Tóm tắt: Trong lĩnh vực tài chính, ngân hàng, các tổ chức phải đối mặt với thách thức là không thể nắm giữ toàn bộ dữ liệu của khách hàng, mỗi tổ chức thường giữ một phần của dữ liệu đó. Do vậy, khi phải trả lời các câu hỏi quan trọng như “khách hàng này có đáng tin cậy không?”, “giao dịch này có gian lận không?”..., chỉ với dữ liệu của riêng mình, các tổ chức có nguy cơ đưa ra kết luận thiếu chính xác. Chìa khóa để giải quyết vấn đề này là chia sẻ dữ liệu nhằm mở rộng kho dữ liệu, nhờ có những nguồn dữ liệu mới, các tổ chức sẽ nhận được bức tranh hoàn chỉnh về khách hàng, hỗ trợ ra quyết định nhanh chóng, chính xác. Tuy nhiên, chia sẻ và tiếp nhận dữ liệu sao cho an toàn, hiệu quả, đúng mục đích, nhất là các dữ liệu nhạy cảm của khách hàng, đó là các nội dung chính được thảo luận trong bài viết này.
Từ khóa: Chia sẻ dữ liệu, ngân hàng, kho dữ liệu.
DATA WAREHOUSE SHARING AND EXPANDING AIMED AT SUPPORTING BUSINESS DECISION - MAKING AT FINANCIAL ORGANIZATIONS
Abstract: In the realm of finance and banking, organizations are confronted with the challenge of being unable to fully retain all customer data; typically, each organization holds a portion of this data. Consequently, when it comes to addressing crucial inquiries such as ‘Is this customer reliable?’ or ‘Does this transaction exhibit any signs of fraudulent activity?’... organizations, relying solely on their own data, run the risk of reaching inaccurate conclusions. The crux of addressing this issue lies in the sharing of data to broaden the data repository. Through the integration of fresh data sources, organizations can obtain a more comprehensive understanding of their clientele, thereby facilitating prompt and precise decision-making. Nevertheless, the safe, efficient, and purpose-oriented sharing and reception of data, especially sensitive customer information, constitutes the primary subject of discussion in this paper.
Keywords: Data sharing, banking, data warehouse.
1. Giới thiệu chung
Trong nền kinh tế số, dữ liệu được coi là một trong những tài sản quý giá của tổ chức, cần được bảo vệ và sử dụng sao cho hiệu quả nhất. Đây là một thách thức lớn đối với các tổ chức, đặc biệt là các tổ chức trong ngành tài chính, ngân hàng hằng ngày làm việc với nhiều số liệu và dữ liệu nhạy cảm. Mỗi tổ chức với các mục tiêu kinh doanh khác nhau sẽ mong muốn mở rộng nguồn dữ liệu được lưu trữ trong kho khác nhau, cách thức vận hành và chia sẻ khác nhau. Ngày nay, việc chia sẻ dữ liệu thường tập trung vào ba lĩnh vực: Trong nội bộ các tổ chức, các cơ quan quản lí và khách hàng. Việc chia sẻ dữ liệu sẽ đem lại nhiều lợi ích vì nhờ đó mà các tổ chức mở rộng được nguồn dữ liệu khai thác, các nguồn dữ liệu nhận được có thể: Thu thập từ các bên thứ ba trong nước; thu thập trong và ngoài nước các dữ liệu cho phép. Mặt khác, thu thập dữ liệu cho phép các tổ chức mở rộng được nguồn dữ liệu khai thác, phát huy các khả năng của tổ chức và mang lại lợi ích tốt hơn cho khách hàng. Ngoài ra, các tổ chức còn đạt được quy mô dữ liệu mà họ không thể tự mình xây dựng và có thêm sự hiểu biết theo chiều sâu, chiều rộng của nhiều vấn đề, là nền tảng tốt để tiến tới tự động hóa các hoạt động và ra quyết định một cách nhanh chóng, chính xác hơn. Đối với các cơ quan quản lí, chia sẻ, tiếp nhận dữ liệu còn mang đến cơ hội để trao lại quyền kiểm soát và quyền sở hữu dữ liệu cho khách hàng, làm tăng tính cạnh tranh và đổi mới trong tổ chức...
Có thể thấy, việc chia sẻ dữ liệu nhằm mở rộng kho dữ liệu an toàn ngày càng được các tổ chức quan tâm, tuy nhiên việc chia sẻ dữ liệu vẫn đang gặp nhiều thách thức, đặc biệt, các tổ chức trong ngành tài chính, ngân hàng vì việc chia sẻ bất kì dữ liệu nào ra bên ngoài đều có nguy cơ tiết lộ thông tin, tạo tính cạnh tranh, ví dụ: Danh tính của khách hàng và đặc điểm của họ có thể bị bên thứ ba sử dụng sai mục đích. Việc chia sẻ dữ liệu cũng có thể vi phạm các quy định về quyền riêng tư, việc chia sẻ dữ liệu có thể sai đối tượng... Có thể thấy, chia sẻ dữ liệu không chỉ liên quan đến các vấn đề pháp lí mà còn liên quan đến công nghệ, các khía cạnh nghiệp vụ. Do tính chất phức tạp của việc chia sẻ dữ liệu, cùng với những lo ngại về sự minh bạch và bảo mật đã làm cản trở việc chia sẻ dữ liệu phát triển, bất chấp lợi ích từ chia sẻ dữ liệu mang lại.
Đến nay, các hoạt động chia sẻ dữ liệu an toàn nhằm mở rộng kho dữ liệu của các tổ chức nói chung và đặc biệt là các tổ chức tài chính, ngân hàng ở Việt Nam nói riêng chưa thực sự rộng rãi vì các lí do đã phân tích ở trên như: Tính pháp lí, kĩ thuật thực hiện, thỏa thuận hợp tác, cam kết sử dụng đúng mục đích... chưa minh bạch và đơn giản để thực hiện. Do vậy, rất cần những nghiên cứu sâu hơn về vấn đề này tạo cơ sở pháp lí và nền tảng kĩ thuật giúp cho các tổ chức nhanh chóng, dễ dàng thực hiện nhằm đẩy nhanh tiến độ thực hiện Chính phủ điện tử và mức độ chuyển đổi số ở Việt Nam.
2. Chia sẻ và mở rộng kho dữ liệu
2.1. Chia sẻ dữ liệu
Có rất nhiều quan điểm về chia sẻ dữ liệu, tuy nhiên, quan điểm của Ben O’Brien nhận được nhiều quan tâm nhất, ông cho rằng: Chia sẻ dữ liệu là quá trình chia sẻ giữa các tổ chức, cá nhân hoặc hệ thống khác nhau để tạo ra giá trị mới và cải thiện các sản phẩm, dịch vụ. (Ben O’Brien và cộng sự, 2018).
Quá trình chia sẻ dữ liệu diễn ra trong các phạm vi khác nhau từ nhỏ đến lớn, dù trong phạm vi nào thì cũng luôn tiềm ẩn những rủi ro về quy định, cạnh tranh, tài chính và bảo mật. Trong thời đại bùng nổ dữ liệu như hiện nay, bên cạnh các lợi ích đã đề cập ở trên, chia sẻ dữ liệu thường gặp những rủi ro như:
Tiết lộ quyền riêng tư: Mọi tổ chức đều có nghĩa vụ pháp lí và đạo đức bảo vệ quyền riêng tư của dữ liệu khách hàng mà họ sở hữu. Họ phải thực hiện các biện pháp thích hợp để chia sẻ dữ liệu mà không ảnh hưởng đến quyền riêng tư.
Hiểu sai dữ liệu: Trong quá trình chia sẻ dữ liệu nếu thiếu giao tiếp giữa người tạo dữ liệu và người tiêu dùng có thể dẫn đến hiểu sai kết quả phân tích dữ liệu.
Chất lượng dữ liệu thấp: Người sử dụng dữ liệu có thể có quyền kiểm soát hạn chế đối với chất lượng và tính sẵn có của dữ liệu.
Rủi ro về an ninh mạng: Việc chia sẻ dữ liệu có thể làm tăng nguy cơ mất mát hoặc đánh cắp thông tin. Nếu dữ liệu không được bảo mật đúng cách, nó có thể bị truy cập trái phép bởi kẻ tấn công và được sử dụng cho mục đích xấu.
Rủi ro vi phạm bản quyền: Chia sẻ dữ liệu có thể dẫn đến vi phạm bản quyền hoặc các quyền sở hữu trí tuệ khác, đặc biệt là khi dữ liệu đó được sử dụng cho mục đích thương mại.
2.2. Mở rộng kho dữ liệu
Kho dữ liệu (Data Warehouse) là một hệ thống lưu trữ dữ liệu được tối ưu hóa để hỗ trợ việc phân tích và ra quyết định. Nó là nơi tổng hợp dữ liệu từ nhiều nguồn khác nhau, sau đó tiến hành quá trình biến đổi, lọc, tích hợp và lưu trữ chúng trong một cấu trúc cơ sở dữ liệu có tổ chức (Ponniah, 2012).
Kho dữ liệu giúp tổ chức có thể tận dụng dữ liệu một cách hiệu quả. Với các công cụ phân tích và hệ thống báo cáo (kinh doanh thông minh), kho dữ liệu giúp các nhà quản lí có một cái nhìn thống nhất, toàn cục và đầy đủ hơn về môi trường kinh doanh cũng như thực trạng hoạt động của tổ chức và doanh nghiệp. Như vậy, kho dữ liệu là một công cụ quan trọng để tổ chức, doanh nghiệp có thể tận dụng dữ liệu của mình để đưa ra các quyết định thông minh, cải thiện hiệu suất kinh doanh và duy trì sự cạnh tranh trên thị trường.
2.3. Chia sẻ dữ liệu nhằm mở rộng kho dữ liệu, hỗ trợ ra quyết định trong kinh doanh
Kho dữ liệu trong các tổ chức thường được xây dựng nhằm hỗ trợ ra quyết định trong kinh doanh và quản lí, điều hành. Trong quá trình hoạt động quản lí, điều hành và ra quyết định trong kinh doanh luôn phát sinh các nhu cầu mới, đòi hỏi phải luôn có các nguồn dữ liệu mới, sâu, rộng hơn so với các dữ liệu đã có trong kho. Đến khi kho dữ liệu hiện tại không còn đáp ứng đủ các nhu cầu lưu trữ, phân tích và xử lí dữ liệu của tổ chức nữa thì kho dữ liệu sẽ cần được nâng cấp, mở rộng.
Mở rộng kho dữ liệu là quá trình tăng khả năng của kho dữ liệu để có thể xử lí và lưu trữ thêm dữ liệu hoặc để đáp ứng nhu cầu nghiệp vụ mới, tăng cường hiệu suất xử lí dữ liệu. Nhu cầu mở rộng kho dữ liệu phát sinh khi tổ chức phải đối mặt với dữ liệu ngày càng lớn hoặc nhu cầu người dùng cuối đòi hỏi một hệ thống mạnh mẽ hơn. Có nhiều phương pháp để mở rộng kho dữ liệu, tùy theo thực trạng của kho dữ liệu và nhu cầu của tổ chức, các phương pháp mở rộng kho dữ liệu có thể là: Mở rộng dung lượng lưu trữ, tăng hiệu năng xử lí, sử dụng cơ sở hạ tầng đám mây… đặc biệt phương pháp tích hợp các nguồn dữ liệu được chia sẻ vào kho được quan tâm nhiều trong thời gian gần đây. Nhờ phương pháp này, tổ chức có thể làm giàu dữ liệu theo cả chiều rộng và chiều sâu mà không mất nhiều thời gian và chi phí.
Khi mở rộng kho dữ liệu, các tổ chức cần chú ý đến việc xem xét yêu cầu cụ thể của tổ chức và đảm bảo rằng việc mở rộng được thực hiện một cách hiệu quả và bền vững. Điều này bao gồm việc xác định các nguồn dữ liệu sẽ tích hợp, đánh giá kiến trúc kho, dự đoán tăng trưởng mở rộng của kho và lựa chọn các giải pháp phù hợp để đáp ứng nhu cầu lưu trữ và xử lí dữ liệu ngày càng lớn của tổ chức.
3. Bối cảnh chia sẻ dữ liệu nhằm mở rộng kho dữ liệu trong các tổ chức tài chính, ngân hàng
Đến nay, đã có nhiều nghiên cứu khẳng định rằng, việc mở rộng kho dữ liệu nhờ chia sẻ dữ liệu là điều kiện tiên quyết để triển khai Chính phủ điện tử và chuyển đổi số (Deloitte, 2017; Chính phủ, 2020), chia sẻ dữ liệu nhằm giúp các tổ chức có thêm nhiều dữ liệu hỗ trợ ra quyết định kinh doanh, tạo ra lợi ích kinh tế và xã hội, cải thiện năng suất, tăng khả năng cạnh tranh quốc tế, từ đó hỗ trợ tăng trưởng kinh tế. Tuy nhiên việc chia sẻ, mở rộng kho dữ liệu trong các tổ chức tài chính, ngân hàng phụ thuộc vào chất lượng dữ liệu, cơ sở hạ tầng công nghệ thông tin, tính pháp lí của nó. Tất cả các vấn đề này đều đã được các nhà nghiên cứu, các hãng công nghệ trong và ngoài nước quan tâm, cụ thể:
Trong nghiên cứu của McKinsey và Company về chia sẻ dữ liệu và ngân hàng mở cũng đã khẳng định lợi ích to lớn của việc chia sẻ dữ liệu ngân hàng, bên cạnh đó rất cần đề cập đến tính pháp lí trong việc quy định những loại dữ liệu được chia sẻ và cách thức chia sẻ dữ liệu (McKinsey và Company, 2017). Gần đây, Chính phủ Singapore vừa công bố nội dung quy định về Khung Chia sẻ dữ liệu tin cậy (IMDA và PDPC, 2019), hướng dẫn cách thức chia sẻ giữa các tổ chức tài chính, doanh nghiệp. Theo đó, Khung Chia sẻ dữ liệu tin cậy cung cấp những cách thức tốt nhất, có trách nhiệm và đáng tin cậy trong việc chia sẻ dữ liệu, đặc biệt là dữ liệu nhạy cảm trong ngành tài chính, ngân hàng.
Ở Việt Nam, Chính phủ, các bộ, ban, ngành đã nhận thức được các lợi ích và thách thức khi mở rộng khai thác các nguồn dữ liệu nhờ chia sẻ dữ liệu từ các chủ sở hữu dữ liệu. Gần đây, Chính phủ đã đã có những động thái tích cực trong việc đôn đốc các bộ, ban, ngành và doanh nghiệp cần phải thực hiện việc mở rộng nguồn dữ liệu được khai thác, cụ thể:
Báo Nhân dân tháng 04/2020 đã có bài viết khẳng định tầm quan trọng của dữ liệu số trong Chính phủ điện tử, qua đó nhấn mạnh việc Chính phủ đã ban hành Nghị định số 47/2020/NĐ-CP về quản lí kết nối chia sẻ dữ liệu số trong xây dựng Chính phủ điện tử là cột mốc quan trọng, là cơ sở để các ban, ngành đánh giá về cơ sở hạ tầng và khung pháp lí để có thể đảm bảo được an toàn thông tin trong việc triển khai chia sẻ dữ liệu của ngành và liên ngành. Năm 2018, Ngân hàng Nhà nước Việt Nam (NHNN) đã sửa đổi Thông tư số 35/2016/TT-NHNN ngày 29/12/2016 Quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet nhằm mục tiêu chia sẻ dữ liệu an toàn (NHNN, 2018). Cũng trong thời gian này, Cục Công nghệ thông tin, NHNN cũng đã nghiên cứu và trình Thống đốc ban hành, cập nhật Danh mục các cơ sở dữ liệu (CSDL) thuộc NHNN quản lí; xây dựng và ban hành Quy chế khai thác, sử dụng dữ liệu chia sẻ theo hình thức mặc định của NHNN... Trong phạm vi ngành Ngân hàng, gần đây đã đề cập rất nhiều đến “ngân hàng mở”, đây là sự khởi đầu của một cuộc cách mạng trong tài chính tiêu dùng. Về cơ bản, quy định về ngân hàng mở yêu cầu các ngân hàng chia sẻ dữ liệu tài chính của người tiêu dùng với các nhà cung cấp bên thứ ba được ủy quyền, cùng với đó là về một bộ quy tắc mới yêu cầu các ngân hàng lớn cho phép khách hàng của họ chia sẻ dữ liệu giao dịch với các bên thứ ba. Theo nghiên cứu từ một tổ chức ở Vương Quốc Anh, các quy định này sẽ thúc đẩy nền kinh tế Vương quốc Anh tăng thêm 1 tỉ bảng mỗi năm và 84% công ty dịch vụ tài chính đã đầu tư vào các sản phẩm ngân hàng mở.
Có thể thấy, nhu cầu chia sẻ dữ liệu nhằm mở rộng kho dữ liệu hỗ trợ việc ra quyết định kinh doanh, điều hành trong các tổ chức nói chung và tổ chức tài chính, ngân hàng nói riêng là một điều tất yếu phải thực hiện nhằm tạo lợi thế cạnh tranh trong nền kinh tế số. Tuy nhiên, để làm thế nào đẩy nhanh tiến độ, hạn chế tối đa những rủi ro gặp phải rất cần thêm những nghiên cứu sâu, những thực nghiệm cụ thể.
4. Giải pháp chia sẻ dữ liệu nhằm mở rộng kho dữ liệu cho ngành tài chính, ngân hàng
Chia sẻ dữ liệu nhằm mở rộng kho dữ liệu là một quá trình đa lĩnh vực, không chỉ liên quan đến công nghệ mà còn cả các vấn đề mục tiêu, tính pháp lí, cách tổ chức... đặc biệt là ngành tài chính, ngân hàng, nơi sở hữu nhiều dữ liệu nhay cảm của khách hàng và là các tổ chức có vai trò vô cùng quan trọng trong phát triển kinh tế của mỗi quốc gia. Dựa trên các kết quả nghiên cứu, thực nghiệm, kinh nghiệm chia sẻ của chuyên gia... phần dưới đây sẽ trình bày nội dung chi tiết về tính pháp lí, kĩ thuật tổ chức và các công nghệ sử dụng trong chia sẻ dữ liệu an toàn với mục tiêu giúp cho các tổ chức mở rộng nguồn dữ liệu khai thác hỗ trợ ra quyết định trong kinh doanh vượt qua được những trở ngại và có những cân nhắc kĩ càng trước khi thực hiện chia sẻ dữ liệu, tránh gặp phải rủi ro.
4.1. Tính pháp lí
Các tổ chức cần đảm bảo rằng dữ liệu được chia sẻ tuân thủ pháp luật và đúng thỏa thuận với các đối tác. Khi xác định các dữ liệu chia sẻ nên quan tâm trước nhất tới yêu cầu của các đối tác tiềm năng.
- Xác định dữ liệu được chia sẻ
+ Xem xét các quy tắc, quy định về dữ liệu được chia sẻ
Các tổ chức cần xem xét tất cả các quy tắc, quy định khác nhau có thể ảnh hưởng đến hoạt động chia sẻ dữ liệu. Các quy tắc, quy định chia sẻ dữ liệu chỉ nên xây dựng đối với từng loại dữ liệu được chia sẻ. Căn cứ đưa ra các quy tắc và quy định thường là:
Luật pháp theo ngành cụ thể: Các khuôn khổ và quy tắc khác nhau để xử lí dữ liệu trong các lĩnh vực liên quan đến chia sẻ dữ liệu.
Các quy định: Bao gồm các quy định dành riêng cho từng lĩnh vực và có thể có hiệu lực pháp lí đối với các tổ chức, đặc biệt là những quy định trong phạm vi quy định các ngành.
Thỏa thuận pháp lí: Điều này đề cập đến hình thức hợp đồng giữa việc chia sẻ dữ liệu với các bên liên quan, cung cấp các quy tắc và hạn chế xung quanh các trường hợp hoặc dự án sử dụng chia sẻ dữ liệu cụ thể.
Quyền chia sẻ dữ liệu: Điều này đề cập đến việc Nhà cung cấp dữ liệu có quyền chia sẻ dữ liệu với người tiêu dùng dữ liệu cho mục đích đã định và thường đề cập đến quyền sở hữu trí tuệ. Bản quyền và quyền cơ sở dữ liệu là phổ biến nhất; các quyền sở hữu trí tuệ liên quan đến dữ liệu được công nhận và khác biệt với các quyền theo hợp đồng được thỏa thuận giữa các đối tác dữ liệu.
+ Xem xét các chính sách và thực tiễn bảo vệ dữ liệu
Mặc dù các chính sách và thực tiễn bảo vệ dữ liệu thường chỉ sử dụng trong nội bộ của tổ chức, nhưng chúng có thể giúp tạo niềm tin với các đối tác nhờ cách thiết lập các bên liên quan có trách nhiệm với các tiêu chuẩn quản lí dữ liệu, bảo vệ dữ liệu và sử dụng dữ liệu tương tự. Các chính sách và thực tiễn bảo vệ dữ liệu cũng giúp chứng minh tính minh bạch liên quan đến việc sử dụng dữ liệu.
- Lập hợp đồng chia sẻ dữ liệu
Thỏa thuận chia sẻ dữ liệu đưa ra các điều khoản quan trọng cần được thống nhất giữa các tổ chức để chi phối quan hệ đối tác trong chia sẻ dữ liệu. Mặc dù không có định dạng quy định cho thỏa thuận chia sẻ dữ liệu, nhưng có một số điều khoản quan trọng bao gồm: Việc cấp giấy phép/quyền sử dụng dữ liệu cho mục đích đã định; các hạn chế đối với việc sử dụng dữ liệu được phép (nếu có), chẳng hạn như giới hạn về lãnh thổ hoặc thời gian, quyền độc quyền hoặc thương mại hóa; bảo đảm hoặc các bảo đảm khác được cung cấp liên quan đến quyền của nhà cung cấp dữ liệu trong dữ liệu; phân bổ trách nhiệm do vi phạm hợp đồng và các nghĩa vụ khác giữa các bên, cũng như bồi thường và các biện pháp khắc phục hậu quả khi vi phạm xảy ra; bảo mật; thời hạn/thời hạn của thỏa thuận; luật điều chỉnh và giải quyết tranh chấp. Trong bối cảnh chia sẻ dữ liệu, các tổ chức nên nhận thức được hai điều khoản là cấp giấy phép và giải quyết tranh chấp, là những điều cần cân nhắc cơ bản đối với các hoạt động chia sẻ dữ liệu.
Cấp giấy phép: Quyền sử dụng dữ liệu cho mục đích dự kiến do nhà cung cấp dữ liệu đem đến cho người tiêu dùng dữ liệu thường được cấp dưới dạng giấy phép và có thể bao gồm quyền sở hữu dữ liệu phái sinh. Theo thuật ngữ luật bản quyền, “tác phẩm phái sinh” là “tác phẩm” có bản quyền dựa trên một hoặc nhiều “tác phẩm” đã có từ trước. Một ví dụ có thể là một tập dữ liệu được tạo ra thông qua phân tích hoặc biên dịch các tập dữ liệu khác. Trong trường hợp người tiêu dùng dữ liệu có thể tạo dữ liệu phái sinh từ dữ liệu của nhà cung cấp giấy phép có thể cung cấp cho người tiêu dùng dữ liệu để có được một số phần sở hữu trong dữ liệu phái sinh.
Giải quyết tranh chấp: Tranh chấp có thể phát sinh giữa nhà cung cấp dữ liệu và người nhận dữ liệu. Các tranh chấp phổ biến giữa nhà cung cấp dữ liệu và người nhận dữ liệu liên quan đến thanh toán, vi phạm điều khoản cấp phép (ví dụ: Chia sẻ hoặc sử dụng trái phép) hoặc vi phạm các điều khoản đã thỏa thuận khác. Trong một thỏa thuận chia sẻ dữ liệu, các bên nên thống nhất đơn giản hóa thủ tục để đảm bảo rằng trong mỗi tổ chức, tranh chấp nhận được sự quan tâm đầy đủ của cấp quản lí vào thời điểm thích hợp và các bên có quy trình phản hồi đối với các vấn đề một cách nhanh chóng nhằm hạn chế thiệt hại...
4.2. Tổ chức chia sẻ dữ liệu
Để chia sẻ dữ liệu, các tổ chức cần xem xét và đưa ra các yêu cầu về kĩ thuật nhằm chia sẻ dữ liệu được đảm bảo theo yêu cầu:
- Chuẩn bị dữ liệu để chia sẻ
Tùy thuộc vào loại dữ liệu và tiện ích tiềm năng của nó, các tổ chức chuẩn bị tham gia hợp tác có thể tìm cách biên dịch, tinh chỉnh hoặc theo một cách nào đó, tối ưu hóa dữ liệu trước khi chia sẻ để đảm bảo nó có thể được sử dụng cho mục đích đã định. Khi chuyển đổi dữ liệu, trong đó có dữ liệu cá nhân liên quan, các tổ chức nên sử dụng tính năng ẩn danh theo mặc định và đảm bảo rằng việc chia sẻ dữ liệu không yêu cầu thông tin nhận dạng. Các tổ chức cũng phải đảm bảo rằng trong quá trình tải dữ liệu, dữ liệu được truyền một cách an toàn và được kiểm tra xem có bị hỏng hay không. Khi chia sẻ dữ liệu cá nhân, nhà cung cấp dữ liệu trước tiên nên xem xét việc sử dụng dữ liệu ẩn danh có thể đáp ứng các mục tiêu chia sẻ dữ liệu hay không. Ẩn danh hoặc các kĩ thuật khác có thể ngăn chặn việc phổ biến trái phép dữ liệu và giảm thiểu rủi ro như những rủi ro do các bên thứ ba độc hại tìm cách thiết kế lại dữ liệu từ các tập dữ liệu ẩn danh. Nếu có nhu cầu chia sẻ dữ liệu để nhận dạng đối tượng, thì cần tuân thủ luật chia sẻ dữ liệu cá nhân và nhà cung cấp dữ liệu nên xem xét liệu mục đích chia sẻ dữ liệu có khác với mục đích ban đầu đã nhận được sự đồng ý hay không và xem xét nhu cầu tìm kiếm sự đồng ý mới.
- Chuẩn bị kĩ thuật chia sẻ
Để đảm bảo các hoạt động chia sẻ dữ liệu, các khuyến nghị được rút ra từ các tiêu chuẩn, hướng dẫn và chứng nhận đảm bảo rủi ro đã thỏa thuận. Mức độ chấp nhận hoặc áp dụng cho các hoạt động chia sẻ dữ liệu nên được mở rộng theo yêu cầu của các tổ chức và trường hợp sử dụng chia sẻ dữ liệu quản trị: Quản trị đề cập đến các chính sách, thủ tục và quy trình hoạt động được áp dụng để hướng dẫn nhân viên thực hiện việc duy trì bảo mật đối với thông tin, dữ liệu và hệ thống. Nó bổ sung các cơ chế kĩ thuật được thực hiện trên cơ sở hạ tầng. Các thủ tục này tạo điều kiện thuận lợi cho việc giám sát và thực hiện hiệu quả nhiệm vụ để thực hiện các thay đổi hoặc duy trì các năng lực công nghệ.
Bảo mật cơ sở hạ tầng: Bảo mật cơ sở hạ tầng đề cập đến các cơ chế và kiểm soát bảo mật cần thiết đối với mạng và cơ sở vật chất để ngăn chặn các vi phạm bảo mật hoặc các cuộc tấn công làm ảnh hưởng đến khả năng kinh doanh. Ví dụ về các cuộc tấn công mạng bao gồm các cuộc tấn công xen giữa (Man-In-The-Middle) và các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Quản lí quyền truy cập: Quản lí quyền truy cập đề cập đến các biện pháp bảo mật kĩ thuật và hoạt động để đảm bảo rằng mỗi người dùng chỉ có các đặc quyền tối thiểu để truy cập vào đúng tài nguyên (dữ liệu, thông tin, hệ thống) và cần đúng thời điểm để thực hiện các chức năng của họ. Các bên không được ủy quyền sẽ không được cấp quyền truy cập.
Quản lí và sao lưu sự cố: Quản lí và sao lưu sự cố đề cập đến các quy trình hoạt động cung cấp sự đảm bảo về khả năng phục hồi, tính liên tục của hệ thống và cơ sở hạ tầng đạt được thông qua các phương tiện này: Cần lưu trữ tài liệu thích hợp về dữ liệu, thông tin và quy trình khôi phục hệ thống một cách chính xác, kịp thời và bảo mật, cũng như ủy quyền cho nhân viên thích hợp thực hiện hành động ngay lập tức để ứng phó với sự cố.
Giám sát và quản lí rủi ro: Giám sát và quản lí rủi ro đề cập đến bất kì cấu trúc nào, đánh giá liên tục, quản lí rủi ro và có cơ chế phân bổ trách nhiệm liên quan đến việc đo lường và quản lí dữ liệu, thông tin và rủi ro hệ thống. Quan trọng đối với quản lí rủi ro là việc phân loại dữ liệu dựa trên loại, giá trị, độ nhạy cảm và mức độ quan trọng đối với tổ chức - việc phân loại này sẽ xác định mức độ rủi ro liên quan và do đó có các biện pháp bảo mật thích hợp. Các loại dữ liệu khác nhau sẽ có các yêu cầu pháp lí, quy định, hợp đồng và thẩm quyền khác nhau, các yêu cầu này phải được xem xét, quản lí và kiểm tra. Đối với dữ liệu cá nhân, các công ty có thể tham khảo “Hướng dẫn Bảo mật dữ liệu cá nhân” của Singapore.
- Chế độ chia sẻ dữ liệu
Trao đổi dữ liệu có thể diễn ra trực tiếp giữa nhà cung cấp dữ liệu và người tiêu dùng dữ liệu hoặc thông qua nhà cung cấp dịch vụ dữ liệu, người có thể cung cấp nền tảng mà cả nhà cung cấp dữ liệu và người tiêu dùng dữ liệu đều có thể truy cập, nó thường liên quan đến việc di chuyển dữ liệu từ nguồn này sang nguồn khác và các tổ chức có thể cân nhắc việc bảo vệ dữ liệu bằng các biện pháp mã hóa, mật mã. Tuy nhiên, một số tổ chức gần đây đã thực hiện chia sẻ dữ liệu mà không cần chuyển quyền sở hữu (tức là dữ liệu vẫn ở nguyên vị trí ban đầu nhưng được người thụ hưởng tính toán một cách an toàn). Trong những trường hợp như vậy, bảo mật dữ liệu có thể được cung cấp bằng các biện pháp tính toán an toàn và sử dụng công nghệ sổ cái phân tán.
- Bảo mật trong chia sẻ dữ liệu
Các tổ chức cũng có thể khám phá các cách khác để bảo vệ tính toàn vẹn của dữ liệu. Có nhiều phương pháp khác nhau để bảo mật dữ liệu, mật mã hoặc các phương pháp khác. Mật mã đề cập đến một loạt các kĩ thuật được sử dụng để xáo trộn hoặc ngụy tạo dữ liệu sao cho chỉ người được ủy quyền mới có thể khôi phục dữ liệu về dạng ban đầu.
+ Trong trường hợp chia sẻ dữ liệu yêu cầu dữ liệu phải chuyển tiếp, thì mật mã thể hiện một phương pháp tiết kiệm để đảm bảo an ninh dữ liệu và cung cấp các mức độ phức tạp khác nhau.
+ Có thể sử dụng nhiều phương pháp tính toán an toàn khác nhau để cho phép giao dịch dữ liệu an toàn cao. Các kĩ thuật tính toán an toàn bao gồm mã hóa đồng hình và tính toán đa bên.
4.3. Công nghệ sử dụng chia sẻ dữ liệu
Công nghệ chia sẻ dữ liệu được sử dụng cũng là một trong các yếu tố giúp cho hệ thống chia sẻ dữ liệu an toàn. Các công nghệ ứng dụng trong chia sẻ dữ liệu an toàn hiện nay thường được dùng là:
- Giao diện lập trình ứng dụng (API)
API sử dụng các tiêu chuẩn cho phép các phần mềm tương tác và trao đổi dữ liệu trên môi trường web. Nói một cách khác, API là giao diện cho phép một ứng dụng giao tiếp với ứng dụng khác thông qua các lệnh đơn giản và cách các lệnh này được gửi và định dạng dữ liệu được truy xuất thông qua API.
API nội bộ: Trong nhiều trường hợp, API được sử dụng để tạo điều kiện tương tác giữa các ứng dụng được tổ chức trong một tổ chức. API thường được sử dụng để kết nối các tập dữ liệu và quy trình nội bộ với nhau, đồng thời xây dựng các lớp chức năng dựa trên chúng. Một trường hợp sử dụng rất phổ biến cho các API nội bộ là ứng dụng điện thoại di động. Bất kì tổ chức nào có ứng dụng chính thức lấy dữ liệu được lưu giữ từ xa sẽ sử dụng API để làm như vậy. Các ứng dụng như Gmail, Twitter, Facebook, Paypal và của nhiều ngân hàng sử dụng API để lấy dữ liệu từ máy chủ của họ và hiển thị trên điện thoại của người dùng khi họ muốn đọc email, tweet, cập nhật trạng thái hoặc kiểm tra số dư của họ. Mặc dù các ngân hàng đưa ra các ứng dụng di động của riêng họ, nhưng giờ đây họ sử dụng các API nội bộ giống hầu hết các tổ chức khác để cung cấp dịch vụ này.
API bên ngoài: Các API nội bộ chỉ là một phần của câu chuyện. Một số ứng dụng sáng tạo hơn của công nghệ này là những ứng dụng mà các tổ chức sử dụng API để cho phép phần mềm bên ngoài tương tác với các ứng dụng và dữ liệu của họ. Các API mà bên thứ ba có thể truy cập thường được gọi là công khai. API là một phương pháp hấp dẫn để một tổ chức cung cấp quyền truy cập vào các ứng dụng của nó. Hơn nữa, API chỉ cung cấp các khía cạnh mong muốn của chức năng phần mềm được hiển thị, phần còn lại của ứng dụng sẽ được bảo vệ (ví dụ: Một API có thể cho phép truy cập vào các trường dữ liệu nhất định mà không cho phép sửa đổi và không tiết lộ các trường dữ liệu liền kề khác). Về mặt này, điều quan trọng cần lưu ý là hiếm khi các API công khai thực sự mở và không bị kiểm soát - hầu hết các tổ chức sẽ tạo ra các giới hạn về những gì API sẽ truy cập và ai có thể kết nối với chúng. Việc sử dụng các API cho phép loại truy cập của bên thứ ba này đã phát triển nhanh chóng.
- Công nghệ (Open Authorization - OAuth)
OAuth là một tiêu chuẩn mở cho phép người dùng được ủy quyền truy cập các trang web hoặc ứng dụng mà không cần cung cấp mật khẩu (ITNavi, 2021). Cơ chế này được các công ty như Amazon, Google, Facebook, Microsoft và Twitter sử dụng để cho phép người dùng chia sẻ thông tin về tài khoản của họ với các ứng dụng hoặc trang web của bên thứ ba. Thực chất, OAuth cung cấp cho khách hàng “quyền truy cập được ủy quyền an toàn” vào tài nguyên máy chủ thay mặt cho chủ sở hữu tài nguyên. Nó chỉ định một quy trình để chủ sở hữu tài nguyên cho phép bên thứ ba truy cập vào tài nguyên máy chủ của họ mà không cần cung cấp thông tin xác thực. Được thiết kế đặc biệt để hoạt động với giao thức truyền siêu văn bản (HTTP), OAuth về cơ bản cho phép mã thông báo truy cập được máy chủ ủy quyền cấp cho các máy khách bên thứ ba với sự chấp thuận của chủ sở hữu tài nguyên. Sau đó, bên thứ ba sử dụng mã thông báo để các tài nguyên được bảo vệ do máy chủ tài nguyên lưu trữ. Đặc biệt, OAuth cung cấp tính năng ủy quyền cụ thể cho các ứng dụng web, ứng dụng máy tính để bàn, điện thoại di động và thiết bị thông minh.
5. Kết luận
Dữ liệu ngày càng trở nên đặc biệt quan trọng trong việc ra quyết định kinh doanh và điều hành của mọi tổ chức. Nhờ có đủ dữ liệu theo chiều rộng và chiều sâu, các tổ chức có thể tạo ra nhiều dịch vụ tiện lợi hơn, nâng cao chất lượng dịch vụ và hiệu quả kinh doanh, khẳng định được vị thế của mình trên thị trường trong nước và quốc tế... Tuy nhiên, bên cạnh lợi ích của việc mở rộng kho dữ liệu nhờ chia sẻ dữ liệu, vẫn còn gặp nhiều thách thức cần giải quyết như: Cơ sở hạ tầng, tính pháp lí, công nghệ thực hiện... Đây cũng là các vấn đề đã được trình bày và giải quyết một phần trong bài viết này. Mặc dù vậy, thời gian tới rất cần những nghiên cứu sâu hơn về kĩ thuật, nhất là hoàn thiện cơ sở pháp lí về chia sẻ dữ liệu để các tổ chức có thể nhanh chóng mở rộng các nguồn dữ liệu hỗ trợ ra quyết định trong kinh doanh, điều hành tổ chức nâng cao hiệu quả kinh tế, thúc đẩy phát triển Chính phủ điện tử và tăng tốc độ chuyển đổi số quốc gia.
Tài liệu tham khảo:
1. Anand Ghosh and Kapil Arora (2019). Six Data Architecture andIT Infrastructure Governance Mandates for Multinational Banks. Public Cognizant.
2. Ben O’Brien và các cộng sự (2018). Full Karyotype Interphase Cell Analysis. National Library of Medicine.
3. Bộ Thông tin và Truyền thông (2017). Thông tư số 13/2017/TT-BTTTT ngày 23/6/2017 của Bộ trưởng Bộ Thông tin và Truyền thông Quy định các yêu cầu kỹ thuật về kết nối các hệ thống thông tin, cơ sở dữ liệu với cơ sở dữ liệu quốc gia.
4. Bộ Thông tin và Truyền thông (2019). Đề án giải pháp kết nối, chia sẻ dữ liệu và tái cấu trúc hạ tầng công nghệ thông tin tại các bộ, ngành, địa phương.
5. Chengyu Zheng, Liqun Huang (2015). An Improved ODS Platform on Large Enterprise-level. Published in ICM.
6. Nghị định số 47/2020/NĐ-CP ngày 09/4/2020 của Chính phủ về quản lý, kết nối và chia sẻ dữ liệu số của cơ quan nhà nước.
7. Deloitte (2017). New Technologies Case Study: Data Sharing in Infrastructure A final report for the National Infrastructure Commission. Public Sector.
8. Emma Higgins Mark Taylor Paulo Lisboa Farath Arshad. (2014). Developing a data sharing framework: a case study, Transforming Government: People, Process and Policy, Vol. 8 Iss 1 pages 151-164.
9. Infocomm Media Development Authority of Singapore (IMDA) and Personal Data Protection Commission (PDPC). (2019). Trusted Data Sharing Framework Singapore. Public Infocomm Media Development Authority of Singapore (IMDA) and Personal Data Protection Commission (PDPC).
10. ITNavi (2021). Nền tảng kết nối việc làm IT. ITNavi. Truy cập tại: https://itnavi.com.vn/blog/oauth-la-gi.
11. ITU (2019). Digital Infrastructure Policy and Regulation in the Asia - Pacific Region. ITU Regional Office for Asia.
12. Lê Trung Nghĩa (2019). Hiến chương Dữ liệu mở của Đối tác dữ liệu mở châu Á. Hiệp hội các trường đại học cao đẳng Việt Nam.
13. McKinsey & Company (2017). Data sharing and Open Banking. McKinsey & Company.
14. Natasha S. Mauthner (2013). Open Access Digital Data Sharing: Principles, Policies and Practices. Newcastle University,
pages 47 - 67
15. Thông tư số 35/2018/TT-NHNN ngày 24/12/2018 của Thống đốc NHNN sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN ngày 29/12/2016 của Thống đốc NHNN quy định về an toàn bảo mật cho việc cung cấp dịch vụ trên Internet.
16. Nguyễn Công Minh (2020). Thực trạng chia sẻ dữ liệu trong hoạt động ứng dụng và hạ tầng công nghệ thông tin ở Việt Nam.
Cục chuyển đổi số Quốc gia.
17. Viện Công nghệ phần mềm và Nội dung số Việt Nam (2017). Một số vấn đề về sự cần thiết ban hành các quy định, chính sách về dữ liệu mở.
TS. Chu Thị Hồng Hải
Học viện Ngân hàng
https://tapchinganhang.gov.vn
