Bộ Công an đang lấy ý kiến xây dựng nghị định quy định về bảo vệ dữ liệu cá nhân. Đây được coi là một dự án văn bản luật rất cần thiết trong bối cảnh dữ liệu cá nhân bị đánh cắp và mua bán phức tạp như hiện nay.
Bộ Công an đề xuất xây dựng nghị định quy định về dữ liệu cá nhân của công dân. Ảnh minh họa
2 hình thức mua bán dữ liệu cá nhân
Theo Bộ Công an, việc mua bán dữ liệu cá nhân hiện đang được thực hiện theo hai hình thức chính. Một là, các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác.
Hai là, các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.
Việc buôn bán dữ liệu cá nhân diễn ra dưới cả dạng thô và dạng đã qua xử lý. Các dữ liệu này được mua đi, bán lại nhiều lần, cung cấp dưới dạng dịch vụ như databox.vn, databoxviet.com, laydata.com, laydata.net, khodata.net, databox.biz, fff.com.vn, cokhach.com, vltoolkit.com.
Các gói dữ liệu thô được giao bán liên quan tới nhiều lĩnh vực: danh sách cán bộ, danh sách nội bộ (bao gồm cả các đơn vị công an, quốc phòng, thuế...); ngân hàng (chi tiết tới cả số dư tài khoản); bảo hiểm; hồ sơ đăng ký kinh doanh; giáo dục (phụ huynh, giáo viên, học sinh sinh viên); danh sách khách hàng sử dụng các dịch vụ Internet…
Qua rà soát sơ bộ, Bộ Công an phát hiện hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng, bao gồm: các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện...
Ngoài ra, xuất hiện các công ty cung cấp dịch vụ bán cho khách hàng phần mềm thu thập thông tin cá nhân trái phép, được cài ẩn trong các trang mạng bán hàng để thu thập thông tin.
Hoặc như các đối tượng phạm tội tiến hành thu thập thông tin cá nhân trái phép bằng cách sử dụng mã độc, phần mềm có tính năng gián điệp để thu thập dữ liệu cá nhân trong môi trường mạng qua máy tính và điện thoại di động; tấn công, xâm nhập hệ thống máy tính, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và sẵn sàng của máy tính người sử dụng để chiếm đoạt thông tin cá nhân, dữ liệu cá nhân.
Chế tài chưa đủ mạnh
Tình trạng vi phạm pháp luật về dữ liệu cá nhân phổ biến nhưng chế tài cho các hành vi này còn thiếu hoặc nhẹ, chưa đủ sức răn đe.
Hiện nay, các hành vi vi phạm, xâm hại đến dữ liệu cá nhân có thể bị truy cứu trách nhiệm hình sự theo hai tội danh xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác (Điều 159 BLHS) và tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông (Điều 288 BLHS).
Tuy nhiên, cả hai tội danh này chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới dữ liệu cá nhân đang diễn ra hiện nay.
Bên cạnh đó, dù pháp luật về xử lý vi phạm hành chính hiện nay đã có các quy định xử phạt đối với một số hành vi vi phạm liên quan đến bảo vệ dữ liệu cá nhân, nhưng mức phạt cao nhất mới chỉ là 70 triệu đồng, dẫn tới các đối tượng sẵn sàng vi phạm, chấp nhận mức phạt và tiếp tục vi phạm.
Từ những cơ sở trên, Bộ Công an đề xuất xây dựng nghị định quy định chi tiết về dữ liệu cá nhân; các điều kiện và quy trình xử lý, bảo vệ, xử lý vi phạm về dữ liệu cá nhân; trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân.
Theo đó, dữ liệu cá nhân là dữ liệu về thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự thuộc về cá nhân.
Dữ liệu cá nhân chỉ được thu thập hợp pháp và thu thập trong phạm vi cần thiết để đạt được mục đích đã xác định. Dữ liệu cá nhân chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc được sự cho phép của cơ quan có thẩm quyền.