Trong thế giới số, dữ liệu không chỉ là sức mạnh, là bột để gột nên hồ, là nguồn tài nguyên cốt tử, mà còn bị lạm dụng như một thứ hàng hóa “hot”. Việc kinh doanh phi pháp dữ liệu cá nhân trong khi đem lại nguồn lợi nhuận lớn cho kẻ xấu lại gây ra vô số hiểm họa khôn lường cho các khổ chủ.

Hồi trung tuần tháng 3-2023, Tòa án Nhân dân TP. Hà Nội đã đưa ra xét xử 8 bị cáo về các tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông và làm giả con dấu, tài liệu của cơ quan, tổ chức. Chủ mưu Trần Mạnh Quân (từng là cán bộ Công an quận Long Biên, TP. Hà Nội) lãnh 6 năm tù về hai tội danh trên. Các bị cáo còn lại bị phạt từ 20 tháng tù nhưng cho hưởng án treo đến 30 tháng tù về tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông. Trong số này cộm cán là Bùi Việt Anh, Phó Trưởng Trung tâm An ninh mạng, Ban Khai thác mạng Tổng Công ty Hạ tầng mạng VNPT.Net.

Khoảng tháng 2-2021, Công an TP. Hà Nội phát hiện Công ty Cung cấp thông tin Toàn Tâm có hành vi mua bán, trao đổi thông tin thuộc phạm vi bí mật cá nhân như lịch sử cuộc gọi, xác định vị trí, sao kê tài khoản ngân hàng…

Vào năm 2019, Phạm Ngọc Tỉnh, Giám đốc Công ty 247 Việt Nam, đã đặt vấn đề với Việt Anh để mua thông tin liên quan đến số điện thoại của nhà mạng VinaPhone (thông tin chủ thuê bao, danh sách cuộc gọi đi, đến; tin nhắn đi, đến; định vị số điện thoại…). Tỉnh cũng mua thêm các thông tin từ các nhà mạng Viettel, MobiFone. Là người trong nhà, Việt Anh đã sử dụng tài khoản do VinaPhone cung cấp để đăng nhập vào hệ thống dữ liệu nhà mạng, nhập số điện thoại cần lấy thông tin. Bị cáo này trích xuất thông tin chủ thuê bao, thông tin định vị, danh sách cuộc gọi để bán cho Tỉnh với giá từ 500.000 đồng đến 1 triệu đồng/thông tin. Đối với các số điện thoại Viettel và MobiFone, Việt Anh mua thông tin điện thoại, thông tin định vị, danh sách cuộc gọi rồi bán lại với giá cao hơn để hưởng chênh lệch. Từ năm 2019 đến thời điểm bị bắt giữ, Việt Anh đã mua bán dữ liệu 450 số điện thoại của ba nhà mạng VinaPhone, Viettel, và MobiFone.

Đây chỉ là một vụ án được xét xử gần đây nhất. Còn thì không thể thống kê nổi trong thời gian qua có bao nhiêu vụ ở tại Việt Nam mà thông tin cá nhân bị lọt lộ công khai. Thậm chí có doanh nghiệp Internet lớn từng để lộ hơn 163 triệu tài khoản khách hàng. Có hãng hàng không đã bị tin tặc tấn công vào hệ thống máy chủ đánh cắp và công khai lên Internet 411.000 tài khoản khách hàng là thành viên của hãng. Vụ gần 10.000 dữ liệu chứng minh nhân dân, căn cước công dân bị rao bán trên diễn đàn tin tặc.

Nhà chức trách cũng từng triệt phá được một đường dây mua bán hơn 6,2 triệu dữ liệu cá nhân tại Thừa Thiên – Huế. Theo VTV, bên cạnh việc thu thập dữ liệu cá nhân bằng việc lợi dụng sự nhẹ dạ cả tin của người dùng, các đối tượng này còn truy cập trái phép vào trang nội bộ của các công ty tài chính, doanh nghiệp…. để đánh cắp thông tin rồi rao bán trên mạng xã hội để thu lợi bất chính.

Trên thế giới từ lâu nay, các công ty kinh doanh trên nền Internet luôn là đích ngắm của cơ quan công quyền nhiều quốc gia trong nỗ lực bảo vệ thông tin cá nhân người dùng. Chẳng hạn, các “ông lớn công nghệ” như Google, Facebook đã gặp rắc rối và bị xử phạt nặng ngay ở Mỹ đối với các hành vi thu thập trái phép và để lộ thông tin người dùng. Apple và các ứng dụng mạng xã hội như WhatsApp, Twitter cũng bị điều tra về tính minh bạch dữ liệu. Nền tảng video ngắn TikTok của ByteDance cũng bị điều tra cả ở Mỹ lẫn Châu Âu về nghi vấn vi phạm luật bảo mật

Cục An toàn thông tin (Bộ Thông tin và Truyền thông) cho biết, chỉ có khoảng 20% nguyên nhân để lọt, lộ thông tin cá nhân thuộc về nhà cung cấp dịch vụ; trong khi đó có tới 80% nguyên nhân lộ lọt thông tin cá nhân là xuất phát từ chính sự bất cẩn của người dùng.

Theo kinh nghiệm của thế giới, việc bảo vệ an toàn dữ liệu cá nhân là một giải pháp đồng bộ đa phía: người dùng, tổ chức thu thập và sử dụng, và cơ quan công quyền. Nó không còn chỉ dựa vào thỏa thuận, cam kết và các quy định của từng tổ chức với người dùng mà đã đến lúc cần phải luật hóa cụ thể với những biện pháp chặt chẽ hơn và các hình phạt chế tài nghiêm minh hơn.

Hiện nay ở Việt Nam có Luật An toàn thông tin mạng năm 2015. Luật này quy định tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm: Tiến hành thu thập thông tin cá nhân sau khi có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó; Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân; Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.

Luật về bảo vệ dữ liệu cá nhân phải bao hàm việc bảo vệ người dân và trừng trị các kẻ phạm tội. Nó cụ thể hóa và luật hóa quyền được cung cấp và bảo vệ dữ liệu cá nhân của công dân; cũng như quyền được thu thập và sử dụng dữ liệu cá nhân người dùng của các tổ chức gắn với trách nhiệm cụ thể; đồng thời có các hình thức chế tài cụ thể và nghiêm khắc hơn đối với những hành vi phạm pháp có liên quan tới dữ liệu cá nhân.

Thời điểm đã chín muồi. Việc bảo vệ thông tin và dữ liệu cá nhân chính là một thành tố quan trọng góp phần quyết định cho thành công của công cuộc chuyển đổi số toàn diện quốc gia mà Việt Nam đang nỗ lực tiến hành. Chính phủ số, kinh tế số, xã hội số… đều được vận hành dựa trên dữ liệu cá nhân của công dân. Nếu không có các biện pháp bảo vệ, dữ liệu cá nhân đang lưu hành tấp nập trên môi trường số sẽ khó lòng mà an toàn.

Tin tốt lành là Chính phủ đã vào cuộc trong cuộc chiến bảo vệ dữ liệu cá nhân. Ngày 7-2-2023, Thủ tướng Chính phủ đã ký ban hành Nghị quyết 13/NQ-CP “Thông qua hồ sơ xây dựng Nghị định bảo vệ dữ liệu cá nhân”. Theo đó, Chính phủ đồng ý quy định dữ liệu cá nhân được xử lý không cần sự đồng ý của chủ thể dữ liệu trong các trường hợp được liệt kê cụ thể, trong đó có việc để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác trong tình huống khẩn cấp. Bộ trưởng Bộ Công an được giao thay mặt Chính phủ báo cáo, xin ý kiến Ủy ban Thường vụ Quốc hội về dự thảo Nghị định bảo vệ dữ liệu cá nhân.

Tất nhiên, Nghị định Chính phủ về bảo vệ dữ liệu cá nhân chỉ là bước đầu để tiến tới sự luật hóa cao hơn. Nhiều đại biểu tham dự Hội thảo khoa học “Một số vấn đề về thương mại điện tử và bảo vệ quyền lợi người tiêu dùng dưới tác động của cuộc Cách mạng Công nghiệp lần thứ tư” do Viện Khoa học pháp lý (Bộ Tư pháp) phối hợp cùng Cục Cạnh tranh và Bảo vệ Người tiêu dùng (Bộ Công Thương) tổ chức ngày 24-8-2022 đã đề xuất: nghiên cứu ban hành Luật về bảo vệ dữ liệu cá nhân (hoặc Luật về bảo vệ thông tin cá nhân) để tăng cường trách nhiệm của doanh nghiệp và các chủ thể có liên quan trong việc tôn trọng, bảo vệ thông tin cá nhân của người tiêu dùng, đồng thời tạo hành lang pháp lý an toàn để các doanh nghiệp thu thập, khai thác và sử dụng hợp pháp các thông tin cá nhân của người tiêu dùng.

Ngày càng có thêm nhiều nước trên thế giới ban hành các luật định về bảo vệ thông tin và dữ liệu cá nhân. Điểm chung của các luật định này là yêu cầu các doanh nghiệp phải tuân thủ các quy định cụ thể, rõ ràng về cách thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, việc chia sẻ dữ liệu… Bất cứ công ty nào, gồm cả nội địa lẫn nước ngoài hoạt động ở nước đó đều phải tuân thủ các luật định của nước sở tại. Các nước cũng tăng cường quản lý các doanh nghiệp công nghệ nước ngoài (Google, Facebook, Amazon, Twitter,…) trong việc thu thập thông tin người dùng. Liên minh Châu Âu năm 2018 đã ban hành Luật Bảo vệ dữ liệu chung Châu Âu (GDPR), mà doanh nghiệp vi phạm có thể bị xử phạt lên tới 20 triệu Euro hoặc 4% doanh thu toàn cầu hàng năm. Nhật Bản năm 2917 đã ban hành Luật Bảo vệ thông tin cá nhân (APPI) và thành lập Ủy ban Bảo vệ thông tin cá nhân (PPC). Gần Việt Nam hơn là Singapore, nước duy nhất ở Đông Nam Á hiện nay đã có luật bảo vệ dữ liệu cá nhân (thông qua năm 2012). Nhiều nước chưa có luật riêng thì bảo vệ thông tin và dữ liệu cá nhân thông qua các quy định trong các văn bản quy phạm pháp luật.

• Bản in trên báo Người Lao Động thứ Bảy 8-4-2023 và trên báo NLĐ Online.

NGÔ LÊ