Số CCCD, hợp đồng điện... bị lộ lọt do đâu?

Chiều 12-5, Quốc hội thảo luận tại tổ về dự thảo Luật Bảo vệ dữ liệu cá nhân (sửa đổi).

Giám đốc Đại học Quốc gia TP.HCM Vũ Hải Quân nêu băn khoăn về khái niệm "dữ liệu cá nhân" được hiểu là thông tin nhưng chưa có định nghĩa cụ thể thế nào là dữ liệu. Ông Quân cũng đề nghị cần làm rõ thế nào là mua dữ liệu, bán dữ liệu; chuyển giao dữ liệu cá nhân và mua, bán dữ liệu cá nhân khác nhau thế nào...

“Phải làm rõ nội hàm dữ liệu cá nhân; chuyển giao dữ liệu cá nhân và mua, bán dữ liệu cá nhân” – ông Quân nói và khẳng định chỉ khi làm rõ được những khái niệm này thì mới có thể áp dụng trong thực tiễn.

Giám đốc Đại học Quốc gia TP.HCM Vũ Hải Quân. Ảnh: QH

Trung tướng Nguyễn Minh Đức, Phó Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại của Quốc hội, nhấn mạnh mục đích cuối cùng của luật này là để phục vụ phát triển nền kinh tế số, nền kinh tế dữ liệu nhưng không được để lọt lộ thông tin cá nhân của người dùng, bảo vệ an ninh con người, quyền con người cũng như an ninh quốc gia.

Trong đó, chủ thể dữ liệu gồm dữ liệu cá nhân cơ bản để phục vụ cho các giao dịch hành chính và dữ liệu nhạy cảm liên quan đến các quan hệ dân sự, mua bán... Chẳng hạn, CCCD, họ tên là dữ liệu cơ bản nhưng thông tin gia đình, số tài khoản lại là dữ liệu nhạy cảm.

Khi chuyển tiền phải qua app là dữ liệu nhạy cảm, vậy nhưng chủ sở hữu dữ liệu khi thực hiện giao dịch phải cung cấp tài khoản mới chuyển tiền được. “Điều này đặt ra vấn đề là làm sao cụ thể hóa quy định về dữ liệu trong dự thảo luật” – ông Đức nói.

Ông Nguyễn Minh Đức cho biết cơ quan thẩm tra đã tham mưu cơ quan soạn thảo trường hợp những dữ liệu không cần sự đồng ý của chủ thể dữ liệu vẫn có thể chuyển xử lý ngay. Chẳng hạn, dữ liệu liên quan tới quốc phòng an ninh; dữ liệu cần thiết cho bảo vệ tính mạng, sức khỏe, danh dự con người… song theo ông phải phân loại cụ thể từng trường hợp.

Phó Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại cho biết dự thảo luật hướng tới quy định chặt chẽ, rõ quyền và nghĩa vụ chủ thể dữ liệu; cá nhân được quyền nào và quyền nào phải hạn chế, giới hạn… tránh việc chủ thể không tự bảo vệ được dữ liệu của mình rồi đổ trách nhiệm cho bên xử lý, kiểm soát dữ liệu.

Phó Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại của Quốc hội Nguyễn Minh Đức. Ảnh: QH

Dẫn chứng, ông Đức cho hay những lĩnh vực nóng nhất hiện nay có liên quan đến dữ liệu là tài chính tín dụng, ngân hàng, y tế… Đây là những thông tin luôn được chia sẻ ở nhiều môi trường, nhất là môi trường thương mại điện tử. Người mua hàng phải chia sẻ thông tin cá nhân, số điện thoại, địa chỉ, số tài khoản; còn người bán hàng thuê các shipper và có thông tin của hàng trăm dữ liệu cá nhân.

"Vậy kiểm soát thế nào, những người đó có trách nhiệm ra sao trong bảo vệ dữ liệu cá nhân, đặc biệt là người vận chuyển sẽ là người kiểm soát dữ liệu hay là bên thứ ba? Dự thảo cần hình dung ra và có cơ chế pháp lý để quản lý từng trường hợp" - ông Đức nhấn mạnh.

Trong lĩnh vực ngân hàng, khi đánh giá tín dụng của khách vay, Trung tâm CIC của Ngân hàng Nhà nước chịu trách nhiệm đánh giá xem khách hàng có nợ xấu, có đủ khả năng trả nợ… “Vậy thu thập thông tin của khách hàng thì sau đó quản lý ra sao? Chúng ta cần phải tính toán để có một hành lang pháp lý rõ ràng” – ông Đức nói.

Hay với lĩnh vực viễn thông, người dân đang rất bức xúc với các cuộc gọi rác. Đối tượng thực hiện hành vi vi phạm pháp luật gọi qua số điện thoại, đọc rõ chủ thể chưa nộp tiền điện, số hợp đồng điện, số CCCD. "Vậy lộ lọt ở đâu?" - Trung tướng Nguyễn Minh Đức nêu vấn đề.

Theo ông Đức, qua điều tra xác định các vụ án đó đều lộ lọt từ nhiều nguồn khác nhau. Trong đó có cả cá nhân của tổ chức đang thực hiện nhiệm vụ kiểm soát dữ liệu, xử lý dữ liệu do thiếu trách nhiệm, hạn chế nhận thức trong bảo vệ dữ liệu cá nhân…

"Việc biết bất kỳ số điện thoại của bất cứ cá nhân nào, sau đó gọi dọa, cưỡng đoạt tài sản… đang diễn hằng ngày hằng giờ" - ông Nguyễn Minh Đức nêu thực tế.

Liên quan đến xử phạt các hành vi vi phạm, đại biểu Đỗ Đức Hiển (đoàn TP.HCM) nhắc đến khoản 2, Điều 4 dự thảo Luật. Theo đó, tổ chức, doanh nghiệp có hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân sẽ bị áp dụng mức xử phạt hành chính 1%-5% doanh thu năm liền trước.

NHÓM PHÓNG VIÊN