Định danh số an toàn và duy nhất cho mọi cư dân
Mọi cư dân của Estonia đều được cấp một định danh số duy nhất, an toàn để truy cập vào tất cả dịch vụ của chính phủ: hồ sơ sức khỏe, đăng ký ô tô, thuế, hồ sơ tài sản...
Tuần Việt Nam trân trọng giới thiệu tiếp chia sẻ của nguyên Tổng thống Estonia Toomas Hendrik IIves về những câu chuyện thành công của Estonia khi chuyển đổi số quốc gia tại Diễn đàn cải cách và phát triển Việt Nam 2020.
Với ngân hàng, truy cập web và các dịch vụ trang web thương mại, Estonia vào cuối những năm 1990 đã đạt mức khá tiên tiến, lượng truy cập tăng mạnh. Tuy nhiên, Estonia khi đó đều đang sử dụng các hình thức bảo mật tiêu chuẩn, một địa chỉ e-mail, một mật khẩu và một cấu trúc yếu kém khiến cho trang web không an toàn và khó sử dụng giống như tình trạng ở hầu hết các nơi trên thế giới ngày nay.
Cho đến cuối thế kỷ trước, người ta đã thấy rõ số hóa quả thực là một cách để phát triển đất nước nhưng cần được thực hiện theo một cách khác đi rất nhiều để tính đến vô số vấn đề sẽ nảy sinh nếu chúng ta thật sự số hóa quản trị.
Trước hết, nếu số hóa quản trị, cần sự tin tưởng của dân cư vừa mới thoát ra khỏi nửa thế kỷ chịu sự kiểm soát toàn trị, sự giám sát của Nhà nước, cảnh sát với hậu quả thảm khốc xảy đến với những người bị xâm phạm quyền riêng tư và qua đó bị phát hiện che giấu những quan điểm sai trái. Họ đã trải qua tất cả những điều mà người dân ở phương Tây phản đối khi tôi nói về quản trị số.
Thách thức đặt ra làm thế nào để bạn xây dựng một nền Dân chủ Số? Bạn biết rằng mình có một số công cụ nhất định mà trước đây chưa từng tồn tại nhưng bạn làm điều đó như thế nào? Hơn nữa, đó không đơn giản là vấn đề công nghệ.
Khi có công nghệ rồi, câu hỏi đặt ra làm thế nào để bạn làm điều đó về mặt chính trị? Chuyển đổi số, xét cho cùng, là một quyết định chính trị. Bạn có bắt đầu từ con số 0 không? Có phải chỉ đơn thuần là lặp lại thế giới giấy ở dạng kỹ thuật số, bao gồm việc chuyển các văn bản giấy sang dạng PDF không? Bạn cần loại khế ước xã hội nào? Làm thế nào để bạn có thể thực hiện lại việc quản trị mà kể từ khi bộ máy hành chính quan liêu được phát minh ra cách đây 5.000 năm luôn luôn là một quy trình tuần tự hoặc nối tiếp, với một văn bản đi từ văn phòng này sang văn phòng tiếp theo được đóng dấu hoặc ký duyệt trong trường hợp “quy trình liên cơ quan”.
Tất cả những vấn đề nêu trên là những câu hỏi nảy sinh khi tìm cách đưa số hóa quản trị lên một tầm cao mới.
Quan trọng nhất: bạn cần gì để đảm bảo lòng tin? Có như vậy thì công dân của bạn mới sẵn sàng sử dụng hệ thống. Nếu không có lòng tin, người dân sẽ không tiếp nhận. Lòng tin là hết sức quan trọng, là điều kiện tiên quyết.
Điều gì tạo nên lòng tin?
Vấn đề đầu tiên và quan trọng nhất là sự minh bạch. Một thời gian dài trước khi chúng ta giải quyết các vấn đề cụ thể về việc sử dụng công nghệ nào, lòng tin vào chuyển đổi số trên hết có nghĩa bạn với tư cách là một công dân phải biết ai có thể xem dữ liệu của bạn, những gì chính đáng để xem, những gì không chính đáng để xem, và trên thực tế ai đang xem dữ liệu của bạn?
Dựa trên điều đó, bạn có thể bắt đầu xây dựng lòng tin vào hệ thống để các công dân của bạn sẵn sàng sử dụng hệ thống đó. Bạn cần xác định rõ những cơ quan nào có thể hoặc không thể xem dữ liệu của bạn. Vội vàng “mua một giải pháp” sẽ không giải quyết được các vấn đề pháp lý và điều tiết mà chắc chắn sẽ nảy sinh, mà các vấn đề này là cơ sở cho lòng tin vào hệ thống.
Một quốc gia cũng không thể coi đây đơn thuần là một vấn đề pháp lý hoặc điều tiết. Những gì được chấp nhận về mặt văn hóa để đưa ra công khai cũng khác nhau. Ví dụ, ở Bắc Âu, có xu hướng ủng hộ tính minh bạch nhiều hơn và do đó coi những thứ như thông tin về sở hữu tài sản là thông tin công khai. Ở Nam Âu đây lại là điều cấm kỵ. Ở Estonia, bất kỳ ai cũng có thể truy cập hồ sơ tài sản của người khác. Ở Hy Lạp, bạn lại không thể.
Bạn cần thiết kế hệ thống để tuân thủ pháp luật của bạn nhưng cũng phải đáp ứng được những kỳ vọng xuất phát từ văn hóa của người dân.
Quyết định chính trị
Lòng tin dựa trên sự bảo mật về định danh của bạn, không ai có thể mạo danh bạn, không ai khác có thể thay đổi dữ liệu của bạn, trên môi trường trực tuyến chỉ có bạn là bạn mà thôi. Vậy những thành tố thiết yếu nào đã tạo nên hệ thống của Estonia, một hệ thống mà Liên hợp quốc cũng đánh giá là có mức độ an ninh mạng cao nhất châu Âu?
Thứ nhất, một định danh số an toàn và duy nhất cho mọi cư dân.
Thứ hai, cấu trúc dựa trên cả chuẩn mực pháp lý cũng như được chấp nhận về mặt văn hóa đối với những gì thuộc về cá nhân và thuộc về công cộng, cùng với sự minh bạch chung, có đi có lại. Tôi có thể đăng nhập và tìm ra ai đã và đang xem dữ liệu của tôi.
Thứ ba, tính toàn vẹn của dữ liệu, nghĩa là dữ liệu không thể bị thay đổi nếu không được phép.
Đó là lý do tại sao, kể từ khi triển khai lần đầu tiên gần 20 năm trước, hệ thống của chúng tôi không bị xâm phạm một lần nào. Các giải pháp là công nghệ nhưng công nghệ có thể thay đổi, đã từng thay đổi, và khi công nghệ trở nên tiên tiến, sẽ được thay đổi, nhưng các vấn đề cần giải quyết vẫn giống như cũ, bất kể là công nghệ gì.
Thế nào là một định danh số an toàn? Trước tiên, nó chỉ thuộc về một người, tức là nó là duy nhất. Nó không thể bị sao chép, không thể bị giả mạo. Ngược lại với một bức tranh hoạt hình kinh điển trên báo New Yorker, trong đó một chú chó ngồi trước màn hình máy vi tính, nói với chú chó khác: “Trên mạng Internet không ai biết bạn là chó cả”, quản trị số không thể hoạt động được nếu không có một định danh an toàn.
Dù nghe hài hước như một chuyện đùa 27 năm trước nhưng đây là vấn đề căn bản của bất kỳ tương tác nào mà không phải là trực diện (đối mặt nhau): bạn không biết mình đang tương tác với ai. Liệu có phải chính phủ đang tương tác với bạn qua máy vi tính không? Hay ai đó mạo danh bạn?
Có phải bạn, với tư cách một người dùng, đang tương tác với một cơ quan công hay ngân hàng không? Hay một thực thể nào đó giả danh chính phủ, ngân hàng hoặc công ty phát hành thẻ tín dụng? Mọi cư dân của Estonia đều được cấp một định danh số duy nhất, an toàn được sử dụng để truy cập một cách an toàn vào tất cả các dịch vụ của chính phủ, đó có thể là hồ sơ sức khỏe, đăng ký ô tô, thuế, dịch vụ xã hội, hồ sơ tài sản và vô số dịch vụ của khu vực tư nhân, mà trước tiên và quan trọng nhất là dịch vụ tài chính.
Hiện nay, trước khi các công nghệ tốt hơn xuất hiện, hệ thống an toàn nhất là hệ thống trong đó tất cả các thông tin truyền tải được mã hóa trong suốt quá trình kết nối số, được gọi là mã hóa đầu cuối (End-to-End hoặc E2E), sử dụng hạ tầng khóa công khai, một mô hình mã hóa toán học có tính chất không thể phá vỡ đến mức khi được phát minh ra, Cơ quan An ninh quốc gia Hoa Kỳ đã tìm cách cấm công bố nó trên một tạp chí khoa học.
Hợp phần thứ hai của một định danh an toàn là yêu cầu xác thực hai bước: để đảm bảo rằng ai đó trên Internet đúng là người mà họ nói, cần sử dụng một con chip, được sở hữu duy nhất bởi người dùng, khớp với mã mà chỉ họ mới biết. Nguyên tắc cái gì đó thuộc sở hữu của bạn - một con chip định danh (ID) và cái chỉ bạn biết, mã của bạn phải khớp với nhau. Chỉ khi đó bạn mới có thể kết nối.
Định danh số duy nhất này được sử dụng để truy cập tất cả các dịch vụ thông qua nhận dạng hai lần sử dụng một con chip, hoặc gắn trong thẻ căn cước công dân hoặc sử dụng điện thoại thông minh, tất nhiên cũng chứa một con chip, một thẻ sim cần được lập trình duy nhất cho người dùng.
Kết nối với cơ quan chứng nhận xác thực từng tương tác và cho phép truy cập vào tất cả các dịch vụ của chính phủ và nhiều dịch vụ của khu vực tư nhân thông qua mã hóa đầu cuối sử dụng cơ sở hạ tầng khóa công khai.
Định danh số này cho phép ký kết hợp pháp các văn bản, tương đương với chữ ký tươi, cùng với dấu đóng xác nhận thời điểm ký kết.
Cuối cùng, định danh số cần có để hệ thống quản trị số có thể hoạt động được là một quyết định chính trị. Các ID số phải có tính chất bắt buộc. Ví dụ, các quốc gia Liên minh châu Âu (EU) hiện được yêu cầu cấp định danh số cho công dân ngoài các giấy tờ định danh đã được chính phủ cấp mà tất cả các nước châu Âu đều có.
Tình thế nghịch lý
Đáng tiếc, hầu hết với các nước EU, định danh số là ID mang tính tự nguyện, tùy chọn. Kết quả là tỷ lệ chấp nhận thấp, thường chỉ 20-25% dân số sở hữu định danh số. Điều này có nghĩa, các cơ quan chính phủ hoặc khu vực tư nhân không có động cơ đầu tư vào phát triển các dịch vụ kỹ thuật số. Nếu 25% dân số sở hữu định danh số thì 75% dân số còn lại không sở hữu. Vì vậy, bộ phận dân số đó sẽ tiếp tục yêu cầu và đòi hỏi các dịch vụ thông thường tương tự và nhân viên xử lý các đơn từ, hồ sơ bằng giấy của họ.
Khu vực tư nhân cũng sẽ lựa chọn không thực hiện các đầu tư cần thiết để cung cấp các dịch vụ số khi phân tích chi phí/lợi ích cho thấy mức tiết kiệm rất nhỏ đối với đầu tư cần có để số hóa các dịch vụ mà chỉ được một số người sử dụng.
Đây là một tình thế nghịch lý. Không có đủ người dùng sẽ không có động cơ để phát triển dịch vụ; không có dịch vụ, công dân sẽ không có động cơ tự nguyện lấy định danh số.
Đây là một bước đi mà chính phủ cần sự can đảm hoặc ý chí chính trị để đưa định danh số trở thành một phần của bất kỳ ID bắt buộc nào, dù là giấy tờ ID ở châu Âu hay bằng lái xe ở các quốc gia như Hoa Kỳ.
Kỳ cuối: Từng chỉ trích tôi, phe đối lập giờ tuyên bố Estonia là Cộng hòa số đầu tiên