Ủy ban Bảo vệ Thông tin Cá nhân Hàn Quốc (PIPC) đã đề nghị Bộ Khoa học và CNTT Hàn Quốc rà soát, hoàn thiện cơ chế xác thực khuôn mặt đang được thí điểm trong quá trình đăng ký thuê bao di động, sau khi xuất hiện lo ngại về nguy cơ xâm phạm dữ liệu cá nhân.

Theo PIPC, khuyến nghị này đã được thông qua tại phiên họp toàn thể ngày 27/5. Trọng tâm là yêu cầu cơ quan quản lý đánh giá lại tính cần thiết, phạm vi áp dụng và cách thức bảo vệ dữ liệu khi sử dụng xác thực khuôn mặt để xác minh danh tính người đăng ký thuê bao.

Cơ chế nói trên được Bộ Khoa học và CNTT Hàn Quốc triển khai thí điểm từ ngày 23/12 năm ngoái, trong khuôn khổ “Kế hoạch tổng thể liên bộ nhằm xóa bỏ voice phishing”. Hệ thống này đối chiếu theo thời gian thực ảnh trên giấy tờ tùy thân với khuôn mặt của người đăng ký khi mở thuê bao.

PIPC cho biết đã kiểm tra thực tế triển khai sau khi các tổ chức xã hội dân sự và truyền thông nêu quan ngại về rủi ro đối với dữ liệu cá nhân.

Qua rà soát, cơ quan này cho rằng Bộ Khoa học và CNTT Hàn Quốc chưa xem xét đầy đủ mô hình vận hành dưới góc độ bảo vệ dữ liệu cá nhân, trong khi phương thức thí điểm có sử dụng dữ liệu sinh trắc học là dữ liệu khuôn mặt, vốn thuộc nhóm thông tin nhạy cảm và chịu yêu cầu quản lý nghiêm ngặt hơn dữ liệu cá nhân thông thường.

Theo Luật Bảo vệ Thông tin Cá nhân, dữ liệu sinh trắc học chỉ được xử lý khi có sự đồng ý của chủ thể dữ liệu hoặc có căn cứ pháp lý rõ ràng. Tuy nhiên, các quy định hiện hành, trong đó có Luật Kinh doanh Viễn thông, chưa làm rõ liệu dữ liệu khuôn mặt có thể được sử dụng làm phương thức xác thực khi đăng ký thuê bao hay không.

PIPC cũng lưu ý rằng trong bối cảnh người dùng khó có lựa chọn thực chất, việc xin ý kiến đồng ý có thể không bảo đảm khả năng từ chối trên thực tế. Cơ quan này đồng thời nhấn mạnh cần giảm thiểu lượng dữ liệu được xử lý tại các đơn vị được ủy quyền và thiết kế hệ thống theo nguyên tắc ưu tiên bảo vệ dữ liệu cá nhân.

Trước mắt, PIPC đề nghị Bộ Khoa học và CNTT Hàn Quốc, với tính chất nhạy cảm của dữ liệu sinh trắc học, phải rà soát kỹ trước khi áp dụng chính thức, bao gồm tính cần thiết của chính sách, phạm vi triển khai cũng như mức độ hiệu quả, phù hợp và tương xứng của phương thức này. Cơ quan này cũng khuyến nghị áp dụng nguyên tắc “Privacy by Design” ngay từ khâu thiết kế cơ chế.

PIPC cho biết, nếu kết quả rà soát cho thấy mục tiêu triển khai là chính đáng, còn phạm vi và phương thức áp dụng là phù hợp, hiệu quả và tương xứng với mức độ hạn chế quyền của chủ thể dữ liệu, thì hệ thống chỉ nên được vận hành theo phương án bảo đảm tuân thủ đầy đủ Luật Bảo vệ Thông tin Cá nhân.

Trong thời gian tới, PIPC sẽ tiếp tục kiểm tra việc thực hiện các khuyến nghị này, đồng thời hỗ trợ để các biện pháp phòng ngừa voice phishing ở cấp toàn chính phủ được triển khai trong môi trường xử lý dữ liệu cá nhân an toàn.