Phòng, chống mua bán trái phép dữ liệu cá nhân và kinh nghiệm quốc tế
An toàn thông tin - Ngày đăng : 08:47, 02/08/2021
Tuy nhiên, thông tin cá nhân, dữ liệu cá nhân được ngầm mua bán, trao đổi từ lâu nay bất chấp sự bức xúc của dư luận cũng như nỗ lực xử lý của cơ quan chức năng. Theo BLHS 2015 (sđ, bs2017), người viphạm còn có thể bị xử lý hình sự đến 7 năm tù về “tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” (Điều 288).
Ngoài ra, tùy vào mức độ vi phạm của hành vi mà người vi phạm sẽ bị xử phạt hành chính đến 40 triệu đồng (Điều 46 NĐ 98/2020/NĐ-CP) hoặc đến 70 triệu đồng (Điều 102 NĐ 15/2020/NĐ-CP). Hiện dự thảo Nghị định Bảo vệ dữ liệu cá nhân do Bộ Công an soạn thảo vẫn đang lấy ý kiến, trong khi các quy định về xử lý tin nhắn rác, cuộc gọi rác dường như không hiệu quả với việc chỉ có 128.970 thuê bao bị ngăn chặn giai đoạn từ tháng 7/2020 đến tháng 3/2021 (trung bình 14.330 thuê bao/tháng) theo số liệu của Cục Viễn thông.
Mua bán dữ liệu cá nhân: công khai dưới mọi hình thức
Anh Hoàng, một người bạn của tác giả bài viết này, là doanh nhân bận rộn và phải di chuyển nhiều nơi cũng như có nhiều mối quan hệ với khách hàng. Anh Hoàng cảm thấy mệt mỏi khi ngày càng nhận nhiều cuộc gọi và tin nhắn rác bất kể thời gian và giờ giấc của những người xưng là đại diện của Sàn GD BĐS ABC, hay dự án BĐS XYZ nào đó.
Chưa hết, thời gian gần đây, bùng lên các cuộc gọi mời chào mua bán chứng khoán quốc tế mà người gọi (giọng Nam) cố tình đọc thật nhanh tên của Công ty như BKG hay PKJ gì đó nếu được hỏi là gọi từ đâu mời chào anh đầu tư chứng khoán quốc tế Forex. Các tin nhắn thì đến bất kể giờ giấc, từ BĐS, Bảo hiểm, mở thẻ tín dụng, cho vay ngân hàng, mua trái phiếu đến làm bằng giả các loại, đánh cờ bạc online.... Thậm chí sáng mua vé máy bay của hãng hàng không B cho chuyến bay trên website của chính hãng bay, chiều đã nhận được tin nhắn và cả cuộc gọi của dịch vụ đặt xe ô tô đi sân bay. Gọi điện đến tổng đài nhà mạng (anh Hoàng đã chuyển từ nhà mạng A sang nhà mạng B dù gắn bó mới nhà mạng A được gần 20 năm, nhưng do nhận quá nhiều cuộc gọi và tin nhắn rác mà nhà mạng A không có động thái gì bảo vệ khách hàng lại còn yêu cầu nếu muốn chặn thì phải đóng thêm tiền cước hàng tháng), anh cũng chỉ được nhân viên tổng đài ghi nhận phản ánh và rồi đâu vẫn vào đó vì tin nhắn và cuộc gọi rác còn nhận nhiều hơn. Giải pháp cuối cùng mà anh Hoàng và nhiều khách hàng làm đó là nhắn tin đến Tổng đài 5656 của Cục ATTT- Bộ TT&TT, tin nhắn nhận lại là “Cảm ơn bạn đã cung cấp thông tin về cuộc gọi rác/tin nhắn rác”.
Tình cảnh của anh Hoàng cũng là của nhiều người khác đang phải gánh chịu những tháng gần đây và có thể còn tiếp diễn. “Tôi có cảm giác nhà mạng họ đã buông và mặc kệ khách hàng phải tự đối phó với vấn nạn tin nhắn và cuộc gọi rác, bằng chứng là rất ít nhà mạng nhắn tin lại cho khách hàng xem là tin nhắn vừa nhận và số điện thoại vừa gọi có phải là rác hay không. Mặc dù họ nói rằng có thuật toán này, công nghệ AI nọ sẽ giúp chặn tin nhắn hay cuộc gọi kiểu này, nhưng thực tế tôi, bạn bè, người thân trong gia đình, khách hàng , đối tác... ngày nào cũng nhận được hàng chục cuộc gọi và tin nhắn kiểu như vậy. Quy định xử phạt nhà mạng buông lỏng hay không có các biện pháp kỹ thuật ngăn chặn hay người phát tán tin nhắn rác và cuộc gọi rác là không hiệu quả”, anh Hoàng ngán ngẩm nói. Cực chẳng đã, anh Hoàng và nhiều người cài phần mềm chặn tin nhắn và cuộc gọi rác từ nước ngoài trên các ứng dụng Google Play hoặc IOS (ví dụ: Truecaller) với hy vọng, sau mỗi cuộc gọi và tin nhắn nhận được, mọi người sẽ cùng định danh cuộc gọi và tin nhắn là rác đó để sau này nếu như có cuộc gọi như vậy phát sinh, nếu ai cũng cài phần mềm này hay các phần mềm nhận dạng cuộc gọi, tin nhắn rác tương tự, họ sẽ dễ dàng từ chối (block) cuộc gọi/tin nhắn rác đó cũng như hình thành nên cộng đồng nhằm đối phó với vấn nạn rác này. “Mình nên tự cứu mình trước khi chờ ai cứu” anh Hoàng kết luận.
Theo số liệu thống kê của Cục ATTT, tổng số thuê bao phát cuộc gọi rác quấy rối người tiêu dùng bị ngăn chặn từ tháng 7/2020-3/2021 là 128.970 (trung bình là 14.330 thuê bao/tháng). Riêng tháng 3/2021, số thuê bao phát tán cuộc gọi rác bị chặn là 17.276 (Bảng 1). Rõ ràng, đây là con số chỉ chiếm một phần quá nhỏ trong tổng số gần 125 triệu thuê bao di động đang hoạt động hiện nay (2/2021) và mức độ nhận tin nhắn và cuộc gọi rác liên tục mà KH nhận được thời gian qua.
Theo Bộ Công an, hiện nay, hành vi mua bán dữ liệu cá nhân đang diễn ra dễ dàng, phổ biến theo 2 hình thức chính: (i) Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác; (ii) Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.
Việc buôn bán dữ liệu cá nhân hiện nay trên thị trường diễn ra dưới cả 2 dạng nêu trên, tiến hành kinh doanh dữ liệucánhânthôvàdữliệucánhânđãquaxửlý.Cácdữ liệu này được mua đi, bán lại nhiều lần, cung cấp dưới dạng dịch vụ như databox.vn, databoxviet.com, laydata.com, laydata.net, khodata.net, databox.biz, fff.com.vn, cokhach. com, vltoolkit.com. Các gói dữ liệu thô được rao bán liên quan tới nhiều lĩnh vực: danh sách cán bộ, danh sách nội bộ (bao gồm cả các đơn vị công an, quốc phòng, thuế...); điện lực; thuê bao Internet; ngân hàng (chi tiết tới cả số dư tài khoản); bảo hiểm; hồ sơ đăng ký kinh doanh; giáo dục (phụ huynh, giáo viên, học sinh sinh viên); bất động sản (kèm theo khả năng tài chính); nhân sự có chọn lọc (mức thu nhập, chức vụ); danh sách khách hàng sử dụng các dịch vụ Internet (danh sách thành viên đăng ký facebook, fpt, vnn.com, yahoo.com, gmail.com, gov.vn, hopthu.com, hotmail.com, saigonnet.vn).
Tình trạng mua bán dữ liệu (data) cá nhân diễn ra công khai ở nhiều lĩnh vực như bảo hiểm, bất động sản, tín dụng, chứng khoán,... với giá dao động từ 600- 800 đồng/ thông tin hay 500.000 VNĐ-1 triệu/1000 số điện thoại khách hàng. Ngoài giao dịch qua điện thoại, email, nhiều website đang hoạt động dưới hình thức thu phí tự động từ 5.000- 15.000 đồng/lần tải các tệp dữ liệu cá nhân đối với những người có nhu cầu.
Qua rà soát sơ bộ, Bộ Công an phát hiện hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng, bao gồm: các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện... Do quy định của pháp luật chưa chặt chẽ, chế tài chưa bao trùm được các hành vi vi phạm, chưa đủ sức răn đe nên việc xử lý các đối tượng có hành vi kinh doanh dữ liệu cá nhân trái pháp luật chưa đáp ứng yêu cầu.
Ngoài ra, Bộ Công an cho biết đã xuất hiện các công ty cung cấp dịch vụ bán cho khách hàng phần mềm thu thập thông tin cá nhân trái phép, được cài ẩn trong các trang mạng bán hàng. Theo đó, khi người dùng truy cập vào các trang mạng này, doanh nghiệp sẽ thu thập được các thông tin cá nhân sâu hơn về phiên truy cập như địa chỉ IP, thời gian, số điện thoại, địa điểm. Các đối tượng phạm tội tiến hành thu thập thông tin cá nhân trái phép bằng cách sử dụng mã độc, phần mềm có tính năng gián điệp để thu thập dữ liệu cá nhân trong môi trường mạng qua máy tính và điện thoại di động; tấn công, xâm nhập hệ thống máy tính, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và sẵn sàng của máy tính người sử dụng để chiếm đoạt thông tin cá nhân, dữ liệu cá nhân. Bộ Công an dẫn chứng, hình thức này đang diễn ra phổ biến, ngày càng có tính chất nguy hiểm như file chứa dữ liệu của 163.666.400 tài khoản Zing ID của Công ty VNG; hơn 5 triệu email và hàng chục ngàn thông tin thẻ thanh toán như visa, thẻ tín dụng... được cho là của Thế giới Di động và Điện Máy Xanh... bị đăng tải trên mạng.
Ngày 18/5/2021, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an) thông báo vừa triệt phá đường dây thu thập, chiếm đoạt, mua bán trái phép dữ liệu quy mô lớn xảy ra tại TP. Hà Nội, TPHCM và một số địa phương khác. Trước đó, ngày 13/5/2021, một hacker đã lên mạng rao bán dữ liệu xác thực thông tin cá nhân (KYC) của gần 10.000 người Việt Nam. Chuyên gia an ninh mạng cho rằng các tổ chức tài chính, ví điện tử, ngân hàng... cần xem xét lại toàn bộ quy trình triển khai, bảo vệ, bảo mật dữ liệu xác thực nhân thân (KYC).
Theo cơ quan điều tra các bị can đã thu thập, chiếm đoạt, mua bán, sử dụng trái phép gần 1.300 GB dữ liệu chứa hàng tỉ thông tin về các cá nhân, tổ chức trên toàn quốc. Các thông tin cá nhân bị mua bán là của các khách hàng điện lực, khách hàng ngân hàng, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu, thuê bao điện thoại, nhà đầu tư tài chính... Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao cho biết những dữ liệu này được các bị can thu thập từ nhiều nguồn và bằng nhiều phương thức khác nhau. Theo đó, cơ quan công an cho biết các đối tượng đã lợi dụng quyền quản trị hệ thống thông tin tại một số cơ quan, doanh nghiệp, tổ chức để trích xuất dữ liệu.
Cơ quan công an còn phát hiện nhiều cá nhân, doanh nghiệp mua dữ liệu với số lượng lớn từ các bị can để sử dụng trái phép nhằm thu lợi bất chính. Cơ quan điều tra cho rằng có dấu hiệu thiếu trách nhiệm, buông lỏng quản lý của một số cơ quan, tổ chức, doanh nghiệp đối với thông tin, dữ liệu cá nhân về khách hàng do họ quản lý. Những điều này đồng nghĩa với việc nhiều cơ quan, tổ chức, doanh nghiệp đã coi nhẹ việc bảo vệ thông tin khách hàng của chính mình. Thậm chí nhiều người còn bức xúc cho rằng khách hàng đã bị các cơ quan, tổ chức, doanh nghiệp... “bán đứng”.
Mua bán dữ liệu cá nhân trái phép: cần xử lý nghiêm và hoàn thiện ngay khung pháp lý
Một thực tế phổ biến của tình trạng mua-bán dữ liệu cá nhân trái phép thời gian qua là cả người mua (cá nhân, doanh nghiệp) và người bán đều không biết sợ phạt hay “nhờn” luật vì họ nghĩ rằng, trong môi trường mạng, tìm ra được ai bán ai mua là cả một thách thức, nhất là khi chỉ rao bán trong hội nhóm kín và các trang website có máy chủ đặt tại nước ngoài, hay lợi dụng mức độ phổ biến của các mạng xã hội (Facebook) hay các ứng dụng OTT phổ biến (Zalo, Viber,...) để mua bán hay trao đổi. Thậm chí có người mua còn cho rằng việc tìm mua data khách hàng để phục vụ cho công việc kinh doanh, công việc bán hàng sẽ giúp người bán tiết kiệm thời gian, công sức hơn là tự tìm kiếm hay đến tận nơi tư vấn. Nguồn dữ liệu khách hàng được lọc qua nhiều nguồn thông tin để đảm bảo thu về danh sách khách hàng tiềm năng ở mọi ngành nghề và phân loại theo khu vực, thuận tiện cho nhu cầu của người mua đang khiến không ít người trở thành “nạn nhân” bị trục lợi.
Hiến pháp và Bộ luật Dân sự 2015 đều có quy định bảo vệ, bí mật và bất khả xâm phạm đối với “đời sống riêng tư, bí mật cá nhân, bí mật gia đình” và “thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân”. Theo BLHS 2015 (sđ, bs 2017), người vi phạm còn có thể bị xử lý hình sự đến 7 năm tù về “Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” (Điều 288). Ngoài ra, tùy vào mức độ vi phạm của hành vi mà người vi phạm sẽ bị xử phạt hành chính đến 40 triệu đồng (Điều 46 NĐ 98/2020/NĐ-CP) hoặc đến 70 triệu đồng (Điều 102 NĐ 15/2020/NĐ-CP).
Cho đến thời điểm hiện nay (27/5/2021), Dự thảo Nghị định bảo vệ dữ liệu cá nhân do Bộ Công an dự thảo vẫn chưa được Chính phủ ký ban hành. Đáng lưu ý, Điều 22 của dự thảo nghị định quy định cụ thể mức xử phạt vi phạm hành chính đối với những hành vi vi phạm quy định về xử lý dữ liệu cá nhân với mức phạt tiền từ 50.000.000 đồng đến 80.000.000 đồng đối với các hành vi vi phạm quy định về quyền của chủ thể dữ liệu liên quan đến xử lý dữ liệu cá nhân; vi phạm quy định về tiết lộ dữ liệu cá nhân; vi phạm quy định về xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu chết; vi phạm quy định về xử lý dữ liệu cá nhân trong trường hợp không có sự đồng ý của chủ thể dữ liệu; vi phạm quy định về xử lý dữ liệu cá nhân tự động, dữ liệu cá nhân của trẻ em; vi phạm quy định về lưu trữ, xóa, hủy dữ liệu cá nhân. Đối với hành vi không áp dụng biện pháp kỹ thuật và xây dựng quy định về bảo vệ dữ liệu cá nhân; vi phạm quy định về đăng ký xử lý dữ liệu cá nhân nhạy cảm; vi phạm quy định về chuyển dữ liệu cá nhân qua biên giới... mức phạt tiền từ 80.000.000 đồng đến 100.000.000 đồng.
Tuy nhiên, cần có các hình thức phạt bổ sung đối với các cá nhân, doanh nghiệp/tổ chức có hành vi vi phạm trong việc quản lý, bảo mật, sử dụng dữ liệu cá nhân như cấm đảm nhiệm trong một số lĩnh vực hành nghề chuyên môn trong một thời hạn nhất định, thậm chí thu hồi giấy phép nhằm tránh tình trạng bất chấp quy định pháp luật để kiếm lời do lợi nhuận từ việc buôn bán dữ liệu cá nhân vẫn cao hơn mức xử phạt. Ngoài ra, việc xử phạt người mua dữ liệu cá nhân cũng cần được quy định cụ thể để đảm bảo tính răn đe và mức xử phạt như với người bán.
Theo khuyến nghị của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), để không bị đối tượng xấu lợi dụng hoặc trở thành nạn nhân của các cuộc tấn công lừa đảo, mỗi cá nhân cần trang bị kiến thức tốt để phòng tránh các tình huống lừa đảo có thể xảy ra. Theo đó, người dùng có thể lường trước một số kịch bản lừa đảo có thể xảy ra đối với mình và người thân, sẵn sàng thông báo cho cơ quan chức năng gần nhất khi có những cuộc gọi, thư điện tử khả nghi gửi đến. NCSC cũng khuyến cáo người dùng nên đảm bảo an toàn cho các tài khoản trực tuyến như tài khoản ngân hàng, ví điện tử, thư điện tử, Facebook... đặc biệt với tài khoản có chức năng thanh toán trực tuyến, chỉ mở tính năng này khi cần sử dụng. Người dùng nên cập nhật cho đơn vị cung cấp dịch vụ nếu số điện thoại đang gắn với các tài khoản ngân hàng, ví điện tử... không được sử dụng nữa.
Theo các chuyên gia an ninh mạng, việc bảo vệ dữ liệu người dùng đang là vấn đề cần được phối hợp từ nhiều phía, và ngăn chặn rò rỉ dữ liệu cũng yêu cầu nỗ lực từ chính người dùng bị ảnh hưởng. Ngoài việc thay đổi mật khẩu và sử dụng giải pháp diệt virus hiệu quả, biết cách phản ứng khi thông tin cá nhân bị đánh cắp sẽ giúp người dùng ngăn chặn tội phạm mạng khai thác thông tin trong tương lai. Ngay khi phát hiện truy cập đáng ngờ vào tài khoản, người dùng nên liên hệ ngay với nhà cung cấp dịch vụ để miễn trừ trách nhiệm khi có sự cố xảy ra. Trong trường hợp này, khi dữ liệu cá nhân xuất hiện công khai một cách không mong muốn, người dùng có thể phòng tránh những hậu quả về lâu dài sau khi thông tin cá nhân bị đánh cắp bằng cách giám sát hoạt động tài chính của bản thân vì đây vẫn là lĩnh vực tội phạm mạng quan tâm.
Kinh nghiệm quốc tế về bảo vệ dữ liệu cá nhân
Australia (Úc):
Tại Úc được coi là giao dịch thông tin cá nhân nếu như cá nhân, doanh nghiệp/tổ chức thu thập hoặc công bố các thông tin tới một cá nhân khác bất kỳ vì mục đích lợi nhuận, dịch vụ hay các ưu tiên/ưu đãi nào đó như các chi trả về tài chính, ưu đãi, phân phối hoặc các lợi ích dịch vụ khác.
Việc giao dịch thông tin cá nhân được hiểu là mua, bán hoặc đổi chác thông tin cá nhân, ví dụ như mua một danh sách email khách hàng mà không được sự uỷ quyền đồng ý trước của tất cả các cá nhân trong danh sách đó hoặc công khai chi tiết về khách hàng với một cá nhân bất kỳ cho mục đích kiếm lời trừ khi có thẩm quyền hoặc theo yêu cầu của luật pháp. Luật pháp của Úc quy định nếu một bên kinh doanh giao dịch thông tin cá nhân phải tuân thủ các quy định của Úc về Các nguyên tắc về quyền riêng tư (The Australian Privacy Principles -APP) trong Đạo luật về quyền riêng tư năm 1988 (Privacy Act).
Luật của Úc quy định khi bán toàn bộ một doanh nghiệp thì cũng không được bán các thông tin cá nhân mà DN đó có được và được bảo mật trong nội bộ DN mà không chia sẻ với bất cứ ai ngoài DN, trừ khi họ được sự uỷ quyền đồng ý của tất cả các cá nhân có liên quan trước khi việc mua bán hoàn thành.
Một hành vi bị coi là vi phạm các nguyên tắc về quyền riêng tư của Úc nếu như nó “can thiệp vào sự riêng tư của một cá nhân” và bên vi phạm có thể bị xử phạt hoặc bị áp dụng hành động pháp lý/quản lý. Theo Luật pháp của Úc (Privacy Act), tuỳ thuộc vào loại vi phạm, mức phạt có thể giao động từ 525.000 đến 2,1 triệu đô la Úc (AUD) cho tổ chức/doanh nghiệp vi phạm hoặc từ 105.000 AUD đến 420.000 AUD cho các cá nhân khác vi phạm. Một số vụ việc tiêu biểu là:
Hành động pháp lý liên quan đến rò rỉ dữ liệu người dùng Facebook của Công ty Cambridge Analytica: Ngày 9/3/2020, Uỷ viên về Quyền riêng tư của Úc thông báo các thủ tục pháp lý kiện Facebook lên Toà án Liên bang Úc liên quan đến vụ rò rỉ dữ liệu người của Công ty Cambridge Analytica với khoảng 300.000 người dùng Facebook của Úc do việc bị bán hoặc sử dụng cho các mục đích khác nhau bao gồm cả các hồ sơ chính trị, nằm ngoài mong muốn của người dùng.
Theo quan điểm của Uỷ viên, cáo buộc này là kết quả của việc Facebook đã vi phạm các nguyên tắc về quyền riêng tư của Úc trong giai đoạn từ 12/3/2014 đến 1/5/2015 khi các thông tin cá nhân của người Úc bị thu thập bởi App có tên gọi là “This is Your Digital Life” (Đây là cuộc sống số của bạn). Với mỗi hành vi làm trái nếu được chứng minh, mức phạt sẽ là 1,7 triệu đô la Úc. Nếu như phạt tối đa theo khoản 13G thì về mặt lý thuyết, theo tính toán Facebook có thể bị phạt đến hơn 500 AUD, mặc dù không chắc rằng Tòa án liên bang có chấp nhận mức phạt tối đa này hay không. Vào thời điểm vụ rò rỉ dữ liệu của Công ty Cambridge Analytica xảy ra, mức phạt theo Đạo luật về quyền riêng tư là 2,1 triệu đô Úc với tổ chức/doanh nghiệp hoặc 420.000 AUD với cá nhân vi phạm.
Hành động tập thể chống lại hãng viễn thông OPTUS:
Tháng 4/2020, một hành động tập thể đã được gửi đến Văn phòng của Uỷ viên Thông tin Úc (Office of the Australian Information Commissioner -OAIC) chống lại OPTUS - một trong 3 hãng viễn thông lớn nhất Úc.
Theo đó, tháng 10/2019, Optus thông báo đến khoảng 50.000 khách hàng của họ rằng thông tin cá nhân của họ, bao gồm tên, địa chỉ, số điện thoại đã được xuất bản trong cuốn danh bạ “Sách trắng” (White Pages) cả bản online và in giấy. Điều này xảy ra khi mà các khách hàng đã yêu cầu rằng không được xuất bản thông tin như vậy. Thông tin cá nhân đã được loại bỏ trên bản online của White Pages nhưng lại không loại bỏ trên bản in giấy. Cùng với thông báo với những khách hàng ảnh hưởng, Optus đã thông báo cho Uỷ viên về quyền riêng tư theo các quy định bắt buộc phải làm theo luật của Úc về các hành vi tiết lộ thông tin.
Theo Điều 38.1 của Đạo luật quyền riêng tư, một đại diện bất kỳ có thể làm khiếu nại đại diện cho tất cả những người bị ảnh hưởng và được xem là có cùng khiếu nại tập thể về vấn đề xâm phạm quyền riêng tư mà không cần phải có sự uỷ quyền đồng ý của tất cả người bị ảnh hưởng còn lại. Sau khi điều tra, Uỷ viên quyền riêng tư đã yêu cầu quyết liệt là xem xét có hay không một hành vi vi phạm Đạo luật về quyền riêng tư của Úc đã xảy ra của Optus.
Cả hai vụ việc của Facebook và Optus đã làm sáng tỏ rằng dưới Đạo luật về quyền riêng tư, các cá nhân có thể không cần trực tiếp tìm kiếm sự khôi phục tại các Toà án cho những sự can thiệp vào quyền riêng tư của họ. Nếu Uỷ viên Quyền riêng tư thành công trong các thủ tục chống lại Facebook, bất cứ mức phạt được đưa ra cũng sẽ không trả về các cá nhân bị ảnh hưởng bởi việc xâm phạm dữ liệu. Thêm vào đó, các mức phạt mà Uỷ viên có thể tìm kiếm trong vụ việc này là không theo tiêu chuẩn của cả Úc và quốc tế vì quá cao.
Trong vụ việc của Optus, bên khiếu nại sẽ cần phải thuyết phục Uỷ viên quyền riêng tư là việc bồi thường bằng tiền là hợp lý cho dù thực tế mức bồi thường thường là thấp. Chính phủ Úc đã nhấn mạnh rằng họ sẽ tiến lên phía trước với những sửa đổi về Đạo luật quyền riêng tư liên quan đến các hành vi xâm phạm theo cả hai hướng: tăng mức phạt của Uỷ viên quyền riêng tư cũng như các cá nhân có quyền tiến hành các hành đồng pháp lý trực tiếp. Cụ thể hơn, các sửa đổi Đại luật về quyền riêng tư năm 2020 sẽ là: Mức phạt lên đến 10 triệu AUD; Gấp 3 lần giá trị thu lợi có được từ việc sử dụng thông tin sai mục đích; 10% doanh thu nội địa hàng năm của thực thể vi phạm.
Uỷ ban Cạnh tranh và bảo vệ quyền lợi người tiêu dùng Úc (ACCC) cũng đã khuyến nghị các hành động trực tiếp theo Đạo luật quyền riêng tư cho các cá nhân có quyền yêu cầu đòi bồi thường với các hành vi vi phạm quyền riêng tư, bao gồm cả các thủ tục tiến hành các hành động kiện tập thể...
Liên minh châu Âu (EU):
Theo Luật pháp của Liên minh châu Âu, hành vi vi phạm nghiêm trọng thông tin cá nhân của Quy định về Bảo vệ Dữ liệu Chung (General Data Protection Regulation ) có thể bị phạt đến 20 triệu EURO hoặc 4% tổng doanh thu toàn cầu hàng năm của thực thể vi phạm. Hành vi ít nghiêm trọng hơn có thể bị phạt đến 10 triệu EURO hoặc 2% tổng doanh thu toàn cầu hàng năm của thực thể vi phạm.
Mỹ (USA):
Hành vi vi phạm về quyền riêng tư của Mỹ được điều chỉnh có sự khác nhau giữa luật pháp của từng tiểu bang và liên bang. Chẳng hạn, theo Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế năm 1996 (The Health Insurance Portability and Accountability Act of 1996- HIPAA), mức phạt tiền sẽ giao động từ 1000-50.000 USD/hành vi vi phạm hay được ghi nhận. Mức phạt có thể lên mức tối đa là 1,75 triệu USD/năm/hành vi vi phạm. Thực tế ở Mỹ vào năm 2019 có công ty đã đồng ý trả mức phạt kỷ lục lên đến 575 triệu đô la Mỹ, và có thể lên đến 700 triệu USD cho hành vi vi phạm liên quan đến Uỷ ban Thương mại Liên bang (Federal Trade Commission), Cục Bảo vệ Tài chính Người tiêu dùng (Consumer Financial Protection Bureau-CFTB), 48 tiểu bang, Quận Columbia (DOC) hay vùng lãnh thổ hải ngoại Puerto Rico.
Kết luận
Bảo vệ dữ liệu cá nhân cũng như xử lý nghiêm các hành vi vi phạm của các tổ chức, cá nhân xâm phạm vào quyền riêng tư hay mua bán trái phép thông tin cá nhân đang đặt ra những vấn đề pháp lý vô cùng bức thiết phải tích cực hoàn thiện ngay hệ thống pháp luật trong bối cảnh các quy định về phòng, chống mua bán dữ liệu cá nhân, ngăn chặn và kiểm soát việc mua bán dữ liệu cá nhân của Việt Nam đang không theo kịp với diễn biến của xã hội và bối cảnh công nghệ đang thay đổi nhanh chóng. Cũng với việc tham gia tích cực và chủ động của các cơ quan quản lý nhà nước trong việc xây dựng và hoàn thiện hệ thống pháp luật có liên quan đến bảo vệ dữ liệu cá nhân, mỗi cá nhân cũng cần phái tích cực trang bị cho mình những kiến thức pháp luật, công nghệ thông tin để tự bảo vệ mình trước các hành vi vi phạm. Các tổ chức, doanh nghiệp quản lý dữ liệu cá nhân cũng phải không ngừng nâng cấp và hoàn thiện hệ thống công nghệ, bảo mật cũng như tuân thủ các quy định của Nhà nước ban hành có liên quan đến bảo vệ dữ liệu cá nhân người dùng.
Tài liệu tham khảo:
1. Các trang web: Bộ TT&TT www.mic.gov.vn; Cục Viễn thông www.vnta.gov.vn; Bộ www.mps.gov. vn; Chính phủ www.chinhphu.vn;
2. Các báo: Thời báo Kinh tế Sài Gòn, Báo Lao Động, Báo VietnamNET, Báo VOV; Báo Công an Nhân dân; Báo Tuổi trẻ; ....
3. Websites: Úc: www.oaic.gov.au; www.accc.gov.au; www.ag.gov.au; Mỹ: www.hhs.gov; www.ftc.gov; EU: www.gdpr.eu;
4. The Australian Privacy Principles (APPs); the Privacy Act 1988; The General Data Protection Regulation (GDPR); Dự thảo 2 Nghị định về Bảo vệ dữ liệu cá nhân;
(Bài đăng ấn phẩm in Tạp chí TTT&TT số 7 tháng 7/2021)