Công nghệ định danh tự chủ và bài toán “niềm tin số” trong thực thi Luật Bảo vệ dữ liệu cá nhân

Luật Bảo vệ dữ liệu cá nhân 2025 chính thức có hiệu lực từ ngày 01/01/2026 đã xác lập nguyên tắc cốt lõi trong môi trường số: dữ liệu cá nhân gắn liền với mỗi công dân và quyền quyết định việc thu thập, sử dụng, chia sẻ dữ liệu thuộc về chính chủ thể dữ liệu.

Tuy nhiên, khi luật đi vào thực tiễn, một thách thức lớn đặt ra là khoảng cách giữa quy định pháp lý và khả năng thực thi trong các giao dịch số hằng ngày. Người dân vẫn phải cung cấp dữ liệu cá nhân cho nhiều hệ thống khác nhau, trong khi thiếu các công cụ kỹ thuật đủ mạnh để bảo đảm các quyền như đồng ý có kiểm soát, giới hạn phạm vi sử dụng dữ liệu hay thu hồi dữ liệu sau khi mục đích xử lý đã hoàn thành.

Theo các chuyên gia, trong bối cảnh đó, yêu cầu đặt ra không chỉ là hoàn thiện khung pháp lý, mà còn là phát triển các giải pháp công nghệ được thiết kế ngay từ đầu để tuân thủ pháp luật và bảo vệ quyền dữ liệu của công dân.

ĐỊNH DANH TỰ CHỦ: CÁCH TIẾP CẬN CÔNG NGHỆ CHO BẢO VỆ DỮ LIỆU CÁ NHÂN

Theo ông Nguyễn Phú Dũng, Phó Viện trưởng Viện Khoa học Dữ liệu, Hiệp hội Dữ liệu Quốc gia, Tổng Giám đốc Công ty cổ phần tập đoàn PILA, để những nguyên tắc này thực sự đi vào đời sống, điều quan trọng không nằm ở việc ban hành thêm quy định, mà ở việc có những giải pháp công nghệ được thiết kế ngay từ đầu để tuân thủ pháp luật và bảo vệ quyền dữ liệu của công dân. Chính vì vậy, các giải pháp cần hướng tới việc thực hiện hóa các nguyên tắc của Luật Bảo vệ dữ liệu cá nhân ngay từ kiến trúc hệ thống.

Hiện nay, một trong những hướng tiếp cận đang được nhiều quốc gia quan tâm là mô hình định danh tự chủ (Self-Sovereign Identity – SSI), cho phép cá nhân kiểm soát trực tiếp dữ liệu danh tính của mình thay vì phụ thuộc vào các hệ thống tập trung.

Tại Việt Nam, NDAKey là một trong những giải pháp được phát triển theo hướng này. Theo thông tin công bố, NDAKey được xây dựng trên nền tảng blockchain NDAChain, kết hợp mô hình định danh phi tập trung NDADID.

Dữ liệu danh tính không được lưu trữ tập trung mà tồn tại dưới dạng chứng chỉ số, do người dùng trực tiếp quản lý. Mọi hoạt động thu thập, sử dụng hay chia sẻ dữ liệu trong hệ thống đều gắn với sự đồng ý cụ thể của chủ thể dữ liệu theo từng mục đích, đồng thời cho phép truy vết và kiểm tra khi cần thiết, hạn chế hình thành các kho dữ liệu tập trung quy mô lớn.

NDAKey được định hướng sẽ triển khai trên phạm vi toàn quốc từ năm 2026, từng bước trở thành hạ tầng định danh số cho người dân, doanh nghiệp và dịch vụ công. Khi giải pháp quản lý định danh tự chủ được phổ cập, mỗi công dân có thể chủ động quản lý danh tính số của mình, mỗi tổ chức giảm thiểu rủi ro dữ liệu và toàn bộ hệ sinh thái số được vận hành trên nền tảng niềm tin.

Ông Nguyễn Phú Dũng cho rằng các mô hình định danh tự chủ có thể góp phần giải quyết bài toán quản lý danh tính trong môi trường số, không chỉ đối với cá nhân mà còn với cơ quan quản lý và các tổ chức tham gia hệ sinh thái số.

KINH NGHIỆM QUỐC TẾ VÀ XU HƯỚNG TRIỂN KHAI ĐỊNH DANH PHI TẬP TRUNG

Trên thế giới, nhiều quốc gia đã triển khai hoặc thử nghiệm các mô hình định danh số dựa trên nguyên tắc tự chủ và chia sẻ dữ liệu tối thiểu. Tại châu Âu, EUDI Wallet trong khuôn khổ eIDAS 2.0 cho phép công dân chỉ xác thực đúng thông tin cần thiết cho từng giao dịch. Singapore phát triển hạ tầng danh tính số tích hợp giữa khu vực công và tư, hướng tới giảm thu thập dữ liệu phân tán và nâng cao mức độ tin cậy trong giao dịch số.

Canada, Phần Lan hay Hàn Quốc cũng ứng dụng mô hình định danh phi tập trung (DID) nhằm rút ngắn quy trình xác minh, giảm chi phí vận hành và tăng cường bảo vệ quyền riêng tư.

Theo ông Nguyễn Ngọc Thanh, Giám đốc công nghệ GBV Labs, các công nghệ định danh tự chủ đang dần trở thành xu hướng toàn cầu, đặc biệt trong các lĩnh vực tài chính, giáo dục và các nền tảng xuyên biên giới – nơi yêu cầu xác thực thông tin song song với bảo vệ dữ liệu cá nhân ngày càng cao.

Ông Thanh nhận định, việc chủ động phát triển các nền tảng định danh tự chủ trong nước có thể giúp Việt Nam tiếp cận xu hướng quốc tế, đồng thời tạo ra hạ tầng phù hợp với khung pháp lý về bảo vệ dữ liệu cá nhân.

KIẾN TRÚC BA CHỦ THỂ TRONG MÔ HÌNH ĐỊNH DANH PHI TẬP TRUNG

Theo mô tả kỹ thuật, NDAKey áp dụng kiến trúc định danh phi tập trung với ba chủ thể: bên cấp phát (Issuer), người dùng (Holder) và bên sử dụng (Verifier).

Bên cấp phát chịu trách nhiệm phát hành các chứng chỉ số đã được kiểm chứng. Người dùng trực tiếp lưu trữ và quản lý các chứng chỉ này trên thiết bị cá nhân, đồng thời quyết định việc chia sẻ dữ liệu trong từng giao dịch. Bên sử dụng chỉ tiếp nhận bằng chứng số do người dùng xuất trình và thực hiện kiểm chứng mà không cần truy cập dữ liệu gốc hay kết nối lại với bên cấp phát.

Cách tiếp cận này nhằm giảm thiểu việc thu thập và lưu trữ dữ liệu cá nhân vượt quá nhu cầu, phù hợp với nguyên tắc “lấy người dùng làm trung tâm” được nêu trong Luật Bảo vệ dữ liệu cá nhân.

Về mặt kỹ thuật, giải pháp được cho là tuân thủ các tiêu chuẩn quốc tế như W3C DID, Verifiable Credentials/Presentations, Zero-Knowledge Proofs (ZKP) và DIDComm. Điều này cho phép người dùng chứng minh các điều kiện cần thiết (ví dụ: độ tuổi, tư cách, hiệu lực chứng chỉ) mà không phải cung cấp toàn bộ dữ liệu cá nhân liên quan.

Theo định hướng được công bố, các mô hình định danh tự chủ có thể được ứng dụng trong nhiều lĩnh vực như ngân hàng – tài chính (eKYC, ký số giao dịch), thương mại điện tử, hành chính công, cũng như giáo dục, y tế và du lịch. Mục tiêu chung là giảm giấy tờ, hạn chế gian lận danh tính và giảm rủi ro pháp lý liên quan đến lưu trữ dữ liệu nhạy cảm.

Trong bối cảnh Việt Nam đang triển khai Luật Bảo vệ dữ liệu cá nhân và Luật Dữ liệu, các giải pháp công nghệ định danh tự chủ được xem là một trong những hướng tiếp cận có thể góp phần hiện thực hóa các nguyên tắc pháp lý, hướng tới xây dựng môi trường giao dịch số minh bạch, an toàn và lấy con người làm trung tâm.