Dữ liệu cá nhân: Phải được bảo vệ bằng luật!

Bảo vệ thông tin cá nhân, dữ liệu cá nhân góp phần quan trọng vào sự thành công của việc chuyển đổi số toàn diện mà Việt Nam đang tiến hành. Trong thời kỳ chuyển đổi số, dữ liệu là sức mạnh, là nguồn tài nguyên quý giá song hiện nay, nó bị lạm dụng như một thứ hàng hóa. Nhiều đối tượng đã kinh doanh phi pháp dữ liệu cá nhân nhằm trục lợi, ảnh hưởng đến người dùng và doanh nghiệp (DN). Tuy nhiên, để giải được bài toán đảm bảo tuân thủ bảo vệ dữ liệu cá nhân không phải là việc dễ dàng.

Tình trạng lộ lọt, mua bán dữ liệu cá nhân diễn ra phổ biến trên mạng

Theo Trung tướng Nguyễn Minh Chính, việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp…

Thực trạng này được Trung tướng Nguyễn Minh Chính - Cục trưởng Cục An ninh mạng và phòng, chống tội phạm phạm sử dụng công nghệ cao (Bộ Công an), Phó Chủ tịch Thường trực Hiệp hội An ninh mạng quốc gia chỉ ra tại hội thảo “An ninh dữ liệu trên không gian mạng” do Hiệp hội An ninh mạng quốc gia tổ chức ngày 16/7/2024.

Theo Trung tướng Nguyễn Minh Chính, công nghệ thông tin ngày càng lan tỏa vào cuộc sống, người dùng càng cung cấp nhiều dữ liệu, dữ liệu cá nhân hơn lên không gian mạng. Các doanh nghiệp ngày càng sử dụng nhiều sản phẩm, dịch vụ phân tích dữ liệu khách hàng, dữ liệu cá nhân để tối đa hóa lợi nhuận. “Mức độ phổ biến của dữ liệu trên không gian mạng tỷ lệ thuận với hậu quả xảy ra khi dữ liệu không được bảo vệ tương xứng, đúng cách” - Cục trưởng Nguyễn Minh Chính nhấn mạnh.

Nêu những tồn tại, thách thức trong bảo vệ dữ liệu, ông Chính chỉ rõ, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai. Không những thế, tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý, nhiều hành vi chưa được xử lý vì thiếu quy định pháp luật.

Các công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua.

Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu. Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp.

Một số công ty được thành lập mới, đầu tư xây dựng, vận hành hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; tán phát mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng; tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân.

Đáng chú ý, thời gian gần đây, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.

Thông tin thêm thực trạng này, ông Lê Quang Hà - Phó Giám đốc (phụ trách công nghệ), Công ty An ninh mạng Viettel, cho biết trong 6 tháng đầu năm 2024 đã ghi nhận 46 vụ lộ lọt rao bán dữ liệu; 13 triệu bản ghi dữ liệu bị rao bán; 12,3 GB mã nguồn bị lộ lọt; 10 vụ tấn công mã hóa dữ liệu; 56 tổ chức có dấu hiệu bị bị tấn công bước đầu bởi các mã độc mã hóa dữ liệu.

Giải bài toán đảm bảo tuân thủ bảo vệ dữ liệu cá nhân như thế nào?

Các doanh nghiệp cần có một giải pháp công nghệ có thể hỗ trợ toàn diện trong quá trình chứng minh tuân thủ các quy định về bảo vệ dữ liệu cá nhân. Đây là quy trình khá phức tạp, cần nhiều thời gian và chi phí ... Ông Đỗ Hưng Thuận - Giám đốc công nghệ Công ty VNDS, cho rằng doanh nghiệp cần một giải pháp công nghệ có thể hỗ trợ trong quá trình chứng minh tuân thủ - vốn phức tạp, tốn kém thời gian và chi phí.

Trong bối cảnh cuộc cách mạng công nghiệp lần thứ 4 phát triển mạnh mẽ, dữ liệu đã trở thành nguồn tài nguyên và động lực phát triển mới cho các quốc gia và kỷ nguyên số. Tuy nhiên, dữ liệu cũng là mục tiêu của nhiều loại tội phạm, gây xâm phạm quyền con người và an ninh, trật tự.

Việt Nam, với gần 80 triệu người dùng Internet, đứng đầu Đông Nam Á về số lượng tên miền quốc gia và có ngành công nghiệp thông tin phát triển mạnh. Tình hình này đặt ra thách thức lớn trong việc bảo vệ dữ liệu cá nhân trên không gian mạng. Nhiều đơn vị thu thập và xử lý dữ liệu cá nhân mà không thông báo hoặc vi phạm quyền bảo vệ dữ liệu, gây ra nhiều vấn đề về an ninh quốc gia và trật tự xã hội.

Không chỉ người dùng bị ảnh hưởng vì tình trạng xâm phạm dữ liệu cá nhân, mà ở một khía cạnh khác, trong bối cảnh các mối đe dọa an ninh mạng ngày càng tăng, doanh nghiệp cũng phải đối mặt với rủi ro xâm phạm dữ liệu. Theo báo cáo chi phí xâm phạm dữ liệu của IBM, chi phí của các cuộc xâm phạm dữ liệu lên tới gần 5 triệu USD. Các doanh nghiệp phải hứng chịu hậu quả nặng nề hơn khi ngày càng phải chi trả nhiều hơn cho các dịch vụ khôi phục thông tin bị mất hoặc bị đánh cắp sau khi vi phạm xảy ra.

Tại Việt Nam, các sự cố liên quan tới rò rỉ dữ liệu cũng đang đặt ra nhiều rủi ro, thách thức là trở thành mối quan tâm của nhiều tổ chức, doanh nghiệp trong việc tuân thủ các quy định và có biện pháp bảo vệ phù hợp.

Tại Hội thảo Xây dựng chính sách bảo vệ Dữ liệu cá nhân vừa qua, nhiều chuyên gia cho biết trong thực tế, các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.

Chính vì vậy, Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã ra đời và có hiệu lực từ tháng 7/2023, quy định những nguyên tắc cơ bản về bảo vệ dữ liệu cá nhân, bước đầu đặt nền móng cho hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân, đồng thời đưa ra những nguyên tắc về việc các tổ chức, doanh nghiệp phải tuân thủ chặt chẽ cả yêu cầu quản lý cũng như yêu cầu kỹ thuật trong bảo vệ dữ liệu cá nhân.

Việc triển khai tuân thủ các yêu cầu kỹ thuật bao gồm các bước như lấy sự đồng ý, đảm bảo các quyền của chủ thể dữ liệu đang là vấn đề đặt ra đối với nhiều tổ chức, doanh nghiệp hiện nay khi chưa có giải pháp đầy đủ, toàn diện hỗ trợ triển khai tuân thủ một cách dễ dàng, thuận tiện và phù hợp quy định.

Luật hóa để bảo vệ dữ liệu cá nhân

Bảo vệ thông tin cá nhân, dữ liệu cá nhân góp phần quan trọng vào sự thành công của việc chuyển đổi số toàn diện mà Việt Nam đang tiến hành. Trong thời kỳ chuyển đổi số, dữ liệu là sức mạnh, là nguồn tài nguyên quý giá song hiện nay, nó bị lạm dụng như một thứ hàng hóa. Nhiều đối tượng đã kinh doanh phi pháp dữ liệu cá nhân nhằm trục lợi, ảnh hưởng đến người dùng và doanh nghiệp.

Cục An toàn Thông tin - Bộ Thông tin và Truyền thông cho biết chỉ khoảng 20% nguyên nhân để lọt, lộ thông tin cá nhân thuộc về nhà cung cấp dịch vụ. Trong khi đó, 80% nguyên nhân lộ, lọt thông tin cá nhân là do sự bất cẩn của người dùng. Theo kinh nghiệm của nhiều nước trên thế giới, để bảo vệ an toàn dữ liệu cá nhân, cần giải pháp đồng bộ từ phía người dùng, tổ chức thu thập, sử dụng và cơ quan công quyền. Việc này không chỉ dựa vào thỏa thuận, cam kết và các quy định của từng tổ chức với người dùng mà đã đến lúc cần phải luật hóa cụ thể với những biện pháp chặt chẽ hơn cũng như các hình thức chế tài nghiêm minh hơn.

Việt Nam đã có Luật An toàn thông tin mạng năm 2015. Luật này quy định tổ chức, cá nhân thu thập, sử dụng thông tin cá nhân khi có sự đồng ý của chủ thể về phạm vi, mục đích; chỉ sử dụng thông tin cá nhân vào mục đích khác mục đích ban đầu khi có sự đồng ý của chủ thể; không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền...

Bảo vệ thông tin cá nhân, dữ liệu cá nhân góp phần quan trọng vào sự thành công của việc chuyển đổi số toàn diện mà Việt Nam đang tiến hành. Chính phủ số, kinh tế số, xã hội số… đều được vận hành dựa trên dữ liệu cá nhân của công dân. Nếu không có các biện pháp hữu hiệu bảo vệ dữ liệu cá nhân đang lưu hành trên môi trường số sẽ khó bảo đảm an toàn cho người dùng.

Chính phủ đã vào cuộc trong việc bảo vệ dữ liệu cá nhân. Ngày 7/2, Thủ tướng đã ký ban hành Nghị quyết 13/NQ-CP “Thông qua hồ sơ xây dựng Nghị định bảo vệ dữ liệu cá nhân”. Theo đó, Chính phủ đồng ý quy định dữ liệu cá nhân được xử lý không cần sự đồng ý của chủ thể trong các trường hợp được liệt kê cụ thể, trong đó có việc để bảo vệ tính mạng, sức khỏe của chủ thể hoặc người khác trong tình huống khẩn cấp. Bộ trưởng Bộ Công an được giao thay mặt Chính phủ báo cáo, xin ý kiến Ủy ban Thường vụ Quốc hội về dự thảo Nghị định bảo vệ dữ liệu cá nhân. Nghị định này chỉ là bước đầu để tiến tới sự luật hóa cao hơn.

Mới đây, tại một hội thảo về an toàn dữ liệu cá nhân, bảo vệ quyền lợi người dùng, nhiều đại biểu đã đề xuất nghiên cứu ban hành luật về bảo vệ dữ liệu cá nhân hoặc luật về bảo vệ thông tin cá nhân. Luật này nhằm ràng buộc trách nhiệm của DN và các chủ thể liên quan, đồng thời tạo hành lang pháp lý an toàn để các DN thu thập, khai thác, sử dụng hợp pháp thông tin cá nhân.

Nhiều ý kiến cho rằng luật về bảo vệ dữ liệu cá nhân phải bao hàm việc bảo vệ người dân và trừng phạt kẻ vi phạm. Điều này cụ thể hóa và luật hóa quyền được cung cấp, bảo vệ dữ liệu cá nhân của công dân, cũng như quyền được thu thập, sử dụng dữ liệu cá nhân người dùng của các tổ chức gắn với trách nhiệm cụ thể. Bên cạnh đó, cần có các hình thức chế tài cụ thể và nghiêm khắc đối với những hành vi phạm pháp liên quan dữ liệu cá nhân.

Khánh An