Kỳ 3: Cần chế tài đủ mạnh

Hàng ngàn hồ sơ, CCCD của người dân được cơ quan chức năng phát hiện thu giữ trong 1 vụ án. Ảnh CACC

Dữ liệu cá nhân đang bị mua bán

Theo Bộ Công an, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt.

Bộ Công an dẫn chứng một số vụ việc, cụ thể vụ việc Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy Xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng; tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airline, đăng tải lên internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng; dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng.

Tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô như danh sách cán bộ, danh bạ nội bộ của các bộ, tập đoàn kinh tế; khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh; trường học; thông tin hộ khẩu; thông tin khách hàng thuộc các lĩnh vực bất động sản, siêu thị, mua ô tô, xe máy…

Và dữ liệu cá nhân đã qua xử lý như thông tin chi tiết về các cá nhân, tổ chức, DN, như: họ tên, ngày sinh, số căn cước công dân, địa chỉ, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác… Nhiều dữ liệu bị rao bán trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.

Thời gian gần đây, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm như thông tin về các cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ điện lực của EVN; thông tin phụ huynh, học sinh tại các trường trên cả nước; thông tin khách hàng của các ngân hàng BIDV, Techcombank, VPBank, AgriBank; thông tin đăng ký kinh doanh, nhân sự cơ quan Nhà nước, bảo hiểm, hộ khẩu…

Trong năm 2023, Bộ Công an đã phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật Nhà nước và dữ liệu nội bộ trên các nền tảng, diễn đàn; cung cấp dịch vụ tra cứu dữ liệu cá nhân công dân Việt Nam.

Việc ban hành Luật Bảo vệ dữ liệu cá nhân là cần thiết

Theo Bộ Công an, thực trạng trên xuất phát từ nhiều nguyên nhân, trong đó có cả nguyên nhân khách quan và chủ quan. Cụ thể, sự phát triển nhanh của khoa học công nghệ dẫn tới nhiều phương thức thủ đoạn mới trong tấn công mạng, các lỗ hổng và thiếu hụt biện pháp phòng thủ mạng; dữ liệu cá nhân trở thành nguồn nguyên liệu quý giá cho các hoạt động kinh tế, có giá trị lợi nhuận cao, hấp dẫn tin tặc và các đối tượng phạm tội thực hiện hành vi đánh cắp, mua bán dữ liệu cá nhân.

Về chủ quan, Bộ Công an nhận định do nhận thức về bảo vệ dữ liệu cá nhân của công dân còn hạn chế, sẵn sàng cung cấp thông tin đời tư để lấy sự tiện ích về công nghệ; việc chấp hành các quy định của pháp luật (Nghị định số 13/2023/NĐ-CP) về bảo vệ dữ liệu cá nhân còn hạn chế…

Trong khi đó, pháp luật bảo vệ dữ liệu cá nhân nước ta đã có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân, nhưng chưa có quy định về bảo vệ dữ liệu cá nhân, nhất là hoạt động có sự trung gian qua nhiều cá nhân, tổ chức nên khó chứng minh tội phạm. Các hành vi vi phạm các quy định về thông tin cá nhân có thể bị xử lý hình sự theo 2 tội danh tại Điều 159 và Điều 288 Bộ Luật Hình sự 2015, sửa đổi, bổ sung năm 2017, với án tù giam cao nhất là 7 năm. Hầu hết các vụ việc buôn bán dữ liệu cá nhân đang được hoàn thiện theo hướng chứng minh 2 tội danh này.

Quyền bảo vệ thông tin cá nhân xét dưới góc độ dân sự khi bị xâm phạm đều có thể thực hiện phương thức tự bảo vệ hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các hoạt động theo quy định tại Bộ luật Dân sự năm 2015. Bên cạnh đó, một số văn bản pháp luật chuyên ngành cũng có quy định về bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân (Luật Công nghệ thông tin 2006), làm lộ bí mật thông tin trong đơn đăng ký sáng chế, đơn đăng ký kiểu dáng công nghiệp (Luật Sở hữu trí tuệ 2005).

Tuy nhiên, xét dưới góc độ dữ liệu cá nhân gắn với các quyền của chủ thể dữ liệu theo thông lệ quốc tế hiện chưa có các chế tài dân sự điều chỉnh trực tiếp, thống nhất. Về xử lý hành chính, các hành vi vi phạm, xâm hại đến thông tin cá nhân đã có nhưng nằm rải rác ở nhiều văn bản khác nhau.

Với thực trạng buôn bán, xử lý dữ liệu cá nhân tràn lan như hiện nay, việc không có chế tài xử lý hoặc chế tài xử lý không đủ mạnh, không đủ sức răn đe sẽ không giải quyết được tình hình. Luật Bảo vệ dữ liệu cá nhân sẽ quy phạm đầy đủ các nội dung bảo vệ dữ liệu cá nhân, các hành vi vi phạm quy định sẽ được căn cứ vào Luật để đề xuất các hình thức, biện pháp xử lý phù hợp.

(Còn nữa)

Kỳ 1: Mua data người dùng dễ như… mua rau

Kỳ 2: Nâng cao ý thức bảo vệ thông tin cá nhân