Tại sao cần ưu tiên quyền riêng tư và bảo mật dữ liệu khi phát triển Mobile App?

Tại sao cần ưu tiên quyền riêng tư và bảo mật dữ liệu khi phát triển Mobile App?

Kết quả từ các thống kê cho thấy, trong năm 2020, người dùng smartphone đã cài đặt trung bình khoảng 40 ứng dụng, chiếm 87% thời gian sử dụng của thiết bị di động. Mặc dù mang đến những tiện ích đáng kinh ngạc, nhưng những ứng dụng này cũng là nguyên nhân gây ra vấn đề bảo mật dữ liệu và rò rỉ thông tin cá nhân. 

Nguy cơ bảo mật dữ liệu bị ảnh hưởng do sự phát triển của mobile app

Mặc dù có nhiều ứng dụng dành cho thiết bị di động yêu cầu người dùng chấp nhận các điều khoản và điều kiện trước khi khởi chạy, nhưng hầu hết mọi người đều bỏ qua các nội dung này và nhấn nút “Chấp nhận”. Lấy ví dụ như Facebook, khi các điều khoản và điều kiện sử dụng được chấp nhận, Facebook có quyền truy cập vào tất cả bộ nhớ điện thoại nội bộ của người dùng, nhật ký cuộc gọi, tin nhắn văn bản, danh bạ, camera, micro, kết nối Wi-Fi và vị trí...

Phần lớn mọi người đều cho rằng, mình chẳng có bí mật gì để che giấu. Tuy nhiên, việc các ứng dụng truy cập vào điện thoại như vậy sẽ khiến cho dữ liệu cá nhân của một người bị phân tán và dễ dàng rơi vào tay hacker. Không những thế, người dùng cũng vô tình tải xuống rất nhiều mobile app giả mạo và độc hại, khiến cho tình trạng rò rỉ thông tin cá nhân ngày càng trở nên phức tạp hơn. 

Nguồn: Rnib

Sự nỗ lực của các nhà phát triển ứng dụng

Hiện nay, các developer cũng đưa ra rất nhiều phương án nhằm bảo vệ sự riêng tư của người tiêu dùng. Theo truyền thống, các nhà phát triển mobile app sẽ xây dựng ứng dụng hoàn chỉnh, sau đó tải lên cửa hàng ứng dụng để người dùng có thể liên tục tải xuống bằng nhiều thiết bị, ở nhiều vị trí khác nhau. Tuy nhiên, điều này lại vô tình ảnh hưởng đến vấn đề bảo mật dữ liệu, và đó cũng là lý do tại sao các quy định về quyền riêng tư đã tăng lên trong những năm vừa qua. 

Tại Hoa Kỳ, tồn tại rất nhiều quy định về bảo mật dữ liệu và quyền riêng tư dữ liệu. Trong số 50 tiểu bang, có những bộ luật chỉ áp dụng cho các tổ chức chính phủ, và những bộ luật khác áp dụng cho các tổ chức tư nhân hoặc cả hai. Điều này tạo ra một loạt các chính sách không những gây khó khăn cho người dùng ứng dụng di động bình thường, mà còn rất rời rạc, không có tính nhất quán. 

Trên thực tế, người tiêu dùng sẽ rất dễ bị ảnh hưởng nếu như smartphone và thiết bị IoT của họ được trang bị những tính năng bảo mật “mong manh”. Do đó, quyền riêng tư của người dùng, đặc biệt là thông tin nhận dạng cá nhân (PII) và các dữ liệu nhạy cảm khác, đang ngày càng trở thành vấn đề được các nhà phát triển cân nhắc hàng đầu trong quá trình xây dựng ứng dụng và suốt vòng đời phát triển. 

Nguồn: techbeezer

Trước hết, việc tuân thủ ứng dụng dành cho thiết bị di động phải là một phần của chiến lược tổng thể và chu trình SDLC (Software Development Life-cycle) để đảm bảo quyền riêng tư của người dùng. Ngoài ra, nhiệm vụ này cũng cần phải được truyền đạt theo một cách dễ hiểu. Ví dụ:

  • Mục đích thu thập dữ liệu
  • Lợi ích cho người tiêu dùng 
  • Dữ liệu cá nhân cụ thể nào sẽ được thu thập
  • Dữ liệu được thu thập dưới dạng nào
  • Nơi dữ liệu được chuyển đến
  • Ứng dụng lưu giữ dữ liệu trong bao lâu
  • Cách người dùng có thể xoá dữ liệu 

Ngoài ra, một ứng dụng tuân thủ quy định cũng sẽ cung cấp chính xác và khách quan tất cả thông tin bắt buộc cho người dùng. Chẳng hạn, Google đã xuất bản hướng dẫn cập nhật gần đây cho các nhà phát triển Android nhằm cải thiện chất lượng ứng dụng và khả năng khám phá trên Google Play, đảm bảo rằng nội dung danh sách cửa hàng có thể giúp người dùng dự đoán trải nghiệm trong ứng dụng hoặc trong trò chơi, đồng thời thúc đẩy lượt tải xuống. 

Ngoài ra, việc thay đổi chính sách được thông báo trước của Google (ngày thực thi vẫn chưa được xác định) đối với siêu dữ liệu ứng dụng bao gồm những lưu ý sau: 

  • Giới hạn độ dài của tiêu đề ứng dụng trong 30 ký tự
  • Cấm các từ khoá ngụ ý về hiệu suất cửa hàng, quảng cáo trong tiêu đề biểu tượng và tên nhà phát triển
  • Loại bỏ các yếu tố đồ hoạ có thể đánh lừa người dùng trong biểu tượng ứng dụng

Nguồn: cpomagazine

Ngoài ra, một số thông tin và mô tả khác như: giải thích về sự cần thiết phải truy cập vào mã nhận dạng quảng cáo của thiết bị (iOS IDFA, Android AAID) và ý nghĩa của điều này đối với người dùng… đều phải được cung cấp đầy đủ. Bên cạnh đó, nhà phát hành cũng nên cung cấp những thông tin liên quan đến quyền riêng tư của người dùng (các tuỳ chọn, thông báo đẩy trong ứng dụng...), quyền yêu cầu (thông báo về những giá trị được phân phối cho người dùng), cố gắng thu thập số liệu phân tích của người dùng để theo dõi hành vi hoặc hiệu suất, cũng như cung cấp màn hình thông tin về ứng dụng, nhà phát triển, bộ phận hỗ trợ khách hàng hoặc câu hỏi thường gặp. 

Trên hết, nhiệm vụ bảo vệ dữ liệu nên được coi là trách nhiệm chung của tất cả các bên truy cập vào dữ liệu của người dùng. Trên thực tế, các nhà phát triển mobile app nên đặt ra nghĩa vụ đảm bảo quyền riêng tư và bảo mật trong quá trình thiết kế và sản xuất. Bao gồm các công đoạn như: ủy quyền, sử dụng hợp lý hệ thống API, mã hoá dữ liệu bí mật ở trạng thái nghỉ và trạng thái đang truyền đi, cũng như vượt qua các yếu tố kiểm tra bảo mật chính thức. 

Với tính chất động của dữ liệu được thu thập ngày nay, mobile app không chỉ được thiết kế cho hiện tại mà còn cho cả tương lai. Mặt khác, nhà phát triển cũng nên tập trung vào khả năng xử lý một cách khéo léo các tình huống tiềm ẩn, chẳng hạn như: quyền người dùng bị thu hồi, sự đồng ý bị vô hiệu hoá hoặc dữ liệu bị xoá... Nói cách khác, ứng dụng có thể phản ứng linh hoạt và duy trì trạng thái nhất quán trong mọi trường hợp. Nếu thực hiện được điều này, tất cả chúng ta đều có thể đóng góp vào một thế giới di động an toàn hơn trong tương lai.

* Nguồn: AppROI Marketing App