Luật hóa việc bảo vệ dữ liệu cá nhân

 

Và để hiện thực hóa điều này, Bộ Công an cho biết đang trình Chính phủ xây dựng Luật Bảo vệ dữ liệu cá nhân, dự kiến dự thảo luật này sẽ được trình Quốc hội tại kỳ họp thứ 9 (tháng 5-2025) và thông qua tại kỳ họp thứ 10 (tháng 10-2025).

Lộ lọt thông tin tràn lan

Anh Nguyễn Thành Vinh (40 tuổi, quê Vĩnh Phúc), nhân viên văn phòng đang làm việc tại Hà Nội, chia sẻ từ đầu năm đến nay, hằng tuần nhận được hàng chục cuộc điện thoại số lạ từ nhân viên tư vấn đầu tư, góp vốn đầu tư từ các công ty chứng khoán, đầu tư tài chính, bảo hiểm, bất động sản với “siêu lợi nhuận” ở khắp trong Nam ngoài Bắc.

“Tôi chưa hề cung cấp số điện thoại hay thông tin cá nhân cho các công ty tư vấn, nhưng họ lại hiểu khá rõ thông tin cá nhân của tôi.

Họ liên tục gọi điện chào mời, thậm chí có nhân viên tư vấn của một công ty bảo hiểm có tiếng còn liên tục gọi điện mời mua bảo hiểm dù tôi liên tục từ chối”, anh Vinh bức xúc.

Ngay cả những ngày nghỉ ngơi cuối tuần cùng gia đình, anh Vinh bảo rằng cũng bị các nhân viên tư vấn không quen biết “hành ra bã” khi liên tục “nã” điện thoại làm phiền, thuyết phục đầu tư vào các dự án bất động sản nghỉ dưỡng với lợi nhuận siêu khủng trong thời gian ngắn.

Tình trạng lộ dữ liệu cá nhân trên không gian mạng, theo Bộ Công an, một phần có thể do chính cá nhân người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt.

“Nhiều người quá dễ dãi trong việc cung cấp thông tin cá nhân. Chẳng hạn một người ra cửa hàng mua đồ khi nghe nhân viên nói cung cấp thông tin cá nhân để làm thẻ khuyến mại là cho hết, trong khi cửa hàng thu thập thông tin làm thẻ khuyến mại chưa có ý thức bảo vệ thông tin cá nhân nên dẫn tới lộ lọt thông tin”, một chuyên gia đánh giá.

Không chỉ cá nhân bị lộ lọt dữ liệu cá nhân, những năm gần đây đã xảy ra một loạt vụ lộ dữ liệu cực lớn như vụ Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng, Công ty Thế Giới Di Động và Điện Máy Xanh để lộ hơn 5 triệu email và hàng chục ngàn thông tin thẻ thanh toán như VISA, thẻ tín dụng của khách hàng.

Hay điển hình là vụ tin tặc tấn công vào hệ thống máy chủ của Vietnam Airlines, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng hoặc vụ dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng…

Cài mã độc, thành lập công ty săn lùng dữ liệu

Có cung ắt có cầu, trên không gian mạng giờ đây việc công khai rao bán “tệp data khách hàng” ở mọi lĩnh vực không còn là hiếm.

Theo Bộ Công an, tình trạng mua bán dữ liệu công khai đến nỗi ngay cả với các dữ liệu thô như danh sách cán bộ, danh bạ nội bộ của các bộ, tập đoàn kinh tế, khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, Internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng, chứng khoán, bảo hiểm, hồ sơ đăng ký kinh doanh, trường học, thông tin hộ khẩu…

Ngoài ra các dữ liệu cá nhân như họ tên, ngày sinh, số căn cước, địa chỉ, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác… cũng đang lộ lọt tràn lan trên mạng.

Đáng lưu ý việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà có sự tham gia của các công ty, tổ chức, doanh nghiệp.

Gần đây Bộ Công an phát hiện một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn, trong đó có những vụ việc chiếm đoạt thông tin trên toàn quốc đã sử dụng dịch vụ điện lực của EVN, thông tin phụ huynh và học sinh tại các trường học.

Đặc biệt là thông tin khách hàng của các ngân hàng BIDV, Techcombank, VPBank, Agribank; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng Viettel, MobiFone, VinaPhone.

“Một số công ty được thành lập chuyên thu thập trái phép dữ liệu cá nhân vào mục đích kinh doanh.

Một số tổ chức, cá nhân đã xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị, phát tán mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng; tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân”, báo cáo của Bộ Công an cho biết.

Điều này cho thấy “chợ trời” mua bán dữ liệu đang trở thành miếng mồi béo bở cho nhiều đối tượng, tổ chức trục lợi.

Phải có một đạo luật riêng

Trao đổi với Tuổi Trẻ, luật sư Nguyễn Tiến Lập, trọng tài viên Trung tâm Trọng tài quốc tế Việt Nam (VIAC), nói:

“Đề xuất xây dựng Luật Bảo vệ dữ liệu cá nhân lúc này rất cần thiết. Bởi dữ liệu cá nhân là bí mật riêng tư, là tài sản trên không gian số, là quyền cơ bản của người dân. Theo Luật Ban hành văn bản pháp luật thì những gì liên quan tới quyền, nghĩa vụ của tổ chức, cá nhân phải được quy định trong luật”.

Ông Lập cũng khẳng định lĩnh vực bảo vệ dữ liệu cá nhân khá phức tạp, không chỉ có quan hệ giữa các chủ thể trong nước mà liên quan tới cả nước ngoài.

Đó là bảo vệ dữ liệu cá nhân xuyên biên giới, cần sự tương tác giữa các nước thông qua thỏa thuận quốc tế nên phải có một đạo luật quy định riêng.

Thực tế từ tháng 4-2023, Chính phủ đã ban hành nghị định 13 về bảo vệ dữ liệu cá nhân với nhiều quy định theo thông lệ quốc tế. Tuy nhiên các chuyên gia đánh giá quy định trong nghị định chưa đầy đủ nên cần nâng cấp lên thành Luật Bảo vệ dữ liệu cá nhân.

“Chỉ có ban hành luật mới tạo cơ chế tương thích, một luật không bao giờ tạo ra được cơ chế đầy đủ nên cần tương thích với các luật khác như Bộ luật Dân sự, Luật An toàn thông tin, Luật Công nghệ thông tin, Luật Giao dịch điện tử và các luật về thương mại để tạo cơ chế bảo vệ dữ liệu cá nhân hiệu quả”, ông Lập nhấn mạnh.

Cùng quan điểm này, ông Nguyễn Quang Đồng, viện trưởng Viện Nghiên cứu chính sách và phát triển truyền thông (IPS), cho biết đề xuất ban hành Luật Bảo vệ dữ liệu cá nhân lúc này là hợp lý.

Tuy nhiên, ông Đồng cũng chỉ ra rằng đến nay nghị định 13 thực thi được hơn một năm và đã bộc lộ những vướng mắc với doanh nghiệp.

Rất nhiều quy định về nghĩa vụ các bên đang làm khó doanh nghiệp nên cần điều chỉnh lại cho hài hòa trong hoạt động bảo vệ dữ liệu cá nhân.

“Việc xây dựng quy định về bảo vệ dữ liệu cá nhân cũng cần lưu ý đến vấn đề văn hóa tôn trọng quyền riêng tư về dữ liệu trên môi trường số.

Giờ hầu hết mọi thứ đều liên quan đến điện thoại thông minh, không gian mạng nên việc mua bán dữ liệu, xâm phạm quyền riêng tư hiện khá phổ biến”, ông Đồng nói.

Điều đáng quan tâm theo ông Đồng, các thông tin liên quan đến giấy chứng minh nhân dân, thẻ căn cước về mặt sinh trắc học như mẫu máu, nhóm máu, mống mắt, vân tay nếu lộ lọt sẽ rất nguy hiểm.

Vì vậy ngoài việc ban hành một Luật Bảo vệ dữ liệu cá nhân, cần đẩy mạnh hoạt động tuyên truyền nâng cao nhận thức của từng cá nhân và các tổ chức thu thập dữ liệu cá nhân.

Thậm chí cần điều tra, truy tố hình sự một vài vụ việc làm lộ lọt hoặc chiếm đoạt trái phép thông tin cá nhân quy mô lớn để cảnh giác với mọi tổ chức, cá nhân.

Ông Đồng nói: “Nhiều nước họ đưa ra luật về bảo vệ dữ liệu cá nhân còn hướng tới ngăn ngừa tình trạng lạm dụng dữ liệu vào mục đích xấu.

Bởi dữ liệu cá nhân không chỉ có số điện thoại, thông tin cá nhân mà còn bao gồm cả hành vi của mỗi cá nhân trên môi trường số.

Nếu nhìn ở góc độ này thì mức độ bảo vệ dữ liệu cá nhân hiện nay còn hạn chế nhiều từ cả người có dữ liệu và phía đi khai thác, thu thập dữ liệu”.