Mua bán dữ liệu trái phép trên mạng quá dễ
Theo các chuyên gia công nghệ, 17GB dữ liệu được rao bán có thể chứa thông tin 10.000 người và chưa rõ được lấy ra từ nguồn nào. Bởi hiện nay có nhiều tổ chức, cơ quan yêu cầu người dân cung cấp thông tin liên lạc, xác thực cá nhân như ngân hàng, công ty bất động sản, chứng khoán...
Nhìn rộng ra, các thông tin cá nhân (sở thích, hành trình di chuyển, các hành vi trên mạng...) do các công ty công nghệ thu thập khi người dân sử dụng nền tảng công nghệ của họ (app điện thoại, thiết bị thông minh...) có thể đang bị phân tích, chia sẻ không được sự đồng ý của người dùng.
Vấn đề đặt ra, người dùng internet, làm sao biết dữ liệu cá nhân của mình (tên tuổi, số điện thoại, suy nghĩ bày tỏ trên Facebook, Zalo…) được chiếc điện thoại thông minh được ví như “con người số” thu thập hàng phút, hàng giây?
Con người “số” đó có suy nghĩ, sức khỏe, hành vi thể hiện qua “dữ liệu” cá nhân làm sao biết ai đang làm gì với những dữ liệu đó? Tiện ích internet, mạng xã hội, các ứng dụng số cung cấp đã rõ, nhưng những rủi ro liên quan đi kèm như thế nào? Những câu hỏi này ngày càng “đau đầu” hơn khi con người tiến sâu vào kỷ nguyên số.
Nhìn lại pháp luật về vấn đề này, tuy đã có quy định nhưng vẫn thiếu tính cụ thể và đang nằm tản mát ở 17 văn bản quy phạm pháp luật. Ở cấp độ luật, các văn bản như Luật Công nghệ thông tin 2006, Luật Khám và chữa bệnh 2008, Luật Bảo vệ người tiêu dùng 2010, Luật An toàn thông tin mạng 2015, Luật An ninh mạng 2018… đều có các quy định điều chỉnh quyền và nghĩa vụ của chủ thể liên quan đến dữ liệu cá nhân.
Ở cấp độ dưới luật, Nghị định 15/2020/NĐ-CP, Nghị định 117/2020/NĐ-CP, Nghị định 98/2020/NĐ-CP, có quy định về xử phạt vi phạm hành chính đối với hành vi xâm phạm dữ liệu cá nhân trong từng lĩnh vực riêng.
Gần đây Chính phủ, đầu mối là Bộ Công an, đã công bố toàn văn dự thảo nghị định quy định về bảo vệ dữ liệu cá nhân, lần đầu tiên cụ thể hóa các quyền cá nhân về dữ liệu. Trong đó, tiêu biểu là quyền kiểm soát dữ liệu (được biết mình có những dữ liệu gì trên mạng, quyền cho phép hay không cho phép bên thứ 2 sử dụng, xử lý dữ liệu hay chia sẻ dữ liệu; quyền “được quên” - tức xóa dữ liệu khi không còn muốn dữ liệu của mình tồn tại trên mạng).
Để bảo đảm thực thi các quyền đó, tổ chức, cá nhân thu thập dữ liệu có nghĩa vụ thực hiện các biện pháp bảo đảm quyền vừa nêu. Nếu nghị định được thông qua, đây sẽ là bước tiến lớn trong việc ghi nhận các quyền và có biện pháp, cơ chế thực thi quyền về nghĩa vụ.
Dù vậy, nghị định cần có những điều chỉnh thêm, nhằm giải quyết những lo ngại của doanh nghiệp về gánh nặng nghĩa vụ khi thực thi một số cơ chế, biện pháp kỹ thuật như trong dự thảo.
Tiếp tục hoàn chỉnh quy định pháp luật
Trong xu thế chuyển đổi số mạnh mẽ, đây là lúc Chính phủ đưa ra những hành động mạnh mẽ hơn và có những bước đi tiên phong, mang tính thực chất về bảo vệ dữ liệu cá nhân - nền tảng quan trọng cho nền kinh tế số.
Có 2 vấn đề lõi cần xử lý. Thứ nhất, trao quyền và đảm bảo khả năng kiểm soát dữ liệu cá nhân của chủ thể dữ liệu. Họ được xác định là cá nhân được dữ liệu phản ánh và sở hữu dữ liệu đó.
Họ có khả năng kiểm soát đối với dữ liệu cá nhân của mình, buộc các chủ thể khác phải tôn trọng thông qua thực hiện quyền đồng ý, quyền được nhận thông báo khi dữ liệu của mình được xử lý/chia sẻ dữ liệu với bên thứ ba, quyền tiếp cận (xem), quyền chỉnh sửa, quyền yêu cầu hạn chế xử lý dữ liệu/hạn chế chia sẻ dữ liệu với bên thứ ba và quyền yêu cầu xóa dữ liệu.
Nếu có sự xâm phạm dữ liệu xảy ra, chủ thể có quyền khiếu nại và nhận bồi thường.
Thứ hai, quy định rõ về trách nhiệm bảo vệ dữ liệu cá nhân của bên xử lý dữ liệu. Trước tiên, cần phân chia loại chủ thể để phân chia trách nhiệm. Chủ thể xử lý dữ liệu cá nhân được phân loại rõ thành bên kiểm soát dữ liệu (data controller) và bên xử lý dữ liệu (data processor).
Trong đó, có thể hiểu bên kiểm soát dữ liệu là cá nhân, pháp nhân, cơ quan hoặc tổ chức xác định mục đích và phương tiện xử lý dữ liệu cá nhân độc lập hoặc kết hợp với chủ thể khác. Còn bên xử lý dữ liệu là cá nhân, pháp nhân, cơ quan hoặc tổ chức xử lý dữ liệu cá nhân thay mặt cho bên kiểm soát dữ liệu.
Mỗi bên phải tuân thủ, chấp hành phần nghĩa vụ của mình đối với dữ liệu cá nhân, có thể được giới hạn rủi ro trong trách nhiệm của mình khi xảy ra vi phạm dữ liệu. Mối quan hệ giữa bên kiểm soát dữ liệu và bên xử lý dữ liệu tương tự bên sử dụng dịch vụ và bên cung cấp dịch vụ trong hợp đồng thầu.
Tuy nhiên, do lĩnh vực dữ liệu cá nhân nhạy cảm, quan trọng nên họ được quy định một số nghĩa vụ pháp lý ràng buộc. Thêm vào đó, chủ thể kiểm soát/xử lý dữ liệu cá nhân bắt buộc phải thực hiện các biện pháp hành chính - kỹ thuật để bảo vệ dữ liệu cá nhân.
Luật sư Trương Thanh Đức (Công ty Luật ANVI)
Để bảo đảm cuộc sống riêng tư, sự tự do cần thiết trong đời sống thường nhật, các cá nhân không muốn TTCN của mình bị lộ, bị xâm phạm. Ở Việt Nam, hành vi xâm phạm dữ liệu TTCN nhìn chung việc xử lý chậm, chế tài nhẹ nên chưa đủ sức răn đe, dẫn đến ngày càng xuất hiện nhiều vụ vi phạm trầm trọng.
Ở nước ngoài, đây bị xem là hành vi cực kỳ nghiêm trọng có thể bị phạt tù hoặc phạt tiền lên đến hàng triệu USD. Trong Bộ Luật Dân sự 2015 và sửa đổi 2017, có một số điều quy định như bảo vệ nhân thân, được bảo vệ, khi bị xâm phạm có quyền khiếu kiện, yêu cầu đính chính. Song đó chỉ là nguyên tắc, còn khi thực hiện những vụ việc cụ thể tương đối phức tạp. Nếu bài bản, cần sớm có luật bảo vệ dữ liệu cá nhân với những điều khoản chi tiết.
Nguyễn Quang Đồng, Viện trưởng Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS)