Tình trạng mua bán dữ liệu cá nhân đang diễn ra phổ biến, song nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật
“Nóng” việc lộ lọt, mua bán dữ liệu cá nhân trái phép
Mới đây, Công an TP. Huế triệt phá đường dây mua bán trái phép gần 56 triệu dữ liệu cá nhân. Theo đó, từ năm 2019 đến nay, các đối tượng ở nhiều tỉnh, thành phố cấu kết với nhau, sử dụng SIM “rác”, tài khoản ngân hàng không chính chủ, tạo các tài khoản ảo trên mạng xã hội để thực hiện hành vi phạm tội.
Cùng thời điểm, Công an tỉnh Bình Dương phối hợp với Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) triệt phá đường dây mua bán dữ liệu cá nhân trên không gian mạng và lừa đảo chiếm đoạt tài sản. Công an tỉnh Tuyên Quang cũng đã triệt phá một đường dây mua bán dữ liệu cá nhân quy mô lớn (hơn 800.000 dữ liệu cá nhân từ hơn 60.000 người)…
Theo thông tin từ Bộ Công an, một công ty công nghệ số hàng đầu Việt Nam đã để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới Di động và Điện máy Xanh để lộ hơn 5 triệu email và hàng chục ngàn thông tin thẻ thanh toán VISA, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của một hãng hàng không của Việt Nam, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên…
Thống kê từ Công ty An ninh mạng Viettel cho thấy, năm 2024, có 46 vụ lộ lọt, rao bán dữ liệu; 13 triệu bản ghi dữ liệu bị rao bán; 12,3 GB mã nguồn bị lộ lọt. Ước tính trong năm 2024, người Việt mất tới 18.900 tỷ đồng do lừa đảo trực tuyến; 66,24% người dùng xác nhận thông tin cá nhân của họ từng bị sử dụng trái phép.
Bộ Công an đánh giá, tình trạng mua bán dữ liệu cá nhân (dữ liệu thô và dữ liệu đã qua xử lý) đang diễn ra phổ biến, công khai, song nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Các doanh nghiệp, công ty kinh doanh dịch vụ thu thập dữ liệu cá nhân của khách hàng và cho phép các đối tác thứ ba tiếp cận dữ liệu này, nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, bán cho các bên khác.
Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng.
Thực tế đó đặt ra yêu cầu cấp thiết xây dựng Luật Bảo vệ dữ liệu cá nhân nhằm đáp ứng nhu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức, doanh nghiệp.
Cùng xây dựng hàng rào bảo vệ
Dự thảo Luật Bảo vệ dữ liệu cá nhân gồm 7 chương, 69 điều; quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Hiện có hơn 130 quốc gia đã ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân, nhiều văn bản có quy định áp dụng đối với tổ chức, cá nhân Việt Nam.
Góp ý cho Dự thảo Luật Bảo vệ dữ liệu cá nhân (Dự thảo), luật sư Diệp Năng Bình, Trưởng văn phòng luật sư Tinh Thông Luật đề xuất, để ngăn chặn tình trạng mua bán thông tin trái phép cũng như bảo vệ dữ liệu cá nhân có hiệu quả, cơ quan chủ trì soạn thảo Luật cần nghiên cứu thêm các quy định mang tính ràng buộc về biện pháp bảo đảm hệ thống bảo mật an toàn, an ninh thông tin của doanh nghiệp, tổ chức thu thập, sử dụng dữ liệu cá nhân; cùng với đó, làm rõ cơ quan nào có thẩm quyền cấp phép, kiểm tra kỹ thuật các hệ thống dữ liệu.
“Ngoài ra, cần nghiên cứu giải pháp đồng bộ để bảo vệ dữ liệu không chỉ của cá nhân, mà còn của cơ quan, tổ chức; cách thức liên thông, kết nối hệ thống dữ liệu giữa các đơn vị của Bộ Công an, các cơ quan nhà nước...”, luật sư Bình kiến nghị.
Về việc chuyển dữ liệu cá nhân ra nước ngoài, luật sư Phương Uyên, Văn phòng luật sư Nguyễn Hưng Quang và Cộng sự đánh giá, Dự thảo quy định khá chặt chẽ. Hiện nay, việc chia sẻ dữ liệu tại hội nghị, gửi tài liệu qua email, công bố dữ liệu trên không gian mạng… là hoạt động thông thường của các doanh nghiệp, cá nhân.
“Việc quy định cụ thể sẽ giúp tổ chức, doanh nghiệp, cá nhân dễ dàng biết được trường hợp của mình để tuân thủ. Tuy nhiên, với yêu cầu khắt khe về thủ tục lập, gửi, quản lý hồ sơ đánh giá tác động cũng như việc kiểm tra thường niên mỗi năm một lần của cơ quan chuyên trách mà Dự thảo Luật kế thừa từ Nghị định 13/2023/NĐ-CP có thể tạo ra thách thức cho tổ chức và doanh nghiệp. Do đó, để đảm bảo tính khả thi trong thực tế, cần có hướng dẫn chi tiết cho các tổ chức, doanh nghiệp thực hiện”, luật sư Phương Uyên khuyến nghị.
Theo góp ý của TS - luật sư Đặng Văn Cường, Trưởng văn phòng luật sư Chính Pháp, Luật Bảo vệ dữ liệu cá nhân cần có quy định chặt chẽ để kịp thời phát hiện, xử lý nghiêm các hành vi thu thập, sử dụng, mua bán, chiếm đoạt trái phép dữ liệu cá nhân nhằm răn đe, phòng ngừa chung cho xã hội; đồng thời, cần tương thích với các luật khác như Bộ luật Dân sự, Luật An toàn thông tin mạng, Luật Công nghệ thông tin, Luật Giao dịch điện tử và các luật về thương mại để tạo cơ chế bảo vệ dữ liệu cá nhân hiệu quả.
Ngoài ra, việc xây dựng Luật Bảo vệ dữ liệu cá nhân phải hướng đến cắt giảm, đơn giản hóa thủ tục hành chính, tăng cường minh bạch, gia tăng sự hài lòng của người dân với hoạt động của các cơ quan quản lý nhà nước; hình thành và từng bước mở rộng kho dữ liệu tổng hợp, mở để người dân và doanh nghiệp khai thác, sử dụng...
Các ý kiến đóng góp của người dân, tổ chức, doanh nghiệp cho rằng, cơ quan soạn thảo Luật cần nghiên cứu thấu đáo, tránh để chồng chéo giữa Luật Dữ liệu và Luật Bảo vệ dữ liệu cá nhân, phù hợp với thực trạng Việt Nam và thông lệ quốc tế. Luật này cũng cần triệt để cắt giảm, đơn giản hóa thủ tục hành chính, điều kiện đầu tư sản xuất, kinh doanh, giảm chi phí tuân thủ, tạo thuận lợi cao nhất cho người dân và doanh nghiệp. Bên cạnh đó, có ý kiến đề nghị bổ sung các hành vi bị nghiêm cấm liên quan đến các hình thức mua, bán dữ liệu cá nhân…
