Định danh ảo: Ngăn rủi ro từ định danh người dùng

Hiện nhiều nền tảng, ứng dụng trong định danh người dùng bằng yêu cầu: khai thông tin cá nhân, dữ liệu sinh trắc học, đối chiếu với cơ sở dữ liệu quốc gia về dân cư. Các bên chưa có cách làm đồng nhất, công nghệ đồng nhất. Nhiều bên lưu trữ dữ liệu định danh của người dùng theo cách khác nhau, tiềm ẩn rủi ro có thể bị đánh cắp, lợi dụng…

Nguy cơ lộ lọt thông tin cá nhân

“Dù đã có VNeID với mã QR định danh điện tử, tôi cũng như đông đảo người dân Việt Nam đã không biết bao nhiêu lần phải đưa căn cước công dân với tất cả những thông tin trên đó cho các bên có nhu cầu đối chiếu và bị chụp hình lại. 

Chẳng hạn đi máy bay, nhận phòng khách sạn… hay phải cung cấp khi xác thực các tài khoản ngân hàng, ví điện tử, số điện thoại… 

Việc quá nhiều bên cùng thu thập dữ liệu cá nhân người dùng sẽ dẫn đến rủi ro bị lộ lọt, lợi dụng cho các mục đích xấu nếu một trong số các bên đó không bảo mật lưu trữ tốt”, anh Trung Đức, kỹ sư công nghệ thông tin (TP.HCM), nhận xét về cách người dùng đang bị thu thập thông tin hiện nay.

Trước đó, trong chỉ thị 57 về tăng cường bảo đảm an ninh mạng, bảo mật thông tin, an ninh dữ liệu trong hệ thống chính trị, ban hành tháng 2-2026, Ban Bí thư yêu cầu triển khai hệ thống định danh và xác thực không gian mạng quốc gia; thống nhất định danh công dân, người dùng mạng xã hội, thuê bao viễn thông và tài nguyên Internet (tên miền, địa chỉ IP…). 

Đồng thời, kiên quyết xử lý triệt để tình trạng SIM “rác”, tài khoản “ảo”, nặc danh; áp dụng biện pháp xác thực danh tính bắt buộc đối với người dùng mạng xã hội và cơ chế kiểm soát độ tuổi để bảo vệ trẻ em trên không gian mạng.

Công nghệ định danh ảo lợi thế hơn?

Để triển khai chỉ thị 57 hiệu quả, trao đổi với Tuổi Trẻ, ông Nguyễn Phú Dũng, Tổng giám đốc Tập đoàn PILA, cho rằng hệ thống định danh người dùng trên không gian mạng nên được thiết kế theo hướng kết hợp giữa Cơ sở dữ liệu quốc gia về dân cư và công nghệ định danh phi tập trung (DID). 

“Đây là mô hình đang được nhiều quốc gia theo đuổi nhằm giải bài toán cân bằng giữa yêu cầu quản lý nhà nước, bảo đảm an ninh mạng và bảo vệ quyền riêng tư của công dân trong môi trường số”, ông Dũng nói.

Cụ thể, theo ông Dũng, thay vì buộc người dùng phải cung cấp trực tiếp các thông tin cá nhân nhạy cảm như số căn cước công dân, địa chỉ hay ngày sinh cho các nền tảng mạng xã hội, hệ thống có thể cấp cho mỗi công dân một định danh ảo (Virtual ID) dựa trên nền tảng DID. 

Đây là một mã định danh duy nhất, không chứa thông tin nhận dạng trực tiếp, nhưng được xác thực thông qua các chứng chỉ số liên kết với số định danh cá nhân trong Cơ sở dữ liệu quốc gia. 

Các chứng chỉ số này được lưu trữ an toàn trong thiết bị cá nhân của người dùng, chẳng hạn như ứng dụng định danh phi tập trung NDAKey.

Khi đăng ký hoặc sử dụng mạng xã hội, người dùng chỉ cần xuất trình một bằng chứng số (VP) từ ví định danh. Lúc này, nền tảng mạng xã hội chỉ xác thực rằng đây là một người dùng thật, đã được xác thực bởi hệ thống có thẩm quyền, nhưng không nắm giữ hay lưu trữ thông tin cá nhân chi tiết. Người dùng vẫn có thể duy trì tính ẩn danh, đồng thời giảm thiểu đáng kể nguy cơ rò rỉ dữ liệu cá nhân từ các nền tảng trung gian.

Chỉ khi phát sinh hành vi vi phạm pháp luật và có đầy đủ căn cứ pháp lý, cơ quan chức năng mới thực hiện truy xuất ngược về danh tính thật trong hệ thống quản lý nhà nước. Quá trình này phải được kiểm soát chặt chẽ, minh bạch và có giám sát.

Với các nền tảng mạng xã hội, kể cả trong nước và xuyên biên giới, yêu cầu đặt ra là bắt buộc tích hợp cổng kết nối kỹ thuật để chấp nhận xác thực bằng Virtual ID, thay vì tự thu thập và lưu trữ dữ liệu định danh của người dùng Việt Nam.

Định danh theo mức độ rủi ro

Trao đổi với Tuổi Trẻ, ông Trịnh Nguyễn Thiên Phước, Giám đốc công nghệ Công ty Gianty Việt Nam, đánh giá việc Ban Bí thư yêu cầu triển khai hệ thống định danh và xác thực không gian mạng quốc gia giúp nâng cao hiệu quả quản trị số, phòng chống lừa đảo và các hành vi gây hại trên môi trường mạng. 

Tuy nhiên, kinh nghiệm quốc tế cho thấy cách làm hiệu quả nhất thường là xác thực theo mức độ rủi ro: hoạt động càng “tác động lớn” thì yêu cầu xác minh càng mạnh, còn tương tác phổ thông vẫn giữ sự thuận tiện và tính mở của Internet.

Về công nghệ, Việt Nam có thể triển khai theo 3 lớp. 

(1) Xác thực cơ bản: yêu cầu tài khoản mạng xã hội xác thực bằng số điện thoại/định danh theo quy định hiện hành; tài khoản chưa xác thực bị hạn chế các tính năng tương tác quan trọng. 

(2) Xác thực mạnh theo ngữ cảnh (step-up): khi người dùng thực hiện hành vi rủi ro cao (chạy quảng cáo, bật kiếm tiền, mở gian hàng, thay đổi thông tin thanh toán, livestream bán hàng…), hệ thống yêu cầu xác minh ở mức cao hơn. 

(3) eKYC qua VNeID cho các trường hợp cần “định danh chắc”: đây cũng là hướng đang được đề xuất áp dụng rộng hơn cho xác thực thông tin thuê bao di động, giúp làm sạch dữ liệu đầu vào. Khung tư duy “phân tầng mức đảm bảo” này tương đồng với chuẩn quốc tế (ví dụ NIST) và các hệ thống định danh số phổ biến như Singpass của Singapore.