Luật hóa để bảo vệ dữ liệu cá nhân

Chúng ta phải bảo vệ dữ liệu cá nhân như tài sản quan trọng nhất của cá nhân. (Ảnh minh họa: MT)

Hàng nghìn dữ liệu bị mua bán trên không gian mạng

Theo các cơ quan chức năng, việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp…

Trung tướng Nguyễn Minh Chính, Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Bộ Công an, Phó Chủ tịch Thường trực Hiệp hội An ninh mạng quốc gia thông tin tại hội thảo “An ninh dữ liệu trên không gian mạng”, công nghệ thông tin ngày càng lan tỏa vào cuộc sống, người dùng càng cung cấp nhiều dữ liệu, dữ liệu cá nhân hơn lên không gian mạng. Các doanh nghiệp ngày càng sử dụng nhiều sản phẩm, dịch vụ phân tích dữ liệu khách hàng, dữ liệu cá nhân để tối đa hóa lợi nhuận.

Tuy nhiên, người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai. Không những thế, tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý, nhiều hành vi chưa được xử lý vì thiếu quy định pháp luật.

Các công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua.

Sáng 19/7/2024, Thủ tướng Phạm Minh Chính, Chủ tịch Ủy ban Quốc gia về chuyển đổi số chủ trì Hội nghị Thường trực Chính phủ về Chuyển đổi Số, trong phần kết luận, Thủ tướng yêu cầu Bộ Công an khẩn trương hoàn thiện đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân; tham mưu xây dựng, trình Thủ tướng ban hành Chỉ thị về đẩy mạnh triển khai Nghị quyết 175/NQ-CP để đẩy nhanh tiến độ xây dựng Trung tâm dữ liệu quốc gia; phối hợp với các Bộ, ngành, địa phương xác định lộ trình để đưa các tiện ích thiết yếu lên ứng dụng VNeID, nhất là hoàn thành lý lịch tư pháp, sổ sức khỏe điện tử, giấy khai sinh, kết hôn... để người dân trên cả nước được sử dụng, thụ hưởng, hoàn thành trước 31/12/2024.

Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.

Cùng đó, một số công ty được thành lập mới, đầu tư xây dựng, vận hành hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; tán phát mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng; tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân.

Trong năm 2023, Bộ Công an đã phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên không gian mạng. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.

Đồng thời, ông Lê Quang Hà, Phó Giám đốc (phụ trách công nghệ), Công ty An ninh mạng Viettel, trong 6 tháng đầu năm 2024 đã ghi nhận 46 vụ lộ lọt rao bán dữ liệu; 13 triệu bản ghi dữ liệu bị rao bán; 12,3 GB mã nguồn bị lộ lọt; 10 vụ tấn công mã hóa dữ liệu; 56 tổ chức có dấu hiệu bị tấn công bước đầu bởi các mã độc mã hóa dữ liệu.

Công nghệ càng phát triển, càng cần Luật Dữ liệu cá nhân

Các đại biểu tại Hội thảo An ninh dữ liệu trên không gian mạng. (Ảnh: BTC).

Theo các chuyên gia công nghệ, trong bối cảnh cuộc cách mạng công nghiệp lần thứ 4 phát triển mạnh mẽ, dữ liệu đã trở thành nguồn tài nguyên và động lực phát triển mới cho các quốc gia và kỷ nguyên số. Bảo vệ thông tin cá nhân, dữ liệu cá nhân góp phần quan trọng vào sự thành công của việc chuyển đổi số toàn diện mà Việt Nam đang tiến hành. Trong chuyển đổi số, dữ liệu là sức mạnh, là nguồn tài nguyên quý giá song hiện nay, nó bị lạm dụng như một thứ hàng hóa.

Việt Nam với gần 80 triệu người dùng Internet, đứng đầu Đông Nam Á về số lượng tên miền quốc gia và có ngành công nghiệp thông tin phát triển mạnh. Đây là thách thức lớn trong việc bảo vệ dữ liệu cá nhân trên không gian mạng.

Đơn cử, theo báo cáo của IBM, chi phí của các cuộc xâm phạm dữ liệu lên tới gần 5 triệu USD. Các doanh nghiệp phải hứng chịu hậu quả nặng nề hơn khi ngày càng phải chi trả nhiều hơn cho các dịch vụ khôi phục thông tin bị mất hoặc bị đánh cắp sau khi vi phạm xảy ra.

Do đó, Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã ra đời và có hiệu lực từ tháng 7/2023, quy định những nguyên tắc cơ bản về bảo vệ dữ liệu cá nhân, bước đầu đặt nền móng cho hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân. Đồng thời đưa ra những nguyên tắc về việc các tổ chức, doanh nghiệp phải tuân thủ chặt chẽ cả yêu cầu quản lý cũng như yêu cầu kỹ thuật trong bảo vệ dữ liệu cá nhân.

Cục An toàn Thông tin - Bộ TT-TT cho biết chỉ khoảng 20% nguyên nhân để lọt, lộ thông tin cá nhân thuộc về nhà cung cấp dịch vụ. Trong khi đó, 80% nguyên nhân lộ, lọt thông tin cá nhân là do sự bất cẩn của người dùng. Theo kinh nghiệm của nhiều nước trên thế giới, để bảo vệ an toàn dữ liệu cá nhân, cần giải pháp đồng bộ từ phía người dùng, tổ chức thu thập, sử dụng và cơ quan công quyền. Việc này không chỉ dựa vào thỏa thuận, cam kết và các quy định của từng tổ chức với người dùng mà đã đến lúc cần phải luật hóa cụ thể với những biện pháp chặt chẽ hơn cũng như các hình thức chế tài nghiêm minh hơn.

Việt Nam đã có Luật An toàn thông tin mạng năm 2015. Luật này quy định tổ chức, cá nhân thu thập, sử dụng thông tin cá nhân khi có sự đồng ý của chủ thể về phạm vi, mục đích; chỉ sử dụng thông tin cá nhân vào mục đích khác mục đích ban đầu khi có sự đồng ý của chủ thể; không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền...

Chính phủ đã vào cuộc trong việc bảo vệ dữ liệu cá nhân. Ngày 7/2/ 2024, Thủ tướng đã ký ban hành Nghị quyết 13/NQ-CP “Thông qua hồ sơ xây dựng Nghị định bảo vệ dữ liệu cá nhân”. Theo đó, Chính phủ đồng ý quy định dữ liệu cá nhân được xử lý không cần sự đồng ý của chủ thể trong các trường hợp được liệt kê cụ thể, trong đó có việc để bảo vệ tính mạng, sức khỏe của chủ thể hoặc người khác trong tình huống khẩn cấp. Bộ trưởng Bộ Công an được giao thay mặt Chính phủ báo cáo, xin ý kiến Ủy ban Thường vụ Quốc hội về dự thảo Nghị định bảo vệ dữ liệu cá nhân. Nghị định này chỉ là bước đầu để tiến tới sự luật hóa cao hơn.

Tại một hội thảo về an toàn dữ liệu cá nhân, bảo vệ quyền lợi người dùng, nhiều đại biểu đã đề xuất nghiên cứu ban hành luật về bảo vệ dữ liệu cá nhân hoặc luật về bảo vệ thông tin cá nhân. Luật này nhằm ràng buộc trách nhiệm của doanh nghiệp và các chủ thể liên quan. Đồng thời tạo hành lang pháp lý an toàn để các doanh nghiệp thu thập, khai thác, sử dụng hợp pháp thông tin cá nhân.

Từ thực trạng trên, việc xây dựng Luật Bảo vệ dữ liệu cá nhân đang trở nên cấp bách và cần thiết. Bộ Công an đang đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân. Dự thảo luật quy định 4 đối tượng áp dụng chính là Cơ quan, tổ chức, cá nhân Việt Nam; Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

Ngoài ra, dự thảo quy định về điều kiện bảo vệ dữ liệu cá nhân đối với các tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân; dịch vụ cung cấp tổ chức, nhân sự bảo vệ dữ liệu cá nhân (DPO); yêu cầu đánh giá tác động xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân ra nước ngoài như một bản cam kết trước pháp luật về hoạt động xử lý dữ liệu cá nhân…

Bộ trưởng Bộ TT-TT Nguyễn Mạnh Hùng lưu ý khi đề cập vấn đề bảo vệ dữ liệu cá nhân.: “Chúng ta phải bảo vệ dữ liệu cá nhân như tài sản quan trọng nhất của cá nhân, nhất là dữ liệu danh tính như họ tên, địa chỉ, số điện thoại, thẻ tín dụng… Một người khác có thể mạo danh hoạt động thay chúng ta, tiêu tiền của chúng ta mà ta không biết”…

Nguyễn Mỹ