Bộ Công an đang xây dựng dự thảo Nghị định bảo vệ dữ liệu cá nhân, trong đó đề xuất xử phạt hành chính 80 triệu đồng với hành vi tiết lộ tên, năm sinh, số điện thoại...Bình luận về nội dung này, Trung tá Nguyễn Bá Sơn -Trưởng phòng Tham mưu, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an) cho biết:
“Việc đề xuất quy định này dựa trên bối cảnh tình trạng mua bán, chia sẻ, tiết lộ, chuyển giao dữ liệu cá nhân trái pháp luật hiện nay diễn ra thường xuyên”.
Theo dự thảo của nghị định, mức phạt 80 triệu đồng chưa phải là cao nhất. Dự thảo Nghị định bảo vệ dữ liệu cá nhân quy định mức xử phạt theo nhiều khung khác nhau và theo mức độ tái phạm của hành vi. Đối với lần đầu, mức phạt là 80 triệu đồng còn vi phạm lần hai, mức phạt sẽ tăng lên 100 triệu đến 160 triệu đồng. Hoặc có thể phạt tiền tối đa 5% tổng doanh thu của đơn vị vi phạm dữ liệu cá nhân tại Việt Nam, đối với các hành vi này từ lần thứ 3. Vì theo Luật Xử lý vi phạm hành chính (sửa đổi) năm 2020, trong lĩnh vực "an ninh mạng", cơ quan chức năng được xử phạt tối đa 100 triệu đồng với cá nhân, 200 triệu đồng với tổ chức.
Dữ liệu cá nhân bao gồm những hình thức nào?
Khi được hỏi về dữ liệu cá nhân được hiểu như thế nào để làm căn cứ phát hiện vi phạm và xử phạt, ông Nguyễn Bá Sơn định nghĩa:
“Dữ liệu cá nhân là loại dữ liệu để xác định hoặc có thể xác định một cá nhân cụ thể. Dữ liệu cá nhân được chia làm hai loại, trong đó dữ liệu cơ bản gồm họ và tên khai sinh; ngày, tháng, năm sinh; nhóm máu; giới tính; số điện thoại; nơi sinh; nơi thường trú; số chứng minh thư, căn cước; tình trạng hôn nhân; số giấy phép lái xe; mã số thuế cá nhân...Bao gồm cả loại dữ liệu cá nhân nhạy cảm gồm quan điểm chính trị, tôn giáo, tình trạng sức khỏe, dữ liệu về di truyền...”
Điều đó có nghĩa là đối với dữ liệu cá nhân của mình thì được phép chia sẻ, khai thác, còn dữ liệu cá nhân của người khác, không phải của mình thì tổ chức, cá nhân phải có sự đồng ý của chủ thể dữ liệu; một số loại dữ liệu cá nhân nhạy cảm quan trọng được pháp luật quy định biện pháp bảo vệ đặc thù thì cần có sự cho phép theo quy định của pháp luật.
Ngoài ra, bên xử lý dữ liệu cá nhân, bên thứ ba cũng có thể tiết lộ dữ liệu cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu. Tuy nhiên điều này chỉ được áp dụng trong các trường hợp việc công bố thông tin là cần thiết vì an ninh quốc gia, trật tự an toàn xã hội; công bố trên phương tiện truyền thông vì mục đích trật tự, an toàn xã hội, đạo đức xã hội, sức khỏe của cộng đồng...
Hiện nay tình trạng sử dụng dữ liệu cá nhân trái phép thường diễn ra dưới dưới rất nhiều hình thức mà vô hình chung chúng ta đều không ý thức được. Cụ thể, việc bán dữ liệu cá nhân trái phép trên mạng hiện nay được thực hiện theo ba hình thức chính.
Trong đó nhân viên quản trị hệ thống cơ sở dữ liệu thu thập trái phép dữ liệu trong hệ thống được lấy từ các nền tảng như Facebook cá nhân sau đó bán ra ngoài; các doanh nghiệp chủ động thu thập dữ liệu cá nhân của khách hàng phục vụ kinh doanh nhưng không thực hiện biện pháp bảo vệ tương xứng, dẫn tới bị lộ, bị chiếm đoạt hoặc nhân viên quản trị hệ thống thu thập rồi bán ra ngoài. Có thể nói ngày càng có nhiều tổ chức, cá nhân thu thập, phân tích, xử lý dữ liệu cá nhân với mục đích khác nhau, nhưng không thông báo cho khách hàng hoặc để xảy ra tình trạng lộ, lọt dữ liệu.
Bên cạnh đó, các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Ngoài ra, một số chủ thể thiết lập các phần mềm, hệ thống chuyên thu thập dữ liệu cá nhân của người khác sau đó lập các dịch vụ kinh doanh dữ liệu cá nhân. Một số công ty cung cấp dịch vụ bán cho khách hàng phần mềm thu thập thông tin cá nhân trái phép, được cài ẩn trong các trang mạng bán hàng để thu thập thông tin.
Dữ liệu cá nhân đang tràn lan trên không gian mạng
Tuy nhiên việc mua bán dữ liệu cá nhân trái phép diễn ra tràn lan trên không gian mạng nhưng ít được phát hiện, xử phạt do rất nhiều nguyên nhân trong đó có 3 vấn đề chính. Đầu tiên là văn bản pháp luật quy định về bảo vệ dữ liệu cá nhân chưa đầy đủ. Thứ hai, các trường hợp mua bán dữ liệu cá nhân thực hiện với phương thức, thủ đoạn tinh vi, áp dụng nhiều tiến bộ của khoa học công nghệ. Với đặc tính ẩn danh của không gian mạng, khi cơ quan chức năng phát hiện hành vi thì thường đã xảy ra trên thực tế.
Ngoài ra, một nguyên nhân khác là do việc nhận thức, ý thức về bảo vệ dữ liệu cá nhân của người dân chưa cao. Có sự mất cân bằng trong sự nhận thức giữa tính hai mặt của công nghệ thông tin, tâm lý sẵn sàng đánh đổi thông tin đời tư, dữ liệu cá nhân để lấy sự tiện ích về mặt công nghệ.
Nhiều dữ liệu cá nhân nhạy cảm, như: Sinh trắc học, tình trạng sức khỏe, tài chính... được đăng tải công khai trên các tài khoản xã hội như Facebook, Instagram. Chính điều này trở thành nguồn miễn phí cho các công cụ, hệ thống kỹ thuật. Nhận thức của một số cán bộ quản lý nhà nước chưa đầy đủ, dẫn đến việc chỉ đạo, hướng dẫn, thực hiện bảo vệ dữ liệu cá nhân chưa được quan tâm đúng mức.
Đừng đánh đổi sự an toàn của bản thân để lấy tiện ích về công nghệ
Tuy nhiên không phải tất cả hành vi mua bán dữ liệu đều không bị phát hiện. Thời gian qua, các cơ quan chức năng đã phát hiện và linh hoạt xử lý rất nhiều vụ, việc bằng nhiều hình thức khác nhau. Gần đây nhất, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) đã phối hợp với Công an các đơn vị, địa phương điều tra một vụ án liên quan mua bán dữ liệu quy mô lớn tại Việt Nam.
Khi dự thảo Nghị định này được thông qua, những người mua dữ liệu cá nhân như số điện thoại để chào mời bất động sản, vay tiền sẽ bị xử lý tùy theo mức độ. Cơ quan, tổ chức vi phạm quy định bảo vệ dữ liệu cá nhân có thể xử phạt vi phạm hành chính hoặc xử lý hình sự, áp dụng các hình phạt bổ sung theo quy định của pháp luật.
Dự thảo Nghị định được thông qua sẽ tạo hành lang pháp lý đầy đủ và vững chắc trong bảo vệ dữ liệu cá nhân và xử lý các hành vi vi phạm.
Việc đấu tranh với tình trạng vi phạm dữ liệu cá nhân phải được thực hiện đồng bộ, thống nhất, hiệu quả từ trung ương tới địa phương. Chúng tôi sẽ tiếp tục đề xuất hoàn thiện quy định của pháp luật về bảo vệ dữ liệu cá nhân, đấu tranh, xử lý những hành vi vi phạm. Cùng với đó, cũng cần có sự chung tay, chia sẻ và phối hợp của người dân, các tổ chức trên toàn quốc.
Ông Sơn cũng khuyến cáo việc dữ liệu cá nhân hiện nay có thể bị sử dụng vào hành vi phạm tội trong một số trường hợp. Kẻ xấu có thể sử dụng dữ liệu vân tay, mống mắt, thông tin cơ bản để thực hiện các hành vi tội phạm và vi phạm pháp luật. Đây là tài sản vô giá nên người dân cần coi dữ liệu của mình là một trong những tài sản rất quan trọng, bảo mật tuyệt đối. Không nên có tâm lý sẵn sàng đánh đổi thông tin đời tư, dữ liệu cá nhân để lấy sự tiện ích về mặt công nghệ.