Gần 1.300GB dữ liệu cá nhân, tổ chức bị mua bán và đề xuất hoàn thiện quy định
An toàn thông tin - Ngày đăng : 13:28, 15/12/2021
Đây là khẳng định của Đại tá, TS. Nguyễn Ngọc Cương, Phó Cục trưởng Cục An ninh mạng & Phòng chống tội phạm sử dụng Công nghệ cao, Bộ Công An tại Chương trình Kỷ niệm 10 năm Internet Day Việt Nam, Internet Day 2021 do Hiệp hội Internet Việt Nam (VIA) chủ trì với chủ đề "Phục hồi và Bứt phá trong Kỷ nguyên dữ liệu hóa" ngày 15/12.
Tình trạng lộ, lọt dữ liệu cá nhân diễn ra phổ biến trên không gian mạng
Theo Đại tá Nguyễn Ngọc Cương, bảo vệ dữ liệu cá nhân là vấn đề không mới trong thực tiễn đời sống xã hội nước ta nhưng lại là vấn đề mới trong xây dựng, hoàn thiện hệ thống pháp luật.
Nước ta là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới. Tính đến tháng 01/2021, số lượng người sử dụng Internet của Việt Nam đã đạt hơn 68.72 triệu người, chiếm hơn 2/3 dân số (70.3%). Dữ liệu cá nhân trở thành đầu vào và giá trị vô tận cho nền kinh tế số, phục vụ phát triển Chính phủ số, xã hội số và phát triển đất nước trong thời đại Cách mạng công nghiệp lần thứ tư.
Tuy nhiên, tình trạng lộ, lọt dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Ngày càng nhiều chủ thể bao gồm cả tổ chức và cá nhân thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra tình trang lộ, lọt dữ liệu.
Việc mua bán dữ liệu cá nhân cũng đang diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Các doanh nghiệp (DN), công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác.
Bên cạnh đó, nhiều DN cũng chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán dữ liệu cá nhân được tiến hành với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý.
Theo Đại tá Nguyễn Ngọc Cương, chỉ trong năm 2019 và năm 2020, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân, đồng thời chỉ đạo đơn vị chức năng xác lập chuyên án để tập trung đấu tranh, làm rõ một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam. Qua đó, phát hiện các đối tượng đã thu thập, chiếm đoạt, mua bán, sử dụng trái phép gần 1.300GB dữ liệu chứa nhiều thông tin về các cá nhân, tổ chức trên toàn quốc.
Thực trạng này cũng là hồi chuông cảnh báo về vấn đề bảo mật dữ liệu cá nhân tại Việt Nam, vì điều này có thể gây ảnh hưởng không nhỏ đến quyền riêng tư, bí mật cá nhân của mỗi người và có thể dẫn đến tình trạng lừa đảo công nghệ cao, cũng như các hành vi phạm pháp khác…
Trên thế giới, bảo vệ dữ liệu cá nhân cũng là vấn đề lớn được nhiều quốc gia chú trọng và quan tâm. Tại một số quốc gia, việc chuyển thông tin khách hàng chỉ được thực hiện với một số nguyên tắc nhất định cũng như có sự giám sát của các cơ quan quản lý có thẩm quyền.
Theo thống kê, hiện nay đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Chế tài xử phạt hành chính và hình sự đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân rất chặt chẽ và nghiêm khắc.
Đặc biệt, gần đây Trung Quốc cũng đã ban hành Luật Bảo vệ thông tin cá nhân, Luật Bảo mật dữ liệu. Nội dung 02 Đạo luật này hướng tới mục tiêu bảo đảm chủ quyền, an ninh quốc gia Trung Quốc trước thời đại công nghệ số, thúc đẩy khai thác, sử dụng dữ liệu hiệu quả, an toàn; xây dựng hệ thống quản lý dữ liệu toàn diện, có phân cấp; quản lý hoạt động thu thập, khai thác, chuyển giao dữ liệu trong cộng đồng; giám sát và bảo vệ an toàn dữ liệu của nhà nước và công dân; xử phạt nghiêm hành vi vi phạm bảo mật dữ liệu.
Xây dựng, hoàn thiện quy định của pháp luật về bảo vệ dữ liệu cá nhân
Theo Đại tá Nguyễn Ngọc Cương, dữ liệu cá nhân ngày càng có vai trò quan trọng trong nền kinh tế, trở thành nguyên liệu đầu vào của nhiều lĩnh vực trong đời sống xã hội. Nhu cầu và mức độ sử dụng dữ liệu cá nhân sẽ tăng cao, do đó, cần có sự kiểm soát của Nhà nước.
Hiện nay, Chính phủ đang chỉ đạo xây dựng Nghị định bảo vệ dữ liệu cá nhân. Đây là văn bản pháp lý đầu tiên của nước ta quy định về bảo vệ dữ liệu cá nhân, đặt nền móng cho công tác xây dựng pháp luật sau này.
Từ kinh nghiệm của các quốc gia đi trước trên thế giới, Đại tá Nguyễn Ngọc Cương đã xác định một số nội dung quan trọng trong xây dựng, hoàn thiện quy định của pháp luật về bảo vệ dữ liệu cá nhân, như sau:
Một là, minh bạch, công khai các hoạt động xử lý dữ liệu cá nhân của các chủ thể có liên quan. Các chủ thể xử lý dữ liệu phải được chủ thể dữ liệu đồng ý cho phép trước khi thực hiện xử lý dữ liệu cá nhân. Các hoạt động xử lý dữ liệu cá nhân phải tuân thủ quy định của pháp luật, phải thông báo cho chủ thể dữ liệu về mục đích, phương pháp, loại thông tin được xử lý và quyền lợi hợp pháp của chủ thể dữ liệu. Ngoài ra, khi xử lý dữ liệu cá nhân nhạy cảm cần phải thông báo cho chủ thể dữ liệu biết về các quyền, tác động, ảnh hưởng có thể xảy ra để chủ thể dữ liệu biết và có biện pháp phòng tránh.
Hai là, phải có sự quản lý của Nhà nước đối với các hoạt động xử lý dữ liệu cá nhân và đối với các hệ thống thu thập dữ liệu cá nhân trên quy mô lớn, có phạm vi toàn bộ cư dân mạng của quốc gia. Sự quản lý của Nhà nước có thể thông qua cơ quan quản lý dữ liệu cá nhân. Cần có quy định cần xin phép trước khi chuyển toàn bộ dữ liệu công dân Việt Nam ra nước ngoài. Cần lường trước các hoạt động có thể gây ra hậu quả, tác hại về lâu dài cho chủ quyền, lợi ích an ninh quốc gia.
Ba là, quyền và lợi ích hợp pháp của công dân phải được bảo đảm trong hoạt động xử lý dữ liệu cá nhân. Các quyền của công dân bao gồm, quyền được biết, quyền đồng ý, quyền rút lại sự đồng ý, quyền hạn chế, quyền từ chối, quyền yêu cầu giải thích, quyền yêu cầu bồi thường thiệt hại, quyền khiếu nại và tố cáo, quyền chỉnh sửa và truy cập, xem thông tin về dữ liệu cá nhân của mình. Các quyền của công dân trong bảo vệ dữ liệu cá nhân cần được quy định bằng văn bản pháp luật.
Bốn là, biện pháp bảo vệ dữ liệu cá nhân cần được quy định cụ thể trong văn bản pháp luật nhằm bảo đảm tính an toàn ở mức tối thiểu và khuyến nghị ở mức cao. Các biện pháp bảo vệ dữ liệu cá nhân cần bảo đảm khả năng phòng, chống các hành vi, hoạt động gây hại có chủ đích hoặc sự cố có khả năng xảy ra, gây hậu quả đối với dữ liệu cá nhân, tác động tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
Một trong những nội dung quan trọng của biện pháp bảo vệ dữ liệu cá nhân là nắm được đầu mối liên hệ có trách nhiệm bảo vệ dữ liệu cá nhân của chủ thể xử lý dữ liệu cá nhân. Do đó, cần có sự giám sát của cơ quan bảo vệ dữ liệu cá nhân đối với hoạt động xử lý dữ liệu cá nhân của chủ thể xử lý dữ liệu.
Năm là, có mức xử lý phù hợp, đủ sức răn đe với hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Theo Đại tá Nguyễn Ngọc Cương, chúng ta cần phải nghiên cứu, đề xuất xây dựng ngay một hệ thống các quy định về các hành vi vi phạm, chế tài xử phạt vi phạm hành chính cho riêng lĩnh vực "bảo vệ dữ liệu cá nhân", để có thể quy định một cách đầy đủ, toàn diện và tập trung nhất về cách sử dụng khái niệm "bảo vệ dữ liệu cá nhân", về các hành vi vi phạm và chế tài xử phạt.
Tuy nhiên, việc quy định như thế nào để vừa hài hòa được cái chung (dữ liệu cá nhân nói chung) với cái riêng (thông tin/dữ liệu cá nhân trong các lĩnh vực quản lý Nhà nước), vừa phải bảo đảm phù hợp, thống nhất với hệ thống pháp luật về xử lý vi phạm hành chính hiện nay thì cần phải có sự đầu tư và nghiên cứu rõ hơn.
Đại tá Nguyễn Ngọc Cương cũng cho biết, về lâu dài, Việt Nam cần nghiên cứu hoàn thiện hơn nữa thể chế về "bảo vệ dữ liệu cá nhân" và bảo đảm thực hiện quyền "bảo vệ dữ liệu cá nhân" đặt trong tổng thể thể chế quyền riêng tư, bí mật cá nhân, bí mật gia đình theo đúng tinh thần của Hiến pháp năm 2013 và Công ước Liên Hợp Quốc về các quyền dân sự, chính trị. Cần "quy hoạch" lại hệ thống các chế tài xử phạt vi phạm hành chính căn cứ vào các quy phạm pháp luật có nội dung về "bảo vệ dữ liệu cá nhân" đảm bảo phù hợp với hệ thống các văn bản về xử lý vi phạm hành chính hiện nay.
Bên cạnh đó, Đại tá Nguyễn Ngọc Cương cũng đề xuất nghiên cứu, bổ sung quy định về chế tài hình sự liên quan tới vi phạm quy định về bảo vệ dữ liệu cá nhân, như: hành vi thiết lập hệ thống thu thập thông tin, dữ liệu cá nhân trên quy mô lớn, trái pháp luật; xây dựng các phần mềm gián điệp có chức năng thu thập thông tin, dữ liệu cá nhân; buôn bán dữ liệu cá nhân quy mô lớn; tiết lộ dữ liệu cá nhân trái pháp luật gây thiệt hại về tính mạng, tài sản.
Đặc biệt, mức xử phạt vi phạm hành chính cũng cần đủ sức răn đe. Theo Đại tá Nguyễn Ngọc Cương, rà soát ở hầu hết các ở các nghị định quy định về xử phạt vi phạm hành chính thì mức phạt tiền trung bình trong các lĩnh vực được áp dụng đối với các hành vi vi phạm liên quan đến xâm phạm các quy định về "bảo vệ dữ liệu cá nhân" chưa cao. Nếu so sánh với quy định chung về bảo vệ dữ liệu do Ủy ban Châu Âu xây dựng (GDPR) áp dụng dưới tương quan về tình hình phát triển kinh tế, mức thu nhập bình quân thì có thể thấy, mức phạt trong luật pháp Việt Nam còn khá nhẹ, trong khi hậu quả từ hành vi xâm phạm quyền riêng tư có thể rất nghiêm trọng, gây tổn hại tới danh dự, nhân phẩm, an toàn và cả tính mạng của không chỉ một mà có thể là nhiều nạn nhân.
Dữ liệu cá nhân là nguyên liệu đầu vào phong phú để khai thác trong nhiều lĩnh vực do đó, bên cạnh việc xây dựng, hoàn thiện quy định của pháp luật về bảo vệ dữ liệu cá nhân, thì bản thân các tổ chức, DN và đặc biệt là người dân cần ý thức được tầm quan trọng của vấn đề bảo vệ dữ liệu cá nhân khi tham gia sử dụng các dịch vụ trên không gian mạng./.