Dữ liệu y tế Việt Nam trong thời đại số: Quyền riêng tư của chúng ta ở đâu?

Y bác sĩ ở Đại học Y Dược TP.HCM đang hội chẩn dựa trên bệnh án điện tử. Ảnh: Hoàng Hưng/báo Sài Gòn giải phóng.

Khi thông tin bị "thả trôi"

Hãy thử tưởng tượng điều gì sẽ xảy ra nếu những thông tin này bị công khai ngoài ý muốn, ta sẽ không chỉ khó chịu khi nhận được những quảng cáo thuốc và các thiết bị y tế “từ trên trời rơi xuống” mà còn bao chuyện khó xử trong các mối quan hệ xã hội, rồi ngân hàng từ chối cho ta vay, bảo hiểm nhân thọ từ chối cho ta mua vì ta bị mắc bệnh hiểm nghèo…

Xét một cách công bằng, không phải chưa có quy định nào về quyền của chúng ta với tất cả các dữ liệu sức khỏe của mình. Luật khám chữa bệnh ra đời năm 2009 đã bảo vệ bệnh án của người dân hết sức chặt chẽ. Thông tin bệnh án được xếp vào “bí mật nhà nước” và bệnh viện chỉ được phép công bố hoặc chia sẻ cho bên thứ ba chỉ khi có sự đồng ý của người bệnh. Người bệnh cũng có quyền tiếp cận với thông tin bệnh án. Nhưng dữ liệu sức khỏe của một người đâu chỉ nằm trong bệnh án? Ngoài bệnh án, hiện nay các cơ quan y tế, cơ sở khám chữa bệnh còn có các cơ sở dữ liệu riêng khác về tiêm chủng, về thai sản, về nhân khẩu để phục vụ công tác kế hoạch hóa gia đình, về những người bị nhiễm HIV/AIDS, về những người mắc bệnh truyền nhiễm,..Hơn nữa, đâu phải dữ liệu sức khỏe của một người chỉ nằm ở Bộ Y tế? Dữ liệu về bảo hiểm là do cơ quan Bảo hiểm Xã hội Việt Nam phụ trách. Bộ Lao động Thương binh Xã hội còn quản lý những dữ liệu về người khuyết tật. Không loại trừ những thông tin dân cư do Bộ Công an quản lý cũng chứa những dữ liệu về tình trạng sức khỏe của người dân. Cũng trong buổi hội thảo, ông Trần Quốc Anh, Giám đốc Trung tâm Giải pháp Y tế điện tử VNPT cho biết, VNPT trong tháng 12/2020 sẽ hoàn thành dự án về cơ sở dữ liệu dân cư theo đặt hàng của Bộ Công an. Theo đó, mỗi công dân có mã định danh “từ khi chưa sinh ra, từ lúc người mẹ đang mang bầu” và thông tin về công dân sẽ được cập nhật và “theo suốt quá trình vòng đời của một con người”. Dự kiến thông tin dân cư này sẽ mở để các doanh nghiệp vào khai thác, tuy nhiên ông Quốc Anh cũng chưa tiết lộ các thông tin này được xử lý ẩn danh ra sao hoặc doanh nghiệp được tiếp cận ở mức độ nào. Những thông tin sức khỏe ngoài bệnh án của chúng ta dường như đang bị “thả trôi” bởi pháp luật.

Trong quá trình số hóa, việc thu thập, xử lý, lưu trữ và quản lý dữ liệu không còn là chuyện giữa người dân và các cơ quan, cơ sở y tế mà giờ xuất hiện cả các công ty công nghệ. Các công ty này trong quá trình tham gia thiết kế các giải pháp phần mềm quản trị, nhập liệu cho các bệnh viện sẽ tiếp cận thông tin y tế ở mức độ nhất định. Thậm chí có công ty còn tham gia nhập liệu, chuyển các thông tin từ hồ sơ trên giấy sang dạng điện tử. Ông Nguyễn Đức Ninh, Giám đốc Công ty Cổ phần Giải pháp công nghệ NIDI, đã có 15 kinh nghiệm trong việc cung cấp giải pháp quản trị bệnh viện, quản lý y tế xã phường chia sẻ trong hội thảo rằng có sở y tế gửi dữ liệu của một triệu hộ dân trong tỉnh cho công ty để nhập vào hệ thống mà không hỏi ý kiến hay thông báo gì tới người dân. Ngoài ra, các công ty công nghệ cũng lưu trữ dữ liệu y tế người dân trong máy chủ của mình. Ví dụ, theo ông Nguyễn Dương Anh, Giám đốc Trung tâm Dịch vụ Đô thị thông minh của tỉnh Thừa Thiên Huế, dữ liệu y tế của tỉnh này được lưu trên máy chủ của Viettel. Mặc dù tỉnh Thừa Thiên Huế đã ràng buộc Viettel bằng hợp đồng, yêu cầu công ty này chỉ được tra cứu hoặc khai thác dữ liệu khi có sự đồng ý của tỉnh nhưng không có quy định nào xử phạt vi phạm như vậy.

Kể cả có vi phạm, cũng không dễ để phát hiện vì hầu hết các tỉnh không có cán bộ chuyên trách giám sát các công ty công nghệ trong việc thu thập, xử lý và quản lý dữ liệu y tế. Ông Đức Ninh than thở rằng, ở cấp xã phường, người phụ trách công nghệ thông tin chính là bác sĩ và y tá và ông vẫn không hiểu nổi tại sao các Sở Y tế, cơ quan đứng đầu về y tế của tỉnh đến giờ vẫn không có phòng công nghệ thông tin. Tất cả các dự án liên quan đến số hóa các cơ sở y tế đều do các công ty chịu trách nhiệm từ A-Z. Vậy thì làm sao để kiểm chứng được các dữ liệu chứa sai sót, có “rơi rớt” trong quá trình số hóa hay không? Với thực trạng như vậy, kể cả bệnh án điện tử, khu vực thông tin duy nhất được bảo vệ bởi luật, cũng không phải là thành trì riêng tư “bất khả xâm phạm”. Đặc biệt là đối với dữ liệu bệnh án điện tử ngoại trú vốn phải chia sẻ cho nhiều đơn vị, theo ông Nguyễn Thế Vinh, Phó phòng Công nghệ thông tin, Bệnh viện Nhi Trung ương, bảo mật đến đâu là “tùy vào cơ sở chữa bệnh và doanh nghiệp vận dụng”.

Tìm điểm cân bằng

Không có một quyền riêng tư tuyệt đối với dữ liệu y tế của người dân trong thời kì dữ liệu quý như dầu mỏ. Nhất là khi, chưa tính đến các dữ liệu y tế lưu trong các cơ quan nhà nước, thì các chỉ số về nhịp tim, nhịp thở, giấc ngủ, bước chạy mỗi ngày của mỗi người đã bị đủ loại ứng dụng và các thiết bị thông minh của các công ty nước ngoài khai thác. Nhất là khi, kể cả dữ liệu y tế trong các cơ quan nhà nước cũng cần phải xử lý và chia sẻ cho các doanh nghiệp, các nhà nghiên cứu khai thác, để gánh vác bài toán chăm sóc sức khỏe cho 100 triệu dân đang già hóa ở Việt Nam khi hệ thống y tế công cộng đang quá tải.

Trong buổi hội thảo, theo bà Angela Ballantyne, phó giáo sư nghiên cứu về đạo đức y sinh (Bioethics) tại Đại học Otago, New Zeland, dữ liệu y tế là riêng tư nhưng cá nhân không phải là chủ thể duy nhất tạo ra dữ liệu y tế mà còn có nhiều trí tuệ của các y bác sĩ; dữ liệu y tế cá nhân còn phản ánh cả về bệnh dịch, về hiệu quả của các phương thức chữa trị, về sức khỏe của một cộng đồng. Chính vì vậy, khai thác dữ liệu y tế là việc cần thiết nhưng nó là sự trao đổi giữa riêng tư cá nhân và lợi ích kinh tế của một đất nước.   

Một trong những kiến nghị mà Viện Nghiên cứu Chính sách và Phát triển truyền thông (IPS) đề xuất là nhà nước cần gấp rút ban hành luật về bảo vệ dữ liệu, thông tin cá nhân và quyền riêng tư trong thời đại số. Trong đó xác định rõ phạm vi quyền và nghĩa vụ của các bên liên quan trong việc thu thập, xử lý, phân tích và sử dụng dữ liệu. Khuôn khổ pháp luật này chính là sự lựa chọn của nhà nước để cân bằng giữa quyền riêng tư của người dân và lợi ích kinh tế.

Viện IPS cũng cho rằng, khi xây dựng luật này, “nhất thiết” không chỉ cần sự tham gia của tất cả các bên liên quan (bao gồm người dân, công ty công nghệ, các cơ quan nhà nước thu thập thông tin) mà còn cần sự góp mặt của “các chuyên gia luật nhân quyền, các nhà nghiên cứu chính sách, sự giám sát của các tổ chức xã hội dân sự”. Viện này cũng nhấn mạnh: “nhất thiết phải có kênh giám sát, khiếu nại, tố cáo để các quyền của chủ thể dữ liệu có thể được bảo đảm”. □

------

1 https://vnhacker.blogspot.com/2020/04/lo-hong-nghiem-trong-trong-phan-mem.html