Danh tính số tự chủ, xây nền niềm tin cho giao dịch trực tuyến

Người dân trải nghiệm giải pháp quản lý danh tính tự chủ NDAKey

Khi “mỗi nền tảng một tài khoản” trở thành rủi ro xã hội

Trong xã hội số, danh tính của mỗi người không còn chỉ nằm ở một chiếc căn cước hay một bộ hồ sơ giấy. Danh tính ấy hiện diện qua vô số “lần chạm” trực tuyến mỗi ngày: đăng nhập mạng xã hội, thanh toán, xác thực ngân hàng, đặt lịch khám, đăng ký trường học, nộp hồ sơ hành chính, ký hợp đồng điện tử…

Tuy nhiên, càng tiện lợi, một nghịch lý càng rõ: dữ liệu cá nhân thuộc về người dùng, song quyền kiểm soát lại chủ yếu nằm trong tay các hệ thống lưu trữ tập trung. Người dân thường chỉ có lựa chọn “đồng ý” để tiếp tục sử dụng dịch vụ, rất khó biết dữ liệu đang được xử lý ra sao, chia sẻ cho ai, lưu trong bao lâu và gần như không thể thu hồi sau khi đã cấp quyền.

Trong mô hình phổ biến hiện nay, danh tính số bị chia nhỏ thành hàng chục, hàng trăm “tài khoản” trên từng nền tảng. Mỗi nơi thu một ít thông tin; cộng lại thành một bức tranh rất đầy đủ về đời sống cá nhân.

Điều đáng lo không chỉ là rò rỉ dữ liệu, mà còn là tình trạng thu thập vượt nhu cầu. Hệ quả là dữ liệu bị sao chép và lưu trữ ở nhiều nơi; mỗi điểm lưu trữ là một điểm rủi ro. Tình trạng mua bán, rò rỉ dữ liệu cá nhân thời gian qua cho thấy đây không còn là lời cảnh báo mang tính tượng trưng. Theo thống kê của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an, chỉ trong 6 tháng đầu năm 2025, lực lượng chức năng phát hiện và xử lý 56 vụ việc liên quan đến mua bán trái phép dữ liệu cá nhân, với hơn 110 triệu bản ghi dữ liệu bị thu thập và giao dịch bất hợp pháp. Dữ liệu bị sử dụng cho nhiều mục đích phạm pháp, từ lừa đảo tài chính, giả danh cơ quan nhà nước đến xâm phạm đời sống riêng tư.

Từ góc nhìn quản trị rủi ro, bài toán đặt ra không chỉ là “vá hệ thống” hay dựng tường bảo mật cho các kho dữ liệu. Quan trọng hơn là giảm nhu cầu thu gom dữ liệu ngay từ đầu.

Hướng tiếp cận của định danh tự chủ

Trước rủi ro gia tăng, nhiều quốc gia chuyển hướng sang mô hình định danh số lấy công dân làm trung tâm. Điểm chung của hướng tiếp cận này là: thay vì thu thập và lưu trữ thật nhiều dữ liệu, hệ thống cố gắng xác minh thông tin cần thiết tại thời điểm giao dịch.

Nói đơn giản: nếu dịch vụ chỉ cần biết bạn “trên 18 tuổi”, hệ thống không nhất thiết phải thu cả ngày sinh, địa chỉ, số định danh… Nếu dịch vụ chỉ cần xác nhận bạn “đang là sinh viên” hoặc “đủ điều kiện” để hưởng một chính sách, có thể xác nhận đúng điều đó mà không cần thu toàn bộ hồ sơ.

Đây là nền tảng của mô hình thường được gọi là định danh tự chủ (hay danh tính tự chủ): người dân giữ “giấy tờ số” của mình và chủ động lựa chọn phần thông tin cần chia sẻ tùy theo từng tình huống. Mục tiêu cốt lõi là giảm lặp lại thủ tục, giảm thu thập dư thừa và giảm rủi ro dữ liệu.

Một điểm then chốt của mô hình định danh tự chủ là chia sẻ chọn lọc: chỉ chia sẻ đúng phần thông tin cần thiết cho giao dịch.

Nguyên tắc này giúp hạn chế thói quen “thu gom cho chắc” vốn phổ biến trong nhiều dịch vụ số. Khi dịch vụ chỉ nhận phần dữ liệu tối thiểu để xử lý, nguy cơ bị khai thác quá mức hoặc rò rỉ cũng giảm theo.

Từ phía các doanh nghiệp khai thác dữ liệu, “ít thu thập hơn” đồng nghĩa “ít phải bảo vệ hơn”: giảm gánh nặng lưu trữ, giảm chi phí vận hành, giảm rủi ro sự cố an toàn thông tin và rủi ro pháp lý. Xa hơn, mô hình này tạo ra một chuẩn mực ứng xử mới với dữ liệu cá nhân: tôn trọng mục đích, tôn trọng phạm vi và tôn trọng quyền quyết định của chủ thể dữ liệu.

Ông Nguyễn Quang Đồng, Viện trưởng Viện Nghiên cứu chính sách và phát triển truyền thông

Bên cạnh mô hình và công nghệ, nhiều ý kiến cho rằng yếu tố con người vẫn là “điểm gốc” của an toàn dữ liệu. Người dùng Việt Nam còn khá “dễ tính” trong chia sẻ thông tin, ít đọc điều khoản sử dụng, sẵn sàng cung cấp dữ liệu cho ứng dụng mà không lường hệ quả dài hạn. Ông Nguyễn Quang Đồng, Viện trưởng Viện Nghiên cứu chính sách và phát triển truyền thông, cho rằng, người dùng cần hiểu rằng họ là chủ thể sở hữu dữ liệu cá nhân; nếu thiếu nhận thức, pháp luật và công nghệ cũng khó phát huy hết hiệu quả.

Ở góc độ quản trị trong tổ chức, ông Ngô Tuấn Anh, Phó ban An ninh dữ liệu và bảo vệ dữ liệu cá nhân (Hiệp hội Dữ liệu Quốc gia), lưu ý rằng thách thức lớn là nhiều đơn vị chưa có “bản đồ xử lý dữ liệu” rõ ràng: dữ liệu đi qua những hệ thống nào, ai chịu trách nhiệm ở từng công đoạn, điểm nào phát sinh rủi ro. Khi “bản đồ” thiếu, việc tuân thủ dễ dừng ở mức “trên giấy”, còn rủi ro thực tế vẫn tồn tại.

“Thách thức lớn là nhiều tổ chức chưa có ‘bản đồ xử lý dữ liệu’ rõ ràng. Không biết dữ liệu đi đâu, qua ai, thì rất khó quản trị rủi ro một cách thực chất.”
— Ông Ngô Tuấn Anh, Phó ban An ninh dữ liệu và bảo vệ dữ liệu cá nhân (Hiệp hội Dữ liệu Quốc gia)

Các giải pháp ví danh tính số theo hướng công dân làm trung tâm đang được nghiên cứu và thí điểm tại Việt Nam trong các hệ sinh thái khác nhau. Về nguyên tắc, mục tiêu của nhóm giải pháp này là giúp người dân giảm phải nộp đi nộp lại giấy tờ, còn tổ chức thì giảm nhu cầu lưu giữ bản sao dữ liệu cá nhân.

Ông Nguyễn Phú Dũng, Tổng Giám đốc Công ty cổ phần tập đoàn PILA cho rằng, trong giai đoạn chuyển đổi số đòi hỏi mức độ bảo mật và tin cậy cao hơn, mô hình định danh lấy công dân làm trung tâm có ý nghĩa thiết thực. Trong bức tranh đó, NDAKey có thể xem là một ví dụ minh họa cho hướng tiếp cận “danh tính tự chủ”: người dùng lưu giữ các giấy tờ số trên thiết bị; khi phát sinh giao dịch thì chia sẻ phần thông tin phù hợp để bên dịch vụ kiểm tra tính hợp lệ, thay vì thu và lưu bản sao giấy tờ gốc. Việc triển khai ở quy mô nào và mức độ hiệu quả ra sao vẫn cần được đánh giá độc lập theo từng kịch bản sử dụng.

Tuy nhiên, để mô hình định danh tự chủ thực sự đi vào đời sống, yếu tố quyết định không chỉ nằm ở giải pháp kỹ thuật. Trước hết, việc triển khai cần bắt đầu từ đúng những “điểm đau” của người dân và cơ quan, doanh nghiệp - những lĩnh vực phải nộp đi nộp lại giấy tờ nhiều lần, nơi chỉ cần giảm một vòng lặp thủ tục đã tạo ra lợi ích rõ ràng. Cùng với đó, quy trình và trách nhiệm phải được xác lập minh bạch: cơ quan, tổ chức nào được phép phát hành giấy tờ số; những dịch vụ nào có quyền kiểm tra; phạm vi kiểm tra đến đâu; và dữ liệu được xử lý, lưu giữ theo nguyên tắc nào. Một điều kiện không kém phần quan trọng là trải nghiệm sử dụng phải thực sự thuận tiện và dễ hiểu, để người dân cảm nhận được “đỡ phiền hơn” và “an tâm hơn” so với cách làm cũ; nếu không tạo ra giá trị cảm nhận, giải pháp khó có thể mở rộng. Cuối cùng, mô hình chỉ bền vững khi các tổ chức thiết lập được kỷ luật quản trị dữ liệu một cách thực chất, từ lập bản đồ dòng chảy dữ liệu, phân quyền trách nhiệm rõ ràng, đào tạo nhân sự đến cơ chế kiểm tra định kỳ, qua đó hạn chế tình trạng “tuân thủ hình thức” và giảm rủi ro ngay từ bên trong hệ thống.

Khi các điều kiện này hội tụ, ví danh tính số có thể trở thành một mảnh ghép quan trọng của hạ tầng niềm tin số: giảm thủ tục, giảm rủi ro dữ liệu, tăng hiệu quả giao dịch, góp phần xây dựng môi trường số minh bạch.

Hồng Ánh