Thực trạng pháp luật về bảo vệ thông tin cá nhân và một số kiến nghị

Tiếp nối chuỗi bài viết nghiên cứu pháp luật về bảo vệ TTCN đã đăng trên Tạp chí An toàn thông tin, bài viết này tập trung nghiên cứu thực trạng pháp luật về bảo vệ TTCN ở Việt Nam và đề xuất một số kiến nghị về hoàn thiện pháp luật về bảo vệ TTCN.

Chỉ cần lướt qua một vài tờ báo hay các trang mạng xã hội, chúng ta dễ dàng nhận thấy, các vụ việc xâm phạm, vi phạm thông tin cá nhân đã, đang xảy ra ngày càng nhiều, liên quan đến hầu khắp các mối quan hệ xã hội của cá nhân, bằng các hình thức, dưới các thủ đoạn, với các động cơ, mục đích khác nhau.

Điều này không những gây phiền toái tới cuộc sống sinh hoạt thường nhật của mỗi cá nhân mà còn tiềm ẩn nguy cơ mất an ninh, an toàn thông tin, ảnh hưởng xấu tới xã hội, thậm chí đã có không ít sự vụ ảnh hưởng nghiêm trọng đến danh dự, uy tín, nhân phẩm, tài sản, sức khoẻ, tính mạng của con người.

Với vai trò quản lý xã hội, Nhà nước ta đã từng bước xây dựng, ban hành các quy định pháp luật để kịp thời điều chỉnh các quan hệ xã hội, bảo vệ TTCN, bảo vệ quyền và lợi ích của cá nhân, tổ chức và xã hội.

Tuy nhiên, so với yêu cầu, đòi hỏi của thực tiễn đặt ra, trước nhu cầu trao đổi thông tin ngày càng cao của xã hội, với sự phát triển rất nhanh của công nghệ thông tin, đặc biệt trong thời đại Cách mạng công nghệ 4.0 thì các quy định pháp luật về bảo vệ TTCN của nước ta còn tồn tại một số hạn chế, bất cập cần tiếp tục xây dựng, hoàn thiện.

Thực trạng xâm phạm, vi phạm thông tin cá nhân tại Việt Nam

Do TTCN có phạm vi rất rộng, liên quan đến mọi mặt của đời sống nên các hành vi xâm hại, xâm phạm cũng vô cùng đa dạng, phong phú. Có thể khái quát một số hành vi phổ biến sau đây:

Đời sống riêng tư bị xâm phạm; bí mật cá nhân, bí mật gia đình bị tiết lộ, sử dụng trái phép. Các hành vi xâm phạm, vi phạm tập trung vào quan hệ tình cảm, hôn nhân, đời sống tình dục, giới tính… Ví dụ: Trong thời gian gần đây, nhiều báo điện tử đã đưa tin quá chi tiết về vụ việc ở Cao Bằng có bà L.T.T.S (61 tuổi) kết hôn với ông T.H.C (26 tuổi); tin một số ca sĩ, nghệ sĩ bị tiết lộ clip “nóng” hoặc có quan hệ đồng giới...

Nghiêm trọng hơn, như tin các báo đã đưa vụ việc nữ sinh H.T.L (học sinh lớp 11, Trường THPT Nguyễn Đức Mậu, huyện Quỳnh Lưu, Nghệ An) được cho là tự tử dưới ao, khiến dư luận xôn xao.

Nguyên nhân dẫn đến cái chết đau lòng của H.T.L được cho là vì clip ghi lại cảnh L và một bạn trai trong lớp hôn nhau bị lan truyền trên mạng xã hội. Trong số đó, có những fanpage, trang thông tin có hơn 1 triệu lượt người theo dõi như songlamplus.vn… đăng tải clip nữ sinh này không che mặt.

TTCN bị đánh cắp, tiết lộ trái phép, trở thành tài sản bị mua bán tràn lan làm tiềm ẩn nhiều nguy cơ, rủi ro cho cá nhân. Ví dụ: Ngày nay, nhiều người dùng Internet chỉ cần lên mạng tìm kiếm “Mua thông tin khách hàng”, thì chưa đầy 1 giây đã xuất hiện hàng nghìn địa chỉ rao bán với đầy đủ các loại thông tin, với giá trị từ vài triệu đến vài chục triệu đồng [3]. Tại một số trang web như “datakhachhang.net”, “data-khachhang. net”, “fulldata.org”, “danhsachkhachhang.com”, “danhsachkhachhang.biz”, “cungcapdata.com”, “beeseo.vn”, “vatgia.com”…, sản phẩm được rao bán nhiều nhất là TTCN như tên tuổi, chức vụ,  số điện thoại của giám đốc các doanh nghiệp trên toàn quốc; khách hàng VIP mua chung cư cao cấp, mua bảo hiểm, xe hơi, vàng bạc, chứng khoán…

Thư, tin nhắn, cuộc gọi “rác, bẩn” phiền nhiễu cho người dùng hằng ngày. Theo thống kê trong Quý II năm 2017 của Công ty Kaspersky Lab, Việt Nam trở thành quốc gia có nguồn thư rác đứng đầu thế giới (12,37%), vượt qua Hoa Kỳ (10,1%) và Trung Quốc (8,96%) [4].

Xuất hiện nhiều sản phẩm, dịch vụ theo dõi, thám tử trái phép, xâm phạm TTCN, đời sống riêng tư, bí mật cá nhân, bí mật gia đình. Vào tháng 5/2014, Công ty TNHH Công nghệ Việt Hồng (Thanh Xuân, Hà Nội) bị phát hiện đã sử dụng phần mềm Ptracker để theo dõi khoảng 14.140 tài khoản qua điện thoại bằng cách ghi âm, nghe lén cuộc thoại, định vị, quay phim, chụp ảnh, xem tin nhắn… để thu lời bất chính.

TTCN về tài chính bị tiết lộ gây thiệt hại cho người dân. Tổ chức Viễn thông quốc tế (ITU) đã công bố Báo cáo Chỉ số an toàn thông tin mạng toàn cầu (Global Cybersecurity Index – GCI) của Việt Nam năm 2014 là 76/193 quốc gia. Năm 2017, Việt Nam xếp hạng 100/193 quốc gia. Việc bị tụt 24 bậc về Chỉ số an toàn thông tin mạng đã thể hiện phần nào tình trạng mất an toàn thông tin, trong đó có TTCN ở nước ta hiện nay [5].

Theo thống kê của cơ quan Cảnh sát điều tra tội phạm về tham nhũng, buôn lậu Công an TP. Hồ Chí Minh cho biết, trong 11 tháng đầu năm 2018, cơ quan này đã thụ lý, tiếp nhận tổng cộng 213 vụ việc, tin báo tố giác tội phạm liên quan đến tội phạm trong lĩnh vực công nghệ cao. Tài sản thiệt hại hơn 143 tỷ đồng và 1,9 triệu USD, trong đó lừa đảo qua điện thoại chiếm nhiều nhất với 68 vụ.

TTCN về y tế, giáo dục, thông tin của trẻ em chưa được kiểm soát đúng mức. Một ví dụ gần đây về lĩnh vực y tế, theo Công văn số 1090/BHXH- CNTT ngày 05/4/2019 của Bảo hiểm xã hội Việt Nam về bảo mật thông tin của người sử dụng, một số cơ sở y tế có ký hợp đồng khám chữa bệnh với ngành bảo hiểm đã để lộ thông tin tài khoản và mật khẩu đăng nhập.

Hệ quả, một số cá nhân đã lợi dụng việc này để xây dựng các ứng dụng khai thác trái phép cơ sở dữ liệu, thông tin khám bệnh, chữa bệnh bảo hiểm y tế thuộc Hệ thống thông tin giám định của Bảo hiểm xã hội Việt Nam [6].

Hay về TTCN của trẻ em, một khảo sát gần đây của Trung tâm phát triển cộng đồng và công tác xã hội thực hiện trên năm tờ báo điện tử (thuộc top 50 trang web có lượng truy cập lớn nhất Việt Nam) cho thấy: Trong vòng một năm, có đến 548 bài báo có nội dung không bảo đảm quyền riêng tư của trẻ em, trong số này có tới 62% số bài báo mô tả một cách chi tiết cùng với bình luận về trẻ em một cách không phù hợp, thậm chí còn gây tổn thương cho các em; 39% số bài báo đăng ảnh của trẻ em trực diện khuôn mặt, vùng bị tổn thương cùng với gia đình hoặc nhà cửa, trường học [7]. Một biểu hiện xâm phạm quyền riêng tư của trẻ em khác là ở trường học, khi điểm số của các em được công khai trên bảng điểm và được dán ở các nơi công cộng, thậm chí điểm số được đọc ngay trên lớp học và đó là căn cứ để đánh giá, phân loại…

Ở Việt Nam, dù vấn đề bảo vệ quyền con người, quyền công dân, trong đó có quyền bí mật thư tín, quyền bất khả xâm phạm về chỗ ở, thân thể… đã sớm được Hiến pháp, pháp luật ghi nhận. Nhưng phải từ sau năm 1997, khi Việt Nam kết nối Internet thì nhu cầu, yêu cầu bảo vệ TTCN trở nên hiện hữu hơn. Cho tới năm 2006, khi Luật công nghệ thông tin được ban hành thì các quy định pháp luật trực tiếp điều chỉnh các quan hệ về bảo vệ TTCN mới ra đời. Tính đến nay, các quy định về bảo vệ TTCN đã từng bước hoàn thiện hơn, nhất là từ khi Hiến pháp năm 2013 được ban hành, thực hiện.

Theo thống kê ban đầu, từ cuối năm 2013 đến tháng 6/2019, có tổng số 14 văn bản luật [8], 43 nghị định và 9 thông tư có quy định liên quan đến bảo vệ TTCN được sửa đổi, bổ sung hoặc ban hành mới. Theo đó, các quy định pháp luật về bảo vệ TTCN đã cơ bản định hình, xác lập được khuôn khổ pháp lý chung, mang tính nguyên tắc để điều chỉnh các nhóm quan hệ lớn về bảo vệ TTCN.

Tuy nhiên, các quy định pháp luật về bảo vệ TTCN ở nước ta còn một số hạn chế và bất cập.

Về mặt hình thức: Còn nằm rải rác trong rất nhiều văn bản nên thiếu tập trung, giá trị pháp lý khác nhau, gây khó khăn cho việc tiếp cận, chấp hành và thi hành.

Về nội dung: Còn chưa đầy đủ, toàn diện. Ví dụ: Cho đến nay, chưa đưa ra được khái niệm TTCN một cách khái quát, khoa học, phù hợp với cách tiếp cận chung của thế giới, do đó, rất khó có thể xác định được thông tin nào là TTCN được bảo vệ và bảo vệ ở mức độ nào, biện pháp, cách thức, công cụ nào.

Hay pháp luật hiện nay chưa có quy định về dịch chuyển TTCN xuyên biên giới… (ii) còn nhiều quy định chung chung, thiếu cụ thể, chi tiết nên rất khó áp dụng, dù trên thực tế đã phát sinh những vụ việc [9]. Ví dụ: Bộ luật dân sự 2015, Luật tiếp cận thông tin năm 2016 đều không có quy định thông tin nào là “bí mật kinh doanh, đời sống riêng tư, bí mật cá nhân, bí mật gia đình”.

Hoặc tại Khoản 1 Điều 72 Luật xử lý vi phạm hành chính năm 2012 cho phép chủ thể xử phạt có quyền công bố công khai về việc xử phạt trên các phương tiện thông tin đại chúng đối với một số hành vi mà gây hậu quả lớn hoặc gây ảnh hưởng xấu về dư luận xã hội. Tuy nhiên, lại không quy định cụ thể như thế nào là “gây hậu quả lớn hoặc gây ảnh hưởng xấu về dư luận xã hội”; (iii) còn tình trạng trùng lặp, chồng chéo, thậm chí xung đột, thiếu thống nhất.

Ví dụ: Theo Điều 72 Luật xử lý vi phạm hành chính năm 2012, hình thức công bố công khai thông tin trên phương tiện thông tin đại chúng chỉ áp dụng đối với một số hành vi vi phạm nhất định. Tuy nhiên, Khoản 2, Điều 13 Quyết định số 1665/QĐ-UBND ngày 10/3/2017 về việc ban hành Quy tắc ứng xử nơi công cộng trên địa bàn thành phố Hà Nội [8] lại không có loại trừ khi quy định áp dụng hình thức công bố công khai trên phương tiện thông tin đại chúng.

Một số kiến nghị

- Cần sớm nghiên cứu xây dựng, ban hành Luật Bảo vệ TTCN để quy định tập trung, thống nhất, toàn diện và đồng bộ vấn đề bảo vệ TTCN. Theo thống kê chưa đầy đủ, trên thế giới, có khoảng 50 quốc gia đã ban hành đạo luật riêng về bảo vệ TTCN hoặc dữ liệu cá nhân [11].

- Cần tiếp cận vấn đề bảo vệ TTCN dưới góc độ bảo vệ quyền riêng tư để bảo đảm tính toàn diện, bao trùm, từ đó xây dựng khái niệm TTCN mang tính khoa học, khái quát cao, làm cơ sở để xác định phạm vi TTCN cần được bảo vệ và khoanh vùng, loại trừ áp dụng đối với một số TTCN để bảo đảm quyền tự do thông tin của tổ chức, cá nhân. Đồng thời, cần ban hành danh mục TTCN theo các nhóm lĩnh vực thiết yếu và phân loại TTCN gắn với các cấp độ bảo vệ; từ đó, xây dựng các tiêu chuẩn, quy chuẩn bảo vệ TTCN (Xem thêm tài liệu [1]).

- Cần xây dựng cơ chế bảo vệ TTCN đa chiều, dựa trên sự tham gia và cộng đồng trách nhiệm của toàn xã hội; đồng thời, phải dựa trên hai nguyên tắc cơ bản là (i) xuất phát, bám sát nội dung và mức độ thực hiện quyền quyết định của cá nhân là chủ thể TTCN để xác định các quyền, nghĩa vụ tương ứng của các chủ thể trong các mối quan hệ (từ quyền được biết, quyền đồng ý/không đồng ý đến quyền truy cập, sửa đổi, xóa bỏ, hủy bỏ TTCN); (ii) ưu tiên lợi ích cao hơn và bảo đảm hài hòa giữa lợi ích cá nhân là chủ thể TTCN với lợi ích cộng đồng, xã hội. Trong đó, cần đặc biệt đề cao trách nhiệm, vai trò của chủ thể TTCN trong việc tự bảo vệ TTCN của mình; đồng thời, cần cụ thể hóa vai trò, trách nhiệm của các cơ quan nhà nước đối với hoạt động bảo vệ TTCN.

- Thực hiện thí điểm và từng bước xã hội hóa các sản phẩm, dịch vụ bảo vệ TTCN.

- Quy định đầy đủ các hành vi bị nghiêm cấm; cụ thể hóa các hành vi vi phạm và chế tài xử lý đủ nghiêm khắc, mang tính răn đe đối với các hành vi vi phạm pháp luật về bảo vệ TTCN, từ trách nhiệm dân sự, hành chính đến hình sự.

- Đẩy mạnh tuyên truyền, giáo dục để nâng cao ý thức xã hội và xây dựng văn hóa pháp lý về bảo vệ TTCN; tăng cường đào tạo, bồi dưỡng nâng cao chất lượng nguồn nhân lực liên quan đến bảo vệ TTCN; đề cao trách nhiệm và tăng cường phối hợp giữa các cơ quan nhà nước, các chủ thể liên quan trong bảo vệ TTCN.

- Nghiên cứu tham khảo kinh nghiệm của một số nước trên thế giới về việc hình thành thiết chế chuyên trách bảo vệ quyền con người, trong đó có nhiệm vụ bảo vệ TTCN. Tăng cường hợp tác quốc tế, nghiên cứu, trao đổi kinh nghiệm bảo vệ TTCN giữa các quốc gia, tổ chức quốc tế khu vực và thế giới (Xem thêm tài liệu [1]).