Anh nghi ngờ về độ an toàn dữ liệu từ đối tác công nghệ Palantir

London, Vương quốc Anh – Lòng tin, một khi đã mất, rất khó để lấy lại. Đối với Palantir Technologies, công ty phần mềm quốc phòng và tình báo hàng đầu của Mỹ, niềm tin mà họ xây dựng tại Anh thông qua hợp đồng trị giá 1 bảng Anh với Cơ quan Y tế Quốc gia (NHS) trong đại dịch COVID-19 hồi tháng 3/2020 – sau đó trở thành mối quan hệ kéo dài 6 năm, trị giá gần 400 triệu bảng (546 triệu USD) – đang bị xói mòn nghiêm trọng.

Phần lớn nguyên nhân xuất phát từ chính hành vi của Palantir. Mới đây, tài khoản X của công ty đã đăng một tuyên ngôn gồm 22 điểm, trong đó kêu gọi thực hiện nghĩa vụ quân sự toàn dân và phát triển “vũ khí AI”, khiến giới phê bình lo ngại về việc liệu một công ty mang giá trị quân sự hóa như vậy có phù hợp để quản lý dữ liệu nhạy cảm nhất của bệnh nhân hay không.

“Palantir vốn được xem là nhà thầu quốc phòng”, Duncan McCann, trưởng nhóm công nghệ và dữ liệu tại Good Law Project, nhận xét. “Nếu họ chỉ hoạt động trong lĩnh vực đó, có lẽ mọi người sẽ chấp nhận. Nhưng một công ty quốc phòng có các giá trị vốn khác biệt so với một tổ chức y tế như NHS, và đó là nơi phát sinh mối lo ngại này.”

Phản đối chương trình dữ liệu chủ lực trị giá 330 triệu bảng (450 triệu USD) của Palantir mang tên Federated Data Platform (FDP) – do NHS vận hành – đã chuyển từ mối quan tâm của một nhóm nhỏ thành vấn đề quản trị nghiêm trọng đối với NHS England và chính phủ Anh. Các quan chức hiện đang cân nhắc khả năng chấm dứt hợp đồng vào năm 2027.

Hôm thứ Hai, Palantir tiếp tục bị soi xét khi tờ Financial Times đưa tin NHS England đã cho phép nhân viên Palantir “truy cập không giới hạn” vào dữ liệu bệnh nhân, dựa trên một tài liệu nội bộ.

Cội rễ của Palantir bắt nguồn từ quốc phòng. Nền tảng Gotham của họ được các cộng đồng tình báo, quân sự và cảnh sát trên toàn thế giới sử dụng. Foundry – giải pháp dân sự của công ty – là nền tảng cho FDP của NHS. Dù có tên gọi khác nhau, một đánh giá năm 2020 của Privacy International và No Tech For Tyrants cho thấy hai hệ thống chia sẻ cùng một 'DNA Palantir'. Cấu trúc dùng chung này nằm ở trung tâm của vấn đề quản trị mà các nhà phê bình cho là chưa bao giờ được giải quyết thỏa đáng.

Theo NHS England, Palantir “chỉ được vận hành theo chỉ dẫn của NHS khi xử lý dữ liệu trên nền tảng” và “sẽ không làm chủ hay được phép truy cập, sử dụng hoặc chia sẻ dữ liệu cho mục đích riêng”. Palantir khẳng định công ty “không sử dụng dữ liệu bệnh nhân hay bất kỳ dữ liệu nào của NHS cho mục đích riêng. Palantir chỉ đóng vai trò xử lý dữ liệu dưới sự hướng dẫn của NHS”.

Charles Carlson, đại diện Palantir UK, nói với Al Jazeera: “Khi xác minh, kiểm toán viên đánh giá các biện pháp kiểm soát và việc tuân thủ của chúng tôi, và chúng tôi trải qua nhiều cuộc kiểm toán”. Ông lưu ý rằng “chính các khách hàng, với sự hỗ trợ từ NCSC [Trung tâm An ninh mạng quốc gia], cũng tự thực hiện việc xác nhận của họ”.

Mặc dù các cuộc kiểm toán có thể chỉ ra rằng Palantir tuân thủ các tiêu chuẩn ngành về bảo vệ dữ liệu, các nhà quan sát nghi ngờ mức độ tuân thủ thực tế. “Chúng ta sẽ không biết liệu Palantir có đang làm điều gì xấu xa với dữ liệu NHS hay không”, Eerke Boiten, giáo sư an ninh mạng tại Đại học De Montfort, nói. “Nhưng điều đó cũng xảy ra với Microsoft, Google và các công ty công nghệ Mỹ khác khi cung cấp giải pháp IT cho NHS hay bất kỳ ai khác.” Boiten chủ trương “chủ nghĩa hiện thực kỹ thuật” và cho rằng các công ty này quá lớn, sản phẩm quá phức tạp đến mức khách hàng phải tin tưởng họ sẽ không lợi dụng tình hình.

Áp lực pháp lý từ Good Law Project đã buộc NHS England công bố phiên bản hợp đồng FDP ít bị biên tập hơn, nhưng theo McCann, khoảng 100 trang vẫn bị giữ lại. Những trang này liên quan trực tiếp đến phương pháp ẩn danh hóa dữ liệu bệnh nhân trước khi đưa vào nền tảng – yếu tố duy nhất của khuôn khổ bảo vệ dữ liệu trong hợp đồng mà công chúng và các chuyên gia không thể kiểm tra.

Các nhà phân tích đồng ý rằng FDP nhìn chung là tốt và có những giải pháp thay thế. Lãnh đạo ban điều phối chăm sóc sức khỏe Greater Manchester đã mất sáu năm để xây dựng nền tảng phân tích riêng mà không cần Palantir. Câu hỏi không phải là NHS có thể quản lý dữ liệu hiệu quả hay không, mà là liệu có cần Palantir để làm điều đó hay không.

“Các khuynh hướng chính trị của Palantir, được thể hiện trong ngôn ngữ của họ, khiến họ trở thành rủi ro an ninh tiềm tàng”, Boiten nói. Một rủi ro ít được nhắc đến là khả năng tổng hợp dữ liệu. Nền tảng Foundry của Palantir đang hỗ trợ các hợp đồng với ít nhất 10 cơ quan chính phủ Anh, nhưng công ty bác bỏ mọi khả năng tổng hợp các bộ dữ liệu này. “Mỗi tương tác với khách hàng đều tách biệt về mặt hợp đồng, vận hành và kỹ thuật”, Carlson nói, đồng thời nhấn mạnh việc chia sẻ dữ liệu trái phép là bất hợp pháp.

Hai kỹ sư hệ thống cấp cao của Bộ Quốc phòng Anh từng cảnh báo rằng bằng cách tổng hợp dữ liệu giữa các bộ dữ liệu chính phủ, Palantir có thể tạo ra thông tin tối mật từ các nguồn không được phân loại. Sarah Simms, chuyên gia chính sách cấp cao tại Privacy International, cho rằng rủi ro này đã được thiết lập qua hành động của công ty ở nước ngoài. “Niềm tin là điều cốt yếu trong việc cung cấp dịch vụ y tế và NHS”, bà nói. “Mọi người cần tin rằng dữ liệu của họ được xử lý an toàn và có đạo đức. Nếu không, hậu quả có thể tàn khốc đối với chăm sóc sức khỏe cho tất cả mọi người.”