Các quyền ứng dụng PC-Covid cần được người dùng cho phép

Ứng dụng PC-Covid không thu thập thông tin người dùng ngoài mục đích chống dịch.

Ngày 7/10, Bộ Thông tin và Truyền thông công bố cụ thể về các quyền mà ứng dụng PC-Covid yêu cầu người dùng cần cấp khi sử dụng. Cục An toàn thông tin, Hiệp hội An toàn thông tin, Bộ Tư lệnh 86 (Bộ Quốc phòng), Cục A05 (Bộ Công an) đánh giá độc lập về các quyền truy cập cần được người dùng cho phép và khẳng định, ứng dụng PC-Covid không thu thập thông tin người dùng ngoài mục đích chống dịch.

Theo Bộ Thông tin và Truyền thông, ứng dụng PC-Covid cần được cấp 4 quyền cụ thể như sau:

Quyền sử dụng bluetooth

PC-Covid ghi nhận tiếp xúc gần bằng công nghệ bluetooth năng lượng thấp (BLE) và cần được cấp quyền này để có thể thực hiện chức năng nói trên. Người dùng có thể lựa chọn có hoặc không sử dụng chức năng ghi nhận tiếp xúc gần. Trong trường hợp người dùng không sử dụng chức năng ghi nhận tiếp xúc gần, PC-Covid sẽ không hỏi và không cần được cấp quyền này.

Trên hệ điều hành Android, quyền sử dụng bluetooth gắn liền với quyền truy cập vị trí thành một cụm quyền. Cụ thể, theo chính sách của Google, để ghi nhận tiếp xúc gần bằng công nghệ bluetooth năng lượng thấp (BLE), ngoài việc bật bluetooth cần quyền truy cập vị trí trên điện thoại.

Trên hệ điều hành iOS, quyền sử dụng bluetooth không gắn liền với quyền truy cập vị trí. Tuy nhiên, để tối ưu chức năng ghi nhận tiếp xúc gần, PC-Covid vẫn cần được cấp quyền truy cập vị trí. Cụ thể, theo chính sách của Apple, để ứng dụng hoạt động liên tục và quét tiếp xúc gần hiệu quả bằng việc hỗ trợ iBeacon, ứng dụng cần được cấp quyền truy cập vị trí trên điện thoại. 

Ngoài ra, ở phiên bản 4.0.3 trở về trước, PC-Covid cung cấp chức năng để người dùng có thể gửi các phản ánh và hỗ trợ người dùng sử dụng lựa chọn vị trí hiện tại bằng cách khai thác quyền truy cập vị trí. Mục đích là để ý kiến phản ánh đó được gửi đến đúng cơ quan chức năng theo địa bàn quản lý (các xã, phường, thị trấn). Tuy nhiên, ở phiên bản 4.0.4, chức năng này đã được loại ra khỏi PC-Covid để tránh những hiểu nhầm có thể xảy ra.

PC-Covid không khai thác vị trí của người dùng.

Quyền truy cập thông báo trên điện thoại cài hệ điều hành Android

Trên các hệ điều hành có gốc là Andoid (có thể có ngoại lệ), các ứng dụng (App) có thể bị dừng hoạt động vì nhiều lý do, PC-Covid cũng không ngoại lệ.

Để khắc phục vấn đề này, trên phiên bản Android, PC-Covid cần được cấp quyền truy cập thông báo (android.permission.BIND_NOTIFICATION_LISTENER_SERVICE). Nếu được người dùng chấp thuận, khi PC-Covid dừng hoạt động, hệ điều hành Android sẽ ngay lập tức lại gọi PC-Covid hoạt động trở lại, và thông báo về việc tái khởi động này cho PC-Covid.

Người dùng có thể lựa chọn có hoặc không cấp quyền này. Tuy nhiên, nếu không được cấp quyền truy cập thông báo, PC-Covid sẽ giảm tính ổn định.

PC-Covid không đọc các nội dung thông báo của người dùng.

Trên hệ điều hành Android, quyền truy cập thông báo nếu được cấp, ứng dụng có thể truy cập nội dung của các thông báo trên điện thoại, bao gồm tin nhắn SMS, tin nhắn OTT.

Trong cảnh báo mà một số phiên bản hệ điều hành gửi đến người dùng có thể kèm theo minh họa cụ thể về các nguy cơ khi cho ứng dụng khai thác quyền này.

Đặc biệt là việc truy cập nội dung tin nhắn SMS, tin nhắn OTT những ứng dụng xấu độc có thể khai thác ngầm các dữ liệu, thông tin nhạy cảm trong SMS, OTT của người dùng một cách phi pháp.

PC-Covid là ứng dụng của cơ quan nhà nước, tuân thủ các quy định của pháp luật và tuyệt đối không khai thác thông tin SMS, OTT của người dùng.

Quyền sử dụng camera

PC-Covid cần được cấp quyền truy cập camera trên điện thoại để thực hiện chức năng quét mã QR và chức năng gửi phản ánh kèm theo video/hình ảnh.

Quyền truy cập ảnh, video, âm thanh và tệp:

Ứng dụng PC-Covid sử dụng quyền này để cho phép lưu mã QR cá nhân trên PC-Covid về bộ nhớ điện thoại dưới dạng một tấm ảnh. Mục đích của việc cho phép lưu ảnh QR cá nhân là để người dùng có thể in ra giấy và mang theo cho bản thân hoặc cho người được khai hộ; có thể xuất trình ảnh ngay cả khi không sử dụng PC-Covid hoặc không có kết nối mạng internet.

Ngoài ra, ở chức năng Gửi phản ánh, PC-Covid hỗ trợ người dùng việc chụp ảnh, quay video và truy cập thư viện ảnh để gửi kèm theo nội dung phản ánh. Việc gửi kèm theo ảnh chụp/video sẽ hữu ích cho người tiếp nhận phản ánh xử lý thông tin, thí dụ như phản ánh có liên quan đến thông tin trên giấy chứng nhận tiêm chủng, giấy xét nghiệm…

Tuy nhiên, chức năng này chưa chính thức cung cấp trên PC-Covid.

Ngoài ra, tất cả các quyền mà PC-Covid cần được cấp và sử dụng được kiểm soát chặt chẽ thông qua 4 cơ chế như sau:

Kiểm soát bởi hệ điều hành:

Như đã đề cập phía trên, mọi quyền mà các ứng dụng trên điện thoại cần sử dụng đều phải được sự đồng ý của người dùng. Hệ điều hành kiểm soát sẽ có những thông báo đến người dùng một cách rõ ràng.

Kiểm soát bởi chợ ứng dụng (Apple Store và CH Play)

Trong quá trình phát triển và đưa lên các chợ ứng dụng, mỗi ứng dụng đều được kiểm soát trước khi xuất bản. Đặc biệt là với những ứng dụng có hàng chục triệu người dùng như PC-Covid, Apple và Google kiểm soát rất chặt chẽ và kỹ lượng việc tuân thủ các chính sách về quyền và sử dụng quyền để bảo đảm dữ liệu cá nhân của người dùng không bị xâm phạm (kiểm tra kỹ lưỡng từng đoạn mã, từng giao diện, từng hàm chức năng).

Kiểm soát bởi đội ngũ phát triển ứng dụng của Trung tâm Công nghệ phòng, chống dịch Covid-19 quốc gia

Kiểm soát bởi các cơ quan chức năng có thẩm quyền

Trong quá trình phát triển ứng dụng, PC-Covid luôn có được sự quan tâm, đồng hành và tham gia kiểm soát về an toàn, bảo mật thông tin nói chung, kiểm soát về quyền và việc sử dụng quyền nói riêng của các cơ quan chức năng có thẩm quyền.

Các cơ quan chức năng gồm có: Cục An toàn thông tin (Bộ Thông tin và Truyền thông), Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), Bộ tư lệnh Tác chiến không gian mạng (Bộ Quốc phòng), Hiệp hội An toàn thông tin Việt Nam và của đông đảo các chuyên gia về an toàn, an ninh mạng Việt Nam.

HẢI PHONG