PHÁP LUẬT CUỐI TUẦN: Bảo vệ dữ liệu cá nhân – Sớm lấp đầy khoảng trống pháp lý

Những cuộc gọi tiếp thị, tin nhắn quảng cáo hay e-mail chào mời sản phẩm liên tục được gửi đến đích danh từng người dùng đã không còn là chuyện mới, thế nhưng, thời gian qua, người dùng tiếp tục phải hứng chịu tình trạng bị đe dọa, xâm hại do bị lộ, lọt dữ liệu cá nhân đang đưa đến nhiều đe dọa sự bình yên trong đời sống của người dân mỗi ngày.

Theo một số liệu thống kê không chính thức gần đây cho thấy, mỗi năm, Việt Nam tạo ra 76 tỷ Gb dữ liệu - một số lượng khổng lồ, thế nhưng, “lỗ hổng” pháp lý về bảo vệ dữ liệu cá nhân vẫn còn rất lớn, dẫn đến hàng loạt vụ việc gây xôn xao dư luận như: tháng 9/2020, hơn 41 triệu thông tin người dùng tại Việt Nam bị rao bán trên một trang mạng; hay như mới đây, ngày 16/5, trên diễn đàn Raidforums một tài khoản mới đăng ký (Ox1337xO) đã rao bán khoảng 17G dữ liệu là thông tin cá nhân của người Việt Nam.

Không chỉ có vậy, thời gian vừa qua, cơ quan chức năng cũng liên tiếp phát hiện và triệt phá nhiều vụ việc mua – bán trái phép dữ liệu cá nhân của người dùng như: ngày 17/5, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an thông báo, vừa triệt phá đường dây thu thập, chiếm đoạt, mua bán trái phép dữ liệu quy mô lớn xảy ra tại Công ty VNIT TECH có địa chỉ tại TP. Hà Nội.

Theo cơ quan điều tra, các bị can đã thu thập, chiếm đoạt, mua bán, sử dụng trái phép gần 1.300 GB dữ liệu chứa hàng tỉ thông tin về các cá nhân, tổ chức trên toàn quốc. Các thông tin cá nhân bị mua bán là của các khách hàng điện lực, khách hàng ngân hàng, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu, thuê bao điện thoại, nhà đầu tư tài chính...

Sau vụ việc đã nêu, ngày 23/5, Phòng Cảnh sát hình sự - Công an TP. Hồ Chí Minh tiếp tục thông tin, đơn vị này vừa triệt phá nhóm người lừa đảo chiếm đoạt tài sản bằng hình thức cấu kết với đối tượng người Nigeria dùng thủ đoạn làm quen, tặng quà rồi đóng giả nhân viên hải quan yêu cầu đóng phí và chuyển tiền vào các tài khoản mà bọn chúng dùng CMND giả để mở tại các ngân hàng. Tổng số tiền mà nhóm người này chiếm đoạt ước hơn 10 tỷ đồng… Cơ quan Công an đã thu giữ tại chỗ ở một đối tượng trên 400 giấy CMND, 44 bằng lái xe và 80 thẻ ATM.

Thực tế, qua rà soát sơ bộ, Bộ Công an đã phát hiện có hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng, bao gồm: các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện... Một số đơn vị thu thập thông tin khách hàng, sau đó cho đối tác thứ ba tiếp cận các thông tin này và chuyển giao cho các đối tác khác.

Cũng từ thực trạng đã nêu, thời gian qua, người dân cũng đã và đang phải hứng chịu hàng loạt nguy hại tiềm ẩn khi tội phạm công nghệ cao ngày một gia tăng và diễn biến phức tạp, từ những dữ liệu cá nhân bị lộ, lọt, mua – bán trái phép, các đối tượng phạm tội đã “mạo danh” các cơ quan Công an, Tòa án nhân dân,… thực hiện chiếm đoạt tài sản của người dân.

Chưa dừng lại ở đó, để thực hiện hành vi phạm tội, các đối tượng tội phạm còn “mạo danh” các ngân hàng, điện lực, Cảnh sát giao thông,… dẫn dụ người dùng bằng những tin nhắn, cuộc gọi yêu cầu nộp phạt, khuyến mãi, thu phí,… để người dùng cung cấp thông tin hòng chiếm đoạt tài sản.

Tại hội thảo “Chia sẻ kinh nghiệm về bảo vệ dữ liệu cá nhân trên không gian mạng, tập trung nhóm đối tượng yếu thế tại Việt Nam”, Đại tá Trương Sơn Lâm - Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) nêu rõ, dữ liệu cá nhân trên không gian mạng trở thành một kho lưu trữ khổng lồ mà nếu không có biện pháp bảo vệ tương xứng, đúng cách thì sẽ tạo ra “lỗ hổng” lớn để tội phạm lợi dụng thực hiện các hành vi vi phạm pháp luật như đánh cắp, mua bán, trao đổi thông tin dữ liệu cá nhân; sử dụng dữ liệu cá nhân để tống tiền, lừa đảo, chiếm đoạt tài sản, bôi nhọ, xâm phạm danh dự, nhân phẩm, xâm hại tình dục..., gây hậu quả cả về vật chất và tinh thần, ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của các cơ quan, tổ chức, doanh nghiệp và mỗi cá nhân.   

Trước thực trạng này, Bộ Công an đã hoàn thành dự thảo nghị định quy định về việc bảo vệ dữ liệu cá nhân để lấy ý kiến đóng góp rộng rãi.

Dự thảo đưa ra khái niệm “dữ liệu cá nhân cơ bản” gồm: Tên, tuổi, ngày sinh, nơi cư trú, quốc tịch, dân tộc, số điện thoại, tình trạng hôn nhân, các mã số cá nhân... và “dữ liệu cá nhân nhạy cảm” gồm: Quan điểm chính trị, tôn giáo, tình trạng sức khỏe, tình trạng tài chính, hành vi phạm tội...

Trên cơ sở đó, dự thảo đưa ra các quy định về dữ liệu cá nhân, xử lý dữ liệu cá nhân, biện pháp bảo vệ dữ liệu cá nhân, xử lý vi phạm về dữ liệu cá nhân, trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan... Đáng lưu ý, dự thảo quy định, nếu tiết lộ thông tin số điện thoại, số chứng minh nhân dân (căn cước công dân), tình trạng hôn nhân, sức khỏe... của người khác trái phép thì sẽ bị phạt đến 80.000.000 đồng; phạt tiền từ 80.000.000 đồng đến 100.000.000 đồng đối với hành vi không áp dụng biện pháp kỹ thuật và xây dựng quy định về bảo vệ dữ liệu cá nhân, vi phạm quy định về đăng ký xử lý "dữ liệu cá nhân nhạy cảm", vi phạm quy định về chuyển dữ liệu cá nhân qua biên giới.

Trong trường hợp vi phạm nhiều lần, gây hậu quả nghiêm trọng có thể phạt tối đa 5% tổng doanh thu của bên xử lý dữ liệu cá nhân.

Thông tin với báo chí, Luật sư Trần Quang Khải - Trưởng văn phòng Luật sư Quang Khải và cộng sự cho rằng, tại Điều 159 và Điều 288 của Bộ luật Hình sự có những quy định liên quan tới xử lý vi phạm khi kinh doanh thông tin cá nhân của người khác, hình phạt cao nhất lên tới 7 năm tù, tuy nhiên, việc thực thi điều luật này còn nhiều vướng mắc bởi các quy định này chưa cụ thể, chưa rõ ràng như việc truy nguồn gốc ai là người vi phạm, dữ liệu lấy từ đâu, bị hại là ai...?

Luật sư Khải đánh giá, Nghị định về bảo vệ dữ liệu cá nhân được ban hành sẽ là công cụ hữu hiệu để xử lý nghiêm hành vi vi phạm, tuy nhiên, đối với mức phạt tối đa 5% tổng doanh thu của bên xử lý dữ liệu cá nhân tại Việt Nam khi vi phạm theo quy định tại khoản 3 Điều 22 dự thảo, vẫn còn thấp và chưa đủ sức răn đe, trong khi các hành vi vi phạm tại khoản này thuộc trường hợp cố ý tái phạm; hình thức phạt bổ sung quy định tại khoản 4 Điều 22 của dự thảo như đình chỉ xử lý dữ liệu cá nhân trong thời gian 1-3 tháng còn ngắn...

Còn theo ông Ngô Trần Vũ - Giám đốc Công ty bảo mật NTS, dự thảo cần làm rõ hành vi thu thập thông tin cá nhân và tổ chức một cách trái phép qua các hình thức cho tặng, mua bán giữa các cá nhân và tổ chức, bởi thực tế nhiều vụ việc nhỏ lẻ hiện nay rất khó xác định đối tượng thu thập, tiết lộ thông tin cá nhân. Chẳng hạn, các danh sách khách hàng mua nhà, mua xe, mua sắm tại các hệ thống siêu thị... bị trao đổi, mua bán tràn lan trên mạng thời gian qua, nhưng các doanh nghiệp liên quan đều khẳng định không biết, không liên quan.

“Các dịch vụ mạng đều đòi người dùng phải cung cấp từ thông tin cá nhân mới được sử dụng dịch vụ, người dùng từ chối cung cấp thì không được sử dụng. Vậy nên, người dùng buộc phải chấp nhận đánh đổi thông tin cá nhân của mình thì mới được sử dụng dịch vụ. Một cách tiếp cận khác của dự thảo là cấm hoặc phạt thật nặng các tổ chức, cá nhân khai thác quảng cáo khuyến mãi các dữ liệu thu thập mà khách hàng không đồng ý, nếu làm được điều này, nhu cầu mua dữ liệu quảng cáo sẽ không còn”, ông Vũ nêu quan điểm.