Bảo vệ dữ liệu cá nhân như thế nào?

Dự thảo nghị định quy định về bảo vệ dữ liệu cá nhân đang nhận được sự quan tâm lớn, kỳ vọng sẽ tạo cơ sở pháp lý để đảm bảo tốt hơn quyền con người, quyền công dân liên quan đến dữ liệu cá nhân.

Đại dịch COVID-19 đã gây tổn hại rất lớn đối với toàn bộ đời sống xã hội. Tuy nhiên, đây cũng là yếu tố thúc đẩy mạnh mẽ việc ứng dụng công nghệ thông tin trong quản lý nhà nước và là điều kiện thuận lợi để kiểm tra các hệ thống dữ liệu đã, đang hình thành ở Việt Nam từ cấp quốc gia đến địa phương.

Nỗi lo lộ dữ liệu cá nhân

Thời gian qua, rất nhiều dữ liệu cá nhân (DLCN) đã bị thu thập rất nhanh thông qua các ứng dụng (app) do Nhà nước hoặc các chủ thể liên quan bắt buộc người dân phải khai báo nếu muốn được khám bệnh, đi lại, vào siêu thị, mua sắm…

Điều này càng đặt ra mối lo ngại về việc lộ DLCN, về mua bán dữ liệu, đánh cắp dữ liệu đang diễn ra trên không gian mạng.

Thời gian qua, rất nhiều dữ liệu cá nhân đã bị thu thập rất nhanh thông qua các ứng dụng bắt buộc người dân phải khai báo nếu muốn được khám bệnh, đi lại… Ảnh minh họa: HOÀNG GIANG

Thời gian qua, rất nhiều dữ liệu cá nhân đã bị thu thập rất nhanh thông qua các ứng dụng bắt buộc người dân phải khai báo nếu muốn được khám bệnh, đi lại… Ảnh minh họa: HOÀNG GIANG

Theo báo cáo thực trạng công tác bảo vệ DLCN của Bộ Công an năm 2019, có hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, DLCN trên không gian mạng. Đó là các công ty cung cấp giải pháp công nghệ, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện... Chỉ cần gõ từ khóa là “mua bán dữ liệu khách hàng” trên Google sẽ có ngay gần 5.400 kết quả.

Vì vậy, dự thảo nghị định quy định về bảo vệ DLCN đang nhận được sự quan tâm lớn, kỳ vọng sẽ tạo cơ sở pháp lý để đảm bảo tốt hơn quyền con người, quyền công dân liên quan đến DLCN.

Cần quy định rõ dữ liệu cá nhân là gì và cấp độ bảo mật

Hệ thống pháp luật ở nước ta hầu như chưa sử dụng thuật ngữ “DLCN”, mà có các từ như “thông tin cá nhân”, “thông tin riêng tư”, “thông tin cá nhân trên môi trường mạng”, “thông tin bí mật đời tư”, “thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình”, “thông tin của người tiêu dùng”… Tuy nhiên, với DLCN (personal data) là thông tin cho phép xác định hoặc nhận dạng trực tiếp hay gián tiếp một con người cụ thể.

Dựa vào khả năng tác động của dữ liệu tới đời sống, tâm lý con người, DLCN được chia thành hai loại:

(i) DLCN cơ bản gồm những thông tin cụ thể cho phép xác định trực tiếp danh tính một con người như tên, tuổi, giới tính, dân tộc.

(ii) DLCN nhạy cảm gồm những thông tin liên quan trực tiếp đến quyền cơ bản, tự do của con người và khi xử lý những thông tin này có thể tạo ra rủi ro đối với quyền này, tác động nghiêm trọng đến danh dự, nhân phẩm của con người như quan điểm chính trị, tôn giáo, tình trạng đời sống tình dục, đặc điểm di truyền học; tình trạng sức khỏe; thông tin vi phạm pháp luật; thông tin về vị trí địa lý thực tế của cá nhân ở quá khứ và hiện tại; về các mối quan hệ xã hội…

Khi tách hai nhóm như trên, cần có cấp độ bảo mật khác nhau, phân quyền truy cập khác nhau và tôi ủng hộ cách phân chia như trong dự thảo. Bởi hiện tại mới chỉ có Luật An toàn thông tin mạng quy định về nguyên tắc bảo vệ thông tin cá nhân nhưng theo hướng cá nhân tự bảo vệ và tuân thủ quy định của pháp luật. Do đó, theo tôi, nghị định mới cần bổ sung nguyên tắc xử lý việc tiết lộ thông tin cá nhân mà chưa có sự đồng ý của chủ thể.

Không cần quy định “chứng minh mục đích vi phạm”

Điều đặc biệt của dự thảo nghị định này là tích hợp quy định quy tắc chung về bảo vệ DLCN, về cơ quan quản lý nhà nước và chế tài xử lý vi phạm.

Về xử lý hành chính, theo Điều 22 dự thảo thì hành vi vi phạm về tiết lộ DLCN, về xử lý DLCN sau khi chủ thể dữ liệu chết, về xử lý DLCN trong trường hợp không có sự đồng ý của chủ thể dữ liệu… sẽ bị phạt 50-80 triệu đồng, vi phạm lần hai sẽ bị phạt 80-100 triệu đồng, vi phạm lần ba sẽ bị phạt tiền tối đa 5% tổng doanh thu của bên bị xử lý vi phạm DLCN tại Việt Nam.

Tuy nhiên, dự thảo chưa quy định rõ khoảng thời gian để xác định số lần vi phạm nên khả năng gây khó khăn khi áp dụng.

Hiện nay, còn có các quy định liên quan đến hành vi này, cần thống nhất để khi áp dụng không mâu thuẫn, như khoản 2 Điều 100 Nghị định 15/2020 quy định phạt tiền 20-30 triệu đồng đối với hành vi tiết lộ thông tin thuộc bí mật đời tư cá nhân và bí mật khác mà chưa đến mức truy cứu trách nhiệm hình sự.

Đối với tổ chức lưu trữ thông tin thì phạt 10-20 triệu đồng về tiết lộ thông tin đời sống riêng tư, bí mật cá nhân, bí mật gia đình mà chưa đến mức truy cứu trách nhiệm hình sự (khoản 3 Điều 102); hoặc Điều 51 Nghị định 167/2013 thì hành vi tiết lộ hoặc phát tán tư liệu, tài liệu thuộc bí mật đời tư của thành viên gia đình bị phạt tiền 1-1,5 triệu đồng khi hành vi này phải gắn với mục đích nhằm xúc phạm danh dự, nhân phẩm.Việc pháp luật yêu cầu phải chứng minh mục đích của cá nhân, tổ chức tiết lộ, phát tán bí mật đời tư của người khác là điều không hợp lý.

Bổ sung “Quyền được lãng quên” trong không gian mạng Internet

Quyền này được hiểu là quyền đảm bảo những thông tin riêng tư về cá nhân sẽ bị xóa khỏi các kết quả tìm kiếm trên Internet và các nền tảng lưu trữ khác trong một số trường hợp nhất định tại một thời điểm nhất định nhằm mục đích không cho phép bên thứ ba truy cập thông tin. Bởi thực tế, chỉ sau vài cú nhấp chuột, thông tin cá nhân của một ai đó hoàn toàn có thể được định danh, được lưu trữ mãi mãi trên môi trường mạng và người này muốn lãng quên (chỉ có cơ quan có thẩm quyền lưu trữ các thông tin này).

Quyền này liên quan trực tiếp đến quyền bảo vệ DLCN, quyền riêng tư. Việc ghi nhận quyền này sẽ gây áp lực cho các nhà khai thác công cụ tìm kiếm khi nhận được yêu cầu gỡ bỏ những thông tin, hình ảnh, video có liên quan đến cá nhân. Tức những thông tin này từng được công chúng biết đến trong một thời điểm nhất định trước đó nhưng hiện tại, cá nhân có liên quan không muốn để bên thứ ba tiếp cận được.

Họ muốn được lãng quên để có cuộc sống bình an hiện tại hoặc để quá trình tái hòa nhập xã hội được dễ dàng hơn (thường là những thông tin, hình ảnh về sự bồng bột của tuổi trẻ hoặc thông tin vi phạm pháp luật mà họ đã nộp tiền xử phạt, đã chấp hành xong án phạt quá lâu).

TS THÁI THỊ TUYẾT DUNG, ĐH Kinh tế - Luật, ĐHQG TP.HCM

Nguồn PLO: https://plo.vn/phap-luat/bao-ve-du-lieu-ca-nhan-nhu-the-nao-1012279.html