Hồ sơ học tập suốt đời trên VNeID: Ai chịu trách nhiệm khi dữ liệu bị lộ?

Điều đáng bàn hơn nằm ở bản chất pháp lý của hồ sơ vừa được tạo ra khi phụ huynh lo ngại rằng ai chịu trách nhiệm khi dữ liệu trong đó bị lộ.

Hồ sơ tích hợp tự động và lưu trữ vĩnh viễn

Hồ sơ học tập suốt đời, theo điều 8 NĐ 88 gồm thông tin học bạ ghi nhận toàn bộ quá trình học tập, kết quả học tập và rèn luyện của người học, cùng thông tin về văn bằng, chứng chỉ. Tuyệt đại đa số dữ liệu này được tạo lập trong những năm chủ thể còn là trẻ em. Đây trước hết là một hệ thống dữ liệu trẻ em, chỉ là nó sẽ đi theo người đó đến hết cuộc đời. Nghị định xác định thời hạn lưu trữ hồ sơ này là vĩnh viễn và theo điểm b khoản 3 điều 12 thì dữ liệu sau khi được lưu trữ hợp lệ sẽ được chia sẻ, tích hợp tự động lên ứng dụng định danh quốc gia VNeID.

ẢNH: ĐÀO NGỌC THẠCH

Tự động nghĩa là không có một thời điểm nào dừng lại để hỏi ý kiến của phụ huynh. Vĩnh viễn nghĩa là không có điểm kết thúc, không có cơ chế để dữ liệu cũ tự rời khỏi hệ thống. NĐ 88 không phải không nhắc đến bảo vệ dữ liệu. Điều 4 yêu cầu mọi hoạt động xử lý dữ liệu giáo dục tuân theo pháp luật về bảo vệ dữ liệu cá nhân, an ninh mạng, giao dịch điện tử, đồng thời giới hạn việc thu thập, xử lý dữ liệu người học chỉ trong phạm vi chức năng, nhiệm vụ được giao. Nhưng đó là những quy định dẫn chiếu. Chúng chỉ về một đạo luật khác chứ chưa tự mình dựng lên cơ chế bảo vệ cụ thể cho chính dòng dữ liệu mà nghị định này khai sinh.

Khoảng trống từ điểm khởi đầu của dữ liệu

Khoảng trống đầu tiên nằm ở mắt xích yếu nhất của chuỗi dữ liệu. An ninh mạng cho cơ sở dữ liệu quốc gia về GD-ĐT được giao cho Bộ Công an thẩm định, giám sát, đặt trên hạ tầng Trung tâm dữ liệu quốc gia. Đó là đầu cuối được canh giữ tốt nhất. Nhưng dữ liệu của một đứa trẻ không sinh ra ở đó. Nó sinh ra ở phòng giáo vụ của một trường tiểu học, trên phần mềm quản lý do một doanh nghiệp (DN) cung cấp. Điều 22 NĐ 88 cho phép cơ sở giáo dục được quyền lựa chọn sử dụng hệ thống dùng riêng do các DN cung cấp. Như vậy điểm khởi đầu của dữ liệu, nơi học bạ một học sinh lần đầu được số hóa, lại nằm trong tay khu vực tư nhân, ở cấp trường - nơi gần như không có đủ năng lực công nghệ thông tin và pháp lý để tự giám sát nhà cung cấp.

Đây mới là vấn đề pháp lý cốt lõi. Theo luật Bảo vệ dữ liệu cá nhân 2025, quan hệ giữa nhà trường và DN phần mềm là quan hệ giữa bên kiểm soát dữ liệu và bên xử lý dữ liệu. Trên lý thuyết, nhà trường là bên chịu trách nhiệm, nhưng trên thực tế DN mới là bên nắm hạ tầng, nắm máy chủ, nắm cả đội ngũ kỹ thuật trực tiếp tiếp xúc dữ liệu. Một hiệu trưởng trường tiểu học gần như không thể kiểm tra được máy chủ của nhà cung cấp đặt ở đâu, ai có quyền truy cập, dữ liệu có bị dùng cho mục đích khác hay không.

NĐ 88 trao cho Bộ GD-ĐT quyền quy định tiêu chuẩn kỹ thuật, an toàn, bảo mật cho các hệ thống dùng riêng, nhưng bản thân nghị định chưa đặt ra 3 thứ tối thiểu mà một cơ chế bảo vệ trẻ em cần có, gồm hợp đồng xử lý dữ liệu phân định rõ trách nhiệm bồi thường về phía DN, nghĩa vụ thông báo sự cố trong một thời hạn cố định và lệnh cấm dùng dữ liệu học sinh cho bất kỳ mục đích thứ cấp nào như phân tích thương mại, quảng cáo hay huấn luyện trí tuệ nhân tạo.

Cơ chế đồng ý và nguy cơ dữ liệu bị buộc phải chia sẻ

Khoảng trống thứ hai là cơ chế đồng ý. Điều 24 luật Bảo vệ dữ liệu cá nhân 2025 quy định với trẻ em thì người đại diện theo pháp luật thay mặt thực hiện quyền của chủ thể dữ liệu. Nhưng khi NĐ 88 cho dữ liệu tích hợp tự động, không hề có một thời điểm nào phụ huynh được hỏi. Việc tạo lập học bạ là chức năng của nhà trường nên về kỹ thuật pháp lý, nó không cần sự đồng ý riêng. Hệ quả là phụ huynh có quyền được biết nhưng không có một điểm dừng để phản đối. Quyền được biết mà thiếu điểm dừng để nói không thì trên thực tế chỉ còn là một lời thông báo.

Khoảng trống thứ ba là nguy cơ dữ liệu bị buộc phải chia sẻ. Một khi hồ sơ học tập có giá trị pháp lý tương đương bản giấy và nằm sẵn trên một ứng dụng mà theo công bố của Bộ Công an hồi tháng 1.2026 đã có hơn 67 triệu tài khoản kích hoạt, thì sẽ có lúc nhà tuyển dụng, ngân hàng hay một bên thứ ba yêu cầu cá nhân trình toàn bộ hồ sơ ấy. Khoản 4 điều 12 cho phép khai thác dữ liệu hồ sơ học tập qua các ứng dụng khác. Cái được giới thiệu là tiện ích của công dân hoàn toàn có thể trở thành một nghĩa vụ trên thực tế. Khi đó, lịch sử học tập trọn vẹn của một người, gồm cả những lần thi lại, những năm gián đoạn, cả ngôi trường từng theo học vốn có thể phản ánh hoàn cảnh gia đình, đều bị phơi ra trong một quan hệ mà bên yếu thế không thật sự có quyền từ chối.

Ảnh: Độc Lập

Những việc Bộ GD-ĐT cần thực hiện

Trước mốc 1.1.2027 là thời hạn Bộ GD-ĐT phải hoàn thành cấp mã số hồ sơ học tập suốt đời cho toàn bộ người học, vì vậy có vài việc cần thực hiện.

Trước hết, Bộ GD-ĐT cần ban hành bộ tiêu chuẩn kỹ thuật kèm theo một mẫu hợp đồng xử lý dữ liệu mang tính bắt buộc, trong đó DN cung cấp phần mềm phải gánh trách nhiệm bồi thường khi để xảy ra sự cố, phải thông báo sự cố trong thời hạn luật định, và bị cấm dùng dữ liệu sai mục đích. Tiếp đó, DN muốn cung cấp hệ thống cho trường học phải được một cơ quan độc lập đánh giá và chứng nhận đủ điều kiện, chứ không thể chỉ tự công bố là mình tuân thủ.

Cùng với đó, cần một cơ chế để phụ huynh không chỉ được biết mà còn nhìn thấy được nhật ký ai đã truy cập hồ sơ của con mình. Và cũng cần phân biệt thời hạn lưu trữ. Văn bằng, chứng chỉ lưu vĩnh viễn là hợp lý vì đó là thứ một con người cần chứng minh suốt đời, nhưng điểm số chi tiết và kết quả rèn luyện ở các cấp học thấp nên được giới hạn thời hạn hoặc hạn chế quyền tiếp cận.

Chính phủ số trong giáo dục là hướng đi đúng và không nên vì rủi ro mà chùn lại. Hồ sơ học tập suốt đời không phải một trường hợp đơn lẻ. Nó là khuôn mẫu. Sổ sức khỏe điện tử cũng đã được tích hợp trên VNeID và sẽ còn nhiều loại dữ liệu công dân khác đi theo con đường ấy. Cách ngành giáo dục xử lý bài toán trách nhiệm lần này sẽ trở thành tiền lệ cho mọi cơ sở dữ liệu công dân về sau.