📞

Bước tiến trong bảo vệ thông tin cá nhân

ThS. Nguyễn Văn Dũng 09:00 | 11/04/2021
Nghị định về quy định dữ liệu cá nhân được kỳ vọng sẽ tạo cơ sở pháp lý để bảo đảm tốt hơn quyền con người, quyền công dân liên quan đến dữ liệu cá nhân, góp phần hiệu quả vào việc triển khai Chính phủ điện tử hướng tới Chính phủ số tại Việt Nam.

Hiện nay, tình trạng lộ, lọt, hoạt động đánh cắp, mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng, ảnh hưởng trực tiếp đến an ninh, an toàn của người dân. Vì vậy, dự thảo Nghị định về quy định dữ liệu cá nhân đang được xin ý kiến đóng góp của cá nhân, tổ chức, doanh nghiệp trong và ngoài nước nhận được sự quan tâm lớn.

Nghị định được kỳ vọng sẽ tạo cơ sở pháp lý để bảo đảm tốt hơn quyền con người, quyền công dân liên quan đến dữ liệu cá nhân, góp phần hiệu quả vào việc triển khai Chính phủ điện tử hướng tới Chính phủ số tại Việt Nam.

Hiện nay, tình trạng lộ, lọt, hoạt động đánh cắp, mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng, ảnh hưởng trực tiếp đến an ninh, an toàn của người dân. (Ảnh minh họa)

Đáp ứng đòi hỏi trong tình hình mới

Thời gian qua, khi giao dịch, mua bán hàng hóa, thuận theo đề nghị của các cơ quan, đơn vị, cửa hàng về việc sẽ được chăm sóc, cung cấp các dịch vụ khuyến mại, mọi người đã dễ dàng cung cấp thông tin cá nhân cho các tổ chức đó. Nhưng ngay sau đó đã có những hoạt động mua bán bất hợp pháp các dữ liệu cá nhân khiến hầu như ai cũng là nạn nhân của những cuộc gọi điện, tin nhắn gửi đích danh nhằm để chào hàng, quảng cáo trái ý muốn.

Bên cạnh đó, ngày càng nhiều chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra các vi phạm pháp luật. Trên thực tế đã có những hành vi liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng bị cơ quan công an phát hiện và xử lý.

Qua rà soát sơ bộ, Bộ Công an phát hiện hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng, bao gồm: Các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hang, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện…

Việc xây dựng Nghị định về quy định bảo vệ dữ liệu cá nhân xuất phát từ một số yêu cầu. Thứ nhất, yêu cầu từ sự phát triển kinh tế số và ứng dụng khoa học - công nghệ vào đời sống xã hội. Dữ liệu cá nhân là đầu vào và giá trị vô tận cho nền kinh tế số.

Hầu hết các ngành, lĩnh vực đều sử dụng dữ liệu cá nhân để xử lý dữ liệu như: hành chính, y tế, hình sự, hộ tịch, quốc tịch, chứng thực, thương mại điện tử, giáo dục, tài chính, ngân hàng, thuế và hoạt động thuế, công nghệ thông tin, truyền thông, trí tuệ nhân tạo, internet vạn vật, điện toán đám mây, dữ liệu lớn, dữ liệu nhanh.

Do đó, phải bảo đảm cho thông tin cá nhân được sử dụng đúng mục đích, phục vụ đắc lực cho xã hội, hạn chế tối đa nguy cơ bị sử dụng, lạm dụng và có cơ chế, chế tài xử lý các hành vi vi phạm.

Thứ hai, yêu cầu từ công tác phòng ngừa, đấu tranh, xử lý các hành vi vi phạm pháp luật. Hiện nay, tình trạng lộ, lọt, hoạt động đánh cắp, mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Ngày càng nhiều chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra các hành vi vi phạm pháp luật.

Thách thức trước những dịch vụ mới, sử dụng thông tin cá nhân trên không gian mạng, như: thanh toán trực tuyến, thương mại điện tử, trò chơi trực tuyến, kinh doanh tiền ảo, kinh doanh đa cấp qua mạng... đã đặt ra nhiều vấn đề liên quan tới an ninh quốc gia, trật tự an toàn xã hội, gây nguy cơ mất an ninh mạng.

Thứ ba, yêu cầu cấp bách của việc triển khai Chính phủ điện tử và thể chế hóa chủ trương, chính sách của Đảng, Nhà nước: Dưới góc độ an ninh, yêu cầu đặt ra đối với dữ liệu cá nhân được lưu trữ trong các hệ thống của Chính phủ không chỉ là dữ liệu hoạt động thông suốt, bình thường mà phải bảo đảm an ninh dữ liệu, hạn chế tới mức tối đa hoặc không để xảy ra tình trạng tấn công, chiếm đoạt dữ liệu cá nhân. Mọi sự cố xảy ra đối với “trung tâm lưu trữ dữ liệu cá nhân” đều có thể gây hậu quả nghiêm trọng.

Thứ tư, yêu cầu nâng cao nhận thức cho quần chúng nhân dân về bảo vệ dữ liệu cá nhân, nhất là các thông tin về lý lịch cá nhân, mối quan hệ, tình trạng sức khỏe, tài chính... để người dân nắm rõ và thực hiện đúng các quy định của pháp luật, góp phần phòng ngừa, đấu tranh với các hành vi vi phạm pháp luật cũng như đảm bảo quyền và lợi ích hợp pháp của các cơ quan, tổ chức, cá nhân. Thứ năm, yêu cầu phù hợp với quy định của pháp luật một số quốc gia trên thế giới về bảo vệ dữ liệu cá nhân, trong đó có Quy định bảo vệ dữ liệu chung của Liên minh Châu Âu (GDPR).

Gồm 6 chương với tổng số 30 điều, dự thảo Nghị định quy định về dữ liệu cá nhân, xử lý dữ liệu cá nhân, biện pháp bảo vệ dữ liệu cá nhân, Ủy ban bảo vệ dữ liệu cá nhân, xử lý vi phạm về dữ liệu cá nhân, trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Theo dự thảo Nghị định, dữ liệu cá nhân được định nghĩa là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể. Dữ liệu cá nhân gồm có hai loại chủ yếu là dữ liệu cơ bản và dữ liệu nhạy cảm.

Dữ liệu cơ bản gồm có: Họ, tên; ngày, tháng, năm sinh/năm chết hoặc mất tích; nhóm máu, giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, địa chỉ thư điện tử. Dữ liệu cơ bản còn bao gồm trình độ học vấn; quốc tịch; số điện thoại; số CMND/căn cước công dân, số hộ chiếu, mã số thuế cá nhân, số BHXH; tình trạng hôn nhân… Không chỉ có vậy, dữ liệu cơ bản còn có dữ liệu phản ánh hoạt động hoặc lịch sử hoạt động trên không gian mạng.

Dữ liệu nhạy cảm gồm có dữ liệu về quan điểm chính trị, tôn giáo; dữ liệu về tình trạng giới tính (là thông tin về người được xác định có giới tính nam, nữ, người kết hợp giữa nữ và nam, không phải nữ hoàn toàn hoặc nam hoàn toàn…). Bên cạnh đó, dữ liệu nhạy cảm còn bao gồm dữ liệu về đời sống, xu hướng tình dục; dữ liệu về các mối quan hệ xã hội; dữ liệu về tình trạng sức khỏe trong quá trình đăng ký hoặc cung cấp dịch vụ y tế; dữ liệu về tài chính (tài khoản, thẻ, công cụ thanh toán, hồ sơ, tình trạng tài chính, lịch sử tín dụng, mức thu nhập…).

Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới với số người sử dụng Internet xếp thứ 13 trên thế giới (hơn 64 triệu, chiếm 66% dân số, trong đó có 58 triệu tài khoản Facebook, 62 triệu tài khoản Google). Chính phủ đang quyết liệt chỉ đạo đẩy mạnh xây dựng Chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số và đã đạt được nhiều kết quả quan trọng. Tuy nhiên, mức độ ứng dụng công nghệ càng nhiều thì việc cung cấp, sử dụng thông tin cá nhân lại càng lớn. Điều này đặt ra bài toán phải quản lý hiệu quả, bảo đảm phòng ngừa, xử lý các hành vi vi phạm pháp luật về thông tin cá nhân; đồng thời, phù hợp với Hiến pháp, pháp luật Việt Nam cũng như pháp luật quốc tế.

Quy định chặt chẽ bảo vệ quyền của người dân

Trong dự thảo Nghị định, Bộ Công an đề xuất mức xử phạt 50 - 80 triệu đồng với trường hợp cá nhân, tổ chức tiết lộ, chia sẻ các dữ liệu cá nhân trái phép, chưa được sự đồng ý của cá nhân, gây tổn hại đến nhân phẩm, danh dự của người bị tiết lộ.

Mức phạt này cũng được Bộ Công an đề xuất với các vi phạm về xử lý dữ liệu cá nhân của trẻ em hay hủy, xóa dữ liệu cá nhân trái phép... Mức phạt 80 - 100 triệu đồng được đề xuất áp dụng với các hành vi chuyển dữ liệu cá nhân trái phép qua biên giới, vi phạm đăng ký xử lý dữ liệu cá nhân nhạy cảm.

Dự thảo Nghị định cho phép bên thứ ba (tổ chức doanh nghiệp, bên xử lý dữ liệu, cơ quan nhà nước có thẩm quyền) có thể tiết lộ dữ liệu cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu trong các trường hợp vì lợi ích, an ninh quốc gia; công bố trên phương tiện truyền thông vì mục đích quốc phòng, đạo đức xã hội, sức khỏe của cộng đồng...

Trường hợp cơ quan, tổ chức vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử phạt vi phạm hành chính hoặc xử lý hình sự, áp dụng các hình phạt bổ sung theo quy định của pháp luật. Ngoài mức phạt được quy định, trường hợp Bên xử lý dữ liệu cá nhân vi phạm nhiều lần, với hậu quả lớn có thể bị phạt tối đa 5% tổng doanh thu của Bên xử lý dữ liệu cá nhân tại Việt Nam.

Cùng với đó là quy định tám nguyên tắc bảo vệ dữ liệu cá nhân gồm: (i) Nguyên tắc hợp pháp: Dữ liệu cá nhân chỉ được thu thập trong trường hợp cần thiết theo quy định của pháp luật; (ii) Nguyên tắc mục đích: Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã đăng ký, tuyên bố về xử lý thông tin cá nhân; (iii) Nguyên tắc tối giản: Dữ liệu cá nhân chỉ được thu thập trong phạm vi cần thiết để đạt được mục đích đã xác định; (iv) Nguyên tắc sử dụng hạn chế: Dữ liệu cá nhân chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc được sự cho phép của cơ quan có thẩm quyền theo quy định của pháp luật; (v) Nguyên tắc về chất lượng dữ liệu: Dữ liệu cá nhân phải được cập nhật, đầy đủ để bảo đảm mục đích xử lý dữ liệu; (vi) Nguyên tắc an ninh: Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ trong quá trình xử lý dữ liệu cá nhân; (vii) Nguyên tắc cá nhân: Chủ thể dữ liệu được biết và nhận thông báo về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình; (viii) Nguyên tắc bảo mật: Dữ liệu cá nhân phải được bảo mật trong quá trình xử lý dữ liệu.

Dự thảo Nghị định đưa ra những yêu cầu để mỗi cá nhân được hưởng quyền được tôn trọng và bảo vệ bí mật đời tư một cách tốt nhất có thể. Chẳng hạn, dữ liệu cá nhân chỉ được các cơ quan, tổ chức, cá nhân thu thập trong trường hợp cần thiết theo quy định của pháp luật; chỉ được xử lý đúng với mục đích đã đăng ký, tuyên bố; chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc được sự cho phép của cơ quan có thẩm quyền.

Dự thảo cũng nêu rõ: Cơ quan, tổ chức vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử phạt vi phạm hành chính hoặc xử lý hình sự, áp dụng các hình phạt bổ sung theo quy định của pháp luật.

Ngoài mức phạt được quy định, trường hợp Bên xử lý dữ liệu cá nhân vi phạm nhiều lần, với hậu quả lớn có thể bị phạt tối đa 5% tổng doanh thu của Bên xử lý dữ liệu cá nhân tại Việt Nam.

Dù sẽ còn phải bổ sung, chỉnh sửa sau khi xin ý kiến rộng rãi trong nhân dân để bổ sung, hoàn chỉnh trước khi trình Chính phủ, trong đó có một số vấn đề cần làm rõ hơn về dữ liệu nhạy cảm hay những giới hạn, nghĩa vụ mà cơ quan, tổ chức được phép thu thập, xử lý dữ liệu cá nhân…, việc đề xuất xây dựng Nghị định bảo vệ dữ liệu cá nhân của Bộ Công an là một bước tiến mới trong bối cảnh còn thiếu hành lang pháp lý bảo vệ người dân khỏi những hành vi xâm phạm đến thông tin cá nhân vẫn đang diễn ra phổ biến trên môi trường mạng, cụ thể hóa đầy đủ tinh thần và nội dung của Hiến pháp năm 2013 về công nhận, tôn trọng, bảo vệ và bảo đảm quyền con người, quyền cơ bản của công dân.

Trên thế giới, vấn đề bảo vệ dữ liệu cá nhân đã được nhiều quốc gia như Mỹ, Pháp, Đức, Nhật Bản, Liên minh châu Âu... hết sức coi trọng. Hiện có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Theo các nước, quyền bảo vệ dữ liệu cá nhân là quyền riêng tư và được pháp luật bảo vệ; bảo vệ dữ liệu cá nhân được thể hiện qua nhiều khía cạnh, như: bảo đảm quyền tự chủ, quyền riêng tư và bảo toàn được danh dự, uy tín của mỗi cá nhân, giúp cá nhân kiểm soát tốt hơn các vấn đề trong cuộc sống, tăng cường niềm tin trong xã hội và là một trong những nhân tố quan trọng thúc đẩy quyền được bày tỏ chính kiến, quyền tự do ngôn luận.