Tình trạng lộ lọt dữ liệu cá nhân
Nước ta là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới. Tính đến tháng 01/2021, số lượng người sử dụng Internet của Việt Nam đã đạt hơn 68,72 triệu người, chiếm hơn 2/3 dân số (70,3%). DLCN được lưu trữ, đăng tải, chia sẻ và thu thập thông qua không gian mạng nói chung, dịch vụ mạng xã hội và thiết bị di động là vô cùng lớn. Cùng với việc cơ sở hạ tầng số phát triển nhanh và cơ sở hạ tầng dữ liệu đang được cải thiện, Chính phủ đang quyết liệt chỉ đạo đẩy mạnh xây dựng Chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số, DLCN ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân. DLCN trở thành đầu vào và có giá trị to lớn cho nền kinh tế số.
Ngày càng nhiều chủ thể (tổ chức, cá nhân) thu thập, phân tích, xử lý DLCN cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra tình trạng lộ, lọt dữ liệu. Một số vụ việc điển hình như: việc Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airline, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng;...
Chỉ trong năm 2019 và năm 2020, Bộ Công an đã phát hiện hàng trăm cá nhân, tổ chức liên quan bán DLCN, đồng thời chỉ đạo đơn vị chức năng xác lập chuyên án để tập trung đấu tranh, làm rõ một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam. Qua đó, phát hiện các đối tượng đã thu thập, chiếm đoạt, mua bán, sử dụng trái phép gần 1.300GB dữ liệu chứa nhiều thông tin về các cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ điện lực của EVN; thông tin phụ huynh, học sinh tại các trường trên cả nước; thông tin khách hàng của các ngân hàng BIDV, Techcombank, VPBank, AgriBank...; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng Viettel, Mobiphone, Vinaphone; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy tại 63 tỉnh, thành toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành Spa, nha khoa, thời trang, thẩm mỹ viện.
Việc mua bán DLCN hiện đang diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập DLCN của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin DLCN nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho DLCN, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán DLCN được tiến hành với các dữ liệu thô và DLCN đã qua xử lý. Các “gói” dữ liệu rao bán chứa thông tin như: Danh sách cán bộ, danh bạ nội bộ của các Bộ, tập đoàn kinh tế; khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh; trường học; thông tin hộ khẩu; thông tin khách hàng thuộc các lĩnh vực bất động sản, siêu thị, mua ô tô, xe máy…
Dữ liệu các đối tượng mua bán, trao đổi chứa thông tin rất chi tiết về các cá nhân, tổ chức, doanh nghiệp, như: họ tên, ngày sinh, số CMND, địa chỉ, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác… Nhiều đối tượng còn cam kết “bảo hành” (cam kết tính chính xác) và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng thông qua nhiều trang web, tài khoản, trang, nhóm trên mạng xã hội Facebook, Zalo, Telegram, diễn đàn tin tặc (raidforums.com…); sử dụng các tài khoản ngân hàng để giao dịch, trong đó nhiều giao dịch ghi rõ nội dung mua bán dữ liệu (data).
Xuất hiện hoạt động đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép DLCN. Một số công ty cung cấp dịch vụ bán cho khách hàng phần mềm thu thập thông tin cá nhân trái phép, được cài ẩn trong các trang mạng bán hàng để thu thập thông tin. Một số đối tượng phạm tội tiến hành thu thập thông tin cá nhân trái phép bằng cách sử dụng mã độc, phần mềm có tính năng gián điệp để thu thập DLCN trong môi trường mạng qua máy tính và điện thoại di động; tấn công, xâm nhập hệ thống máy tính, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và sẵn sàng của máy tính người người sử dụng để chiếm đoạt thông tin, DLCN.
Vấn đề pháp lý về bảo vệ dữ liệu cá nhân
Theo thống kê, hiện nay đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ DLCN. Chế tài xử phạt hành chính và hình sự đối với các hành vi vi phạm quy định về bảo vệ DLCN rất chặt chẽ và nghiêm khắc.
Israel đã ban hành Quy định bảo mật dữ liệu vào tháng 5/2017, tiến hành quy trình kiểm toán đối với hơn 150 công ty thuộc các lĩnh vực khác nhau để đánh giá mức độ tuân thủ bảo mật dữ liệu, thành lập Cơ quan bảo vệ quyền riêng tư, quy định xử lý hình sự và hành chính đối với các hành vi không tuân thủ.
Nhật Bản ban hành Luật bảo vệ thông tin cá nhân (APPI) vào tháng 5/2017, điều chỉnh đối với tất cả các công ty kinh doanh có trụ sở tại Nhật Bản hay ở nước ngoài khi kinh doanh tại Nhật Bản, thành lập Ủy ban bảo vệ thông tin cá nhân (PPC), tăng cường quản lý các doanh nghiệp công nghệ nước ngoài (Google, Facebook, Amazon...).
Một số quốc gia như Pháp, Áo, Đức đề xuất áp thuế cao hơn, tương đương 3% doanh thu toàn cầu đối với các công ty kinh doanh dịch vụ mạng xã hội. Tháng 6/2019, các bộ trưởng tài chính G20 đã thống nhất quy tắc chung đánh thuế cao hơn đối với các công ty công nghệ thu thập dữ liệu người dùng xuyên biên giới, bắt đầu từ năm 2020. Tháng 5/2018, Liên minh Châu Âu đã ban hành Quy định chung về Bảo vệ dữ liệu (GDPR), yêu cầu các doanh nghiệp phải tuân thủ các quy định cụ thể, rõ ràng về cách thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, loại hình dữ liệu được phép chia sẻ, bất kỳ doanh nghiệp nào vi phạm sẽ có nguy cơ đối mặt với mức phạt lên tới 20 triệu Euro hoặc 4% doanh thu toàn cầu hàng năm. Tháng 7/2019, hãng hàng không British Airway của Anh bị Liên minh Châu Âu phạt 228 triệu USD sau khi bị tin tặc đánh cắp thông tin cá nhân và dữ liệu tài chính của hàng trăm nghìn khách hàng.
Mỹ đã tăng cường xử lý đối với các hành vi thu thập trái phép thông tin người dùng của Google, Facebook. Tháng 7/2019, Facebook bị Ủy ban thương mại Mỹ (FTC) phạt 5 tỷ USD vì bê bối dữ liệu Cambridge Analytica để lộ dữ liệu của hơn 50 triệu người dùng, trong đó Việt Nam là một trong 10 quốc gia bị lộ nhiều nhất. Tháng 9/2019, FTC đã phạt Google 150 triệu USD vì thu thập dữ liệu trẻ em trái phép qua ứng dụng YouTube.
Pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam
Nước ta đã có quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân, chưa có quy định về bảo vệ DLCN một cách cụ thể.
Về chế tài hình sự: Vi phạm các quy định về thông tin cá nhân có thể bị xử phạt hình sự, với án tù giam cao nhất là 07 năm theo quy định của Bộ Luật Hình sự 2015 (sửa đổi, bổ sung năm 2017). Điều 159 quy định, việc “xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt tới 03 năm. Điều 288 quy định về “Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” với mức hình phạt cao nhất là 07 năm tù giam. Tuy nhiên, 02 tội danh này chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới DLCN đang diễn ra hiện nay. Việc chứng minh tội phạm để phù hợp với các yếu tố cấu thành tội phạm này hiện đang rất khó khăn. Việc công bố, rao bán hơn 17.000 dữ liệu về căn cước công dân là ví dụ điển hình.
Về chế tài dân sự: Quyền bảo vệ thông tin cá nhân (DLCN) là một quyền dân sự, việc bảo vệ quyền này được coi là nguyên tắc trong pháp luật Dân sự. Khoản 1 Điều 9 Bộ luật Dân sự năm 2015 khẳng định: “Tất cả các quyền dân sự của cá nhân, pháp nhân, chủ thể khác được tôn trọng và được pháp luật bảo vệ”. Tại Khoản 2 điều này đã ghi nhận 5 hình thức chế tài dân sự: Khi quyền dân sự của một chủ thể bị xâm phạm thì chủ thể đó có quyền tự bảo vệ theo quy định của Bộ luật này hoặc yêu cầu cơ quan, tổ chức có thẩm quyền: Công nhận quyền dân sự của mình; Buộc chấm dứt hành vi vi phạm; Buộc xin lỗi, cải chính công khai; Buộc thực hiện nghĩa vụ dân sự; Buộc bồi thường thiệt hại.
Về chế tài hành chính: Các hành vi vi phạm, xâm hại đến DLCN có thể bị buộc bồi thường thiệt hại, xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự, tùy thuộc vào tính chất, mức độ nguy hiểm và hậu quả do hành vi vi phạm gây ra. Mặc dù pháp luật về xử lý vi phạm hành chính hiện nay đã có các quy định xử phạt đối với một số hành vi vi phạm liên quan đến bảo vệ DLCN, nhưng các quy định trên chưa bảo đảm đầy đủ, toàn diện để làm cơ sở xử phạt đối với các hành vi vi phạm không thuộc lĩnh vực bưu chính, viễn thông, công nghệ thông tin, tần số vô tuyến điện, thương mại, sản xuất, buôn bán hàng giả, hàng cấm, bảo vệ quyền lợi người tiêu dùng. Ngoài ra, việc xử lý hành vi mua bán thông tin cá nhân gặp khó khăn do nhiều nguyên nhân, ví dụ như: khó truy ra đầu mối ai là người tiết lộ, đánh cắp, sử dụng thông tin cá nhân. Nghị định số 174/2013/NĐ-CP ngày 13/11/2013 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện quy định: phạt tiền từ 10 triệu đồng đến 20 triệu đồng đối với hành vi không có biện pháp bảo vệ thông tin riêng hoặc thông tin cá nhân của người sử dụng (điểm c khoản 1 Điều 65); phạt tiền từ 30 triệu đồng đến 50 triệu đồng đối với hành vi tiết lộ trên môi trường mạng thông tin thuộc bí mật kinh doanh hoặc tiết lộ trái phép nội dung thông tin riêng của người sử dụng dịch vụ viễn thông (điểm a khoản 4 Điều 66); phạt tiền từ 50 triệu đồng đến 70 triệu đồng đối với hành vi mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông (điểm a khoản 5 Điều 66).
Các chế tài xử lý quy định bảo vệ dữ liệu cá nhân cần đủ mạnh
DLCN đang trở thành nguồn dữ liệu cơ bản, ngày càng quan trọng, đóng góp vào phát triển kinh tế xã hội, bảo đảm quốc phòng, an ninh. Chế tài xử lý các hành vi vi phạm liên quan tới DLCN hiện còn đang thiếu, yếu về hiệu lực, chưa đủ sức răn đe, xử lý thích đáng đối với hành vi vi phạm. Cần thiết bổ sung, sửa đổi, tập trung thống nhất các chế tài xử lý vi phạm để đáp ứng yêu cầu thực tế của công tác quản lý nhà nước về bảo vệ DLCN, cũng như công tác đấu tranh, phòng chống tội phạm và hành vi vi phạm pháp luật về bảo vệ DLCN. Một số vấn đề được đưa ra như sau:
Một là, đề xuất nghiên cứu, bổ sung quy định về chế tài hình sự liên quan tới vi phạm quy định về bảo vệ DLCN, như: hành vi thiết lập hệ thống thu thập thông tin, DLCN trên quy mô lớn, trái pháp luật; xây dựng các phần mềm gián điệp có chức năng thu thập thông tin, DLCN; buôn bán DLCN quy mô lớn; tiết lộ DLCN trái pháp luật gây thiệt hại về tính mạng, tài sản.
Hai là, đề xuất mức xử phạt vi phạm hành chính đủ sức răn đe: Rà soát các quy định hiện hành về xử phạt vi phạm hành chính thì mức phạt tiền trung bình trong các lĩnh vực được áp dụng đối với các hành vi vi phạm liên quan đến xâm phạm các quy định về “bảo vệ DLCN” chỉ khoảng vài chục triệu đồng. Nếu so sánh với quy định chung về bảo vệ dữ liệu do Ủy ban Châu Âu xây dựng (GDPR) áp dụng mức phạt lên tới 20 triệu Euro, tương đương 500 tỷ VND dưới tương quan về tình hình phát triển kinh tế, mức thu nhập bình quân thì có thể thấy, mức phạt trong luật pháp Việt Nam còn khá nhẹ, trong khi hậu quả từ hành vi xâm phạm quyền riêng tư có thể rất nghiêm trọng, gây tổn hại tới danh dự, nhân phẩm, an toàn và cả tính mạng của đối tượng bị hại.
Ba là, nghiên cứu, đề xuất xây dựng ngay một hệ thống các quy định về các hành vi vi phạm, chế tài xử phạt vi phạm hành chính cho riêng lĩnh vực “bảo vệ DLCN”, để có thể quy định một cách đầy đủ, toàn diện và tập trung nhất về cách sử dụng khái niệm “bảo vệ DLCN”, về các hành vi vi phạm và chế tài xử phạt. Tuy nhiên, việc quy định như thế nào để vừa hài hòa được cái chung (DLCN nói chung) với cái riêng (thông tin/DLCN trong các lĩnh vực quản lý nhà nước), vừa phải bảo đảm phù hợp, thống nhất với hệ thống pháp luật về xử lý vi phạm hành chính hiện nay thì cần phải có sự đầu tư và nghiên cứu rõ hơn.
Bốn là, khẩn trương ban hành Nghị định quy định về bảo vệ DLCN. Để giải quyết khó khăn, vướng mắc do chưa có một chế định cụ thể nào quy định về “bảo vệ DLCN” để làm căn cứ cho việc quy định hành vi, chế tài xử phạt vi phạm hành chính.
Về lâu dài, cần nghiên cứu hoàn thiện hơn nữa thể chế về “bảo vệ DLCN” và bảo đảm thực hiện quyền “bảo vệ DLCN” đặt trong tổng thể thể chế quyền riêng tư, bí mật cá nhân, bí mật gia đình theo đúng tinh thần của Hiến pháp năm 2013 và Công ước Liên Hợp quốc về các quyền dân sự, chính trị.
