Thách thức 1: Quyền riêng tư và sự tin cậy
Hệ thống ID kỹ thuật số lưu giữ các tập dữ liệu cá nhân có thể được coi là nhạy cảm hoặc các cá nhân có thể không dễ dàng tiết lộ cho người khác. Ngoài ra, các quy trình xác thực được kết hợp với việc sử dụng hệ thống ID kỹ thuật số có thể dẫn đến việc tạo nhật ký xác thực, siêu dữ liệu của chúng có thể được sử dụng để lập hồ sơ và giám sát (Access Now, 2018).
Nguy cơ này càng gia tăng do sự kết hợp của cơ sở dữ liệu sinh trắc học và công nghệ nhận dạng khuôn mặt, tạo điều kiện thuận lợi cho việc giám sát bởi các nhà nước độc tài (Solomon, 2018). Các tiêu chuẩn về chia sẻ dữ liệu giữa các cơ quan công quyền và cơ quan thực thi pháp luật có thể tạo ra mối quan tâm bổ sung, đặc biệt là khi các khái niệm mơ hồ và không rõ ràng về an ninh quốc gia được triển khai.
Những lo ngại này làm suy yếu lòng tin của công chúng đối với các hệ thống ID kỹ thuật số. Lịch sử quốc gia và văn hóa chính trị khác nhau và có thể dẫn đến các định hướng rất khác nhau của công chúng đối với chính phủ liên quan đến dữ liệu cá nhân. Ở nhiều quốc gia, người dân tin rằng chính phủ có quyền để truy cập và sử dụng dữ liệu mà họ sở hữu, như để thực thi pháp luật. Đồng thời, ở nhiều quốc gia khác, việc truy cập này được kiểm soát rất chặt chẽ và có thể là điều cấm kỵ. Trong bối cảnh người dân lo ngại việc chính phủ sử dụng sai dữ liệu, việc yêu cầu người dân cung cấp thêm thông tin cá nhân cho chính phủ có thể gặp phải sự phản kháng, và khi đó việc tiếp nhận và triển khai hệ thống ID kỹ thuật số sẽ gặp rất nhiều khó khăn. Do đó, các khung bảo mật dữ liệu mạnh mẽ sẽ là một thành phần cần thiết trong một số trường hợp để xây dựng lòng tin về ID kỹ thuật số.
Những thách thức pháp lý của Aadhaar
Kể từ khi bắt đầu hoạt động vào năm 2009, Aadhaar đã bị Tòa án Tối cao Ấn Độ giám sát pháp lý nhiều lần. Vào tháng 9 năm 2013, Tòa án Tối cao đã ban hành một lệnh tạm thời tuyên bố rằng không ai phải chịu tổn hại vì không đăng ký với Aadhaar và chính phủ không thể từ chối cung cấp dịch vụ cho những công dân không đăng ký. Phán quyết của Tòa án Tối cao đã khiến phạm vi của Aadhaar bị giới hạn và nhấn mạnh tính chất tự nguyện của nó. Vào năm 2017, Tòa án đã phán quyết bổ sung liên quan đến Aadhaar rằng công dân có quyền cơ bản về quyền riêng tư.
Mặc dù đặt ra những hạn chế trên hệ thống, Tòa án tối cao vẫn giữ nguyên hiệu lực của Aadhaar vào năm 2018 và khẳng định rằng hệ thống này có thể tiếp tục được nhà nước sử dụng, nhưng hạn chế việc sử dụng xác thực sinh trắc học ở các công ty tư nhân. Tòa án đã công nhận rằng “Đạo luật Aadhaar là một đạo luật có lợi nhằm trao quyền cho hàng triệu người.” Tuy nhiên, phán quyết cũng tuyên bố rằng “bảo vệ dữ liệu và an toàn dữ liệu” phải được “đảm bảo để tránh ngay cả khả năng làm giả dữ liệu hoặc rò rỉ dữ liệu”. Theo các chuyên gia trong ngành tham gia phát triển Aadhaar, việc hạn chế sử dụng xác thực sinh trắc học ở các công ty tư nhân đã làm giảm tiềm năng đầy đủ của hệ thống Aadhaar.
Thách thức 2: Bảo mật và sự lạm dụng
Thiết kế kém của hệ thống ID kỹ thuật số có thể khiến dữ liệu cá nhân gặp rủi ro và tạo điều kiện cho sự phát triển của các cuộc tấn công mạng. Một khung nền tảng (framework) hiệu quả cho một hệ thống ID kỹ thuật số phải được hỗ trợ đồng thời bởi cả kiến trúc kỹ thuật và khung bảo mật mạnh mẽ để bảo vệ dữ liệu, vì các cơ sở dữ liệu chứa một lượng lớn thông tin cá nhân, bao gồm cả sinh trắc học, là mục tiêu hấp dẫn đối với tội phạm. Một thách thức bổ sung nằm ở việc giao tiếp an toàn dữ liệu trong quá trình xác thực, đặc biệt là khi các hệ thống như vậy được sử dụng cho các giao dịch tài chính.
Điều này cũng đúng với quyền riêng tư, việc đảm bảo sự tin tưởng vào tính bảo mật của hệ thống ID kỹ thuật số là một thách thức mà nhiều quốc gia phải đối mặt, kể cả các quốc gia phát triển. Vào tháng 10 năm 2017, một lỗ hổng bảo mật đã được xác định trong các khóa mật mã được liên kết với khoảng 750.000 thẻ eID của Estonia, có khả năng cho phép các khóa riêng của người dân được suy ra từ các khóa công khai. Lỗ hổng này khiến eID dễ bị đánh cắp danh tính, ngay sau đó thủ tướng của Estonia đã nhanh chóng thông báo rằng tất cả các thẻ bị ảnh hưởng sẽ bị vô hiệu hóa cho đến khi vấn đề được giải quyết (e-Estonia, 2018).
Các lỗi thiết kế tương tự cũng có thể mở ra các lỗ hổng có thể bị lợi dụng để gian lận và sử dụng sai mục đích. Ví dụ: myGovID của Úc, một ứng dụng ra mắt vào năm 2019 nhằm cho phép người dùng thiết lập danh tính của họ với các dịch vụ của Chính phủ Úc. Các phản ánh ban đầu của khách hàng nhanh chóng thu hút sự chú ý do các biện pháp bảo mật kém, chẳng hạn một người có ý định gian lận dễ dàng có thể đăng ký tài khoản bằng cách sử dụng thông tin sẵn có và phổ biến. Mặc dù hệ thống đã được tăng cường, các nhà nghiên cứu bảo mật đã chỉ ra những sai sót trong quá trình đăng nhập đã cho phép truy cập bất hợp pháp vào các tài khoản cá nhân (Saarinen, 2020). Việc đại tu các dịch vụ kỹ thuật số của hệ sinh thái MyGov sau đó đã tiêu tốn 200 triệu USD, và để danh tính kỹ thuật số có thể mở rộng phù hợp với hồ sơ sức khỏe kỹ thuật số, khoản đầu tư thêm khoảng 300 triệu USD cũng sẽ được đầu tư (Crowe, 2021).
Thách thức 3: Sự hòa nhập
Như đã lập luận trước đây, hệ thống ID kỹ thuật số có thể cho phép truy cập dễ dàng hơn vào tất cả các dịch vụ yêu cầu bằng chứng nhận dạng và thúc đẩy sự hòa nhập. Tuy nhiên, những người không có khả năng tiếp cận công nghệ, đặc biệt là Internet, hoặc không có khả năng vật lý hoặc kỹ năng sử dụng, có thể bị bỏ lại bên ngoài hệ thống.
Hệ thống ID kỹ thuật số thường dựa trên sinh trắc học. Mặc dù đây là một công cụ tiềm năng mạnh mẽ để nhanh chóng và dễ dàng mở rộng quyền truy cập tới nhiều người mà không cần thẻ hoặc thiết bị đặc biệt, nhưng nếu được thực thi kém, nó có thể dẫn đến tác dụng ngược và trong một số trường hợp, là rào cản cho một số nhóm người dân nhất định. Không phải lúc nào cũng có thể thu thập hoặc kiểm tra các dấu hiệu nhận dạng sinh trắc học như dấu vân tay đối với người lớn tuổi, người khuyết tật hoặc những người làm công việc chân tay đặc biệt. Thực hiện quét mống mắt có thể gần như không thể đối với những người có cử động không tự nguyện (Privacy International, 2021). Ví dụ, ở Ấn Độ, có đòi hỏi các trung tâm ghi danh Aadhaar làm sao để người già và người tàn tật có thể tiếp cận được (Krishna 2018). Bằng chứng chỉ ra rằng, trong một số trường hợp, sinh trắc học bắt buộc đã dẫn đến việc loại trừ một số người khỏi các chương trình phân phối thực phẩm công cộng (Muralidharan, Niehaus và Sukhtankar, 2020). Do đó, trong khi triển khai chương trình ID kỹ thuật số, điều quan trọng không kém là kích hoạt các cơ chế cho phép đăng ký các trường hợp ngoại lệ. Ví dụ, Aadhaar có các điều khoản ngoại lệ về sinh trắc học trong phần mềm của mình để cho phép đăng ký những cư dân có sinh trắc học kém hoặc không có sinh trắc học. Tương tự như vậy, khi một hệ thống ID kỹ thuật số đang được giới thiệu để cung cấp dịch vụ công, người ta nên tập trung vào việc tái thiết kế quy trình tổng thể và phải đảm bảo các cơ chế để mở rộng cung cấp dịch vụ cho những người có thể không có ID kỹ thuật số hoặc không thể xác minh danh tính của họ bằng kỹ thuật số.
Hệ thống ID kỹ thuật số cũng có thể loại trừ những người có ít kỹ năng sử dụng công nghệ. Khi các dịch vụ công và dịch vụ tư nhân tiến tới quá trình chuyển đổi số, các nhóm dân số khó tiếp cận với các kênh kỹ thuật số có thể vô tình bị bỏ lại phía sau. Nếu điều này không được giải quyết, nó có thể có những tác động nghiêm trọng đến việc hòa nhập của người cao tuổi, và nó cũng đặc biệt gây tổn hại cho bình đẳng giới. Theo UNESCO và Liên minh EQUALS, phụ nữ và trẻ em gái có khả năng tận dụng công nghệ kỹ thuật số cho các mục đích cơ bản thấp hơn 25% so với nam giới (Liên minh Kỹ năng của UNESCO và EQUALS, 2019).
Những thách thức về ID kỹ thuật số ở Uganda
Hệ thống ID kỹ thuật số của Uganda đã phải đối mặt với những thách thức ngay trong giai đoạn đăng ký sinh trắc học ban đầu. Người khuyết tật đã bị “quay lưng” bởi các trung tâm đăng ký, vì không có bất kỳ lựa chọn thay thế nào ngoài dấu vân tay. Mức độ nghiêm trọng của vấn đề đã tiếp tục tăng lên khi rất nhiều người không thể tiếp cận do khoảng cách xa giữa các trung tâm đăng ký và nơi có nhiều người sinh sống, cũng như thiếu các mẫu đơn đăng ký bằng ngôn ngữ địa phương (Iyer, 2021).
Một hệ thống không hòa nhập dẫn đến loại trừ trực tiếp khi cung cấp dịch vụ cho các nhóm vốn đã bị gạt ra ngoài lề của xã hội. Ban đầu, Bộ Y tế Uganda tuyên bố rằng việc tiêm chủng COVID-19 sẽ phải có danh tính đã đăng ký, yêu cầu này sau đó đã bị rút lại. Một ví dụ khác là những người lớn tuổi, những người đã bị loại khỏi các khoản thanh toán phúc lợi do không biết ngày sinh của mình hoặc không thể chứng minh khi đăng ký ID kỹ thuật số.