Nghị định Bảo vệ dữ liệu cá nhân: Gia tăng trách nhiệm của nhiều bên

Thực trạng đặt ra yêu cầu cần phải có quy định về bảo vệ dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của cơ quan, tổ chức, cá nhân.

Nhiều hình thức thu thập và mua bán dữ liệu trái phép

Dữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ chi tiết khác nhau. Đây là thông tin được nêu trong báo cáo của Bộ trưởng Bộ Công an Tô Lâm về một số nội dung liên quan nhóm vấn đề chất vấn tại phiên họp thứ 14 của Ủy ban Thường vụ Quốc hội diễn ra ngày 10/8/2022.

Tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng trong khi người dùng chưa có ý thức bảo vệ dữ liệu của mình khi công khai đăng tải hoặc vô tình bị lộ lọt trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh.

Thậm chí, nhiều người có tâm lý sẵn sàng đánh đổi thông tin đời tư, thông tin cá nhân để lấy sự tiện ích. Việc bảo vệ không tương xứng cũng khiến dữ liệu cá nhân bị kẻ xấu chiếm đoạt và đăng tải công khai.

Một số vụ việc điển hình như việc Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán của khách hàng; vụ tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airlines, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng; hay vụ dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng...

Ngoài ra, tình trạng mua bán dữ liệu cá nhân cũng đang diễn ra phổ biến, công khai, với các dữ liệu thô (như danh sách cán bộ, danh bạ nội bộ của các bộ, tập đoàn kinh tế; khách hàng điện lực; thông tin chủ thuê bao điện thoại, Internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng;…) và dữ liệu cá nhân đã qua xử lý (gồm thông tin chi tiết về các cá nhân, tổ chức, doanh nghiệp, như họ tên, ngày sinh, số CMND/CCCD, địa chỉ, số điện thoại, số tài khoản ngân hàng bao gồm cả số dư, thân nhân, chức vụ, vị trí công tác…).

Nhiều doanh nghiệp, công ty kinh doanh dịch vụ còn tự thu thập dữ liệu cá nhân của khách hàng, sau đó cho phép bên thứ ba tiếp cận nhưng lại không có quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Từ đó, dẫn đến vấn nạn nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên mạng thông qua các website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc.

Trong 02 năm từ năm 2019 đến năm 2020, Bộ Công an đã phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới gần 1.300 GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.

Vi phạm quy định bảo vệ dữ liệu cá nhân có thể bị xử lý hình sự

Trong kỷ nguyên số, dữ liệu cá nhân đã trở thành nguyên liệu quan trọng của nền kinh tế số, xã hội số và ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế. Điều này đặt ra cho Chính phủ bài toán phải quản lý hiệu quả, tương đồng giữa sử dụng và bảo vệ dữ liệu cá nhân.

Mới đây, Chính phủ đã ban hành Nghị định 13/2023 về bảo vệ dữ liệu cá nhân, trong đó nêu rõ biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân.

Nghị định này áp dụng đối với các cơ quan, tổ chức, cá nhân Việt Nam, và những cơ quan, cá nhân tổ chức nước ngoài tại Việt Nam, trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

Trong đó, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân cơ bản gồm họ và tên, ngày tháng năm sinh, giới tính, nơi sinh, quốc tịch, hình ảnh cá nhân, số điện thoại, số chứng minh nhân dân, CCCD, số tài khoản, số định danh cá nhân, biển số xe, mã số thuế,...

Trong khi đó, dữ liệu cá nhân nhạy cảm là những dữ liệu gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của người đó. Ví dụ như quan điểm chính trị, tôn giáo, tình trạng sức khỏe, nguồn gốc chủng tộc, đặc điểm di truyền, đời sống tình dục, dữ liệu vị trí, thông tin khách hàng của tổ chức tín dụng,...

Theo Nghị định, dữ liệu cá nhân sẽ được xử lý theo quy định pháp luật. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu. Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc xử lý hình sự theo quy định.

Chính phủ cũng đã ban hành một số hành vi bị nghiêm cấm trong Nghị định bảo vệ dữ liệu cá nhân. Các hành vi này bao gồm việc xử lý dữ liệu cá nhân trái quy định pháp luật, xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.

Ngoài ra, hành vi xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác cũng bị nghiêm cấm.

Với dữ liệu cá nhân của trẻ em, việc xử lý các dữ liệu này phải có sự đồng ý của trẻ em trong trường hợp trẻ từ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ, trừ một số trường hợp đặc biệt.

5 biện pháp bảo vệ dữ liệu cá nhân

Nghị định nêu rõ, biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.

Theo đó, các biện pháp bảo vệ dữ liệu cá nhân bao gồm: Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; Biện pháp do cơ quan quản lý Nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; Biện pháp điều tra, tố tụng do cơ quan Nhà nước có thẩm quyền thực hiện; Các biện pháp khác theo quy định của pháp luật.

Theo Nghị định, cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an). Cơ quan này có trách nhiệm giúp Bộ Công an thực hiện quản lý Nhà nước về bảo vệ dữ liệu cá nhân.

Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân; cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân; tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng; cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.

Bên cạnh đó, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân; cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật; xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật; thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.

5 trường hợp được thu thập thông tin cá nhân mà không cần xin phép

Ngoài ra, Nghị định cũng quy định có 5 trường hợp sẽ được thu thập thông tin cá nhân mà không cần xin phép. Cụ thể:

Thứ nhất là trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác.

Thứ hai là công khai dữ liệu cá nhân theo quy định của luật.

Trường hợp thứ ba là xử lý dữ liệu của cơ quan Nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.

Thứ tư là thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.

Và trường hợp cuối cùng là phục vụ hoạt động của cơ quan Nhà nước đã được quy định theo luật chuyên ngành.

Nghị định cũng quy định rõ quyền và nghĩa vụ của chủ thể dữ liệu, cùng với đó là trách nhiệm của các cơ quan, chủ thể, cá nhân trong việc bảo vệ dữ liệu cá nhân. Nghị định có hiệu lực thi hành từ ngày 01/7/2023./.