Cần cơ quan giám sát độc lập về bảo vệ dữ liệu cá nhân

Trong khi đó vấn đề bảo mật dữ liệu cá nhân đang đặt ra những thách thức đáng lo ngại.

Hai xu hướng đáng lo ngại

Hai xu hướng nổi bật đáng lo ngại liên quan đến an toàn thông tin, dữ liệu cá nhân và xâm phạm quyền riêng tư ở Việt Nam, đó là vấn đề thu thập và mua bán trái phép dữ liệu cá nhân; và rủi ro xâm phạm thông tin và dữ liệu cá nhân trên môi trường mạng xã hội.

Thứ nhất, việc thu thập và mua bán trái phép các thông tin cá nhân như số điện thoại, địa chỉ e-mail diễn ra tràn lan. Đây là hành vi vi phạm pháp luật nhưng lại được chấp nhận như một hiện thực phổ biến. Các thông tin này được thu thập từ nhiều nguồn, nhiều chủ thể và sau đó được bán cho các doanh nghiệp, cá nhân sử dụng chủ yếu vào mục đích tiếp thị, quảng cáo bán hàng.

Dữ liệu thậm chí được rao bán công khai trên một số trang web. Một khía cạnh đáng lo ngại là tình trạng mua bán trái phép này không chỉ giới hạn trong khu vực tư, mà thậm chí nguồn dữ liệu bị rò rỉ và rao bán còn có thể đến từ khu vực công.

Xu thế đáng quan tâm thứ hai liên quan đến việc thu thập thông tin và dữ liệu cá nhân của người dùng mạng xã hội. Do hiểu biết và kỹ năng bảo vệ thông tin hạn chế, người dùng mạng xã hội trở thành đối tượng của các chiến dịch thu thập thông tin cá nhân có chủ đích dưới dạng trò chơi (game) và vô tình cung cấp thông tin cá nhân (ví dụ ngày tháng năm sinh; khuôn mặt và hình ảnh dưới dạng các game bói toán). Ngoài ra, người dùng còn là nạn nhân từ việc dữ liệu của các dịch vụ mạng xã hội, công ty nền tảng bị tấn công hay rò rỉ dữ liệu (như các trường hợp của Zoom, Zalo, Facebook).

8 nguyên tắc bảo vệ dữ liệu cá nhân trong dự thảo Nghị định Quy định về bảo vệ dữ liệu cá nhân của Bộ Công an.

Về mặt hệ quả, ở khía cạnh trực tiếp, các vụ việc mất dữ liệu từ nhẹ đến nặng, từ đơn giản đến phức tạp bao gồm: quảng cáo, bán hàng gây phiền toái/khó chịu; thực hiện những hành vi đe dọa, quấy rối, tống tiền thông qua việc đăng tải, phát tán thông tin cá nhân (danh tính, số liên lạc, địa chỉ, thông tin gia đình, bí mật đời tư); đánh cắp dữ liệu thẻ ngân hàng, các loại thẻ tiền tệ... để chiếm đoạt tài sản, lừa đảo người khác. Bên cạnh đó, những hệ quả tiêu cực về dài hạn và chưa được lượng định hết của tình trạng mất an toàn dữ liệu có thể đến từ rủi ro công nghệ trí tuệ nhân tạo (AI) kết hợp với dữ liệu lớn để giám sát, gây ảnh hưởng, hoặc định hướng hành vi người dùng; gây nhiễu thông tin (tạo ra tin giả, thông tin không chính xác) và qua đó tác động đến quan điểm chính trị, tôn giáo, văn hóa và hành vi cá nhân.

Cần cơ quan giám sát độc lập

Nhìn lại pháp luật về vấn đề này, tuy đã có quy định nhưng nằm rải rác, tản mát ở 16 văn bản quy phạm pháp luật khác nhau. Chẳng hạn, ở cấp độ văn bản luật, Luật Công nghệ thông tin 2006, Luật Khám, chữa bệnh 2008, Luật Bảo vệ người tiêu dùng 2010, Luật An toàn thông tin mạng 2015, Luật An ning mạng 2018 đều chứa đựng các quy định điều chỉnh quyền và nghĩa vụ của chủ thể liên quan đến dữ liệu cá nhân.

Ở cấp độ văn bản dưới luật, Nghị định 15/2020/NĐ-CP, Nghị định 117/2020/NĐ-CP, Nghị định 98/2020/NĐ-CP có quy định về xử phạt vi phạm hành chính đối với hành vi xâm phạm dữ liệu cá nhân trong từng lĩnh vực riêng. Thêm nữa, mới đây, Bộ Công an đã công bố toàn văn Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân với nhiều quy định tiến bộ ghi nhận quyền của chủ thể dữ liệu và trách nhiệm của bên xử lý dữ liệu nhưng vẫn còn nhiều điểm vừa trùng lặp vừa mâu thuẫn với quy định trong các văn bản hiện hành. Vì vậy, điều này dẫn đến nhiều lúng túng khi thực thi pháp luật. Trong bối cảnh khuôn khổ pháp lý còn chưa hoàn thiện, việc cần một cơ quan bảo vệ dữ liệu cá nhân là điều vô cùng cần thiết.

Trên thực tế, mô hình cơ quan giám sát độc lập về bảo vệ dữ liệu cá nhân đã được xây dựng ở nhiều quốc gia trên thế giới, bất cứ quốc gia nào có đạo luật về bảo vệ dữ liệu cá nhân cũng có cơ quan độc lập để thực thi đạo luật này thường được biết đến như là Ủy ban bảo vệ dữ liệu cá nhân (Personal Data Protection Committee) ở Vương quốc Anh, Liên minh Châu Âu, Hàn Quốc, Singapore, Philippines...

Cơ quan này có thẩm quyền giám sát hành vi liên quan đến dữ liệu cá nhân, tư vấn cho Chính phủ về chính sách bảo vệ dữ liệu, tiếp nhận các khiếu nại về xâm phạm dữ liệu cá nhân của công dân. Đây là mô hình đáng để học hỏi.