'Việc mua bán dữ liệu cá nhân trái phép diễn ra thường xuyên'

Bộ Công an đang xây dựng dự thảo Nghị định bảo vệ dữ liệu cá nhân, trong đó đề xuất xử phạt hành chính 80 triệu đồng với hành vi tiết lộ tên, năm sinh, số điện thoại... người khác trái phép. VnExpress phỏng vấn Trung tá Nguyễn Bá Sơn -Trưởng phòng Tham mưu, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an), về nội dung này.

- Vì sao Bộ Công an đề xuất xây dựng Nghị định về bảo dữ liệu cá nhân và đưa ra mức xử phạt hành chính nêu trên, thưa ông?

- Việc đề xuất quy định này dựa trên bối cảnh tình trạng mua bán, chia sẻ, tiết lộ, chuyển giao dữ liệu cá nhân trái pháp luật hiện nay diễn ra thường xuyên.

Mức phạt 80 triệu đồng chưa phải là cao nhất, vì theo Luật Xử lý vi phạm hành chính (sửa đổi) năm 2020, trong lĩnh vực "an ninh mạng", cơ quan chức năng được xử phạt tối đa 100 triệu đồng với cá nhân, 200 triệu đồng với tổ chức.

Dự thảo Nghị định bảo vệ dữ liệu cá nhân quy định mức xử phạt theo nhiều khung khác nhau và theo mức độ tái phạm của hành vi. Mức 80 triệu đồng là xử phạt cho lần đầu, còn vi phạm lần hai, mức phạt sẽ tăng lên 100 triệu đến 160 triệu đồng. Hoặc có thể phạt tiền tối đa 5% tổng doanh thu của đơn vị vi phạm dữ liệu cá nhân tại Việt Nam, đối với các hành vi này từ lần thứ 3.

Thẻ căn cước công dân chứa mã số định danh là dữ liệu thông tin cá nhân cơ bản của công dân. Ảnh: Bá Đô

- Dữ liệu cá nhân được hiểu như thế nào để làm căn cứ phát hiện vi phạm và xử phạt?

- Dữ liệu cá nhân là loại dữ liệu để xác định hoặc có thể xác định một cá nhân cụ thể. Dữ liệu cá nhân được chia làm hai loại, trong đó dữ liệu cơ bản gồm họ và tên khai sinh; ngày, tháng, năm sinh; nhóm máu; giới tính; số điện thoại; nơi sinh; nơi thường trú; số chứng minh thư, căn cước; tình trạng hôn nhân; số giấy phép lái xe; mã số thuế cá nhân...

Loại dữ liệu cá nhân nhạy cảm gồm quan điểm chính trị, tôn giáo, tình trạng sức khỏe, dữ liệu về di truyền...

Nói một cách dễ hiểu thì dữ liệu cá nhân của mình thì được phép chia sẻ, khai thác, còn dữ liệu cá nhân của người khác, không phải của mình thì tổ chức, cá nhân phải có sự đồng ý của chủ thể dữ liệu; một số loại dữ liệu cá nhân nhạy cảm quan trọng được pháp luật quy định biện pháp bảo vệ đặc thù thì cần có sự cho phép theo quy định của pháp luật.

Ngoài ra, bên xử lý dữ liệu cá nhân, bên thứ ba cũng có thể tiết lộ dữ liệu cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu, trong các trường hợp việc công bố thông tin là cần thiết vì an ninh quốc gia, trật tự an toàn xã hội; công bố trên phương tiện truyền thông vì mục đích trật tự, an toàn xã hội, đạo đức xã hội, sức khỏe của cộng đồng...

- Hiện nay tình trạng sử dụng dữ liệu cá nhân trái phép thường diễn ra dưới những hình thức như thế nào?

- Việc bán dữ liệu cá nhân trái phép trên mạng hiện nay được thực hiện theo ba hình thức chính. Trong đó nhân viên quản trị hệ thống cơ sở dữ liệu thu thập trái phép dữ liệu trong hệ thống sau đó bán ra ngoài; các doanh nghiệp chủ động thu thập dữ liệu cá nhân của khách hàng phục vụ kinh doanh, nhưng không thực hiện biện pháp bảo vệ tương xứng, dẫn tới bị lộ, bị chiếm đoạt hoặc nhân viên quản trị hệ thống thu thập rồi bán ra ngoài.

Có thể nói ngày càng có nhiều tổ chức, cá nhân thu thập, phân tích, xử lý dữ liệu cá nhân với mục đích khác nhau, nhưng không thông báo cho khách hàng hoặc để xảy ra tình trạng lộ, lọt dữ liệu.

Bên cạnh đó, các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác.

Ngoài ra, một số chủ thể thiết lập các phần mềm, hệ thống chuyên thu thập dữ liệu cá nhân của người khác sau đó lập các dịch vụ kinh doanh dữ liệu cá nhân. Một số công ty cung cấp dịch vụ bán cho khách hàng phần mềm thu thập thông tin cá nhân trái phép, được cài ẩn trong các trang mạng bán hàng để thu thập thông tin.

- Vì sao việc mua bán dữ liệu cá nhân trái phép diễn ra tràn lan trên không gian mạng nhưng ít được phát hiện, xử phạt?

- Có nhiều nguyên nhân dẫn tới tình trạng mua bán, sử dụng dữ liệu cá nhân như hiện nay. Tuy nhiên không vì thế mà hành vi này ít bị phát hiện. Thời gian qua, các cơ quan chức năng đã phát hiện và linh hoạt xử lý rất nhiều vụ, việc bằng nhiều hình thức khác nhau. Gần đây nhất, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) đã phối hợp với Công an các đơn vị, địa phương điều tra một vụ án liên quan mua bán dữ liệu quy mô lớn tại Việt Nam.

Trong số các nguyên nhân, chúng tôi nhận thấy 3 vấn đề chính. Đầu tiên là văn bản pháp luật quy định về bảo vệ dữ liệu cá nhân chưa đầy đủ. Thứ hai, các trường hợp mua bán dữ liệu cá nhân thực hiện với phương thức, thủ đoạn tinh vi, áp dụng nhiều tiến bộ của khoa học công nghệ. Với đặc tính ẩn danh của không gian mạng, khi cơ quan chức năng phát hiện hành vi thì thường đã xảy ra trên thực tế.

Ngoài ra, một nguyên nhân khác là do việc nhận thức, ý thức về bảo vệ dữ liệu cá nhân của người dân chưa cao. Có sự mất cân bằng trong sự nhận thức giữa tính hai mặt của công nghệ thông tin, tâm lý sẵn sàng đánh đổi thông tin đời tư, dữ liệu cá nhân để lấy sự tiện ích về mặt công nghệ.

Nhiều dữ liệu cá nhân nhạy cảm, như: Sinh trắc học, tình trạng sức khỏe, tài chính... được đăng tải công khai, trở thành nguồn miễn phí cho các công cụ, hệ thống kỹ thuật. Nhận thức của một số cán bộ quản lý nhà nước chưa đầy đủ, dẫn đến việc chỉ đạo, hướng dẫn, thực hiện bảo vệ dữ liệu cá nhân chưa được quan tâm đúng mức.

- Khi dự thảo Nghị định này được thông qua, những người mua dữ liệu cá nhân như số điện thoại để chào mời bất động sản, vay tiền... sẽ bị xử lý như thế nào?

- Cơ quan, tổ chức vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử phạt vi phạm hành chính hoặc xử lý hình sự, áp dụng các hình phạt bổ sung theo quy định của pháp luật.

Dự thảo Nghị định được thông qua sẽ tạo hành lang pháp lý đầy đủ và vững chắc trong bảo vệ dữ liệu cá nhân và xử lý các hành vi vi phạm.

Việc đấu tranh với tình trạng vi phạm dữ liệu cá nhân phải được thực hiện đồng bộ, thống nhất, hiệu quả từ trung ương tới địa phương. Chúng tôi sẽ tiếp tục đề xuất hoàn thiện quy định của pháp luật về bảo vệ dữ liệu cá nhân, đấu tranh, xử lý những hành vi vi phạm. Cùng với đó, cũng cần có sự chung tay, chia sẻ và phối hợp của người dân, các tổ chức trên toàn quốc.

- Ông khuyến cáo gì với người dân để đối phó trước tình trạng dữ liệu cá nhân đang bị ran báo tràn lan trên mạng?

- Dữ liệu cá nhân hiện nay có thể bị sử dụng vào hành vi phạm tội trong một số trường hợp. Kẻ xấu có thể sử dụng dữ liệu vân tay, mống mắt, thông tin cơ bản để thực hiện các hành vi tội phạm và vi phạm pháp luật. Đây là tài sản vô giá nên người dân cần coi dữ liệu của mình là một trong những tài sản rất quan trọng, bảo mật tuyệt đối. Không nên có tâm lý sẵn sàng đánh đổi thông tin đời tư, dữ liệu cá nhân để lấy sự tiện ích về mặt công nghệ.