(data.gov.vn) Chia sẻ dữ liệu luôn gắn liền với quản lý rủi ro khi chia sẻ dữ liệu không đúng cách, cho không đúng người và sử dụng đúng mục đích. Vì vậy, việc quản lý rủi ro chia sẻ dữ liệu luôn cần đặt vấn đề cần quan tâm.

Trong bài trước, chúng ta đã xem xét cách tiếp cận khi đưa ra nguyên tắc chia sẻ dữ liệu an toàn và các vấn đề quan tâm khi triển khai chia sẻ dữ liệu, áp dụng nguyên tắc. Trong bài này, chúng ta sẽ xem xét cụ thể các nội dung của từng nguyên tắc an toàn đã được đề cập

Chia sẻ dữ liệu luôn gắn liền với quản lý rủi ro khi chia sẻ dữ liệu không đúng cách, cho không đúng người và sử dụng đúng mục đích. Vì vậy, việc quản lý rủi ro chia sẻ dữ liệu luôn cần đặt vấn đề cần quan tâm.

Để khuyến khích việc chia sẻ dữ liệu một cách an toàn, năm Nguyên tắc đưa ra một khuôn khổ quản lý rủi ro do tiết lộ thông tin để cân bằng với lợi ích khi chia sẻ dữ liệu. Mỗi nguyên tắc có thể được coi là một cơ chế kiểm soát có thể điều chỉnh được (ví dụ, mức độ kiểm soát cao hơn hoặc thấp hơn tương ứng đối với môi trường mà dữ liệu được truy cập). Mặc dù mỗi nguyên tắc có thể được xem xét độc lập, nhưng tất cả năm nguyên tắc cần được xem xét cùng nhau để đánh giá liệu một trường hợp chia sẻ dữ liệu cụ thể có phải là một sự sắp xếp an toàn hay không. Việc áp dụng tất cả các nguyên tắc cùng nhau có thể mang lại một dàn xếp chia sẻ dữ liệu an toàn. Trong trường hợp việc áp dụng nguyên tắc không thể cung cấp một thỏa thuận chia sẻ dữ liệu an toàn, thì người quản lý dữ liệu không nên chia sẻ dữ liệu đó.

Các biện pháp kiểm soát phải dựa trên đánh giá thực tế về khả năng xảy ra và hậu quả của rủi ro xảy ra và được thực hiện trong bối cảnh chấp nhận rủi ro của tổ chức, thay vì dựa trên các tình huống xấu nhất giả định.

Trước tiên, ta phân loại các trường hợp chia sẻ dữ liệu cơ bản. Đối với mỗi trường hợp chia sẻ dữ liệu này sẽ có các mức độ kiểm soát an toàn khác nhau:

• Dữ liệu có sẵn công khai cho cộng đồng (ví dụ, thu nhập hộ gia đình theo địa điểm và thu nhập cá nhân theo nghề nghiệp) được công bố công khai trên trang web. Đây là một hình thức xuất bản dữ liệu dưới dạng dữ liệu mở.
• Dữ liệu tổng hợp, thống kê trên cơ sở chiết xuất từ dữ liệu ban đầu. Dữ liệu này có thể được tải xuống để cho bên khai thác khai thác ngay hoặc hỗ trợ các hoạt động nghiên cứu phân tích, đánh giá sử dụng dữ liệu được chia sẻ.
• Các nhà nghiên cứu được ủy quyền truy cập tập dữ liệu để nghiên cứu với các số nhận dạng trực tiếp bị xóa trong các cơ sở an toàn.
• Dữ liệu tích hợp trong đó dữ liệu chính có thể được liên kết với tập dữ liệu từ một cơ quan khác (ví dụ: liên kết với dữ liệu thu nhập hộ gia đình với dữ liệu đi học) để tăng cường sử dụng cho các dự án khác, được kiểm soát). Đây là trường hợp sử dụng dữ liệu cơ sở được chia sẻ dữ liệu nguyên bản để khớp nối dữ liệu giữa các cơ quan.

Mỗi tình huống chia sẻ dữ liệu sẽ yêu cầu các mức độ kiểm soát khác nhau theo từng Nguyên tắc, nhưng mỗi trường hợp chia sẻ dữ liệu phải được thiết kế để cung cấp giải pháp chấp nhận được cho nhu cầu của bên khai thác. Bên khai thác có thể truy cập dữ liệu theo nhiều trường hợp khi các yêu cầu của họ thay đổi, với mỗi phương án truy cập được đánh giá và quản lý thông qua việc áp dụng các Nguyên tắc.

Nguyên tắc 1: Dự án an toàn - Dữ liệu được chia sẻ cho một mục đích thích hợp mang lại lợi ích chung

Nguyên tắc Dự án an toàn đề cập đến mục đích dự kiến ​​hoặc việc sử dụng dữ liệu theo yêu cầu khai thác, chia sẻ dữ liệu (dự án sử dụng dữ liệu). Người quản lý dữ liệu cần hỏi: "Việc sử dụng dữ liệu này có phù hợp không?" Quyết định sẽ dựa trên các cân nhắc về đạo đức, pháp lý và lợi ích công cộng. Người quản lý dữ liệu có thể có các cân nhắc khác nhau, vì mỗi người sẽ hoạt động trong một ngữ cảnh khác nhau.

Kiểm tra mục đích chia sẻ dữ liệu

Để xác định dự án sử dụng an toàn, đầu tiên cần xác định mục đích khi khai thác dữ liệu chia sẻ. Mục đích sử dụng dữ liệu có thể là sử dụng theo quy định của pháp luật chỉ định trước hoặc các mục đích phát sinh. Ví dụ như các mục đích sử dụng dữ liệu chia sẻ:

• Để thực thi các chính sách của chính phủ
• Để nghiên cứu và phát triển vì lợi ích công cộng
• Để xây dựng kế hoạch, định hướng phát triển ngành, lĩnh vực
• Cung cấp các dịch vụ của chính phủ.

Đánh giá các dự án chia sẻ dữ liệu

Mỗi dự án sử dụng dữ liệu chia sẻ thường sẽ yêu cầu đánh giá thông qua một quy trình quản trị. Các thỏa thuận chia sẻ dữ liệu cần thể hiện và đảm bảo rằng các đánh giá được áp dụng nhất quán, dựa trên các ý kiến ​​đủ điều kiện và các quyết định là minh bạch. Nếu một cơ quan chưa quen với việc chia sẻ dữ liệu, có thể cần một cơ quan có nghiệp vụ chuyên môn xem xét kỹ lưỡng tất cả các đề xuất dự án. Khi có kinh nghiệm, có thể thực hiện các đánh giá theo  hướng đơn giản và hiệu quả hơn (ví dụ: bởi một nhóm nhỏ cán bộ hoặc chỉ đánh giá những dự án bất thường hoặc rủi ro cao hơn mới được cơ quan cơ quan chuyên môn xem xét).

Để hỗ trợ việc đánh giá, người quản lý dữ liệu có thể yêu cầu đưa vào một số khía cạnh chính trong đề xuất dự án, chẳng hạn như chỉ rõ các yêu cầu để được nhà cung cấp dữ liệu gốc chấp thuận hoặc chấp thuận về mặt đạo đức. Ví dụ, có thể chứng minh rằng một dự án đã được xem xét bởi một quy trình phê duyệt của ủy ban đạo đức sẽ chứng minh cho cả người yêu cầu, cũng như người quản lý dữ liệu, rằng dự án không có rào cản đạo đức đáng kể. Tương tự, nếu có được sự đồng ý đã được thông báo từ (các) nhà cung cấp dữ liệu, điều này có thể giảm bớt mối lo ngại của người quản lý dữ liệu.

Sẽ có những cân nhắc khác có thể ảnh hưởng đến quá trình đánh giá dự án, chẳng hạn như chi phí chia sẻ và cách thức chia sẻ có thể ảnh hưởng đến tổ chức. Ví dụ: nghiên cứu kiểm tra phương pháp luận của cơ quan có thể được cơ quan đó coi là rủi ro, nhưng cũng có thể được sử dụng như một cơ hội để cơ quan cải tiến phương pháp của họ. Trong trường hợp này, hợp tác có thể có lợi hơn là không tiến hành.

Đánh giá và phê duyệt dự án là bước đầu tiên hướng tới việc chia sẻ dữ liệu. Bốn nguyên tắc còn lại sẽ cần được xem xét một cách độc lập và cùng nhau để việc chia sẻ dữ liệu được thực hiện một cách an toàn. Nếu việc xem xét các nguyên tắc còn lại xác định những rủi ro không thể giải quyết thì dự án đề xuất có thể cần được sửa đổi và các nguyên tắc còn lại được xem xét trong bối cảnh thay đổi.

Mức độ quan tâm khi thực hiện việc đánh giá dự án sử dụng dữ liệu tùy thuộc vào dữ liệu được chia sẻ. Cụ thể:

• Đối với dữ liệu xác định là mở và chia sẻ công cộng không cần thiết đánh giá dự án.
• Đối với dữ liệu thống kê: mức độ đánh giá trung bình.
• Đối với dữ liệu phục vụ nghiên cứu: mức độ đánh giá cao.
• Đối với dữ liệu cơ bản chia sẻ cho cơ quan khác phục vụ nghiệp vụ: mức độ đánh giá rất cao.

Nguyên tắc 2: Con người an toàn - Bên khai thác có quyền thích hợp để truy cập dữ liệu

Nguyên tắc này là việc người sử dụng dữ liệu phải an toàn và được yêu cầu trải qua quy trình ủy quyền để đánh giá kiến ​​thức, kỹ năng và động cơ của bên khai thác để xác định xem họ có thể sử dụng (và trong một số trường hợp lưu trữ) và lưu trữ dữ liệu có phù hợp hay không không.

Cấp quyền cho bên khai thác truy cập dữ liệu

Các tiêu chí để cấp quyền cho bên khai thác có thể có cơ sở pháp lý (ví dụ: luật có thể cho phép một bên khai thác cụ thể được truy cập dữ liệu) hoặc có thể phát sinh từ nhu cầu thực tế giữa các bên liên quan. Bên khai thác có thể được cấp quyền để truy cập dữ liệu được chia sẻ cho một dự án cụ thể hoặc được cấp quyền để truy cập dữ liệu cho nhiều dự án khác nhau. Sự cấp quyền có thể bao gồm quyền truy cập dữ liệu liên tục (ví dụ: quyền truy cập vào tập dữ liệu được cập nhật định kỳ bởi người lưu giữ dữ liệu) hoặc một lần. Người quản lý dữ liệu sẽ cần phải xem xét phạm vi cấp quyền trong ngữ cảnh của từng yêu cầu truy cập.

Người quản lý dữ liệu nên xem xét các tiêu chí sau đây khi cho phép bên khai thác dữ liệu truy cập vào dữ liệu được chia sẻ. Không phải tất cả các tiêu chí đều cần thiết (tùy thuộc vào mức độ nhạy cảm của dữ liệu được chia sẻ):

• Một ứng dụng chính thức của bên khai thác để trở thành ứng dụng được cấp quyền.
• Bên khai thác là một phần của tổ chức có thỏa thuận chung với người quản lý dữ liệu.
• Người sử dụng cung cấp bằng chứng về khả năng kỹ thuật trong phân tích dữ liệu.
• Bên khai thác đã ký một thỏa thuận hoặc cam kết ràng buộc pháp lý về việc truy cập và sử dụng dữ liệu được chia sẻ.
• Bên khai thác thừa nhận sự đã hiểu rõ về các biện pháp trừng phạt hoặc hình phạt áp dụng cho việc vi phạm cam kết hoặc thỏa thuận.
• Bên khai thác được đào tạo về quyền và trách nhiệm của việc khai thác dữ liệu.

Trong một số trường hợp (như đối với dữ liệu đặc biệt nhạy cảm), các tiêu chí khác có thể được áp dụng bổ sung cho bên khai thác khai thác dữ liệu:

• Được yêu cầu phải có giấy phép bảo mật hiện tại ở mức thích hợp.
• Được đào tạo được cung cấp về các khía cạnh kỹ thuật cụ thể của việc làm việc với dữ liệu.
• Có thể chứng minh kinh nghiệm sử dụng dữ liệu đặc biệt nhạy cảm một cách thích hợp.
• Được yêu cầu biệt phái hoặc được thuê bởi tổ chức nắm giữ dữ liệu.
• Được yêu cầu chính thức xác nhận bởi một thành viên cấp cao trong tổ chức của họ.

Đào tạo người sử dụng

Kinh nghiệm chia sẻ dữ liệu của quốc tế và Úc đã chỉ ra rằng nguyên nhân chính của vi phạm dữ liệu là do con người mắc lỗi khi sử dụng dữ liệu chứ không phải do lỗi của công nghệ hoặc cố ý sử dụng sai. Ví dụ: một người sử dụng đã được cấp quyền truy cập vào một tập dữ liệu an toàn nhưng có thể họ chia sẻ quyền truy cập của mình với một người khác không được phép truy cập vào cùng một tập dữ liệu.

Một cách tiếp cận hiệu quả để giảm thiểu sai lầm là đào tạo, lý tưởng nhất là trực tiếp. Đào tạo có thể mang lại lợi ích cho tất cả các bên, đảm bảo mọi người đều hiểu nghĩa vụ và trách nhiệm của mình trong một cộng đồng chia sẻ dữ liệu. Việc đào tạo cần nhấn mạnh các hành vi và thái độ tích cực cần thiết để sử dụng dữ liệu theo cách phù hợp với các yêu cầu của thỏa thuận chia sẻ dữ liệu. Các hậu quả pháp lý của việc sử dụng sai dữ liệu cần được nhận thức trong quá trình đào tạo, nhưng điều quan trọng là người sử dụng phải hiểu các hình phạt phi pháp lý khác có thể áp dụng, chẳng hạn như thu hồi quyền truy cập vào dữ liệu, điều này có thể ảnh hưởng bất lợi đến tất cả người sử dụng dữ liệu trong cộng đồng. Việc đào tạo cũng phải đơn giản, lấy người sử dụng làm trung tâm, tích cực và tương tác (ví dụ: trong quá trình đào tạo có thể dẫn chứng các lạm dụng dữ liệu, vi phạm các quy chế, quy định về khai thác dữ liệu).

Người quản lý dữ liệu hoặc đơn vị thực hiện đào tạo do người quản lý dữ liệu thiết lập có thể cung cấp khóa đào tạo phù hợp.

Một giải pháp thay thế cho đào tạo có thể là cung cấp cho người sử dụng tài liệu hướng dẫn “nên làm và không nên làm”. Cách tiếp cận này nên được sử dụng hạn chế vì nhận thấy mức độ hiệu quả kém hơn hơn so với đào tạo trực tiếp. Tuy nhiên có thể sử dụng nếu các biện pháp đánh giá khác nhận thấy khả năng đảm bảo an toàn khi chia sẻ dữ liệu cao. Người sử dụng ít có khả năng đọc một tài liệu dài và nó có thể không thể hiện rõ tất cả các đặc điểm của việc sử dụng dữ liệu thích hợp và không phù hợp một cách hiệu quả.

Để bổ sung cho khóa đào tạo, người quản lý dữ liệu có thể chọn kiểm tra định kỳ bên khai thác để đảm bảo họ hiểu trách nhiệm của mình và có thể thể hiện thái độ và hành vi thích hợp liên quan đến việc sử dụng dữ liệu an toàn. Ví dụ: có thể triển khai các đợt diễn tập và kiểm tra theo định kỳ. Việc kiểm tra được tiến hành cùng lúc, hoặc càng sớm càng tốt sau khóa đào tạo.

Mức độ yêu cầu đánh giá theo nguyên tắc con người an toàn được phân loại theo các loại dữ liệu như sau:

• Đối với dữ liệu xác định là mở và chia sẻ công cộng không cần thiết đánh giá.
• Đối với dữ liệu thống kê: mức độ đánh giá thấp.
• Đối với dữ liệu phục vụ nghiên cứu: mức độ đánh giá cao.
• Đối với dữ liệu cơ bản chia sẻ cho cơ quan khác phục vụ nghiệp vụ: mức độ đánh giá rất cao.

Xem tiếp phần 2