Việc lộ lọt “dữ liệu cá nhân nhạy cảm”: cần có những quy định riêng

Dễ dàng mua bán, giao dịch dữ liệu cá nhân tại Việt Nam. Ảnh: P.V

Dữ liệu sức khỏe được xếp vào nhóm “dữ liệu cá nhân nhạy cảm”

Không chỉ đối mặt với nguy cơ bị mã độc tấn công, nhiều bệnh viện (BV) tại Việt Nam còn đang đứng trước mối lo ngại lớn về việc rò rỉ dữ liệu bệnh án, hồ sơ điều trị, kết quả xét nghiệm các bệnh lý như ung thư, HIV hay hiếm muộn…

Nhiều bệnh nhân đã từng bất ngờ khi chỉ vài giờ sau khi xuất viện đã nhận được các cuộc gọi chào mời mua thuốc bổ, thiết bị hỗ trợ phục hồi chức năng. Có sản phụ vừa sinh xong đã được mời sử dụng dịch vụ điều dưỡng tại nhà. Những tình huống này không còn là cá biệt mà ngày càng phổ biến, cho thấy tình trạng rò rỉ dữ liệu cá nhân, bao gồm dữ liệu y tế và các thông tin cực kỳ nhạy cảm đang diễn ra nghiêm trọng và thậm chí bị mua bán công khai.

Thông tin này được ông Ngô Minh Hiếu (Hiếu PC), Giám đốc Công ty Chống lừa đảo, chia sẻ tại Diễn đàn “Chuyển đổi số y tế - thời cơ đột phá” do Hiệp hội Bệnh viện tư nhân Việt Nam tổ chức sáng 2/8 tại Hà Nội.

Ông Ngô Minh Hiếu cho biết, mỗi tháng có khoảng 2.000 – 3.000 vụ rao bán dữ liệu cá nhân tại Việt Nam, với quy mô mỗi vụ từ vài nghìn đến hàng triệu dòng thông tin. Ước tính khoảng 74% người dân Việt Nam đã bị lộ lọt thông tin cá nhân.

Trong số đó, dữ liệu y tế là một loại thông tin đặc biệt nhạy cảm, bao gồm họ tên, số điện thoại, địa chỉ, bệnh án, đơn thuốc, kết quả cận lâm sàng, thông tin bảo hiểm y tế… Đây là những dữ liệu mà tội phạm mạng có thể lợi dụng để lừa đảo, trục lợi từ bảo hiểm hoặc bán lại cho các công ty tiếp thị.

“Người dân vừa ra khỏi viện là lập tức nhận được cuộc gọi quảng cáo. Có sản phụ vừa sinh đã bị mời chào dịch vụ điều dưỡng. Vậy dữ liệu đó từ đâu ra, nếu không phải từ chính cơ sở y tế?”, ông Ngô Minh Hiếu nói trong diễn đàn.

Chuyên gia cảnh báo nhiều cơ sở y tế hiện vẫn lưu trữ dữ liệu một cách rời rạc, không mã hóa, dễ bị truy cập và sao chép trái phép. Đáng ngại hơn, xuất hiện tình trạng nhân viên y tế hoặc công ty vận hành phần mềm bệnh viện cấu kết để bán dữ liệu trục lợi. Trên các diễn đàn, mạng lưới mua bán dữ liệu, không khó để thấy những gói thông tin được rao bán với tiêu đề như “Danh sách sản phụ năm 2023”, “Thông tin bệnh nhân tiểu đường”, kèm theo mức giá cụ thể theo số lượng.

Theo ông Ngô Minh Hiếu, Nghị định 13/2023/NĐ-CP, dữ liệu sức khỏe cá nhân được xếp vào nhóm “dữ liệu cá nhân nhạy cảm” tuy nhiên, đến nay vẫn chưa có hành lang pháp lý rõ ràng để bảo vệ thông tin bệnh nhân ở cấp độ cao nhất.

Cần có 1 chương riêng để điều chỉnh việc xử lý nhóm dữ liệu đặc biệt này

Đồng tình với nhận định của ông Ngô Minh Hiếu, luật sư Nguyễn Tiến Hùng, Đoàn Luật sư TP Hà Nội phân tích thêm, trước đây, các quy định về bảo vệ dữ liệu và quyền riêng tư có thể được tìm thấy trong nhiều văn bản pháp luật khác nhau như Bộ luật Hình sự, Luật An ninh mạng 2018, Luật An toàn thông tin mạng 2015, Luật Giao dịch điện tử 2005, Luật Công nghệ thông tin 2006. Các văn bản pháp luật quan trọng của Việt Nam quy định về bảo vệ dữ liệu là Luật An ninh mạng và Luật An toàn thông tin mạng.

Luật Bảo vệ Dữ liệu Cá nhân được Quốc hội thông qua tại kỳ họp thứ 9, Quốc hội khoá XV là bộ Luật đầu tiên, riêng biệt dành cho dữ liệu cá nhân tại Việt Nam.

Khi nói đến chế độ bảo vệ dữ liệu cá nhân nhạy cảm, pháp luật hiện hành của Việt Nam đã có sự phân biệt giữa dữ liệu cá nhân thông thường và dữ liệu cá nhân nhạy cảm; tuy nhiên, cơ chế bảo vệ cụ thể có thể thực thi đối với dữ liệu nhạy cảm ở Việt Nam và khái niệm dữ liệu sức khỏe, dữ liệu sinh trắc học hoặc bút danh mới dừng lại ở quy định của Nghị định và mới đây xuất hiện tiếp trong bộ Luật Bảo vệ dữ liệu cá nhân 2025.

Đối với nhóm dữ liệu cá nhân nhạy cảm, Nghị định 13/2023/NĐ-CP phân loại lại dữ liệu cá nhân thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm tại Điều 2. Phạm vi quy định đối với dữ liệu cá nhân nhạy cảm bao gồm quan điểm chính trị, tín ngưỡng tôn giáo, dữ liệu liên quan đến sức khỏe, dữ liệu nguồn gốc chủng tộc, dân tộc, dữ liệu di truyền, dữ liệu sinh trắc học dành riêng cho một thể nhân, dữ liệu liên quan đến xu hướng tình dục của một thể nhân, hồ sơ tội phạm, vị trí của một thể nhân, mối quan hệ xã hội, tình hình tài chính và các dữ liệu khác được phân loại là bí mật.

Tương tự, trong Luật Bảo vệ dữ liệu cá nhân, dữ liệu cá nhân nhạy cảm được quy định tại Điều 2, dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành.

Tuy nhiên, không có điều khoản nào trong Nghị định cũng như Luật dành riêng cho việc bảo vệ dữ liệu cá nhân nhạy cảm, nội dung liên quan đến bảo vệ dữ liệu nhạy cảm vẫn còn rời rạc vì nội dung được đưa vào các điều khoản khác nhau liên quan đến việc xử lý hoặc bảo vệ dữ liệu cá nhân cơ bản.

Theo luật sư Nguyễn Tiến Hùng, dữ liệu cá nhân nhạy cảm, đặc biệt là thông tin sức khỏe, cần được bảo vệ ở mức cao hơn với những lớp bảo vệ bổ sung. Vì thế, cần thiết phải xây dựng các quy định riêng, thậm chí là một chương riêng trong luật để điều chỉnh việc xử lý nhóm dữ liệu đặc biệt này. Do tính chất nhạy cảm, các dữ liệu này cần được xử lý theo cách biệt lập và hết sức cẩn trọng – kể cả trong những trường hợp không có sự đồng ý của người liên quan, nếu việc xử lý phục vụ lợi ích công cộng.

Đặc biệt, dữ liệu sức khỏe thường được ghi trong hồ sơ bệnh án và dễ bị lạm dụng, nhất là trong các hoạt động mang mục đích thương mại hoặc bảo hiểm. Việc này có thể vi phạm nghiêm trọng quyền riêng tư của người bệnh. Vì vậy, cần xác định rõ ràng loại thông tin nào thuộc phạm vi dữ liệu sức khỏe để có cách quản lý phù hợp. Đồng thời, khái niệm "dữ liệu sức khỏe" nên được hiểu theo nghĩa rộng, không chỉ bao gồm thông tin về bệnh tật hay kết quả khám chữa bệnh, mà còn cả các yếu tố có thể ảnh hưởng đến sức khỏe – ví dụ như thói quen sinh hoạt, trong đó có việc sử dụng thuốc lá hàng ngày…

	Thể chế hóa quy định về quyền bảo vệ bí mật cá nhân, bí mật gia đình
	Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân