Lấp “lỗ hổng” bảo vệ dữ liệu cá nhân

(PLVN) - Trong thời đại công nghệ số hiện nay, đặc biệt là sự phát triển mạnh mẽ của các công nghệ mang tính đột phá trong cuộc cách mạng công nghiệp 4.0, vấn đề bảo vệ dữ liệu cá nhân đang ngày càng trở nên cấp thiết và cần sự vào cuộc đồng bộ của cả hệ thống chính trị cùng với quy định pháp luật chặt chẽ.
Ảnh minh họa

Vô tư tiết lộ thông tin cá nhân!

Theo đánh giá của Bộ Công an, việc tiết lộ thông tin cá nhân khi chưa được sự đồng ý diễn ra phổ biến. Hầu hết người tham gia sử dụng mạng xã hội không có ý thức bảo vệ thông tin cá nhân của mình và người khác, vô tư đăng tải thông tin cá nhân lên mạng. 

Một số đối tượng có hành vi vi phạm pháp luật khi sử dụng thông tin cá nhân của người khác lồng ghép vào các bài viết có nội dung tiêu cực, vi phạm pháp luật nhằm mục đích vu khống, làm nhục, bôi nhọ danh dự người khác. Một số thông tin cá nhân nhạy cảm không được tiết lộ nhưng vẫn bị công khai tên tuổi, địa chỉ như liên quan tới hành vi vi phạm pháp luật, đời sống riêng tư, thông tin về người yếu thế như trẻ em, người đang bị bệnh.

Trên thực tế, đã xuất hiện các công ty cung cấp dịch vụ bán cho khách hàng phần mềm thu thập thông tin cá nhân trái phép, được cài ẩn trong các trang mạng bán hàng để thu thập thông tin. Khi người dùng truy cập vào các trang mạng này, doanh nghiệp sẽ thu thập được các thông tin cá nhân sâu hơn về phiên truy cập như địa chỉ IP, thời gian, số điện thoại, địa điểm. 

Các đối tượng phạm tội tiến hành thu thập thông tin cá nhân trí phép bằng cách sử dụng mã độc, phần mềm có tính năng gián điệp để thu thập dữ liệu cá nhân trong môi trường mạng qua máy tính và điện thoại di động; tấn công, xâm nhập hệ thống máy tính, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và sẵn sàng của máy tính  người sử dụng để chiếm đoạt thông tin cá nhân, dữ liệu cá nhân. Hình thức này đang diễn ra phổ biến, ngày càng có tính chất nguy hiểm. Đã có những “cuộc khủng hoảng” lộ dữ liệu khi các file chứa dữ liệu của hàng triệu khách hàng các đơn vị bị đăng tải trên mạng.

Thực tiễn an ninh mạng ở nước ta hiện nay cho thấy, các vụ việc xâm phạm an ninh mạng, bảo mật máy tính ngày càng gia tăng, đặc biệt là các vụ tấn công ứng dụng web. Nhiều trang mạng ở nước ta chưa chú trọng công tác bảo mật nên là mục tiêu cho các đối tượng xâm nhập, chiếm đoạt dữ liệu.

Một số đối tượng còn thực hiện hành vi tấn công vào hệ thống lưu trữ dữ liệu cá nhân, thông tin khách hàng như hệ thống cước phí Internet của các ISP để xóa cước phí, đánh cắp thông tin của các doanh nghiệp để bán cho đối thủ của họ, ăn cắp mật khẩu của các tài khoản nhằm mục đích biển thủ tiền... 

Tình hình phạm tội liên quan tới lĩnh vực ngân hàng diễn ra nghiêm trọng, nhiều thủ đoạn chiếm đoạt thông tin thẻ tín dụng, trộm cắp thông tin để làm giả thẻ ngân hàng, thanh toán hàng hóa khống diễn ra với các thủ đoạn tinh vi, nguy hiểm hơn. Nhiều thiết bị skimming bị phát hiện lắp tại các máy ATM để chiếm đoạt thông tin; hàng triệu thẻ tín dụng giả bị phát hiện, thu giữ; người nước ngoài vào Việt Nam sử dụng trái phép thông tin thẻ tín dụng để rút tiền, thanh toán khống hàng hóa dịch vụ.

Cần hoàn thiện pháp luật

Bên cạnh nhận thức về công tác bảo vệ dữ liệu cá nhân còn hạn chế, chưa phù hợp với tình hình thực tế, là nguyên nhân chính dẫn tới tình trạng lộ, lọt, chiếm đoạt thông tin cá nhân, buôn bán dữ liệu cá nhân, thì quy định của pháp luật về bảo vệ thông tin cá nhân chưa hoàn thiện. Tuy đã được ghi nhận từ lâu, song những quy định pháp luật cụ thể về bảo vệ dữ liệu cá nhân được quy định rải rác trong các văn bản quy phạm pháp luật với mức độ khác nhau và chưa có quy định chi tiết, cụ thể và thiếu tính khả thi trên thực tế. 

Các văn bản pháp luật hiện hành hiện chưa đưa ra được một khái niệm thống nhất, đầy đủ dẫn đến khó hiểu và khó áp dụng pháp luật về bảo vệ dữ liệu cá nhân. Bên cạnh khái niệm dữ liệu cá nhân, thông tin cá nhân, một số văn bản quy phạm pháp luật còn sử dụng khái niệm thông tin riêng, thông tin bí mật đời tư dẫn tới trùng lặp, khó áp dụng trong thực tiễn. Hệ thống pháp luật nước ta chưa có quy định xử lý việc tiết lộ thông tin cá nhân mà chưa có sự đồng ý của chủ thể, tạo nên lỗ hổng lớn trong thời đại sử dụng dữ liệu cá nhân như một nguyên liệu để phân tích phục vụ kinh tế như hiện nay.

Hiện tại, mới chỉ có Luật An toàn thông tin mạng quy định về nguyên tắc bảo vệ thông tin cá nhân nhưng theo hướng cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật. Điều này đặt ra vấn đề cần bổ sung thêm các nguyên tắc khác để bảo vệ dữ liệu cá nhân.

Mặc dù có một số văn bản quy phạm pháp luật (Bộ luật Hình sự, Bộ luật Dân sự, Luật Bảo vệ người tiêu dùng, Luật Công nghệ thông tin...) có đề cập tới khía cạnh bảo vệ dữ liệu cá nhân nhưng chưa đầy đủ và thiếu chế tài đủ mạnh để xử lý vi phạm. Do đó, các cơ quan chức năng khó xác định và xử lý đúng tính chất, mức độ các hành vi vi phạm bảo vệ dữ liệu cá nhân theo quy định của pháp luật hiện hành.

Bên cạnh đó, công tác lưu trữ, bảo quản, xử lý dữ liệu cá nhân bộc lộ nhiều hạn chế trong thời đại cách mạng khoa học công nghệ, trong khi công tác tuyên truyền, phổ biến quy định của pháp luật về bảo vệ dữ liệu cá nhân chưa đáp ứng được yêu cầu, chưa theo kịp sự phát triển của khoa học công nghệ, công tác đầu tư, kinh phí phục vụ bảo vệ dữ liệu cá nhân còn hạn chế. Chính phủ các các cơ quan hữu trách cũng chưa khai thác, phát huy hết giá trị của dữ liệu cá nhân trong phát triển Chính phủ điện tử, hành chính công, phục vụ quản lý nhà nước, phát triển kinh tế - xã hội.

Vì thế, một Nghị định bảo vệ dữ liệu cá nhân đang được Bộ Công an đề nghị xây dựng trong thời gian tới.

2 hình thức mua bán dữ liệu cá nhân phổ biến

Việc mua bán dữ liệu cá nhân hiện đang được thực hiện theo hai hình thức chính. Một là, các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Hai là, các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.

Việc buôn bán dữ liệu cá nhân hiện nay trên thị trường diễn ra dưới cả 2 dạng nêu trên, tiến hành kinh doanh dữ liệu cá nhân thô và dữ liệu cá nhân đã qua xử lý. Các gói dữ liệu được rao bán liên quan tới nhiều lĩnh vực: danh sách cán bộ, danh sách nội bộ (bao gồm cả các đơn vị công an, quốc phòng, thuế...); điện lực; thuê bao Internet; ngân hàng (chi tiết tới cả số dư tài khoản); bảo hiểm; hồ sơ đăng ký kinh doanh; giáo dục (phụ huynh, giáo viên, học sinh, sinh viên); bất động sản (kèm theo khả năng tài chính); nhân sự có chọn lọc (mức thu nhập, chức vụ); danh sách khách hàng sử dụng các dịch vụ Internet (danh sách thành viên đăng ký Facebook, fpt, vnn.com, yahoo.com, gmail.com, gov.vn, hopthu.com, hotmail.com, saigonnet.vn). Các loại dữ liệu được mua bán trong thời gian dài, có cam kết về độ chính xác, cam kết cập nhật dữ liệu, hỗ trợ xuất dữ liệu theo yêu cầu người mua. 

Qua rà soát sơ bộ, Bộ Công an phát hiện hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng, bao gồm: Các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện... 

Chế tài xử lý vi phạm về dữ liệu cá nhân chưa đủ sức răn đe

Điều 159 Bộ luật Hình sự quy định, việc “Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt từ tới 03 năm. Điều 288 quy định về “Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” với mức hình phạt cao nhất là 07 năm tù giam. Tuy nhiên, 02 tội danh này chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới dữ liệu cá nhân đang diễn ra hiện nay.

 Mặc dù pháp luật về xử lý vi phạm hành chính hiện nay đã có các quy định xử phạt đối với một số hành vi vi phạm liên quan đến bảo vệ dữ liệu cá nhân, nhưng các quy định trên chưa bảo đảm đầy đủ, toàn diện để làm cơ sở xử phạt đối với các hành vi vi phạm không thuộc lĩnh vực bưu chính, viễn thông, công nghệ thông tin, tần số vô tuyến điện, thương mại, sản xuất, buôn bán hàng giả, hàng cấm, bảo vệ quyền lợi người tiêu dùng. 

Nghị định số 174/2013/NĐ-CP ngày 13/11/2013 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện quy định phạt tiền đối với hành vi không có biện pháp bảo vệ thông tin riêng hoặc thông tin cá nhân của người sử dụng, tiết lộ trên môi trường mạng thông tin thuộc bí mật kinh doanh hoặc tiết lộ trái phép nội dung thông tin riêng của người sử dụng dịch vụ viễn thông, mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông, với mức phạt cao nhất mới là 70.000.000 đồng.

Việc xử lý hành vi mua bán thông tin cá nhân gặp khó khăn do nhiều nguyên nhân, ví dụ như: khó truy ra đầu mối ai là người tiết lộ, đánh cắp, sử dụng thông tin cá nhân. Nhiều hành vi vi phạm chưa được thể chế phù hợp với tình hình thực tế.

Đọc thêm