Trong thời kỳ chuyển đổi số, dữ liệu là sức mạnh, là nguồn tài nguyên quý giá song hiện nay, nó bị lạm dụng như một thứ hàng hóa. Nhiều đối tượng đã kinh doanh phi pháp dữ liệu cá nhân nhằm trục lợi, ảnh hưởng đến người dùng và doanh nghiệp (DN).
Mua bán dữ liệu cá nhân tràn lan
Giữa tháng 3 vừa qua, TAND TP Hà Nội đã đưa ra xét xử 8 bị cáo về các tội "Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông" và "Làm giả con dấu, tài liệu của cơ quan, tổ chức".
Kẻ chủ mưu trong vụ này là Trần Mạnh Quân - cựu cán bộ Công an quận Long Biên, TP Hà Nội - lĩnh án 6 năm tù về 2 tội danh trên.
Các bị cáo còn lại bị phạt từ 20 tháng tù cho hưởng án treo đến 30 tháng tù giam về tội "Đưa hoặc sử dụng trái phép thông tin mạng máy tính, viễn thông", trong đó có Bùi Việt Anh, cựu Phó trưởng Trung tâm An ninh mạng, Ban Khai thác mạng - Tổng Công ty Hạ tầng mạng VNPT Net.
Trước đó, khoảng tháng 2-2021, Công an TP Hà Nội phát hiện Công ty Cung cấp Thông tin Toàn Tâm có hành vi mua bán, trao đổi thông tin thuộc phạm vi bí mật cá nhân, như: lịch sử cuộc gọi, xác định vị trí, sao kê tài khoản ngân hàng…
Lợi dụng vị trí công việc của mình, Việt Anh đã trích xuất thông tin rồi bán với giá từ 500.000 đồng đến 1 triệu đồng/thông tin. Từ năm 2019 đến khi bị bắt giữ, Việt Anh đã mua bán dữ liệu trong 450 số điện thoại của 3 nhà mạng lớn.
Đây chỉ là một vụ án được đưa ra xét xử, còn rất nhiều vụ thông tin cá nhân bị lọt, lộ công khai khó có thể thống kê. Thậm chí, có DN internet lớn từng để lộ hơn 163 triệu tài khoản khách hàng.
Có hãng hàng không bị tin tặc tấn công hệ thống máy chủ, đánh cắp và công khai lên internet 411.000 tài khoản khách hàng. Từ việc gần 10.000 dữ liệu CMND, CCCD rao bán trên diễn đàn tin tặc, cơ quan công an đã vào cuộc, triệt phá một đường dây mua bán hơn 6,2 triệu dữ liệu cá nhân tại tỉnh Thừa Thiên - Huế…
Ở nhiều quốc gia, cơ quan công quyền đã có biện pháp kiểm soát hoạt động bảo mật thông tin cá nhân của các DN internet lớn để bảo vệ người dùng.
Chẳng hạn, Google và Facebook từng gặp rắc rối, bị xử phạt nặng ở Mỹ vì các hành vi thu thập trái phép, để lộ thông tin cá nhân. Apple và các ứng dụng mạng xã hội như WhatsApp, Twitter bị điều tra về tính minh bạch dữ liệu. Nền tảng TikTok của ByteDance cũng bị điều tra cả ở Mỹ lẫn châu Âu vì nghi vấn vi phạm luật bảo mật.
Cần giải pháp đồng bộ
Cục An toàn Thông tin - Bộ Thông tin và Truyền thông cho biết chỉ khoảng 20% nguyên nhân để lọt, lộ thông tin cá nhân thuộc về nhà cung cấp dịch vụ. Trong khi đó, 80% nguyên nhân lộ, lọt thông tin cá nhân là do sự bất cẩn của người dùng.
Theo kinh nghiệm của nhiều nước trên thế giới, để bảo vệ an toàn dữ liệu cá nhân, cần giải pháp đồng bộ từ phía người dùng, tổ chức thu thập, sử dụng và cơ quan công quyền.
TAND TP Hà Nội xét xử các bị cáo trong một vụ án mua bán thông tin cá nhân. Ảnh: NGUYỄN HƯỞNG
Việc này không chỉ dựa vào thỏa thuận, cam kết và các quy định của từng tổ chức với người dùng mà đã đến lúc cần phải luật hóa cụ thể với những biện pháp chặt chẽ hơn cũng như các hình thức chế tài nghiêm minh hơn.
Việt Nam đã có Luật An toàn thông tin mạng năm 2015. Luật này quy định tổ chức, cá nhân thu thập, sử dụng thông tin cá nhân khi có sự đồng ý của chủ thể về phạm vi, mục đích; chỉ sử dụng thông tin cá nhân vào mục đích khác mục đích ban đầu khi có sự đồng ý của chủ thể; không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền...
Bảo vệ thông tin cá nhân, dữ liệu cá nhân góp phần quan trọng vào sự thành công của việc chuyển đổi số toàn diện mà Việt Nam đang tiến hành. Chính phủ số, kinh tế số, xã hội số… đều được vận hành dựa trên dữ liệu cá nhân của công dân.
Nếu không có các biện pháp hữu hiệu bảo vệ dữ liệu cá nhân đang lưu hành trên môi trường số sẽ khó bảo đảm an toàn cho người dùng.
Chính phủ đã vào cuộc trong việc bảo vệ dữ liệu cá nhân. Ngày 7-2, Thủ tướng đã ký ban hành Nghị quyết 13/NQ-CP "Thông qua hồ sơ xây dựng Nghị định bảo vệ dữ liệu cá nhân".
Theo đó, Chính phủ đồng ý quy định dữ liệu cá nhân được xử lý không cần sự đồng ý của chủ thể trong các trường hợp được liệt kê cụ thể, trong đó có việc để bảo vệ tính mạng, sức khỏe của chủ thể hoặc người khác trong tình huống khẩn cấp.
Bộ trưởng Bộ Công an được giao thay mặt Chính phủ báo cáo, xin ý kiến Ủy ban Thường vụ Quốc hội về dự thảo Nghị định bảo vệ dữ liệu cá nhân. Nghị định này chỉ là bước đầu để tiến tới sự luật hóa cao hơn.
Mới đây, tại một hội thảo về an toàn dữ liệu cá nhân, bảo vệ quyền lợi người dùng, nhiều đại biểu đã đề xuất nghiên cứu ban hành luật về bảo vệ dữ liệu cá nhân hoặc luật về bảo vệ thông tin cá nhân. Luật này nhằm ràng buộc trách nhiệm của DN và các chủ thể liên quan, đồng thời tạo hành lang pháp lý an toàn để các DN thu thập, khai thác, sử dụng hợp pháp thông tin cá nhân.
Nhiều ý kiến cho rằng luật về bảo vệ dữ liệu cá nhân phải bao hàm việc bảo vệ người dân và trừng phạt kẻ vi phạm.
Điều này cụ thể hóa và luật hóa quyền được cung cấp, bảo vệ dữ liệu cá nhân của công dân, cũng như quyền được thu thập, sử dụng dữ liệu cá nhân người dùng của các tổ chức gắn với trách nhiệm cụ thể. Bên cạnh đó, cần có các hình thức chế tài cụ thể và nghiêm khắc đối với những hành vi phạm pháp liên quan dữ liệu cá nhân.
Nhiều nước chế tài bằng luật
Nhiều nước đã ban hành luật về bảo vệ thông tin cá nhân, dữ liệu cá nhân. Điểm chung của các luật này là yêu cầu DN phải tuân thủ những quy định cụ thể về thu thập thông tin cá nhân, chia sẻ dữ liệu...
Năm 2018, Liên minh châu Âu đã ban hành Luật Bảo vệ dữ liệu chung châu Âu. Theo đó, DN vi phạm có thể bị xử phạt tới 20 triệu euro hoặc 4% doanh thu hằng năm.
Nhật Bản năm 2017 đã ban hành Luật Bảo vệ thông tin cá nhân và thành lập Ủy ban Bảo vệ thông tin cá nhân. Đến nay, Singapore là nước duy nhất ở Đông Nam Á ban hành luật bảo vệ dữ liệu cá nhân - thông qua năm 2012...