Luật pháp “bó tay” trong các vụ rò rỉ dữ liệu cá nhân trên mạng Internet

(PLO) - Hiện nay, hệ thống pháp luật của các quốc gia trên thế giới đều chưa xử lý được các vụ việc dữ liệu cá nhân người sử dụng Internet bị tin tặc lấy cắp. Rất khó để xác định được những công ty như Yahoo hay Facebook phạm sai lầm ở đâu và đưa ra được hình phạt thích đáng. 
Ảnh minh họa
Ảnh minh họa

Các chuyên gia về bảo mật đã khẳng định, do “tính chất nặc danh, khó phát hiện của môi trường mạng,” rất nhiều thông tin đã bị rò rỉ. Lượng thông tin bị rò rỉ trên mạng xã hội như Facebook là không thể đếm hết. Hacker có thể lợi các lỗ hổng trong phần mềm để lấy địa chỉ liên lạc, danh sách người thân, mọi ứng dụng bạn sử dụng và mọi nội dung bạn đăng tải trên Facebook.

Trong hầu hết các trường hợp rò rỉ thông tin người sử dụng mạng xã hội, sẽ không có hậu quả nghiêm trọng. Thi thoảng sẽ có một cuộc khủng hoảng truyền thông ngắn hạn, một cú hẫng giá cổ phiếu, một vụ kiện tập thể hoặc một cuộc điều tra ngắn của một cơ quan chức năng dẫn đến việc công ty bị phạt tiền. Những vụ rò rỉ thông tin người dùng của Yahoo hay Facebook vừa qua diễn ra ở mức độ như vậy.

Khi để rò rỉ thông tin người dùng, Facebook không phải đối mặt với bất kỳ hậu quả nào nghiêm trọng hoặc lâu dài. Cụ thể giữa tháng 3 năm nay, công ty này đã làm lộ dữ liệu cá nhân của 50 triệu người dùng và riêng Việt Nam hơn 400.000 người bị đánh cắp dữ liệu cá nhân. 

Thoạt nhìn, hoàn toàn có thể có hình thức trừng phạt thích đáng cho các công ty vi phạm rò rỉ dữ liệu cá nhân thông qua những quy định, đạo luật chặt chẽ (ví dụ như quy định bảo vệ dữ liệu chung của Liên minh Châu Âu). Nhưng, thực tế thì chưa có trường hợp nào mà các trang mạng xã hội làm rò rỉ thông tin người sử dụng bị trừng phạt thích đáng. Theo New York Times, các chuyên gia pháp lý của Mỹ đưa ra nhận định, có hai thách thức cụ thể đã làm cản trở việc xây dựng pháp luật xung quanh việc rò rỉ thông tin.

Điều đầu tiên phải nói đến đó là khó xác định liệu một công ty có cẩu thả trong việc bảo mật không. Bất cứ công ty nào cũng gặp phải lỗi phần mềm, do đó tạo ra những lỗ hổng thông tin. Câu hỏi quan trọng để xác định Facebook có lỗi trong việc làm rò rỉ dữ liệu phụ thuộc vào việc công ty có bắt và sửa những lỗ hổng trong phần mềm kịp thời không? Facebook có hành động kịp thời khi xảy ra lỗi không? 

Ảnh minh họa
Ảnh minh họa

Khó khăn nằm trong việc xác định xem công ty nào cố gắng sửa chữa các vấn đề, và các công ty nào cẩu thả. Để lấy ví dụ đơn giản, năm 2015, Toà án phúc thẩm Mỹ xác minh rằng chuỗi khách sạn Wyndham Worldwide đã không đạt yêu cầu trong việc cung cấp tường lửa, mã hoá đơn giản, hay yêu cầu người sử dụng đổi mật khẩu, dẫn tới thất thoát thông tin và công ty phải chịu phạt. Nhưng, đối với một công ty như Facebook, những tiêu chí trên là cơ bản. Vậy, mức độ bảo mật nào mới đủ cao để bảo vệ cho người dùng?  Chỉ khi Facebook bỏ qua những lỗi nghiêm trọng như trên và không chịu sửa chữa thì mới có thể đưa ra hình phạt để Facebook tăng cường an ninh trong tương lai. 

Vấn đề rất quan trọng nữa là khó định giá những thông tin đã bị đánh cắp. Ngoài việc xác định xem một công ty như Facebook có cẩu thả không, việc định giá thông tin bị rò rỉ còn khó khăn hơn. Có những trường hợp, người dùng bị ảnh hưởng tâm lý nặng nề.

Tờ New York Times đưa ra một dẫn chứng, năm 2015 trang web hẹn hò trực tuyến Ashley Madison đã làm lộ thông tin của những cá nhân có dấu hiệu ngoại tình trong hôn nhân. Vì không thể xác định thiệt hại của việc mất thông tin, áp dụng luật pháp là điều rất khó. Vụ kiện tập thể chống lại Ashley Madison đã lên tới đỉnh điểm là $11,2 triệu vào năm ngoái. Tuy nhiên, Uỷ ban Thương mại Liên bang của Mỹ phải đồng ý với mức phạt $1,6 triệu do còn nhiều lỗ hổng pháp lý. Trong khi đó, công ty Ashley Madison vẫn báo cáo tăng trưởng mạnh mẽ số lượng người dùng sau khi vi phạm. 

Cũng theo New York Times, Mỹ sở hữu một hệ thống pháp lý còn thiếu sót và nơi lỏng, còn Châu Âu sử dụng một hệ quá khắc nghiệt khiến các nhà quản lý sẽ không bao giờ có thể áp dụng mức phạt tối đa cho phép. Cả hai hệ thống này đều không đạt được sự cân bằng hợp lý về hình phạt tài chính lẫn các biện pháp khắc phục an ninh. Cho đến khi khắc phục, các công ty sẽ tiếp tục tránh hậu quả của những hành vi vi phạm. 

Ở Việt Nam, việc người sử dụng Internet bị rò rỉ thông tin có thể đòi bồi thường hoặc là đơn vị để rò rỉ thông tin bị “trừng phạt” cũng là việc chưa có tiền lệ. Tới thời điểm này, dường như pháp luật vẫn “bó tay” trước những vụ rò rỉ tai hại này và người sử dụng Internet cần tự bảo vệ mình là câu hỏi chưa có câu trả lời thỏa đáng. 

Đọc thêm