Cart
Continue shopping
Go to cart

Biểu quyết điện tử trong phòng họp công vụ: hai yêu cầu tưởng như đối nghịch

Biểu quyết điện tử trong phòng họp công vụ: hai yêu cầu tưởng như đối nghịch

Minh bạch và bảo mật trong cùng một lá phiếu

Vì sao một hệ thống biểu quyết tốt phải làm được điều mà thoạt nghe có vẻ mâu thuẫn.

Một mâu thuẫn nằm ngay trong yêu cầu

Khi một cơ quan dân cử đặt ra yêu cầu cho hệ thống biểu quyết, hai chữ thường được nói ra cùng nhau là minh bạch và bảo mật. Người ta gật đầu với cả hai, coi như chúng đi đôi. Nhưng nếu nhìn kỹ, ở tầng cơ chế, hai yêu cầu này kéo về hai hướng ngược nhau.

Minh bạch đòi hỏi mọi người nhìn thấy: thấy con số, thấy ai bỏ phiếu thế nào, thấy kết quả không bị nắn. Bảo mật đòi hỏi che đi: che lá phiếu của một cá nhân trong phiên cần bỏ phiếu kín, che dữ liệu kết quả khỏi những con mắt và đường truyền không được phép. Một hệ thống ngả hẳn về minh bạch tối đa sẽ phơi bày cả thứ lẽ ra phải kín. Một hệ thống ngả hẳn về bảo mật tối đa sẽ biến kết quả thành một hộp đen mà không ai kiểm chứng được.

Một hệ thống biểu quyết công vụ làm tốt không phải hệ thống chọn một trong hai. Là hệ thống biết tách hai yêu cầu ra đúng chỗ, để mỗi yêu cầu được thoả mãn ở tầng của nó mà không giẫm lên tầng kia.

Bài viết này không bàn về tính năng nào hay, mà bàn về cách giải mâu thuẫn ấy. Vì đó mới là phần phân biệt một hệ thống biểu quyết được thiết kế cho cơ quan công vụ với một bộ nút bấm gắn thêm vào micro.

Tách lớp: ba câu hỏi khác nhau bị gộp làm một

Gốc của sự lúng túng là người ta gộp ba câu hỏi vốn rất khác nhau vào chung một chữ. Khi tách ra, mâu thuẫn phần lớn tan biến.

Câu hỏi thứ nhất: kết quả có đúng không

Đây là phần minh bạch không ai tranh cãi. Tổng số phiếu phải khớp số người có quyền bỏ phiếu đang hiện diện. Con số đồng ý, không đồng ý, phiếu trắng phải cộng lại đúng. Kết quả hiển thị trên màn hình phải là kết quả thật, không qua bàn tay biên tập nào giữa lúc bấm nút và lúc lên màn hình.

Phần này được giải bằng tự động hoá. Khi mỗi vị trí đại biểu được hệ thống nhận diện, máy biết chính xác bao nhiêu người có quyền bỏ phiếu đang có mặt, và một người được đánh dấu vắng mặt sẽ tự động mất quyền, không thể vô tình hay cố ý bỏ thêm một phiếu. Việc kiểm số người hợp lệ trở thành tự động thay vì thủ công, và đó chính là chỗ sai sót của lối giơ tay đếm mắt bị loại bỏ. Kết quả tổng hợp tức thời, không có quãng trống để một con số bị nắn.

Câu hỏi thứ hai: ai đã bỏ phiếu thế nào

Đây là chỗ minh bạch và bảo mật bắt đầu va nhau, và cũng là chỗ một hệ thống tốt phải mềm dẻo. Bởi câu trả lời không cố định, nó phụ thuộc quy chế của từng phiên họp.

Có những nội dung mà quy chế yêu cầu biểu quyết công khai theo tên: ai đồng ý, ai phản đối đều được ghi danh, vì chính sự ghi danh ấy là một phần của trách nhiệm chính trị. Lại có những nội dung mà quy chế yêu cầu bỏ phiếu kín, nơi việc một cá nhân chọn gì phải được giấu để bảo vệ sự độc lập của lá phiếu. Cùng một căn phòng, cùng một hệ thống, hai chế độ trái ngược nhau, và sự chuyển đổi giữa hai chế độ phải sạch sẽ, không để lại kẽ hở.

Sự linh hoạt giữa công khai theo tên và bỏ phiếu kín không phải một tuỳ chọn cho tiện. Nó là cách hệ thống tôn trọng rằng tính chính danh của mỗi loại quyết định được tạo ra theo một cách khác nhau.

Điều tinh tế là ngay cả trong chế độ bỏ phiếu kín, tính đúng đắn ở câu hỏi thứ nhất vẫn phải được giữ nguyên. Hệ thống vẫn biết tổng số phiếu khớp số người hợp lệ, vẫn cộng đúng, nhưng không tiết lộ ai chọn gì. Minh bạch về con số tổng, kín về lựa chọn cá nhân. Đây chính là ví dụ rõ nhất cho việc tách hai yêu cầu ra đúng tầng: tầng tổng hợp thì công khai, tầng cá nhân thì che.

Câu hỏi thứ ba: dữ liệu kết quả đi qua đâu

Câu hỏi này thuần về bảo mật, và là chỗ nhiều hệ thống hiện đại lại sơ hở nhất, vì xu hướng đẩy mọi thứ lên đám mây cho tiện. Với kết quả biểu quyết của một cơ quan công vụ, đường đi của dữ liệu là một phần của tính chính danh.

Một kết quả biểu quyết không nên đi vòng qua một máy chủ nằm ngoài tầm kiểm soát của cơ quan, càng không nên phụ thuộc một đường truyền internet có thể đứt giữa phiên. Đây là lý do kiến trúc biểu quyết cho cơ quan dân cử nên vận hành tại chỗ, độc lập với kết nối bên ngoài. Không phải vì hoài nghi công nghệ, mà vì quyền kiểm soát vật lý đối với đường đi của dữ liệu nhạy cảm bậc nhất này là thứ không thể uỷ thác. Một kết quả mà người ta không chứng minh được nó đã đi qua đâu là một kết quả để ngỏ cho nghi vấn về sau.

Lá phiếu phải gắn được với một con người có thật

Cả ba câu hỏi trên đều dựa trên một nền móng chung: hệ thống phải biết chắc người ngồi ở mỗi vị trí là ai, và người đó có quyền gì. Nếu nền móng này lỏng, mọi tính toán phía trên đều mất giá trị.

Một bộ micro thông thường không làm được điều này, vì nó chỉ truyền tiếng nói, không quản lý danh tính và quyền. Một hệ thống hội nghị chuyên sâu thì khác: nó được xây quanh chính ý niệm gắn mỗi hành động với một người xác định. Phần mềm điều khiển quản lý danh sách đại biểu, ai có quyền phát biểu, ai có quyền bỏ phiếu, vị trí nào ứng với người nào. Khi danh tính được xác thực ở mỗi vị trí, lá phiếu không còn là một xung điện vô danh, nó là hành động của một con người cụ thể, với đầy đủ quyền đã được kiểm tra trước.

Đây là chỗ bảng tên điện tử tại mỗi vị trí không chỉ là chuyện thẩm mỹ. Khi tên, chức danh, vai trò của từng người hiển thị đúng và cập nhật được theo từng phiên, sự minh bạch bắt đầu ngay trong phòng, trước cả khi có lá phiếu nào được bấm. Cả căn phòng cùng nhìn thấy ai đang ngồi đâu với tư cách gì.

Cuộc họp tự lưu lại bằng chứng của chính mình

Một phiên biểu quyết kết thúc không chỉ để lại một con số trên màn hình rồi tắt. Nó để lại một dấu vết có cấu trúc: lần biểu quyết nào, về nội dung gì, kết quả ra sao, bao nhiêu người hợp lệ tham gia, vào thời điểm nào. Dữ liệu này được lưu và xuất ra được khi cần.

Cần phân biệt dấu vết này với bản ghi âm ghi hình nội dung phiên họp. Bản ghi âm kể lại từng lời. Dấu vết biểu quyết thì ghi lại bộ khung trách nhiệm: ai, làm gì, khi nào, kết quả thế nào. Với một hội đồng phải giải trình quyết định của mình trước cơ quan giám sát cấp trên hay cơ quan kiểm toán, dấu vết này là tài sản. Nó biến một kết luận dựa trên trí nhớ thành một hồ sơ dựa trên dữ liệu.

Khoảng cách giữa nói rằng nghị quyết đã được thông qua hợp lệ và chứng minh được rằng nó đã được thông qua hợp lệ, chính là khoảng cách mà một hệ thống biểu quyết tốt lấp đầy.

Vì sao đây là việc của kiến trúc sư, không phải của người bán nút bấm

Đọc đến đây có thể thấy: không một tính năng đơn lẻ nào giải được mâu thuẫn minh bạch và bảo mật. Cái giải được nó là cách các tầng được tách ra và ráp lại với nhau cho đúng. Tầng tổng hợp công khai, tầng cá nhân che được khi cần, tầng dữ liệu giữ tại chỗ, tầng danh tính làm nền cho tất cả. Đó là một thiết kế, không phải một danh mục.

Bá Hùng tiếp cận việc này như một bài toán kiến trúc giải pháp. Nghĩa là ngồi cùng cơ quan từ giai đoạn xác định quy chế phiên họp sẽ vận hành ra sao, loại nội dung nào công khai theo tên, loại nào bỏ phiếu kín, yêu cầu lưu trữ và đối chiếu đến đâu, rồi mới từ đó dựng kiến trúc hệ thống cho khớp. Thiết bị đến sau, và đến từ các đối tác G7, Châu Âu, Anh Quốc có bề dày trong lĩnh vực hệ thống hội nghị, để chuỗi linh kiện còn được bảo đảm suốt vòng đời nhiều năm của hệ thống.

Phần còn lại của giá trị nằm ở những thứ không nhìn thấy trong buổi demo: hiệu chỉnh hiện trường để mọi vị trí nhận diện đúng, bảo trì có hồ sơ để khi nhân sự kỹ thuật của văn phòng luân chuyển vẫn có người giữ lịch sử hệ thống, và kịch bản ứng cứu dựng sẵn cho tình huống xấu nhất giữa một phiên biểu quyết quan trọng. Một hệ thống biểu quyết, xét cho cùng, chỉ thật sự đáng tin khi nó vẫn đáng tin vào đúng cái ngày có sự cố.

Lời mời thảo luận

Nếu cơ quan của quý vị đang cân nhắc trang bị hoặc nâng cấp hệ thống biểu quyết cho phòng họp công vụ, Bá Hùng sẵn sàng bắt đầu bằng một cuộc trao đổi về chính quy chế phiên họp của quý vị: nội dung nào cần công khai theo tên, nội dung nào cần bỏ phiếu kín, yêu cầu lưu trữ và đối chiếu ra sao, và mức độ độc lập với kết nối bên ngoài mà quý vị mong muốn.

Related article