Hàng ngày, một cá nhân thực hiện hàng chục giao dịch trực tuyến: từ đăng nhập mạng xã hội, mở tài khoản ngân hàng đến ký hợp đồng điện tử. Tuy nhiên, đi cùng sự tiện lợi là một rủi ro hiện hữu: dữ liệu cá nhân thuộc về người dùng, nhưng quyền kiểm soát lại nằm trong tay các hệ thống lưu trữ tập trung.
Trong mô hình dịch vụ số phổ biến hiện nay, danh tính người dùng được quản lý dưới dạng "tài khoản" trên từng nền tảng riêng biệt. Người dùng thường chỉ có hai lựa chọn: hoặc là "đồng ý" cung cấp toàn bộ thông tin để sử dụng dịch vụ, hoặc là bị từ chối truy cập.
Một khi đã cấp quyền, người dân rất khó để biết dữ liệu của mình đang được xử lý ra sao, chia sẻ cho bên thứ ba nào hay lưu trữ trong bao lâu. Đặc biệt, khả năng thu hồi quyền truy cập sau khi đã cung cấp gần như là không thể. Hệ quả là dữ liệu cá nhân bị sao chép, lưu trữ phân tán ở nhiều nơi, biến người dùng thành mục tiêu của các vụ rò rỉ và lạm dụng thông tin.
Trước thực trạng này, các quốc gia tiên tiến như Singapore hay Liên minh Châu Âu (EU) đã chuyển hướng sang mô hình định danh số, lấy công dân làm trung tâm. Tại Việt Nam, giải pháp NDAKey được phát triển dựa trên triết lý Định danh tự chủ (Self-Sovereign Identity - SSI) để giải quyết tận gốc bài toán này.
Chứng minh thông tin thay vì nộp dữ liệu
Thay đổi lớn nhất mà NDAKey mang lại là sự chuyển dịch từ tư duy "thu thập và lưu trữ dữ liệu" sang "kiểm chứng thông tin khi cần thiết".
Trong các giao dịch truyền thống, người dùng thường phải gửi ảnh chụp căn cước công dân hoặc hồ sơ đầy đủ - hành động tiềm ẩn rủi ro bị sao chép trái phép. Với NDAKey, thông tin được lưu giữ trực tiếp trên thiết bị cá nhân dưới dạng Chứng chỉ số (Verifiable Credentials - VC). Khi có yêu cầu xác minh, người dùng không cần nộp lại toàn bộ giấy tờ mà chỉ trình xuất Bằng chứng số (VP) phù hợp với đúng ngữ cảnh đó.
Mô hình vận hành của NDAKey gồm ba bên: Issuer (bên cấp phát) là cơ quan, tổ chức có thẩm quyền phát hành VC, chịu trách nhiệm về độ tin cậy của thông tin đầu vào; Holder (người dùng) – công dân lưu giữ VC trong ví danh tính và toàn quyền quyết định chia sẻ; Verifier (bên sử dụng) là ngân hàng, tổ chức bảo hiểm, y tế… chỉ kiểm chứng VP, không thu thập hau lưu trữ dữ liệu gốc.
Ông Nguyễn Phú Dũng, Tổng Giám đốc Công ty cổ phần tập đoàn PILA, nhận định: "Mô hình này trao lại quyền kiểm soát dữ liệu cho chính công dân. Người dân quyết định dữ liệu nào được chia sẻ, chia sẻ với ai và trong hoàn cảnh nào. Đây cũng là tinh thần của Luật Bảo vệ dữ liệu cá nhân 2025, nơi mọi hoạt động xử lý dữ liệu phải dựa trên sự đồng ý rõ ràng và minh bạch".
Chấm dứt việc lộ dữ liệu gốc
Điểm then chốt để bảo vệ quyền riêng tư của giải pháp này là cơ chế chia sẻ dữ liệu chọn lọc (Selective Disclosure) kết hợp cùng kỹ thuật Zero-Knowledge Proof (ZKP).
Công nghệ này cho phép người dùng chứng minh một thuộc tính (như đủ điều kiện độ tuổi, có bằng cấp phù hợp...) mà không phải công khai toàn bộ dữ liệu cá nhân gốc. Toàn bộ thông tin được mã hóa đầu cuối và lưu trữ trực tiếp ngay trên thiết bị cá nhân thay vì hệ thống tập trung, qua đó bảo đảm quyền riêng tư và giảm thiểu nguy cơ bị sao chép hoặc khai thác thông tin trái phép.
Đối với các tổ chức như ngân hàng, bảo hiểm hay cơ quan hành chính, việc ứng dụng mô hình này giúp rút gọn quy trình xử lý giấy tờ, giảm sự phụ thuộc vào các kho dữ liệu tập trung. Khi không phải lưu trữ dữ liệu gốc của người dùng, các đơn vị này cũng giảm bớt chi phí vận hành và rủi ro pháp lý nếu xảy ra sự cố an ninh mạng.
Về mặt hạ tầng, giải pháp này tuân thủ các chuẩn quốc tế (W3C DID, ZKP) và vận hành trên nền tảng blockchain NDAChain để đảm bảo tính minh bạch. Hệ thống chỉ ghi nhận các tổ chức cấp phát và xác minh hợp lệ, tuyệt đối không lưu trữ dữ liệu riêng tư của công dân trên mạng lưới.
Với lộ trình triển khai toàn quốc từ năm 2026, NDAKey được kỳ vọng trở thành hạ tầng định danh số tin cậy. Khi định danh tự chủ được phổ cập, mỗi công dân có thể chủ động quản lý danh tính số của mình, mỗi tổ chức giảm thiểu rủi ro dữ liệu, hướng tới mục tiêu bảo vệ thông tin cho hơn 100 triệu dân một cách bền vững.
