Kinh nghiệm của Singapore và giải pháp tích hợp thông tin trong Cơ sở dữ liệu quốc gia về dân cư tại Việt Nam

Singapore - quốc gia nhỏ bé nhưng có tầm nhìn chiến lược tại Đông Nam Á - đã thành công trong việc ứng dụng công nghệ số để xây dựng một chính phủ thông minh, minh bạch và hiệu quả.

Quy định pháp luật về quy trình tích hợp thông tin cá nhân của Singapore

Tại Singapore, hiện nay dù chưa có luật riêng biệt nào về định danh số quốc gia (NDI - National Digital Identity) nhưng đã có một số luật cơ bản đã được ban hành để xây dựng khuôn khổ pháp lý, giúp cho Singpass có thể được sử dụng tại Singapore. Các đạo luật quan trọng bao gồm Luật Quản trị khu vực công (The Public Sector (Governance) Act) năm 2018 (sửa đổi bổ sung năm 2020), Luật Bảo vệ dữ liệu cá nhân (The Personal Data Protection Act - PDPA) năm 2012 (sửa đổi bổ sung năm 2020), Luật Đăng ký quốc gia (The National Registration Act - NRA) năm 1965 (sửa đổi bổ sung năm 2020), Luật Giao dịch điện tử (The Electronic Transactions Act) năm 2010 (sửa đổi bổ sung năm 2020). 

Luật Quản trị khu vực công (The Public Sector (Governance) Act) quy định việc khai thác và quản lý dữ liệu của các cơ quan chính phủ, bao gồm bảo vệ dữ liệu cá nhân và chia sẻ dữ liệu. Đạo luật này được bổ sung bởi Sổ tay hướng dẫn về công nghệ thông tin và quản lý hệ thống thông minh, cung cấp các chính sách, tiêu chuẩn và hướng dẫn về thực hành tốt liên quan đến phân loại, bảo vệ, bảo mật, thu thập, xử lý, hợp nhất dữ liệu và truy cập, phân phối dữ liệu. Luật Bảo vệ dữ liệu cá nhân (The Personal Data Protection Act - PDPA) tạo ra tiêu chuẩn cơ bản cho quy trình tích hợp dữ liệu cá nhân; bảo vệ dữ liệu cá nhân trong khu vực tư nhân, bổ sung cho các khuôn khổ pháp lý ngành. Đạo luật này quy định về việc thu thập, sử dụng, chia sẻ và bảo vệ dữ liệu cá nhân, đảm bảo quyền riêng tư trong hệ sinh thái nhận dạng kỹ thuật số. Luật Đăng ký quốc gia (The National Registration Act - NRA) giúp Singapore duy trì hệ thống ID chất lượng và độ phủ cao, là cơ sở cho sự hoạt động của nền tảng Singpass. Luật Giao dịch điện tử (The Electronic Transactions Act) cung cấp cơ sở pháp lý quan trọng cho Singpass thông qua việc thiết lập dịch vụ chứng nhận, công nhận chữ ký và hồ sơ điện tử.⁽²⁾

Về chủ thể tích hợp thông tin cá nhân

Các chủ thể tham gia vào các quan hệ pháp luật liên quan đến tích hợp thông tin cá nhân, dữ liệu cá nhân tại Singapore bao gồm:

Một là, chủ thể thông tin. Theo Điều 2 Luật Bảo vệ dữ liệu cá nhân năm 2012 (PDPA) của Singapore, “dữ liệu cá nhân” được định nghĩa là bất kỳ thông tin nào về một cá nhân, để từ đó có thể nhận dạng cá nhân đó (bao gồm tên, số điện thoại, địa chỉ, ảnh...). Do đó, có thể hiểu chủ thể thông tin là cá nhân mà thông tin của họ được thu thập hoặc sử dụng trong các giao dịch hoặc dịch vụ mà các tổ chức thực hiện. Bên cạnh đó, về phương thức cung cấp thông tin qua thẻ định danh quốc gia (National Registration Identity Card - NRIC) - giống thẻ căn cước thì chủ thể thông tin được quy định như sau: theo Luật Đăng ký quốc gia năm 1990, Chương 201, Mục 19 về Quy định đăng ký quốc gia⁽³⁾ tại Điều 3 thì mọi công dân Singapore và cư dân thường trú phải đăng ký thẻ định danh quốc gia (NRIC) trong vòng một năm kể từ khi họ đủ 15 tuổi, hoặc khi họ trở thành công dân hoặc thường trú nhân của Singapore. Thẻ NRIC sẽ giúp Chính phủ quản lý thông tin cá nhân của công dân và cư dân thường trú. Ngoài ra, theo Điều 14 Luật Đăng ký quốc gia năm 1990 (NRA), những người đã được cấp thẻ NRIC sẽ phải thực hiện đăng ký lại khi họ đạt độ tuổi 30 và 55, trừ khi họ đã được cấp thẻ NRIC trong vòng 10 năm trước độ tuổi đăng ký lại. Quy định này giúp đảm bảo rằng thông tin cá nhân của công dân luôn được cập nhật và chính xác trong CSDLQG.

Hai là, chủ thể quản lý thông tin. Chủ thể quản lý thông tin theo PDPA có thể là tổ chức (Organisation), người kiểm soát dữ liệu (Data Controller). PDPA tại Điều 4 đã định nghĩa tổ chức bao gồm bất kỳ cá nhân, công ty, hiệp hội hoặc tổ chức của những người, có hoặc không có tư cách pháp nhân, bất kể tổ chức đó có được thành lập hoặc công nhận theo luật pháp của Singapore hay không. Ngoài ra, tổ chức còn có thể là tổ chức thường trú hoặc có văn phòng, địa điểm kinh doanh tại Singapore. Những đối tượng này có trách nhiệm thu thập, sử dụng và bảo vệ thông tin cá nhân theo các nguyên tắc của đạo luật. Họ phải đảm bảo rằng các dữ liệu cá nhân được xử lý hợp pháp, bảo mật và chỉ được sử dụng cho các mục đích hợp lý đã được thông báo trước đó.

Về nội dung tích hợp thông tin

Singapore đã xây dựng hệ thống cơ sở dữ liệu quóc gia (CSDLQG) rất mạnh mẽ và tiên tiến với khả năng tích hợp và lưu trữ một lượng lớn thông tin quan trọng từ nhiều lĩnh vực khác nhau. Nhiều loại thông tin quan trọng đã được tích hợp trong CSDLQG của Singapore bao gồm:  

Thứ nhất, thông tin cá nhân cơ bản. Theo điểm d, khoản 1, Điều 4 của Luật Đăng ký quốc gia năm 1990, Chương 201, Mục 19 về Quy định đăng ký quốc gia; các thông tin cần được thu thập bao gồm: tên của cá nhân, hoặc nếu cá nhân đó được biết đến với nhiều tên khác nhau, thì mỗi tên phải được ghi đầy đủ; thông tin đầy đủ về nơi cư trú của cá nhân; chủng tộc của cá nhân; ngôn ngữ hoặc phương ngữ sử dụng; nơi sinh; ngày sinh và giới tính; tình trạng công dân Singapore hoặc quyền công dân của quốc gia khác; và các thông tin chi tiết khác mà cán bộ đăng ký cho là cần thiết. Ngoài ra, cá nhân cũng phải xuất trình các bằng chứng tài liệu mà viên chức đăng ký yêu cầu để xác minh tính chính xác của bất kỳ thông tin nào được cung cấp. 

Thứ hai, dữ liệu sinh trắc học. Bên cạnh các thông tin cá nhân cơ bản nêu trên, Singapore còn thu thập và sử dụng dữ liệu sinh trắc học như dấu vân tay, khuôn mặt, mống mắt và các yếu tố sinh trắc học khác. Những dữ liệu này được sử dụng để định danh và xác thực danh tính của công dân nhằm đảm bảo tính chính xác và an toàn trong các giao dịch trực tuyến. Việc tích hợp các yếu tố sinh trắc học giúp giảm thiểu rủi ro giả mạo danh tính, đồng thời tạo điều kiện thuận lợi cho các công dân thực hiện các giao dịch điện tử một cách nhanh chóng và bảo mật hơn. Dữ liệu sinh trắc học đóng vai trò quan trọng trong việc duy trì an ninh và bảo vệ thông tin cá nhân trong môi trường số, đặc biệt trong các giao dịch liên quan đến thủ tục hành chính. 

Thứ ba, dữ liệu liên quan đến các dịch vụ công. Cơ sở dữ liệu quốc gia cũng tích hợp dữ liệu liên quan đến các dịch vụ công, hỗ trợ công dân tiếp cận các dịch vụ như thuế, an sinh xã hội, bảo hiểm y tế và các dịch vụ chính phủ khác. Cơ sở dữ liệu quốc gia này có thể kết nối với các cơ quan chính phủ khác nhau, giúp chia sẻ và đồng bộ hóa thông tin giữa các cơ quan để tạo nên một hệ thống dữ liệu đồng nhất, không cần cung cấp lại thông tin mỗi lần truy cập. Quá trình chia sẻ giữa các cơ quan luôn tuân thủ nghiêm các quy định pháp lý về bảo mật và bảo vệ dữ liệu cá nhân.

Hơn nữa, CSDLQG của Singapore, đặc biệt là Singpass không chỉ là công cụ nhận dạng kỹ thuật số mà còn được tích hợp sâu rộng với các hệ thống giao dịch điện tử, giúp công dân thực hiện các giao dịch với chính phủ và các tổ chức tư nhân một cách nhanh chóng, thuận tiện và an toàn. Singpass cho phép người dân thực hiện thủ tục hành chính trực tuyến, đăng ký trực tuyến, nộp thuế và tham gia vào các hoạt động giao dịch khác mà không phải đến trực tiếp các cơ quan chức năng. Điều này giúp giảm thời gian chờ đợi và thủ tục giấy tờ, đồng thời tăng cường bảo mật qua xác thực sinh trắc học và mật khẩu. Điều này không chỉ nâng cao hiệu quả trong việc cung cấp dịch vụ công mà còn đảm bảo rằng các giao dịch được thực hiện một cách chính xác và bảo mật, đồng thời thúc đẩy sự phát triển của nền kinh tế số tại Singapore.

Về quy trình tích hợp thông tin

Luật Bảo vệ dữ liệu cá nhân năm 2012 (PDPA) đóng vai trò quan trọng nhất trong việc điều chỉnh quy trình tích hợp thông tin cá nhân tại Singapore, bao gồm các giai đoạn thu thập, truy cập và chỉnh sửa dữ liệu, bảo mật và lưu trữ dữ liệu. Quy trình này bao gồm các giai đoạn sau:

Giai đoạn thu thập dữ liệu: Theo PDPA, tại Singapore, giai đoạn thu thập, sử dụng và tiết lộ dữ liệu cá nhân được quy định tại Phần 4 từ Điều 13 đến Điều 20; trong đó gồm 2 phần là sự đồng ý, cho phép thu thập thông tin và mục đích thu thập thông tin. Theo Điều 13 và Điều 14 PDPA quy định: 

“13. Một tổ chức không được..., thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân về một cá nhân trừ khi (a) cá nhân đưa ra, hoặc được coi là đã đưa ra, sự đồng ý của mình theo Đạo luật này đối với việc thu thập, sử dụng hoặc tiết lộ, tùy từng trường hợp; hoặc (b) việc thu thập, sử dụng hoặc tiết lộ (tùy từng trường hợp) mà không có sự đồng ý của cá nhân là bắt buộc hoặc được phép theo Đạo luật này hoặc bất kỳ luật thành văn nào khác”.

Theo đó, việc thu thập thông tin phải được thực hiện dưới sự đồng ý của chủ sở hữu, người cung cấp thông tin, trừ những trường hợp mà pháp luật có quy định khác. Đặc biệt, PDPA có hẳn một phần quy định rõ ràng về sự đồng ý trong giai đoạn thu thập thông tin, cụ thể từ Điều 13 đến Điều 17. Theo đó, sự đồng ý của cá nhân phải được đưa ra một cách rõ ràng, tự nguyện, và trên cơ sở thông tin đầy đủ về cách thức tổ chức sử dụng dữ liệu cá nhân, từ đó bảo vệ quyền tự chủ của cá nhân trong việc kiểm soát thông tin của mình. Quy định này cũng ngăn chặn việc lạm dụng sự đồng ý, đặc biệt là việc yêu cầu cá nhân đồng ý thu thập hoặc tiết lộ dữ liệu ngoài phạm vi hợp lý để cung cấp dịch vụ, đồng thời cấm các hành vi thông tin sai lệch hoặc gây hiểu lầm trong quá trình thu thập sự đồng ý. Điều này giúp bảo vệ chủ thể thông tin khỏi việc bị lừa dối hoặc bị ép buộc đồng ý một cách không hợp lý. 

Về mục đích thu thập thông tin, theo Điều 18 PDPA, một tổ chức chỉ có thể thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân nếu mục đích đó được coi là hợp lý trong hoàn cảnh cụ thể và nếu cá nhân đã được thông báo về mục đích sử dụng dữ liệu. Điều này giúp bảo vệ quyền lợi của cá nhân, đảm bảo rằng dữ liệu không bị lạm dụng. Cùng với đó, Điều 20 PDPA yêu cầu tổ chức phải thông báo mục đích thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân cho cá nhân trước hoặc khi thu thập dữ liệu và cũng đồng thời phải cung cấp thông tin liên hệ để cá nhân có thể yêu cầu thêm thông tin về việc xử lý dữ liệu của mình. Ngoài ra, nếu tổ chức thu thập dữ liệu cá nhân từ một tổ chức khác mà không có sự đồng ý của cá nhân, tổ chức đó cũng phải cung cấp đủ thông tin cho tổ chức kia để xác định việc tiết lộ có phù hợp với các quy định của PDPA hay không. Những quy định này đảm bảo tính minh bạch trong việc thu thập và xử lý dữ liệu cá nhân, bảo vệ quyền lợi cá nhân trong việc kiểm soát thông tin của mình.

Giai đoạn kết nối: Nổi bật trong giai đoạn này là APEX với vai trò là một cổng trung gian giúp kết nối và truyền tải dữ liệu một cách an toàn giữa các dịch vụ tiêu dùng bên ngoài và các cơ quan chính phủ. APEX vừa là cầu nối giao tiếp, vừa là cổng API giúp xử lý và chuyển tiếp các yêu cầu một cách an toàn đến MyInfo (nền tảng quản lý dữ liệu công dân). Theo đó, người dùng truy cập vào một dịch vụ yêu cầu dữ liệu cá nhân từ MyInfo, sau đó hệ thống kiểm soát truy cập của bên cung cấp dịch vụ xác thực và gửi yêu cầu. Yêu cầu này được chuyển tiếp qua APEX để xác minh và điều phối truy xuất dữ liệu. Quy trình kết nối nhờ có sự giúp đỡ của APEX mà trở nên nhanh chóng và đáng tin cậy hơn đồng thời bảo mật và kiểm soát truy cập.

Giai đoạn truy cập và chỉnh sửa dữ liệu: Theo quy định về truy cập và sửa chữa dữ liệu cá nhân tại PDPA, tổ chức có nghĩa vụ cung cấp cho cá nhân dữ liệu cá nhân mà họ sở hữu hoặc kiểm soát khi có yêu cầu, và thông tin về cách thức dữ liệu này đã được sử dụng hoặc tiết lộ trong vòng một năm trước đó, trừ khi có lý do hợp lý để từ chối. Tuy nhiên, nếu việc cung cấp dữ liệu có thể gây nguy hiểm cho an toàn của cá nhân khác hoặc tiết lộ thông tin nhạy cảm, tổ chức không phải cung cấp dữ liệu yêu cầu. Bên cạnh đó, tổ chức cũng có trách nhiệm sửa chữa dữ liệu cá nhân nếu cá nhân yêu cầu, và thông báo việc sửa chữa này tới các tổ chức khác mà dữ liệu đã được tiết lộ trong vòng một năm. Đối với các trường hợp từ chối cung cấp hoặc sửa dữ liệu, tổ chức phải lưu giữ một bản sao đầy đủ và chính xác của dữ liệu để đảm bảo tính minh bạch và tuân thủ các yêu cầu pháp lý.

Giai đoạn bảo mật và lưu trữ dữ liệu: Giai đoạn này được quy định ở phần chăm sóc dữ liệu cá nhân của PDPA, yêu cầu các tổ chức thu thập thông tin phải đảm bảo độ chính xác của dữ liệu cá nhân mà họ thu thập và có nghĩa vụ phải bảo vệ dữ liệu khỏi sự xâm phạm trái phép để duy trì sự an toàn của thông tin này. Cụ thể, tổ chức phải thực hiện các biện pháp bảo mật hợp lý để ngăn ngừa các nguy cơ như truy cập, sử dụng hoặc tiết lộ trái phép, cũng như bảo vệ dữ liệu trước nguy cơ bị xóa mất. Khi mục đích thu thập dữ liệu không còn phù hợp hoặc không cần thiết, tổ chức phải ngừng lưu trữ dữ liệu cá nhân hoặc phải xóa bỏ các phương tiện lưu trữ liên quan. Đối với việc chuyển dữ liệu cá nhân ra ngoài Singapore, tổ chức chỉ có thể thực hiện nếu đảm bảo các yêu cầu bảo vệ dữ liệu cá nhân được tuân thủ theo quy định của Đạo luật, và có thể yêu cầu miễn trừ nếu được sự đồng ý của Ủy ban.

Những kết quả đạt được của quá trình tích hợp thông cá nhân vào một cơ sở dữ liệu thống nhất ở Singapore

Với nỗ lực chuyển đổi số mạnh mẽ, hệ thống định danh kỹ thuật số quốc gia Singpass của Singapore ngày một phát triển, chiếm vị trí hàng đầu Đông Nam Á. Nổi bật vào năm 2017, Singapore đã triển khai Hệ thống nhận dạng kỹ thuật số quốc gia (NDI - National Digital Identity) như một phần trong sáng kiến “Quốc gia thông minh” (Smart Nation) nhằm hiện đại hóa quản lý dân cư, tăng cường hiệu quả hành chính và nâng cao mức độ tiện lợi cho người dân. Với sự ra đời của Hệ thống nhận dạng kỹ thuật số quốc gia (NDI), Singpass được hứa hẹn sẽ lên một bước tiến mới an toàn hơn và thân thiện hơn. 

Trước hết, có thể thấy NDI ra đời để tạo ra một CSDL thống nhất lưu trữ thông tin định danh của công dân, cho phép họ truy cập các dịch vụ công và tư nhân một cách dễ dàng và bảo mật hơn. Hệ thống này tích hợp với các nền tảng chính phủ và khu vực tư nhân, tạo ra một hệ sinh thái kỹ thuật số liền mạch, giúp tối ưu hóa quy trình giao dịch trực tuyến. Cụ thể, NDI liên quan đến việc cấp cho công dân Singapore và cư dân cư trú tại đây một định danh kỹ thuật số di động dựa trên tiền điện tử mà họ có thể sử dụng cho các giao dịch đối với các cơ quan chính phủ và khu vực tư nhân. Điều này được hình dung là sẽ mang lại nhiều tiện lợi hơn cho người dân, vì họ không cần nhớ nhiều tên người dùng và mật khẩu để truy cập vào các dịch vụ kỹ thuật số⁽⁴⁾. Cơ sở dữ liệu được tạo bởi NDI được cung cấp trực tiếp bởi Singpass và MyInfo. SingPass là một cổng thông tin trực tuyến bảo mật để truy cập các dịch vụ điện tử của Chính phủ; MyInfo là nền tảng quản lý dữ liệu công dân. Người dùng sẽ chỉ phải cung cấp thông tin cá nhân cho Chính phủ một lần. Sau đó, họ có thể sử dụng thông tin đó với các cơ quan công quyền hay tư nhân được phê duyệt khác.

Ra đời từ năm 2003 nhưng Singpass không ngừng được cải tiến, cung cấp kết nối tới hơn 1400 dịch vụ mỗi ngày và trao quyền tới hơn 340 tổ chức thuộc khu vực công và tư nhân. Vào năm 2016, Singpass được nâng cấp với xác thực hai yếu tố (2FA) để tăng cường bảo mật và đến năm 2002 được bổ sung công nghệ xác thực sinh trắc học. Nhờ có Singpass mà người dân truy cập các dịch vụ công như khai thuế, bảo hiểm xã hội, đăng ký kinh doanh, kiểm tra thông tin y tế, đặt lịch khám bệnh, truy cập hồ sơ giáo dục,... trở nên thuận tiện hơn bao giờ hết. Người dùng không còn phải gửi tài liệu bản cứng và các quy trình được đơn giản hóa giúp quá trình phê duyệt đơn từ nhanh hơn. Trong những năm gần đây, hơn 10 tính năng đã được thêm vào Singpass như IC kỹ thuật số, xác minh khuôn mặt và chữ ký số. Trong số 4 triệu cư dân trên Singpass, hơn 2,5 triệu người dùng sử dụng ứng dụng Singpass với hơn 90% trong số họ sử dụng ứng dụng này ít nhất một tháng 1 lần. Vào đợt đại dịch Covid-19, Singpass cũng đã đóng một vai trò quan trọng với việc hỗ trợ theo dõi liên hệ bằng cách đăng ký SafeEntry trên đó. Đây là một cách quản lý dân cư thông minh để kiểm soát lịch trình di chuyển của người dân, cũng như nhắc nhở họ đeo khẩu trang hay đo thân nhiệt tự động⁽⁵⁾. 

Biểu đồ thể hiện tỷ lệ sử dụng dịch vụ công trực tuyến tại Singapore năm 2024 cho thấy, mức độ ứng dụng công nghệ số rất cao (gần như tất cả người dân) trong các dịch vụ hành chính và tài chính. Nhìn chung, Singapore đã phát triển một hệ sinh thái dịch vụ công trực tuyến toàn diện, giúp người dân tiếp cận dễ dàng với các thủ tục hành chính, thuế và tài chính mà không cần đến trực tiếp cơ quan chức năng.

Về hệ thống quản lý thông tin cá nhân MyInfo, công dân Singapore có thể mở tài khoản ngân hàng, đăng ký thẻ tín dụng hay đăng ký các dịch vụ chính phủ (CPF, HDB, MOM) trên ứng dụng này. Các ngân hàng như DSB, OCBD, UOB đều sử dụng MyInfo để tự động điền thông tin khách hàng. Hay việc đăng ký thẻ tín dụng, thay vì khách hàng phải tải lên giấy tờ chứng minh, MyInfo có thể lấy trực tiếp dữ liệu từ IRAS (cơ quan thuế của Singapore). Như vậy, chỉ cần công dân xác nhận quyền chia sẻ dữ liệu, hệ thống sẽ gửi dữ liệu đến tổ chức yêu cầu, ngược lại, MyInfo cũng tích hợp thông tin từ tất cả các cơ quan của Chính phủ. Thông tin được tích hợp trong MyInfo đảm bảo nhanh chóng, chính xác và bảo mật. Từ đó MyInfo hỗ trợ cùng Singpass giúp công dân thực hiện các dịch vụ công thuận tiện hơn. Một bên xác nhận danh tính để vào dịch vụ công, một bên tự động điền thông tin để người dân không cần nhập lại thông tin, tránh trùng lặp, mất thời gian. Singpass là điều kiện cần để sử dụng MyInfo, đảm bảo dữ liệu chỉ được truy cập khi có sự đồng ý của người dùng. Chính hệ thống này giúp Singapore trở thành quốc gia tiên tiến về số hóa và quản lý thông tin cá nhân, quản lý dân cư hiệu quả, an toàn.

Đặc biệt, Singapore cũng rất đầu tư về bảo mật cho các giao dịch với việc sử dụng công nghệ mã hóa trong Singpass. Thông tin cá nhân được tích hợp trong NCI thông qua Singpass và MyInfo nhờ đó cũng được bảo mật cao hơn, tránh việc lộ lọt thông tin. Người dùng Singpass được cơ quan chứng nhận quốc gia cấp chứng chỉ nhận dạng, như một phương tiện xác thực danh tính của một người để đảm bảo danh tính tốt hơn. Ví dụ: khi ký điện tử một tài liệu bằng ứng dụng Singpass, chữ ký được liên kết bằng mật mã với người dùng và được xác thực tại thời điểm ký, giảm thiểu rủi ro gian lận⁽⁶⁾. Ngoài ra, với xác thực hai yếu tố 2FA khi truy cập dữ liệu, Singapore cũng đảm bảo chỉ chủ tài khoản mới có thể truy cập và cấp quyền chia sẻ dữ liệu cá nhân. Từ đó các truy cập trái phép đã bị ngăn chặn triệt để ngay cả khi mật khẩu Singpass bị lộ, hacker vẫn không thể đăng nhập mà không có OTP/sinh trắc học. Các thông tin cá nhân sau khi tích hợp được bảo mật chặt chẽ, giảm nguy cơ đánh cắp thông tin. Công dân cũng có quyền kiểm soát hoàn toàn dữ liệu cá nhân của họ để biết ai truy cập và chủ động thu hồi quyền truy cập nếu cần. Trên thực tế, người dân hoàn toàn có thể kiểm tra có tổ chức nào truy cập dữ liệu trái phép hay không, nếu thấy bất thường, họ có thể báo cáo để xử lý ngay. Nhờ vào hệ thống bảo mật chặt chẽ và cơ chế xác thực danh tính tiên tiến, Singapore không chỉ đảm bảo an toàn tối đa cho dữ liệu cá nhân mà còn trao quyền kiểm soát trực tiếp cho công dân. Việc tích hợp thông tin qua SingPass và MyInfo không chỉ giúp các giao dịch số hóa trở nên nhanh chóng, tiện lợi mà còn giảm thiểu rủi ro lộ lọt dữ liệu. Với sự kết hợp giữa công nghệ mã hóa, xác thực hai yếu tố (2FA) và khả năng giám sát quyền truy cập, Singapore đang thiết lập một tiêu chuẩn cao trong việc bảo vệ thông tin cá nhân, tạo dựng một hệ sinh thái số đáng tin cậy và bền vững. 

Những gợi mở đối với Việt Nam

Từ thực trạng pháp luật và thực thi quy trình tích hợp thông tin trong CSDLQG về dân cư ở Việt Nam, đối chiếu với Singapore, có thể gợi mở một số giải pháp để hoạt động tích hợp thông tin được diễn ra một cách hiệu quả nhất.

Thứ nhất, hoàn thiện cơ chế thu thập và chia sẻ thông tin giữa các cơ quan nhà nước đảm bảo đồng bộ và tối ưu hóa quá trình tích hợp thông tin cá nhân. Ở Singapore, thông tin cá nhân của công dân được tập trung và chia sẻ thông qua MyInfo, giúp giảm thiểu các thủ tục giấy tờ và tránh việc công dân phải cung cấp thông tin nhiều lần. Khi cần thực hiện dịch vụ hành chính, công dân chỉ cần xác nhận qua Singpass và dữ liệu ngay lập tức được truy xuất từ MyInfo mà không phải điền tay hoặc nộp giấy tờ. Hiện nay trong Luật Căn cước năm 2023 có quy định về chia sẻ, thu thập thông tin từ các cơ quan, CSDL khác nhau nhưng trên thực tế việc triển khai vẫn đang trong quá trình đồng bộ hóa với nhiều bộ, ngành. Quy trình lấy dữ liệu từ các cơ quan vẫn còn chưa số hóa hết, phức tạp nên cần học hỏi quy trình trích xuất dữ liệu từ hệ thống MyInfo của Singapore. 

Thứ hai, về khâu bảo mật thông tin, nên áp dụng xác thực đa lớp, sinh trắc học. Hiện nay tại Việt Nam cũng đang triển khai tuy nhiên chưa được rộng khắp, tình trạng lộ lọt thông tin vẫn còn. Nhà nước cần có những biện pháp chặt chẽ để khuyến khích người dân xác thực hai lớp sinh trắc học khi thực hiện ứng dụng VNeID. Bởi thông tin trong VNeID cũng chính là thông tin được tích hợp trong CSDLQG về dân cư. Đặc biệt cần học hỏi Singapore về quyền kiểm soát quyền truy cập của người dân. Người dân cũng cần biết ai truy xuất thông tin của mình hoặc muốn hủy liên kết với bất kỳ cơ quan nào để họ không sử dụng thông tin trái phép. Điều này giúp giảm thiểu nguy cơ lạm dụng thông tin cá nhân bởi các tổ chức hoặc cá nhân không có thẩm quyền.

***

Kinh nghiệm của Singapore cho thấy rằng việc tích hợp thông tin trong Cơ sở dữ liệu quốc gia về dân cư không chỉ nâng cao hiệu quả quản lý nhà nước mà còn tối ưu hóa dịch vụ công và bảo vệ dữ liệu cá nhân. Việt Nam có thể học hỏi mô hình Singpass và MyInfo để hoàn thiện hệ thống quản lý dân cư, đặc biệt trong việc xây dựng khung pháp lý, tăng cường bảo mật và thúc đẩy kết nối liên thông giữa các cơ quan. Việc đẩy mạnh ứng dụng công nghệ trong quản lý dữ liệu sẽ giúp Việt Nam phát triển chính phủ số hiệu quả, giảm thủ tục hành chính và nâng cao trải nghiệm cho người dân, hướng tới một nền kinh tế số bền vững./.

---------------------------

Ghi chú:

(1) Bộ Thông tin và Truyền thông (2024), Singapore tiên phong chuyển đổi số toàn diện, https://mic.gov.vn/singapore-tien-phong-chuyen-doi-so-toan-dien-197241231124508864.htm, (truy cập ngày 04/02/2025).

(2) GovTech Singapore, The World Bank NDI APEX (2022), “National Digital Identity and Government Data Sharing in Singapore”, https://www.developer.tech.gov.sg/assets/files/GovTech%20World%20Bank%20NDI%20APEX%20report.pdf, (truy cập ngày 06/02/2025). 

(3) Xem chi tiết tại: National Registration Act (Chapter 201, Section 19), National Registration Regulations, https://sso.agc.gov.sg/SL/NRA1965-RG2, (truy cập ngày 07/02/2025).

(4) “Những tiện ích từ Hệ thống nhận dạng kỹ thuật số quốc gia Singapore”, https://www.vietnamplus.vn/nhung-tien-ich-tu-he-thong-nhan-dang-ky-thuat-so-quoc-gia-singapore-post702418.vnp (truy cập ngày 06/02/2025).

(5) “SafeEntry - 'chốt' kiểm soát tự động của Singapore”, https://vnexpress.net/safeentry-chot-kiem-soat-tu-dong-cua-singapore-4314212.html (truy cập ngày 07/02/2025)

(6)  “Refreshed Singpass reflects improved services and drives digital innovations with private sector“, https://www.tech.gov.sg/media/media-releases/2021-03-04-refreshed-singpass/  (truy cập ngày 07/02/2025)

Tài liệu tham khảo

1. Nguyễn Thế Dũng (2011), Nhập môn cơ sở dữ liệu, Trường Đại học Sư phạm - Đại học Huế, https://csdlkhoahoc.hueuni.edu.vn/data/2021/11/SachCSDL_bannop.pdf, (truy cập ngày: 23/9/2024). 

2. National Registration Act (Chapter 201, Section 19), National Registration Regulations, https://sso.agc.gov.sg/SL/NRA1965-RG2, (truy cập ngày: 7/2/2025).

3. GovTech Singapore, The World Bank NDI APEX (2022), “National Digital Identity and Government Data Sharing in Singapore”, https://www.developer.tech.gov.sg/assets/files/GovTech%20World%20Bank%20NDI%20APEX%20report.pdf, (truy cập ngày: 6/2/2025).

4. Refreshed Singpass reflects improved services and drives digital innovations with private sector, https://www.tech.gov.sg/media/media-releases/2021-03-04-refreshed-singpass/  (truy cập ngày 07/02/2025).

5. SafeEntry - “chốt” kiểm soát tự động của Singapore, https://vnexpress.net/safeentry-chot-kiem-soat-tu-dong-cua-singapore-4314212.html (truy cập ngày 07/02/2025).

6. “Những tiện ích từ Hệ thống nhận dạng kỹ thuật số quốc gia Singapore”, https://www.vietnamplus.vn/nhung-tien-ich-tu-he-thong-nhan-dang-ky-thuat-so-quoc-gia-singapore-post702418.vnp (truy cập 06/02/2025).

Đinh Phạm Minh Nghĩa, Nguyễn Kim Ngân, Vũ Thị Mỹ Hà - Trường Đại học Luật Hà Nội