Tiến sĩ người Việt bảo vệ quyền riêng tư cho ứng dụng y tế

Tiến sĩ Nguyễn Ngọc Phiên (33 tuổi), tốt nghiệp tiến sĩ khoa học máy tính từ ĐH học Kỹ thuật Ostrava, Cộng hòa Séc, đang là Giám đốc Trung tâm tin học, kiêm nhiệm Giám đốc Trung tâm đào tạo phát triển xã hội tại Trường ĐH Tôn Đức Thắng. Công trình nghiên cứu về bảo vệ quyền riêng tư cho ứng dụng y tế và sức khỏe được công bố của nhóm tiến sĩ Phiên (CI2P-MedHFDroid) đăng trên International Journal of Information Security vào tháng 7.2025, một trong những tạp chí hàng đầu thế giới về an ninh thông tin do Springer Nature xuất bản, được xếp hạng Q2 trên SCOPUS và SCIE (Web of Science).

Mới đây công trình trên được T.Ư Đoàn vinh danh bằng giải thưởng Tuổi trẻ sáng tạo toàn quốc 2025 tại sự kiện Ngày hội thanh niên Việt Nam diễn ra trong ngày 6 và 7.12.

ẢNH: NVCC

Nghiên cứu của nhóm tiến sĩ: Nhiều ứng dụng y tế, sức khỏe rò rỉ dữ liệu nghiêm trọng

Tiến sĩ Phiên cho biết việc ứng dụng y tế và sức khỏe đang trở thành một phần không thể thiếu trong cuộc sống của hàng triệu người, đặc biệt sau đại dịch Covid-19. Tại Việt Nam, ước tính có từ 28 đến 35 triệu người đang sử dụng các ứng dụng theo dõi sức khỏe, đếm bước chân, nhắc uống thuốc, hay theo dõi các chỉ số y tế như đường huyết, huyết áp, nhịp tim… Tuy nhiên đằng sau sự tiện lợi này là một vấn đề lớn về quyền riêng tư. Nghiên cứu của nhóm tiến sĩ Phiên cho thấy, sau khi phân tích 3.402 ứng dụng y tế phổ biến nhất, phát hiện có tới 79% đang chia sẻ dữ liệu nhạy cảm của người dùng với bên thứ ba mà không thông báo rõ ràng trong chính sách quyền riêng tư. Nhiều dữ liệu cá nhân có thể bị khai thác cho mục đích thương mại hoặc thậm chí bị lạm dụng.

Vấn đề trở nên nghiêm trọng hơn, cũng theo nghiên cứu của nhóm, khi chỉ có 23% người dùng Việt Nam thực sự đọc chính sách quyền riêng tư trước khi cài đặt ứng dụng. Lý do thường là chính sách viết dài, có khi đến 5.000 từ, bằng tiếng Anh...

"Dữ liệu y tế được xem là loại dữ liệu nhạy cảm nhất trong tất cả các loại dữ liệu cá nhân khi nó liên quan trực tiếp đến phẩm giá và danh dự của con người. Lộ lọt dữ liệu y tế, thông tin sức khỏe có thể dẫn đến phân biệt đối xử nghiêm trọng cho con người. Đồng thời, có thể xảy ra nguy cơ tống tiền và lạm dụng cao, nếu thông tin rơi vào tay kẻ xấu", tiến sĩ Phiên nói.

Tất nhiên, anh không cho rằng tất cả các nhà phát triển đều cố tình vi phạm quyền riêng tư. Nhiều trường hợp xuất phát từ sự thiếu hiểu biết về quy định, khó khăn trong việc soạn thảo chính sách quyền riêng tư rõ ràng, hoặc hệ thống quảng cáo và phân tích tích hợp sẵn phức tạp... "Đây chính là lý do chúng tôi muốn tạo ra một công cụ giúp các nhà phát triển ứng dụng với nguồn lực hạn chế, có thể dễ dàng tuân thủ quy định hơn", anh nói.

ẢNH: NVCC

Bảo vệ quyền riêng tư ra sao?

Cụ thể hơn về công trình của nhóm mình, tiến sĩ Phiên cho biết CI2P-MedHFDroid không phải là một ứng dụng mà người dùng cuối có thể tải xuống và sử dụng trực tiếp. Thay vào đó, đây là một framework - nền tảng công nghệ hoàn chỉnh - được thiết kế dành cho các nhà phát triển ứng dụng. Nền tảng này cung cấp cho họ một bộ công cụ mạnh mẽ để tích hợp khả năng bảo vệ quyền riêng tư thông minh vào sản phẩm của họ một cách dễ dàng. Điểm đặc biệt là nhà phát triển chỉ cần vài dòng code để tích hợp, và ứng dụng của họ sẽ ngay lập tức có khả năng tự động bảo vệ quyền riêng tư cho người dùng dựa trên sở thích cá nhân của từng người.

Nền tảng có 3 tính năng đột phá. Tính năng đầu tiên là khả năng cá nhân hóa dựa trên trí tuệ nhân tạo. Nếu các hệ thống bảo mật thông thường chỉ có hai lựa chọn "cho phép" hoặc "từ chối", nền tảng này có khả năng tự động học sở thích quyền riêng tư của từng người dùng cụ thể. Người dùng chỉ cần trả lời 5-10 câu hỏi ban đầu về những tình huống cụ thể, ví dụ như "Bạn có cho phép ứng dụng thể dục truy cập vị trí khi bạn đang chạy bộ ở công viên không?". Từ những câu trả lời này, hệ thống AI sẽ học được mẫu hình - trong sở thích của người dùng và tự động đưa ra quyết định phù hợp cho các tình huống tương tự sau này. Độ chính xác đạt được là 92,7%, có nghĩa là 9 trong 10 quyết định của hệ thống sẽ trùng khớp với mong muốn thực tế của người dùng.

"Tất nhiên, 92,7% không phải là 100%, và nhóm hoàn toàn thừa nhận những hạn chế còn tồn tại. Do đó, chúng tôi luôn nhấn mạnh rằng đây là công cụ hỗ trợ, chứ không phải thay thế hoàn toàn quyết định của con người. Người dùng luôn có quyền xem lại và điều chỉnh các quyết định của hệ thống", tiến sĩ Phiên nói.

Thứ hai là năng nhận biết ngữ cảnh thông minh. Hệ thống được thiết kế để phân biệt 8 ngữ cảnh khác nhau trong đời sống. Ví dụ thực tế rất dễ hiểu: khi người dùng đang ở nhà trong điều kiện bình thường, hệ thống có thể từ chối cho ứng dụng truy cập vị trí vì không cần thiết. Nhưng nếu phát hiện tình huống khẩn cấp - chẳng hạn như nhịp tim bất thường hoặc cảm biến phát hiện người dùng bị ngã - hệ thống sẽ tự động cho phép chia sẻ vị trí với dịch vụ cấp cứu.

Tính năng thứ ba là khả năng phát hiện vi phạm tự động. Hệ thống kết hợp hai phương pháp phân tích song song để tạo ra một bức tranh toàn diện về hành vi thực tế của ứng dụng.

Tiến sĩ Phiên nói rõ hơn: "Phương pháp đầu tiên là phân tích tĩnh mã nguồn (static code analysis), trong đó hệ thống "mổ xẻ" mã nguồn của ứng dụng để kiểm tra xem ứng dụng đó thực sự thu thập những loại dữ liệu nào, sử dụng những API (giao diện lập trình ứng dụng) nào, và gửi dữ liệu đến đâu. Phương pháp thứ hai là phân tích chính sách quyền riêng tư bằng xử lý ngôn ngữ tự nhiên (NLP), trong đó hệ thống đọc và hiểu văn bản chính sách quyền riêng tư để xem ứng dụng đã công bố thu thập những dữ liệu gì. Bằng cách so sánh kết quả từ hai nguồn này, hệ thống có thể phát hiện chính xác những trường hợp mà ứng dụng "nói một đằng, làm một nẻo" - thu thập hoặc chia sẻ dữ liệu mà không được công bố trong chính sách. Đây chính là cách hệ thống phát hiện ra con số 79% ứng dụng vi phạm quyền riêng tư mà chúng ta đã đề cập".

ẢNH: THÚY HẰNG

Hành trình gần 3 năm

Sau gần 3 năm, nhóm của tiến sĩ Phiên đã tạo ra những kết quả đáng chú ý. Hệ thống đã phân tích 3.402 ứng dụng, phát hiện quan trọng nhất là 79% ứng dụng đang chia sẻ dữ liệu cho bên khác. Nhóm nghiên cứu đã tiến hành thử nghiệm quy mô lớn với 100 người tham gia đến từ 10 quốc gia khác nhau trên 4 châu lục.

Kết quả nghiên cứu được công bố trên International Journal of Information Security vào tháng 7.2025. Toàn bộ mã nguồn của công trình cũng được công khai trên GitHub (được coi như một mạng xã hội đặc biệt dành cho lập trình viên) theo giấy phép MIT, cho phép bất kỳ ai cũng có thể sử dụng miễn phí, kể cả cho mục đích thương mại.

Tiến sĩ Phiên cho biết thành công của công trình này không chỉ là của một cá nhân mà là kết quả của cả nhóm. Tiến sĩ Phiên là trưởng nhóm; cùng với đó là tiến sĩ Hà Xuân Sơn từ Trường ĐH RMIT Việt Nam, người đóng góp quan trọng trong việc hiểu các tiêu chuẩn quyền riêng tư quốc tế, thiết kế khảo sát người dùng sao cho phù hợp với đạo đức nghiên cứu.

ẢNH: NVCC

Thạc sĩ Trần Trương Tuấn Phát từ Trường ĐH Bách khoa (ĐH Quốc gia TP.HCM) có kinh nghiệm sâu về các thuật toán máy học (machine learning) giúp nhóm vượt qua thách thức lớn nhất: xây dựng mô hình với rất ít dữ liệu có nhãn. Nghiên cứu có sự góp sức từ 2 sinh viên Lê Khanh Băng và Nguyễn Thị Kim Ngân từ tổ chức giáo dục FPT trong việc phát triển giao diện và thu thập phản hồi.