Một số vấn đề xây dựng và hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân trong tình hình hiện nay

Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng internet cao nhất thế giới

Tính đến tháng 01/2021, số lượng người sử dụng Internet của Việt Nam đã đạt hơn 68,72 triệu người, chiếm hơn 2/3 dân số (70,3%) [3]. DLCN có giá trị vô tận cho nền kinh tế số, phục vụ phát triển Chính phủ số, xã hội số và phát triển đất nước trong Cách mạng công nghiệp 4.0.

Tuy nhiên, tình trạng lộ, lọt DLCN diễn ra phổ biến trên không gian mạng. Ngày càng nhiều chủ thể (tổ chức, cá nhân) thu thập, phân tích, xử lý DLCN cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra tình trang lộ, lọt dữ liệu. Việc mua bán DLCN hiện đang diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập DLCN của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin DLCN nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho DLCN, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán DLCN được tiến hành với các dữ liệu thô và DLCN đã qua xử lý.

Chỉ trong năm 2019 và năm 2020, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán DLCN, đồng thời chỉ đạo đơn vị chức năng xác lập chuyên án để tập trung đấu tranh, làm rõ một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam. Qua đó, phát hiện các đối tượng đã thu thập, chiếm đoạt, mua bán, sử dụng trái phép gần 1.300GB dữ liệu chứa nhiều thông tin về các cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ điện lực của EVN; Thông tin phụ huynh, học sinh tại các trường trên cả nước; thông tin khách hàng của các ngân hàng BIDV, Techcombank, VPBank, AgriBank...; Thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; Dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng Viettel, Mobiphone, Vinaphone; Thông tin khách hàng tại các dự án bất động sản trên toàn quốc; Khách hàng điện máy tại 63 tỉnh, thành toàn quốc; Thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành SPA, Nha khoa, thời trang, thẩm mỹ viện.

Thế giới hết sức coi trọng vấn đề bảo vệ dữ liệu cá nhân

Theo thống kê, hiện nay đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ DLCN. Chế tài xử phạt hành chính và hình sự đối với các hành vi vi phạm quy định về bảo vệ DLCN rất chặt chẽ và nghiêm khắc. Trong đó, có đã ban hành Quy định bảo mật dữ liệu vào tháng 5/2017, tiến hành quy trình kiểm toán đối với hơn 150 công ty thuộc các lĩnh vực khác nhau để đánh giá mức độ tuân thủ bảo mật dữ liệu, thành lập Cơ quan bảo vệ quyền riêng tư, quy định xử lý hình sự và hành chính đối với các hành vi không tuân thủ.

Nhật Bản ban hành Luật bảo vệ thông tin cá nhân (APPI) vào tháng 5/2017, điều chỉnh đối với tất cả các công ty kinh doanh có trụ sở tại Nhật Bản hay ở nước ngoài khi kinh doanh tại Nhật Bản, thành lập Ủy ban bảo vệ thông tin cá nhân (PPC), tăng cường quản lý các doanh nghiệp công nghệ nước ngoài (Google, Facebook, Amazon...). Một số quốc gia như Pháp, Áo, Đức, Anh, Mỹ đề xuất áp thuế cao hơn, tương đương 3-5% doanh thu toàn cầu đối với các công ty kinh doanh dịch vụ mạng xã hội.

Ngày 10/6/2021, Trung Quốc ban hành Luật Bảo mật dữ liệu, với 07 Chương, 55 Điều, điều chỉnh hoạt động xử lý dữ liệu bên trong lãnh thổ Trung Quốc, có hiệu lực kể từ ngày 01/9/2021 [1]. Ngày 20/8/2021, Trung Quốc ban hành Luật Bảo vệ thông tin cá nhân, gồm 08 Chương với 74 Điều, điều chỉnh hoạt động xử lý DLCN trong và ngoài lãnh thổ Trung Quốc, có hiệu lực từ ngày 01/11/2021. Nội dung hai Đạo luật này hướng tới mục tiêu bảo đảm chủ quyền, an ninh quốc gia Trung Quốc trước thời đại công nghệ số, thúc đẩy khai thác, sử dụng dữ liệu hiệu quả, an toàn; Xây dựng hệ thống quản lý dữ liệu toàn diện, có phân cấp; Quản lý hoạt động thu thập, khai thác, chuyển giao dữ liệu trong cộng đồng; Giám sát và bảo vệ an toàn dữ liệu của nhà nước và công dân; Xử phạt nghiêm hành vi vi phạm bảo mật dữ liệu.

Xây dựng, hoàn thiện quy định của pháp luật về bảo vệ dữ liệu cá nhân

Trong thời gian tới, DLCN trở thành nguyên liệu đầu vào của nhiều lĩnh vực trong đời sống xã hội. Nhu cầu và mức độ sử dụng DLCN sẽ tăng cao, cần có sự kiểm soát của Nhà nước. Hiện nay, Chính phủ đang chỉ đạo xây dựng Nghị định bảo vệ DLCN. Đây là văn bản pháp lý đầu tiên của nước ta quy định về bảo vệ DLCN, đặt nền móng cho công tác xây dựng pháp luật sau này. Một số nội dung trong xây dựng, hoàn thiện quy định của pháp luật về bảo vệ DLCN cần xác định, như sau:

Một là, minh bạch, công khai các hoạt động xử lý DLCN của các chủ thể có liên quan. Các chủ thể xử lý dữ liệu phải được chủ thể dữ liệu đồng ý cho phép trước khi thực hiện xử lý DLCN. Các hoạt động xử lý DLCN phải tuân thủ quy định của pháp luật, phải thông báo cho chủ thể dữ liệu về mục đích, phương pháp, loại thông tin được xử lý và quyền lợi hợp pháp của chủ thể dữ liệu. Ngoài ra, khi xử lý DLCN nhạy cảm cần phải thông báo cho chủ thể dữ liệu biết về các quyền, tác động, ảnh hưởng có thể xảy ra để chủ thể dữ liệu biết và có biện pháp phòng tránh.

Hai là, phải có sự quản lý của Nhà nước đối với các hoạt động xử lý DLCN và đối với các hệ thống thu thập DLCN trên quy mô lớn, có phạm vi toàn bộ cư dân mạng của quốc gia. Sự quản lý của Nhà nước có thể thông qua cơ quan quản lý DLCN. Cần có quy định trước khi chuyển toàn bộ dữ liệu công dân Việt Nam ra nước ngoài. Cầnlường trước các hoạt động có thể gây ra hậu quả, tác hại về lâu dài cho chủ quyền, lợi ích an ninh quốc gia.

Ba là, quyền và lợi ích hợp pháp của công dân phải được bảo đảm trong hoạt động xử lý DLCN. Các quyền của công dân bao gồm: quyền được biết, quyền đồng ý, quyền rút lại sự đồng ý, quyền hạn chế, quyền từ chối, quyền yêu cầu giải thích, quyền yêu cầu bồi thường thiệt hại, quyền khiếu nại và tố cáo, quyền chỉnh sửa và truy cập, xem thông tin về DLCN của mình. Các quyền của công dân trong bảo vệ DLCN cần được quy định bằng văn bản pháp luật [2].

Bốn là, biện pháp bảo vệ DLCN cần được quy định cụ thể trong văn bản pháp luật nhằm bảo đảm tính an toàn ở mức tối thiểu và khuyến nghị ở mức cao. Các biện pháp bảo vệ DLCN cần bảo đảm khả năng phòng, chống các hành vi, hoạt động gây hại có chủ đích hoặc sự cố có khả năng xảy ra, gây hậu quả đối với DLCN, tác động tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân. Một trong những nội dung quan trọng của biện pháp bảo vệ DLCN là nắm được đầu mối liên hệ có trách nhiệm bảo vệ DLCN của chủ thể xử lý DLCN. Cần có sự giám sát của cơ quan bảo vệ DLCN đối với hoạt động xử lý DLCN của chủ thể xử lý dữ liệu.

Năm là, có mức xử lý phù hợp, đủ sức răn đe với hành vi vi phạm pháp luật về bảo vệ DLCN. Nghiên cứu, đề xuất xây dựng ngay một hệ thống các quy định về các hành vi vi phạm, chế tài xử phạt vi phạm hành chính cho riêng lĩnh vực bảo vệ DLCN, để có thể quy định một cách đầy đủ, toàn diện và tập trung nhất về cách sử dụng khái niệm bảo vệ DLCN, về các hành vi vi phạm và chế tài xử phạt. Tuy nhiên, việc quy định như thế nào để vừa hài hòa được cái chung (DLCN nói chung) với cái riêng (thông tin/DLCN trong các lĩnh vực quản lý nhà nước), vừa phải bảo đảm phù hợp, thống nhất với hệ thống pháp luật về xử lý vi phạm hành chính hiện nay thì cần phải có sự đầu tư và nghiên cứu rõ hơn.

Về lâu dài, cần nghiên cứu hoàn thiệnhơn nữa thể chế về bảo vệ DLCN và bảo đảm thực hiện quyền bảo vệ DLCN đặt trong tổng thể thể chế quyền riêng tư, bí mật cá nhân, bí mật gia đình theo đúng tinh thần của Hiến pháp năm 2013 và Công ước Liên Hợp quốc về các quyền dân sự, chính trị. Cần “quy hoạch” lại hệ thống các chế tài xử phạt vi phạm hành chính căn cứ vào các quy phạm pháp luật có nội dung về bảo vệ DLCN đảm bảo phù hợp với hệ thống các văn bản về xử lý vi phạm hành chính hiện nay.

Đề xuất nghiên cứu, bổ sung quy định về chế tài hình sự liên quan tới vi phạm quy định về bảo vệ DLCN, như: hành vi thiết lập hệ thống thu thập thông tin, DLCN trên quy mô lớn, trái pháp luật; xây dựng các phần mềm gián điệp có chức năng thu thập thông tin, DLCN; buôn bán DLCN quy mô lớn; tiết lộ DLCN trái pháp luật gây thiệt hại về tính mạng, tài sản.

Đề xuất mức xử phạt vi phạm hành chính đủ sức răn đe: Rà soát ở hầu hết ở các nghị định quy định về xử phạt vi phạm hành chính thì mức phạt tiền trung bình trong các lĩnh vực được áp dụng đối với các hành vi vi phạm liên quan đến xâm phạm các quy định về bảo vệ DLCN chỉ khoảng vài chục triệu đồng. Nếu so sánh với Quy định Bảo vệ Dữ liệu Chung (GDPR) do Ủy ban châu Âu xây dựng áp dụng mức phạt lên tới 20 triệu EUR, tương đương 500 tỷ VNĐ.

Dưới tương quan về tình hình phát triển kinh tế, mức thu nhập bình quân thì có thể thấy, mức phạt trong luật pháp Việt Nam còn khá nhẹ, trong khi hậu quả từ hành vi xâm phạm quyền riêng tư có thể rất nghiêm trọng, gây tổn hại tới danh dự, nhân phẩm, an toàn và cả tính mạng của không chỉ một mà có thể là nhiều nạn nhân.

TÀI LIỆU THAM KHẢO

1. Trung Quốc, 2021, Luật Bảo mật dữ liệu.

2. Trung Quốc, 2021, Luật Bảo vệ thông tin cá nhân.

3. We are social, 2021, Thống kê số lượng người sử dụng Internet Việt Nam.

Đại tá, TS. Nguyễn Ngọc Cương

Theo An toàn Thông tin

http://antoanthongtin.vn/chinh-sach---chien-luoc/mot-so-van-de-xay-dung-va-hoan-thien-he-thong-phap-luat-ve-bao-ve-du-lieu-ca-nh