1,3 tỷ USD và câu hỏi 'ai bảo vệ dữ liệu?'

Phản ứng của EU đặt ra câu hỏi “Bao giờ Việt Nam có những biện pháp cứng rắn tương tự trước vấn nạn lạm dụng dữ liệu cá nhân người dùng?”.

1. Khoản phạt EU đưa ra căn cứ trên Đạo luật Bảo vệ dữ liệu cá nhân của họ và kể từ năm 2016 tới nay, EU nói chung và các chính phủ châu Âu nói riêng, đã thường xuyên có những hành động pháp lý trước hành vi trên của những ông lớn công nghệ (big tech). Việc Meta yêu cầu người dùng phải chấp thuận cho họ khai thác thông tin cá nhân nếu muốn được sử dụng miễn phí các nền tảng của mình đã vi phạm nghiêm trọng đạo luật này và EU căn cứ trên doanh thu bình quân một năm của Meta trên thị trường châu Âu để ấn định mức phạt là 10%.

Việc rao bán dữ liệu khách hàng diễn ra công khai trên nhiều diễn đàn.

Thực chất, việc các big tech khai thác miễn phí dữ liệu cá nhân người dùng là chuyện không còn lạ và nó đã tạo ra một mỏ kim cương béo bở cho họ trong các hoạt động thương mại với các đối tác. Dữ liệu lớn (big data) là thứ mà các nhãn hàng vô cùng thèm muốn bởi nó giúp sức họ rất mạnh mẽ trong việc xác định xu hướng, thói quen của người tiêu dùng và từ đó thiết kế ra các sản phẩm dịch vụ đáp ứng đúng nhu cầu cộng đồng. Từ big data, các hãng có thể kiếm được lợi nhuận hàng chục tỷ USD và do đó, mua lại các kết quả big data từ những nền tảng như Facebook hay YouTube là điều tiên quyết mà các hãng sẽ thực hiện với mức chi phí cũng xứng tầm.

Khai thác dữ liệu của người dùng không phải đặc quyền của chỉ mỗi mình các big tech mà nhiều đơn vị khác cũng có thể có khả năng ấy. Sở dĩ, big tech được nhắc tới nhiều chẳng qua là sức ảnh hưởng của họ là quá lớn và số lượng người dùng của họ ở cấp độ toàn cầu mà thôi. Nhiều tập đoàn, công ty nhỏ hơn cũng có khả năng khai thác dữ liệu người dùng như thế, song quy mô của họ chỉ bó hẹp trong tệp khách hàng sẵn có của mình.

Một ví dụ dễ thấy nhất chính là nhiều người trong chúng ta vẫn thường nhận được điện thoại từ những người gọi lạ hoắc, giới thiệu những dịch vụ đôi khi cũng xa lạ với mình. Trong số đó, đáng ngại là có cả những cuộc gọi đến từ các tổ chức lừa đảo mà chỉ mới đây thôi, sau thời hạn ấn định ứng dụng sinh trắc học ngân hàng, đã bắt đầu xuất hiện những hành vi lừa đảo như thế. Câu hỏi đặt ra là: “Ai đã cung cấp dữ liệu cá nhân của chúng ta cho các tổ chức này?”.

Trong suốt thời gian qua, không ít người nhận được điện thoại đến từ cái gọi là “bộ phận chăm sóc khách hàng” của một công ty chứng khoán lớn. Thậm chí, khi người viết bài than thở với lãnh đạo cao cấp của công ty chứng khoán đó, chính vị lãnh đạo ấy cũng rút điện thoại ra làm bằng chứng cho thấy ông ta cũng nhận được điện thoại từ những số giống y chang số điện đã gọi làm phiền người viết. Rõ ràng, khi công ty đó không có bộ phận chăm sóc khách hàng nào kiểu như vậy và các số điện thoại gọi tới chính lãnh đạo công ty lại dám tự xưng là mình từ bộ phận tưởng tượng này, khả năng lừa đảo là rất cao.

Để khoanh vùng ngờ vực những điểm có khả năng cung cấp dữ liệu người dùng Việt Nam cho các tổ chức kiểu như trên thật ra không khó. Chúng ta thường cung cấp dữ liệu cá nhân mình cho những đơn vị nào, đó sẽ là những đơn vị nằm trong vùng nghi vấn. Thứ nhất là công ty viễn thông, nơi mà một khách hàng muốn được cung cấp một chiếc sim để sử dụng, họ buộc phải khai báo dữ liệu cá nhân liên quan. Thứ hai là ngân hàng. Muốn mở tài khoản ngân hàng, số điện thoại, dữ liệu cá nhân là thứ bắt buộc phải cung cấp. Thứ ba là bảo hiểm. Sẽ không có công ty bảo hiểm nào đồng ý ký kết hợp đồng với một khách hàng mà chính họ cũng không biết khách hàng đó là ai, ở đâu, có thể được liên lạc như thế nào.

Và, cuối cùng là các nền tảng, ứng dụng công nghệ như thương mại điện tử... Ở đó, chúng ta cũng sẵn sàng cung cấp tuốt tuồn tuột với suy nghĩ duy nhất: để sử dụng dịch vụ một cách nhanh nhất và trôi chảy nhất. Đó chính là những nơi đang chứa cả kho dữ liệu người dùng Việt Nam mà tất cả đều không ai dám đảm bảo chắc chắn rằng kho dữ liệu đó được bảo mật một cách chặt chẽ.

2. Sẽ không khó để nhận thấy, các tập đoàn, công ty chắc chắn sẽ không dám làm ẩu để bán dữ liệu của khách hàng. Cùng lắm, họ chỉ khai thác đầu ra từ các dữ liệu ấy để sử dụng trong các chiến dịch kinh doanh của mình hoặc phục vụ đối tác quan trọng mà thôi. Sự rò rỉ dữ liệu nhiều khả năng đến từ các cá nhân có quyền tiếp cận kho dữ liệu này, nhất là những nhân viên công nghệ. Việc rao bán dữ liệu khách hàng vẫn thường diễn ra một cách công khai trên rất nhiều diễn đàn, bất chấp việc đã có vài cá nhân bị pháp luật sờ gáy.

Cơ bản, dữ liệu là một miếng bánh ngon lành, mang lại lợi ích vật chất vượt xa khoản lương thưởng hằng năm do tập đoàn, công ty mang lại cho họ. Bởi thế, nếu có quyền tiếp cận, chuyện “đấu tranh tư tưởng” rằng nên hay không nên trích xuất trộm để đẩy ra thị trường chợ đen là điều mà không ít nhân viên đã và đang đối diện.

EU đưa ra phán quyết yêu cầu Meta phải bồi thường 1,3 tỷ USD và chấm dứt ngay hành động chuyển dữ liệu người dùng (Facebook, Instagram...).

Một ví dụ điển hình mà chính người viết đã trải qua là câu chuyện “nhân viên chăm sóc khách hàng” mạo danh công ty chứng khoán kể trên. Thực tế, đã có một cuộc gọi khiến người viết phải giật mình khi người gọi còn nói rõ được tài khoản chứng khoán của người viết hiện đang lưu giữ mã chứng khoán nào. Điều đó gợi nghi ngờ rằng chính nhân viên trong công ty chứng khoán kia là người đã tuồn dữ liệu khách hàng ra ngoài cho các tổ chức xấu sử dụng.

Chính sách bảo vệ dữ liệu người dùng vì thế không thể chỉ đến từ các công cụ pháp luật. Đúng là Việt Nam rất cần hoàn chỉnh luật bảo vệ dữ liệu, tạo ra các quy định nghiêm ngặt để chống lại việc các hãng công nghệ nước ngoài chuyển dữ liệu của người Việt Nam về quốc gia của họ. Song, điều cần làm hơn nữa là chính sách nội bộ của các tập đoàn, công ty có khả năng tiếp cận lượng dữ liệu người dùng đông đảo như các công ty viễn thông, truyền thông, tài chính... Ngoài ra, các chế tài đối với hành vi mua bán dữ liệu, thông tin cá nhân vẫn còn quá nhẹ.

Theo Luật An ninh mạng 2015 và Nghị định 15/2020/NĐ-CP, mức phạt cao nhất cũng chỉ tới 70 triệu đồng. Còn theo luật hình sự, mức phạt cao nhất cũng chỉ 1 tỷ đồng và chỉ trường hợp tình tiết nặng mới có các mức án tù dao động từ 6 tháng tới 7 năm tùy theo tính chất cá nhân hay tổ chức và mức độ nguy hại cho xã hội. Nhìn vào án phạt mà EU đưa ra cho Meta ở trên, chúng ta sẽ thấy rất rõ. 1,3 tỷ USD cho một thị trường 450 triệu dân. Trong khi đó, thị trường Việt Nam bằng 1/4 EU, với dân số lên tới 100 triệu người. 1 tỷ đồng so với 1/4 của 1,3 tỷ USD là con số quá nhỏ.

Tất nhiên, so sánh là khập khiễng vì còn cần tham chiếu nhiều yếu tố khác nữa, song chế tài nên dựa trên mức độ trục lợi của đối tượng vi phạm cũng như thiệt hại gây ra đối với những người bị xâm hại thì chuẩn xác hơn. Nếu mức chế tài căn cứ trên đó, chắc chắn sẽ ít kẻ dám làm liều xâm phạm dữ liệu cá nhân người dùng hơn.

Ai bảo vệ dữ liệu người dùng? Đó không còn là câu hỏi xa vời nữa mà đang thiết thực hơn bao giờ hết khi tốc độ tham gia và các xu hướng mới của người Việt Nam là không thua gì dân cư ở những nước phát triển. Chúng ta đang tiếp cận hằng ngày với những nền tảng, những dịch vụ đòi hỏi dữ liệu cá nhân của mình và chúng ta cũng phải đối mặt với vấn nạn bị làm phiền, thậm chí bị lừa đảo, bởi chính các dữ liệu đó đã bị khai thác trái phép. Rõ ràng, thắt chặt công cụ luật đang là điểm mà Việt Nam cần hoàn thiện nhất, bởi dường như, luật đang đi sau sự phát triển của công nghệ quá xa mất rồi.

Hà Quang Minh