CỔNG THÔNG TIN VÀ ĐẦU TƯ QUỐC TẾ
(KTSG) - Gần đây, yêu cầu cập nhật điều khoản sử dụng dữ liệu của một nền tảng dịch vụ số tích hợp rất phổ biến ở Việt Nam đã thu hút sự quan tâm của nhiều người.
Ứng phó với sự cố dữ liệu cá nhân bắt đầu từ đâu?Bảo vệ dữ liệu cá nhân – ngành khảo sát thị trường ứng phó ra sao?
Việc cập nhật điều khoản sử dụng nền tảng nói trên với lựa chọn gần như duy nhất là “chấp nhận để tiếp tục sử dụng” hay “từ chối và rời bỏ dịch vụ” không chỉ gây cảm giác bực bội, khó chịu cho người dùng, mà còn khơi lại một câu hỏi lớn hơn, đáng quan tâm hơn: trong kỷ nguyên số, đâu là ranh giới cho dữ liệu cá nhân, và ai là người thực sự có quyền quyết định cái ranh giới đó?
Thực ra, những tranh luận tương tự cũng đang diễn ra ở nhiều quốc gia, khi các nền tảng số ngày càng đóng vai trò hạ tầng quan trọng trong đời sống kinh tế - xã hội.
Điều đáng nói là phản ứng của người dùng không xuất phát đơn thuần từ nỗi lo bị thu thập dữ liệu. Trong nhiều năm qua, người dùng Internet đã dần quen, và có vẻ chấp nhận việc các nền tảng số thu thập dữ liệu của họ để cá nhân hóa dịch vụ, tối ưu trải nghiệm hay phục vụ cho quảng cáo. Cảm giác bất an lần này chủ yếu đến từ việc người dùng cảm giác quyền kiểm soát dường như không còn nằm trong tay họ nữa. Trong bối cảnh một nền tảng có tính chất hạ tầng xã hội cao, như trường hợp vừa xảy ra ở Việt Nam, việc áp đặt điều kiện “không chấp nhận thì ngừng dùng” rõ ràng đã bộc lộ rất rõ sự bất cân xứng quyền lực giữa nền tảng và cá nhân người sử dụng nó.
Đặt hiện tượng này trong bối cảnh rộng hơn của kinh tế số, có thể thấy cách các nền tảng toàn cầu như Facebook hay Google khai thác dữ liệu người dùng đã hình thành từ lâu. Có thể dễ dàng nhận thấy, Facebook và Google thu thập và khai thác dữ liệu cá nhân ở mức rất sâu, với quy mô rất lớn: hành vi tìm kiếm, vị trí, lịch sử duyệt web, tương tác xã hội, thiết bị, thậm chí là suy luận về các sở thích, khuynh hướng hành vi thông qua trí tuệ nhân tạo (AI) và dữ liệu lớn (big data).
Tuy nhiên, họ xây dựng một mô hình “đồng thuận ở nhiều lớp”. Khi tạo tài khoản, người dùng đồng ý với điều khoản tổng quát. Đây là đồng thuận ban đầu, khá dài và phức tạp, đa số người dùng không đọc kỹ. Sau đó, trong quá trình sử dụng dịch vụ, người dùng sẽ được hỏi và có thể điều chỉnh, lựa chọn cho phép hoặc hạn chế từng nhóm dữ liệu như vị trí, quảng cáo cá nhân hóa, nhận diện khuôn mặt và lịch sử hoạt động trên web, ứng dụng... Điều quan trọng nhất chính là, người dùng vẫn dùng được dịch vụ cốt lõi ngay cả khi đã tắt rất nhiều quyền theo dõi, dù trải nghiệm kém cá nhân hóa hơn.
Vì vậy, về pháp lý và hình thức, Facebook và Google vẫn dựa trên đồng thuận, nhưng về thực tế xã hội, đó là một dạng “đồng thuận trong cấu trúc mặc nhiên”: Đồng ý thì tiện lợi hơn, cá nhân hóa cao; còn không đồng ý thì vẫn dùng được, nhưng phức tạp hơn và kém tối ưu hơn. Như vậy, cả Facebook và Google né được cáo buộc “ép buộc” vì luôn tồn tại lựa chọn, dù lựa chọn đó có thể không hấp dẫn lắm.
Trong khi đó, rõ ràng các nền tảng số tại Việt Nam đang được vận hành trong một không gian thể chế còn nhiều khoảng trống. Vấn đề không nằm ở việc quy kết ý đồ hay động cơ của bất kỳ nền tảng nào, mà ở chỗ, chúng ta vẫn còn thiếu những chuẩn mực chung về cách thức xin phép, phạm vi sử dụng và quyền rút lại sự cho phép của người dùng. Khi chuẩn mực chưa rõ ràng, ranh giới giữa việc sử dụng dữ liệu để cải thiện dịch vụ và việc khai thác dữ liệu cho các mục đích khác rất khó phân định.
Một khi dữ liệu cá nhân được thu thập, tích lũy và liên thông trên quy mô lớn, nguy cơ dịch chuyển mục đích sử dụng là điều có thể dự đoán. Dữ liệu ban đầu phục vụ tiện ích có thể dần được dùng để phân tích hành vi và phân loại người dùng trong một số lĩnh vực nhất định. Đây không phải là cáo buộc về một kịch bản cụ thể, mà là một hệ quả logic mang tính cấu trúc của việc tích tụ dữ liệu trong bối cảnh thiếu ranh giới pháp lý rõ ràng. Ngay cả khi không tồn tại chủ đích xấu, hệ thống vẫn có thể tạo ra những tác động ngoài dự tính đối với đời sống cá nhân.
Chính vì vậy, việc phân biệt rạch ròi giữa dữ liệu cá nhân và khái niệm dữ liệu “mở hóa” trở nên đặc biệt quan trọng. Dữ liệu cá nhân gắn trực tiếp với danh tính, hành vi và các mối quan hệ xã hội của mỗi người, cần được bảo vệ như một quyền cơ bản. Trong khi đó, dữ liệu mở không đồng nghĩa với việc dữ liệu cá nhân được tự do khai thác. Dữ liệu mở, đúng nghĩa, là dữ liệu được chia sẻ có điều kiện, có kiểm soát, theo những chuẩn mực minh bạch, và luôn gắn với quyền quyết định của chủ thể dữ liệu.
Một phép thử chính sách tiêu biểu cho cách hiểu đúng đắn về dữ liệu mở là Open Banking tại Anh. Xuất phát điểm của Open Banking không phải từ công nghệ, mà từ một nhận thức lập pháp: quan niệm cho rằng các ngân hàng cần phải “ôm giữ” dữ liệu khách hàng nhân danh bảo mật đã trở nên lỗi thời. Dữ liệu giao dịch của khách hàng không còn là “tài sản” riêng của từng ngân hàng, mà là nguồn tài nguyên chung, có giá trị đối với toàn bộ nền kinh tế. Trên thực tế, không một ngân hàng đơn lẻ nào, dù lớn đến đâu, có thể khai thác hết giá trị của kho dữ liệu này.
Từ đó, các nhà làm luật Anh đã coi dữ liệu như một dạng hạ tầng mềm của nền kinh tế số. Muốn khai thác hiệu quả, dữ liệu cần được chia sẻ trong một khuôn khổ pháp lý chặt chẽ, thay vì bị cô lập trong các “ốc đảo” dữ liệu. Open Banking vì vậy không nhằm tước đoạt dữ liệu của các ngân hàng, mà yêu cầu các ngân hàng chỉ được chia sẻ dữ liệu khách hàng khi có sự cho phép chủ động, cụ thể và có thể rút lại của chính khách hàng, cho các bên thứ ba đã được cơ quan giám sát tài chính cấp phép. Cơ chế này vừa thúc đẩy đổi mới, cạnh tranh, vừa bảo đảm an toàn hệ thống và quyền lợi của người dùng.
Điểm khác biệt cốt lõi giữa Open Banking và cách nhiều nền tảng số đang vận hành nằm ở cách hiểu về “đồng thuận”. Trong Open Banking, quyền dữ liệu được đặt ở trung tâm là khách hàng. Dữ liệu chỉ được “mua quyền sử dụng” theo sự ủy quyền rõ ràng của người dùng, và quyền đó có thể bị rút lại bất cứ lúc nào. Điều này hoàn toàn khác với tư duy coi việc người dùng tiếp tục sử dụng dịch vụ đồng nghĩa với việc mặc nhiên chấp nhận mọi hình thức khai thác dữ liệu phát sinh về sau. Cũng cần nói rõ rằng, ngay cả tại Anh và EU, việc triển khai Open Banking cũng trải qua nhiều tranh luận và điều chỉnh, và không phải không có rủi ro.
Từ câu chuyện Open Banking, có thể nhìn rộng hơn tới xu hướng sử dụng dữ liệu cá nhân trong việc đánh giá tín nhiệm và phân tầng tiếp cận dịch vụ trên thế giới. Dữ liệu ngày càng được dùng để đánh giá rủi ro, chấm điểm và đưa ra các quyết định ảnh hưởng trực tiếp đến cơ hội của cá nhân. Trong bối cảnh đó, nếu thiếu những ranh giới pháp lý rõ ràng và cơ chế giám sát độc lập, người dùng có thể bị đánh giá mà không hề biết mình đang bị đánh giá, cũng như không có khả năng phản hồi hay điều chỉnh.
Với Việt Nam, thách thức không chỉ nằm ở việc quản lý các nền tảng số, mà ở vai trò của chính sách công trong việc bảo vệ quyền dữ liệu của công dân. Những vấn đề đặt ra trong bài viết này không nhằm phủ nhận vai trò của công nghệ hay các nền tảng số, mà nhằm góp phần xác lập những nguyên tắc cân bằng hơn giữa đổi mới và quyền cá nhân.
Nhà nước cần đóng vai trò thiết kế luật chơi, chuẩn hóa khái niệm đồng thuận, minh bạch hóa mục đích sử dụng dữ liệu, và thiết lập các cơ chế giám sát hiệu quả. Điều này không nhằm cản trở đổi mới hay sự phát triển của kinh tế số, mà để bảo đảm rằng đổi mới đó diễn ra trên nền tảng tôn trọng quyền cá nhân. Trong kỷ nguyên số, bảo vệ dữ liệu cá nhân không chỉ là bảo vệ quyền riêng tư, mà còn là bảo vệ vị thế, phẩm giá của mỗi cá nhân trước những hệ thống số ngày càng mạnh, tinh vi, và ngày càng có những khả năng khôn lường trong việc tác động và định hình đời sống con người.
--------------------------------
(*) Trường Kinh doanh Đại học Kinh tế TPHCM
