” đơn giản, thậm chí có thể lưu trữ tự động quy mô lớn mà không nhất thiết phải có sự đồng ý của chủ thể.

Sự phát triển nhanh chóng của công nghệ sinh trắc học đã làm dấy lên lo ngại liên quan đến quyền cá nhân như: quyền riêng tư, quyền chân dung, quyền danh tiếng, quyền danh dự. So với việc bảo vệ thông tin cá nhân nói chung, thông tin sinh trắc học yêu cầu chặt chẽ hơn. Vì thông tin sinh trắc học có tính duy nhất và bất biến, một khi bị lộ sẽ dẫn đến vi phạm quyền riêng tư của đối tượng. Rộng hơn nữa, việc lạm dụng công nghệ sinh trắc học có thể ảnh hưởng đến an ninh quốc gia. Do đó, việc ứng dụng công nghệ sinh trắc học, không chỉ đơn thuần quan tâm đến sự phát triển của công nghệ mà còn phải thiết lập một cơ sở bảo vệ vững chắc hơn, đó chính là luật pháp.

QUY ĐỊNH CỦA CÁC NƯỚC LIÊN QUAN CÔNG NGHỆ NHẬN DẠNG SINH HỌC

Hiện nay, nhiều quốc gia đã nhận thức được tầm quan trọng và tính cấp thiết của việc bảo vệ thông tin sinh trắc học, do đó đã ban hành các luật, quy định, tiêu chuẩn liên quan. Trên phạm vi toàn cầu, các quy định về thông tin cá nhân nhạy cảm, dữ liệu đặc biệt và thông tin sinh trắc học ở các quốc gia khác nhau vừa có điểm chung và vừa có những điểm riêng. Mặc dù thuật ngữ, quan niệm có khác nhau, nhưng nó phản ánh một mối quan tâm đặc biệt của các nước đó là cần phải có quy định của pháp luật để quản lý, trong đó thông tin sinh trắc học (nhất là thông tin nhận dạng khuôn mặt) được quan tâm hàng đầu.

Những quốc gia, khu vực có định nghĩa rõ ràng về thông tin sinh trắc học và đưa ra quy định về hoạt động xử lý đối với loại dữ liệu này phải kể đến như Mỹ, Liên minh châu Âu, Nhật, Nga, Trung Quốc, Ấn Độ, Brazil…. Mặc dù vậy, các nước vẫn ở trong tình trạng dù đã có định nghĩa về thông tin sinh trắc học, tuy nhiên chưa có hoặc thiếu quy định cụ thể cho việc xử lý loại thông tin này.

Hoa Kỳ

Bang Illinois: “Luật bảo mật thông tin sinh trắc học Illinois 2008” (Illinois Biometric Information Privacy Act, 2008 - BIPA) quy định rõ thông tin sinh trắc học bao gồm: quét võng mạc hoặc mống mắt, dấu vân tay, giọng nói, hình dạng bàn tay hoặc khuôn mặt hoặc bất kỳ thông tin nào có thể xác định các cá nhân cụ thể dựa trên sinh trắc hoặc. Luật này cũng quy định thông tin sinh trắc học không bao gồm mẫu chữ viết, chữ ký, ảnh chụp, dữ liệu nhân khẩu học, hình xăm cơ thể.

Bang Texas: Năm 2009, Texas thông qua “Luật thu thập, sử dụng định danh sinh trắc học” (Capture or Use of Biometric Identifier Act - CUBI) quy định việc thu thập, sử dụng thông tin sinh trắc học phục vụ mục đích thương mại. CUBI yêu cầu những điểm chính sau: thông báo & đồng ý; lưu trữ và tiêu hủy; cấm bán, cho thuê hoặc tiết lộ (trừ khi đáp ứng được các yêu cầu cụ thể); bảo mật dữ liệu.

Bang Washington: Tháng 6/2017, Washington là bang thứ ba ban hành luật bảo vệ dữ liệu sinh trắc học. Tuy nhiên, khác với Illinois và Texas, quy định của Washington giới hạn việc đăng ký định danh sinh trắc học bằng cách thu thập dữ liệu, chuyển đối nó thành mẫu tham chiếu không thể được tái tạo lại thành hình ảnh ban đầu và lưu trong cơ sở dữ liệu mà định danh sinh trắc học khớp với một cá nhân cụ thể.

Bang California: Tháng 6/2018, Califonia thông qua “Luật quyền riêng tư của người dùng California” (The California Consumer Privacy Act of 2018 - CCPA) và có hiệu lực từ tháng 1/2020. CCPA có tác động lớn đến bảo vệ quyền riêng tư người tiêu dùng không chỉ với người dân bang California mà còn cho cả Hoa Kỳ, do đó CCPA có tiềm năng trở thành luật liên bang, tương tự như Quy định Bảo vệ dữ liệu chung (GDPR). So với GDPR, CCPA bổ sung thêm loại thông tin sinh học, bao gồm cả “bản mẫu” để lấy được dữ liệu sinh trắc học như bản in khuôn mặt, ghi âm giọng nói,…; hoặc các dạng dữ liệu có chứa thông tin có thể phân biệt đối tượng như nhịp gõ chuột, dáng và nhịp điệu bước đi, kiểu dáng ngủ, sức khỏe, vận động….

Bang New York: Gần đây, bang New York ban hành luật “Ngừng tấn công và nâng cao bảo mật dữ liệu điện tử” (Stop Hacks and Improve Electronic Data Security - SHIELD) và có hiệu lực từ tháng 3/2020. SHIELD mở rộng định nghĩa thông tin cá nhân để bao gồm cả thông tin sinh trắc học. Luật này yêu cầu thực hiện một chương trình an ninh không gian mạng và các biện pháp bảo vệ cho người dân bang New York.

Bang Arkansas: Arkansas trở thành bang tiếp theo thông qua luật liên quan đến dữ liệu sinh trắc học thông qua việc sửa luật phản ứng của bang này, sửa định nghĩa về thông tin cá nhân, trong đó bao gồm dữ liệu sinh trắc học. Xác định dữ liệu sinh trắc học bao gồm vân tay, khuôn mặt, võng mạc hoặc mống mắt, hình bàn tay, giọng nói, AND, hoặc bất kỳ đặc điểm sinh học nào khác....

Nhìn chung, pháp luật về sinh trắc học ở cấp bang của Hoa Kỳ chủ yếu quy định việc bảo vệ thông tin sinh trắc học từ 5 khía cạnh của vòng đời dữ liệu: Thứ nhất, các cá nhân cần được thông báo trước khi tiến hành thu thập thông tin; Thứ hai, thông tin sinh trắc học chỉ được bán, tiết lộ khi đáp ứng các yêu cầu cụ thể được liệt kê trong luật; Thứ ba, các doanh nghiệp cần thực hiện biện pháp bảo vệ an ninh đặc biệt cho thông tin sinh trắc học; Thứ tư, chỉ đáp ứng đúng mục đích thu thập thông tin mới được phép lưu trữ thông tin sinh trắc học; Thứ năm, thông tin sinh trắc học cần được xóa và hủy khi không cần thiết.

Tuy nhiên, khi công nghệ nhận dạng khuôn mặt trở thành công cụ thực thi pháp luật đã dấy lên quan ngại về của người dân về quyền riêng. Do đó, một số nơi đã cấm nhận dạng khuôn mặt, ví dụ tại, San Francisco (tháng 5/2019), thành phố Somerville -Massachusetts (tháng 6/2019), Oakland - California (tháng 7/2019). Tại San Diego, Boston và nhiều thành phố khác cũng đang tranh luận về cho phép hay cấm sử dụng công nghệ này.

Liên minh Châu Âu

Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh Châu Âu năm 2018 quy định thông tin sinh trắc học là một dạng của thông tin cá nhân nhạy cảm. Điều 4 của GDRP định nghĩa dữ liệu sinh trắc học (biometric data): “Là dữ liệu thu được từ quá trình xử lý kỹ thuật cụ thể liên quan đến các đặc điểm thể chất, sinh lý hoặc hành vi của một cá nhân, nó cho phép hoặc xác định điểm duy nhất của đối tượng (người), ví dụ như hình ảnh khuôn mặt,…”. Điều 9 của GDRP quy định về việc xử lý đối với dữ liệu cá nhân đặc biệt, trong đó bao gồm dữ liệu sinh trắc học. Theo quy định, GDRP áp dụng cho cả khu vực nhà nước và khu vực tư nhân, miễn là có sử dụng dữ liệu liên quan đến sinh trắc học.

GDPR là quy định khung, không quy định cụ thể đối với xử lý dữ liệu sinh trắc học. Điều này có thể để dành không gian cho các nước trong EU xây dựng quy định riêng của mỗi nước tùy theo hoàn cảnh. Tuy nhiên, không thể tránh khỏi việc do chưa có quy định cụ thể nên một số quốc gia (trong EU) xem nhẹ nguyên tắc xử lý thông tin sinh trắc học, bao gồm cả thông tin nhận dạng khuôn mặt. Tháng 7/2019, Ủy ban bảo vệ dữ liệu Châu Âu (EDPB) ban hành “Hướng dẫn 3/2019 về Xử lý dữ liệu cá nhân thông qua thiết bị video” (Guidelines 3/2019 on processing of personal data through video devices2), đưa ra các biện pháp để giảm thiểu rủi ro, trong đó có những lưu ý chung khi xử lý dữ liệu sinh trắc học.

Ấn Độ

Dự thảo Luật bảo vệ dữ liệu cá nhân Ấn Độ 2019 (The Personal Data Protection Bill - PDP) có một số quy định liên quan đến dữ liệu sinh trắc học như:

Tại Điều 3, định nghĩa về dữ liệu sinh trắc học là: ảnh khuôn mặt, dấu vân tay, quét mống mắt hoặc bất kỳ dữ liệu cá nhân tương tự khác là kết quả của việc đo đạc hoặc thao tác xử lý kỹ thuật được thực hiện dựa trên đặc điểm vật lý, sinh lý hoặc hành vi của dữ liệu gốc, mà nó cho phép phân biệt hoặc xác định duy nhất một cá nhân. Định nghĩa “dữ liệu cá nhân nhạy cảm” bao gồm dữ liệu sinh trắc học.

So với GDRP, dự luật này bổ sung thêm các loại thông tin sinh trắc học, như: được tạo ra bằng cách đo lường các đặc điểm hành vi của chủ thể dữ liệu. Bên cạnh đó, dự luật yêu cầu các bên được ủy thác dữ liệu liệu nhạy cảm phải thực hiện đánh giác tác động bảo vệ dữ liệu (điều 27) và cấm xử lý một số dạng dữ liệu sinh trắc học trừ khi được quản lý cho phép (điều 92).

Brazil

Luật bảo vệ dữ liệu chung Brazil (Brazilian General Data Protection Law - LGPD) năm 2018 định nghĩa về dữ liệu cá nhân nhạy cảm: “Dữ liệu cá nhân về nguồn gốc chủng tộc hoặc dân tộc, niềm tin tôn giáo, vị trí chính trị, tư cách thành viên của công đoàn hoặc liên kết với tổ chức tôn giáo, triết học hoặc chính trị, dữ liệu liên quan đến sức khỏe hoặc đời sống tình dục, dữ liệu di truyền hoặc sinh trắc học, khi được liên kết với một cá nhân”. Liên quan đến các hạn chế trong hoạt động xử lý dữ liệu nhạy cảm, LGPD quy định nghiêm ngặt hơn trong GDPR.

Trung Quốc

Hiện nay, Trung Quốc đã đưa ra một số quy định mang tính nguyên tắc về bảo vệ thông tin cá nhân, được quy định trong “Bộ Luật dân sự”, “Luật An ninh mạng”, “Luật chống khủng bố” và “Luật quản lý xuất nhập cảnh”. Một số địa phương cũng đã ban hành quy định về việc thu thập hình ảnh an ninh công cộng. Tuy nhiên, về tổng thể vai trò pháp lý, thuộc tính, tác dụng của thông tin sinh trắc học vẫn chưa được xác định rõ ràng; các quy định pháp luật liên quan đến quyền, nghĩa vụ của các bên không đủ chi tiết cụ thể.

Nhật Bản, Hàn Quốc

Luật bảo vệ thông tin cá nhân Nhật Bản (Act on the Protection of Personal Information – APPI, thông qua năm 2003 và được sửa đổi năm 2017), Luật bảo vệ dữ liệu cá nhân Hàn Quốc (South Korean’ Personal Information Protection Act – PIPA, thông qua năm 2011) phân biệt giữa hai loại dữ liệu là “thông tin cá nhân” và “thông tin cá nhân nhạy cảm” hoặc “thông tin cá nhân yêu cầu bảo vệ đặc biệt ”, tuy nhiên chưa có quy định cụ thể đối với thông tin sinh trắc học.

MỘT SỐ ĐỀ XUẤT CHO VIỆT NAM

Dữ liệu sinh trắc học không chỉ là nguồn tài nguyên giá trị đối với các doanh nghiệp công nghệ mà nó còn là nguồn tài nguyên chiến lược quốc gia, chứa đựng giá trị ứng dụng rất lớn. Hiện nay, đảm bảo an ninh an toàn cho dữ liệu sinh trắc học đang đối mặt với những thách thức gay gắt, trong đó có việc thiếu các quy định chi tiết cho hoạt động của công nghệ mới này. Trong quá trình xây dựng hành lang pháp lý liên quan đến quản lý thông tin sinh trắc học, Việt Nam có thể tham khảo kinh nghiệm của các nước, trong đó cần chú ý những điểm sau:

Một là, cần đảm bảo sự cân bằng giữa đổi mới, sáng tạo của công nghệ (sinh trắc học), đảm bảo quyền lợi của các tổ chức, doanh nghiệp (sử dụng thông tin sinh trắc học) với vấn đề bảo mật dữ liệu (sinh trắc học).

Hai là, cần tăng cường trách nhiệm của doanh nghiệp: ngay cả những quốc gia, khu vực phát triển nhất cũng chưa thể có hành lang pháp lý hoàn chỉnh để theo kịp tốc độ đổi mới của công nghệ, do đó bên phát triển và bên sử dụng công nghệ sinh trắc học cần tăng cường nghĩa vụ và trách nhiệm bảo mật tương ứng. Đối với các công ty cung cấp dịch vụ và phát triển công nghệ, khi đưa phần mềm sinh trắc học tham gia vào thị trường phải đảm bảo nó đáp ứng được các tiêu chuẩn trong nước và quốc tế, chứng minh được biện pháp bảo vệ thông tin sinh trắc học. Đối với người sử dụng công nghệ này để thu thập và xử lý thông tin sinh trắc học thì phải phải được sự đồng ý của đối tượng trước khi thu thập và thông báo rõ mục đích thu thập thông tin, phạm vi sử dụng, phương pháp xử lý, thời gian lưu trữ, quy định về công bố thông tin....

Ba là, xây dựng quy định riêng về bảo vệ thông tin sinh trắc học phù hợp với điều kiện, đặc thù của quốc gia và định hướng phát triển công nghệ thông tin trong nước.