(data.gov.vn) Chia sẻ dữ liệu luôn là vấn đề khó khăn với mọi quốc gia khi vừa đảm bảo được sự dùng chung dữ liệu giữa các cơ quan, vừa đảm bảo an toàn, an ninh thông tin. Chính vì vậy, một số nước đã ban hành các nguyên tắc chỉ dẫn chia sẻ dữ liệu an toàn. Trong đó, nguyên tắc FiveSafe (năm an toàn) là nguyên tắc nổi tiếng được nhiều nước sử dụng trong đó có Úc. Bài viết này sẽ tổng hợp, giới thiệu về nguyên tắc chia sẻ dữ liệu an toàn được Chính phủ Úc triển khai áp dụng trên cơ sở phát triển từ nguyên tắc FiveSafe để tham khảo và phần nào áp dụng trong thực tiễn trong các cơ quan nhà nước tại Việt Nam.

Chính phủ Úc nắm giữ một lượng lớn dữ liệu khu vực công được thu thập từ cá nhân và doanh nghiệp. Dữ liệu cũng được tạo ra thông qua các chức năng quản lý hành chính của các cơ quan chính phủ. Nguồn dữ liệu chính phủ là nguồn dữ liệu rất tiềm năng để cung cấp thông tin cho hoạch định chính sách, đóng góp vào tăng trưởng kinh tế và hỗ trợ đổi mới của toàn bộ người dân, doanh nghiệp Úc.

Tiềm năng của dữ liệu khu vực công có thể được thực hiện một số cách khác nhau. Chia sẻ dữ liệu cho phép sử dụng lại dữ liệu hiện có để mang lại lợi ích công cộng và tạo ra các bộ dữ liệu mới để cung cấp những hiểu biết phong phú về cộng đồng, gia đình, ngành, môi trường và nền kinh tế. Tuy nhiên, việc chia sẻ dữ liệu phải được quản lý cẩn thận và an toàn.

Mặc dù tiềm năng dữ liệu khu vực công khi được sử dụng hiệu quả hơn sẽ cải thiện việc cung cấp dịch vụ của chính phủ và giải quyết các vấn đề chính sách phức tạp. Tuy nhiên, việc chia sẻ dữ liệu vẫn còn gặp phải những rào cản khó khăn và các cơ quan chưa dễ dàng thực hiện việc này. Ví dụ: có một số lo ngại của cơ quan nắm giữ dữ liệu khi thực hiện chia sẻ dữ liệu cho các cơ quan, tổ chức khác như: sợ bị nhòm ngó, soi xét của cơ quan tổ chức khác, sự mất an toàn về dữ liệu… Điều này làm cản trở dữ liệu được đưa vào lưu thông và sử dụng, phát huy giá trị của dữ liệu.

Nhận thức được giá trị của dữ liệu đang nắm giữ và các vấn đề khó khăn khi chia sẻ dữ liệu, Chính phủ Úc đã xác định cần phải tổ chức khai thác, sử dụng dữ liệu một cách hiệu quả đồng thời triển khai các biện pháp bảo vệ đảm bảo an toàn thích hợp. Chính vì vậy, Chính phủ Úc đã thành lập Văn phòng Ủy ban Dữ liệu Quốc gia (ONDC) vào tháng 7/2018. ONDC chịu trách nhiệm triển khai các hoạt động chia sẻ dữ liệu nhằm cải thiện khả năng khai thác và tái sử dụng dữ liệu khu vực công, đồng thời đảm bảo sự riêng tư và bảo mật của dữ liệu.

ONDC đã hợp tác, phối hợp cùng với Cục Thống kê Úc (ABS) phát triển các Nguyên tắc đánh giá chia sẻ an toàn (Nguyên tắc năm an toàn) bằng cách cung cấp một cách tiếp cận để quản lý hiệu quả các rủi ro liên quan đến chia sẻ dữ liệu. Việc áp dụng các Nguyên tắc có thể cho phép chia sẻ an toàn và hiệu quả dữ liệu do khu vực công nắm giữ theo cách mang lại lợi ích chung, bảo vệ quyền riêng tư và duy trì tính bảo mật.

Các Nguyên tắc Chia sẻ Dữ liệu dựa trên Khung đánh giá năm vấn đề an toàn này có nguồn gốc được phát triển tại Vương quốc Anh tại Văn phòng Thống kê Quốc gia, Khuôn khổ Năm nguyên lý an toàn là một cách tiếp cận và công nhận rộng rãi trên thế giới để quản lý rủi ro khi chia sẻ dữ liệu. ONDC đã điều chỉnh Khung như một bộ nguyên tắc để nhấn mạnh một loạt các cân nhắc liên quan đến chia sẻ dữ liệu ở Úc.

Các Nguyên tắc cho phép cách tiếp cận chia sẻ dữ liệu cân bằng lợi ích của việc sử dụng dữ liệu của Chính phủ với một loạt các biện pháp kiểm soát và xử lý quản lý rủi ro (đặc biệt là các biện pháp quản lý rủi ro khi cung cấp dữ liệu mở). Bằng cách tập trung vào các biện pháp kiểm soát và lợi ích, thay vì chỉ giảm mức độ chi tiết của dữ liệu được chia sẻ, các Nguyên tắc có thể hỗ trợ tối đa tính hữu ích của dữ liệu.

Ví dụ: một cơ quan có thể không muốn chia sẻ công khai tập dữ liệu do có nguy cơ xác định vi phạm quy định cung cấp dữ liệu cá nhân. Tuy nhiên, nguyên tắc hỗ trợ các cơ quan chia sẻ dữ liệu bằng việc triển khai các biện pháp hạn chế rủi ro ví dụ như xóa định danh cá nhân của dữ liệu trừ trường hợp dữ liệu được chia sẻ trong môi trường an toàn phục vụ các mục đích cụ thể cần định danh. Ngoài ra, các dữ liệu mang tính chất thống kê không chứa thông tin cá nhân hoặc tổ chức có thể được cung cấp rộng rãi dưới dạng dữ liệu mở. Cách tiếp cận linh hoạt này có thể tăng cơ hội tiếp cận và có thể dẫn đến cải thiện kết quả nghiên cứu và ra quyết định, trong khi vẫn đảm bảo bảo vệ dữ liệu thích hợp.

Nguyên tắc Chia sẻ dữ liệu là:

1. Dự án an toàn: Dữ liệu được chia sẻ cho một mục đích thích hợp mang lại lợi ích công cộng.
2. Con người an toàn: Người dùng có quyền thích hợp để truy cập dữ liệu.
3. Cài đặt an toàn: Môi trường mà dữ liệu được chia sẻ sẽ giảm thiểu nguy cơ bị sử dụng hoặc tiết lộ trái phép.
4. Dữ liệu an toàn: Các biện pháp bảo vệ phù hợp và tương xứng được áp dụng cho dữ liệu.
5. Đầu ra an toàn: Đầu ra từ chia sẻ dữ liệu được bảo vệ thích hợp trước khi chia sẻ hoặc chia sẻ lại.

Khi áp dụng các nguyên tắc này, tùy thuộc vào các loại dữ liệu được cung cấp, chia sẻ sẽ được đánh giá theo một, vài nguyên tắc hoặc toàn bộ 5 nguyên tắc.

Trước khi xem xét phân tích về triển khai áp dụng các nguyên tắc này, chúng ta cần xem xét các các vấn đề cần quan tâm và có liên quan trong chia sẻ dữ liệu.

Yêu cầu chia sẻ dữ liệu

Việc chia sẻ dữ liệu có thể do người quản lý dữ liệu chủ động cung cấp. Tuy nhiên, việc chia sẻ thường được khởi tạo bởi một yêu cầu tới người quản lý dữ liệu về đề nghị cung cấp dữ liệu. Các yêu cầu có thể đến từ một cơ quan nhà nước khác, khu vực tư nhân hoặc khu vực nghiên cứu. Những yêu cầu này có thể được quản lý dễ dàng hơn nếu cơ quan có sẵn danh mục dữ liệu để cho phép người dùng khám phá dữ liệu hiệu quả hơn.

Một yêu cầu dữ liệu được sử dụng để bắt đầu xem xét một dự án chia sẻ dữ liệu; nội dung cũng có thể hỗ trợ việc xây dựng Thỏa thuận chia sẻ dữ liệu chính thức trình bày rõ ràng các thỏa thuận, điều khoản và điều kiện của một dự án chia sẻ dữ liệu. Yêu cầu cũng phải mô tả mục đích mà dữ liệu sẽ được sử dụng và có thể được sử dụng để đánh giá ban đầu về tính phù hợp của một dự án. Mỗi yêu cầu dữ liệu có thể bao gồm nhiều nếu không phải tất cả các yêu cầu sau:

• Mục đích khai thác thích hợp, phù hợp với thử nghiệm mục đích liên quan nếu có;
• Vì lợi ích công cộng;
• Cân nhắc về pháp lý, đạo đức và luân lý đã được giải quyết;
• Dữ liệu nào sẽ được sử dụng và lý do tại sao dữ liệu đó được yêu cầu;
• Khung thời gian mà người sử dụng cần dữ liệu, và các đầu ra và kết quả mong đợi;
• Cá nhân hoặc nhóm cán bộ nào sẽ làm việc trong dự án; và
• Chứng minh tính khả thi (tức là dữ liệu phù hợp / thích hợp để đáp ứng).

Sự sẵn có của dữ liệu có sẵn khi chia sẻ

Người quản lý dữ liệu cần đánh giá yêu cầu và xác định (các) nguồn dữ liệu chính có thể được chia sẻ để đáp ứng yêu cầu. Người quản lý dữ liệu sẽ hiểu rõ nhất về khả năng đáp ứng yêu cầu khai thác dữ liệu đối với dữ liệu mà họ nắm giữ. Thảo luận giữa người quản lý dữ liệu và người yêu cầu khai thác dữ liệu có thể thống  nhất được các nội dung và vướng mắc gặp phải giữa các bên. Một vấn đề quan trọng cần xem xét là lợi ích của dự án sử dụng dữ liệu đối với công chúng.

Sự phù hợp về các quy định của pháp luật khi chia sẻ dữ liệu

Người quản lý dữ liệu sẽ cần xác nhận rằng có cơ sở pháp lý để chia sẻ dữ liệu. Một số luật cấm một số người hoặc tổ chức (ví dụ: những người không phải là công dân Úc) truy cập dữ liệu của chính phủ Úc. Người quản lý dữ liệu cần phải biết về những hạn chế này và thông báo một cách rõ ràng cho người sử dụng tiềm năng. Những người quản lý dữ liệu nên khám phá cách họ có thể chia sẻ dữ liệu một cách hợp pháp thay vì chỉ đơn giản là từ chối yêu cầu truy cập dữ liệu do các hạn chế pháp lý được nhận thức.

Dữ liệu chia sẻ có là dữ liệu nhạy cảm không?

Những người lưu giữ dữ liệu sẽ cần xác định xem và đánh giá mức độ đối với dữ liệu được coi là đặc biệt nhạy cảm - ví dụ: dữ liệu liên quan đến thông tin cá nhân, dữ liệu thương mại, môi trường, an ninh quốc gia …. Điều quan trọng là phải xem xét mức độ nhạy cảm của dữ liệu có thể áp dụng các biện pháp phù hợp. Ví dụ: dữ liệu về vị trí sinh sống của các loài động vật quý hiếm đang nguy cấp cần bảo vệ sẽ được chia sẻ giới hạn cho những người có thẩm quyền, nhưng khi dữ liệu được công bố công khai sẽ cần loại bỏ các dữ liệu vị trí để không là thông tin cung cấp cho những kẻ săn trộm động vật..

Thỏa thuận chia sẻ dữ liệu

Thỏa thuận chia sẻ dữ liệu được thực hiện giữa người quản lý dữ liệu và bên nhận dữ liệu (ví dụ: cơ quan chính phủ khác, tổ chức nghiên cứu, tổ chức phi chính phủ, công ty tư nhân, v.v.). Các thỏa thuận này có thể bao gồm một thử nghiệm theo mục đích xác định và chi tiết về các dự án được đề cập trong thỏa thuận. Nó cũng phải chỉ rõ dữ liệu có thể và không thể được sử dụng cho mục đích gì và cung cấp thông tin về bất kỳ hình thức xử phạt có thể được áp dụng nếu các điều khoản và điều kiện của thỏa thuận không được tuân thủ (điều này có thể bao gồm tham chiếu đến các biện pháp trừng phạt có hiệu lực pháp luật theo bất kỳ luật có liên quan).

Trong thỏa thuận chia sẻ dữ liệu, nhân viên chịu trách nhiệm của tổ chức nhận hoặc truy cập dữ liệu sẽ đồng ý rằng tất cả bên khai thác trong tổ chức của họ sẽ tuân theo các điều khoản và điều kiện để truy cập dữ liệu. Cán bộ chịu trách nhiệm có thể được yêu cầu cung cấp và duy trì danh sách các cá nhân (hoặc nhóm cá nhân trong tổ chức) đang truy cập dữ liệu theo thỏa thuận. Trong một số trường hợp, người sử dụng là cá nhân trong một tổ chức cũng có thể cần phải đồng ý với các điều kiện sử dụng, có thể là một phần của tiêu chí ủy quyền.

Cách tốt nhất là công bố công khai các thỏa thuận chia sẻ dữ liệu để tối đa hóa tính minh bạch.

Cân nhắc cách đáp ứng tốt nhất nhu cầu của bên khai thác

Điều quan trọng là phải xem xét các nhu cầu cụ thể của người hoặc tổ chức yêu cầu khi xác định cách hỗ trợ chia sẻ dữ liệu. Ví dụ, những người quản lý dữ liệu thường biết các nhà nghiên cứu và tổ chức nghiên cứu quan tâm đến điều gì và nên chủ động công khai dữ liệu nếu có thể. Các nhà nghiên cứu có thể truy cập dữ liệu có sẵn công khai để có được thông tin chi tiết sớm, từ đó hỗ trợ họ nhắm mục tiêu các yêu cầu dữ liệu của họ.

Sau khi nhận được yêu cầu, một cơ quan, với sự tham vấn của người yêu cầu, sẽ cần xác định phương án chia sẻ phù hợp nhất. Các tùy chọn để chia sẻ dữ liệu bao gồm một trong hai cách sau:

1. Cung cấp dữ liệu cho người khai thác đúng dữ liệu bên khai thác cần
2. Cho phép người khai thác 1uyền truy cập vào dữ liệu được cung cấp - nghĩa là, dữ liệu vẫn ở trong cơ sở dữ liệu của bên cung cấp và bên khai thác được cấp một số hình thức truy cập vào cơ sở dữ liệu đó.

Người quản lý dữ liệu có trách nhiệm đảm bảo rằng, nếu có thể làm như vậy một cách hợp pháp và an toàn, dữ liệu được chia sẻ theo cách phục vụ công chúng Úc. Điều này có nghĩa là, điều quan trọng là phải thực hiện cách tiếp cận theo tỷ lệ phần trăm để cho phép bên khai thác và công chúng, nhận được nhiều lợi ích nhất từ ​​việc chia sẻ dữ liệu.

Năng lực và văn hóa

Đối với một số người quản lý dữ liệu, việc chia sẻ dữ liệu có thể là một vấn đề khó khăn. Trước khi chia sẻ, có thể cần phải đánh giá các kỹ năng và năng lực nội bộ sẵn có, đồng thời tìm kiếm kiến ​​thức chuyên môn hoặc khả năng bổ sung về dữ liệu nếu cần để quản lý hiệu quả các thỏa thuận chia sẻ dữ liệu. Cũng có thể có sự phản kháng về văn hóa nội bộ, đòi hỏi những người quản lý dữ liệu phải chuyển từ văn hóa ngại rủi ro sang văn hóa quản lý rủi ro liên quan đến chia sẻ dữ liệu. Các Nguyên tắc chia sẻ an toàn là một phương pháp để hỗ trợ sự thay đổi văn hóa này.

Đảm bảo trách nhiệm rõ ràng cho mỗi tập dữ liệu được chia sẻ

Một số thỏa thuận chia sẻ dữ liệu có thể là giữa những người lưu giữ dữ liệu và một cơ quan có thể cung cấp dịch vụ dữ liệu (ví dụ: Viện Y tế và Phúc lợi Úc quản lý nhiều yêu cầu liên kết dữ liệu liên quan đến sức khỏe cho Khối thịnh vượng chung và các Quốc gia và Vùng lãnh thổ). Trong tình huống này, có trách nhiệm chung và người lưu giữ dữ liệu vẫn phải chịu trách nhiệm về việc sử dụng dữ liệu một cách thích hợp theo một thỏa thuận chia sẻ dữ liệu.

Quản trị và Thỏa thuận chia sẻ dữ liệu

Phát triển quản trị phù hợp để chia sẻ dữ liệu là một cách tạo niềm tin cho người lưu giữ dữ liệu, Chính phủ và công chúng. Thỏa thuận chia sẻ dữ liệu là phương tiện đảm bảo tất cả các khía cạnh của việc chia sẻ dữ liệu, những người tham gia và trách nhiệm của họ được lập thành văn bản.

Quản trị tốt đòi hỏi phải ra quyết định minh bạch (ví dụ, hồ sơ đánh giá rủi ro liên quan đến dự án) và sự minh bạch này có thể tạo cơ sở xây dựng cho sự tham gia của công chúng. Người quản lý dữ liệu cũng nên thiết lập các quy trình được sắp xếp hợp lý để xử lý các yêu cầu tiếp theo một cách hiệu quả hơn.

Chi phí

Cần phải xem xét chi phí cung cấp và truy cập dữ liệu. Nếu chi phí được yêu cầu để cung cấp dữ liệu, điều này phải được thông báo cho bên khai thác dữ liệu và được ghi lại trong thỏa thuận chia sẻ dữ liệu.

Trên đây là những vấn đề cần quan tâm, lưu ý khi chia sẻ dữ liệu. Trong bài viết sau, chúng ta sẽ xem xét chi tiết cách tiếp cận thực hiện các quy tắc chia sẻ dữ liệu trong bài Chia sẻ dữ liệu tại Úc: An toàn dữ liệu chia sẻ nguyên tắc