Bộ Công an vừa hoàn thành dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân và đưa ra lấy ý kiến trong vòng 2 tháng. Đáng chú ý, dự thảo có quy định đề xuất xử phạt từ 50-80 triệu đồng với trường hợp cá nhân, tổ chức tiết lộ, chia sẻ các dữ liệu cá nhân trái phép, chưa được sự đồng ý, gây tổn hại đến nhân phẩm, danh dự của người bị tiết lộ.
Hơn 60 tổ chức, cá nhân mua bán trái phép thông tin
Qua rà soát sơ bộ, Bộ Công an đã phát hiện hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng.
Các đối tượng, tổ chức này hoạt động trong nhiều lĩnh vực như: công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện...
Một số đơn vị thu thập thông tin khách hàng rồi cho đối tác thứ ba tiếp cận các thông tin này và chuyển giao cho các đối tác khác. Bên cạnh đó, một số doanh nghiệp (DN) khác chủ động thu thập thông tin của khách hàng để phân tích và tiếp tục buôn bán. Các dữ liệu này được cung cấp dưới dạng dịch vụ như: databox.vn, databoxviet.com...
Ông Võ Đỗ Thắng, Giám đốc Trung tâm An ninh mạng Athena, cho rằng việc thu thập thông tin cá nhân diễn ra phổ biến nhất ở khối DN như lĩnh vực bất động sản, ngân hàng, hàng không. "Thông tin của khách hàng được các nhân viên kinh doanh chuyền tay nhau sử dụng hoặc mang ra để liên kết bán hàng. Vì vậy mới xảy ra tình trạng nhiều người mỗi ngày nhận hàng chục tin nhắn, cuộc gọi đến mời mua căn hộ, đất nền... gây nhiều phiền phức" - ông Thắng nói.
Trao đổi với phóng viên Báo Người Lao Động, Thiếu tướng Nguyễn Văn Giang, Phó Cục trưởng Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an) - đơn vị soạn thảo dự thảo nghị định, cho biết A05 và cơ quan chức năng đã xử lý nhiều trường hợp tiết lộ đời tư cá nhân.
"Tình trạng lộ, lọt, hoạt động đánh cắp và mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Do vậy, dự thảo nghị định được xây dựng từ yêu cầu của công tác phòng ngừa, đấu tranh, xử lý các vi phạm pháp luật liên quan" - Thiếu tướng Nguyễn Văn Giang lý giải.
Tăng trách nhiệm của đơn vị quản lý dữ liệu
Theo dự thảo nghị định, dữ liệu cá nhân được chia làm 2 loại: Loại dữ liệu cơ bản gồm họ và tên khai sinh; ngày, tháng, năm sinh; nhóm máu; giới tính; số điện thoại; nơi sinh; nơi thường trú; số CMND, căn cước; tình trạng hôn nhân... Loại dữ liệu cá nhân nhạy cảm gồm quan điểm chính trị, tôn giáo, tình trạng sức khỏe, dữ liệu về di truyền, tình trạng giới tính, xu hướng tình dục...
Theo ông Võ Đỗ Thắng, từ trước đến nay có rất ít vụ kiện liên quan đến lĩnh vực thu thập, mua bán dữ liệu cá nhân trái phép. Dự thảo nghị định này được thông qua sẽ là cơ sở pháp lý hướng dẫn cơ quan chức năng xử lý người cố ý tiết lộ, qua đó bảo vệ người tiêu dùng. Đồng thời cũng sẽ tạo ra sự công bằng trong thị trường; thúc đẩy các đơn vị quản lý dữ liệu phải có trách nhiệm, ý thức giám sát chặt chẽ hơn về nhân viên cũng như thiết bị công nghệ để bảo mật thông tin của khách hàng.
Việc đánh cắp và mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng
Ý kiến trái chiều về mức phạt
Với mức phạt đề xuất, luật sư Trần Xuân Tiền (Đoàn Luật sư TP Hà Nội) cho rằng là phù hợp, mang tính răn đe. Trong quá trình soạn thảo dự thảo, các cơ quan soạn thảo cũng đã nghiên cứu, căn cứ vào tình hình kinh tế chung cũng như các quy định pháp luật hiện hành về việc xử phạt các hành vi vi phạm tương tự để đề xuất mức xử phạt. Ngoài ra, nhân thân cũng là vấn đề mới được quan tâm, cần có thêm ý kiến đóng góp của người dân và các chuyên gia để có thể sửa đổi, bổ sung và hoàn thiện.
Trong khi đó, luật sư Nguyễn Anh Thơm (Đoàn Luật sư TP Hà Nội) cho rằng việc đề xuất mức phạt nêu trên là quá thấp. Do lợi nhuận nên không ít DN vi phạm khiến người dân cũng rất bức xúc, như việc để lộ thông tin, số điện thoại… khách hàng. Tại châu Âu, sự ra đời của Quy định chung về bảo vệ dữ liệu (GDPR) với mục đích vạch ra kế hoạch cải cách bảo vệ dữ liệu cá nhân trên toàn Liên minh châu Âu. Theo đó, có 2 cách thức phạt, có thể tối đa là 20 triệu euro hoặc 4% doanh thu toàn cầu (tùy theo mức nào cao hơn), cộng với việc các chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại. Từ đó, có thể thấy mức phạt trong luật pháp Việt Nam còn quá nhẹ.
Về vấn đề này, Thiếu tướng Nguyễn Văn Giang thừa nhận mức phạt trên là nhẹ và mới chỉ là đề xuất tham khảo. Trên thế giới nhiều nước đã phạt 10% mức doanh thu của DN vi phạm. "Sau này, sẽ căn cứ vào tình hình thực tế để cơ quan chức năng xử lý. Trong đó, đối với những trường hợp mua bán, thu lời từ việc mua bán dữ liệu cá nhân trái phép gây hậu quả nghiêm trọng, với số tiền thu lời bất chính từ 50 triệu đồng trở lên, sẽ bị xử lý theo điều 290 Bộ Luật Hình sự" - Thiếu tướng Nguyễn Văn Giang thông tin.
Xử nghiêm nếu tái phạm Luật sư Trần Xuân Tiền cho rằng đối với những hành vi tái phạm hoặc cố ý thực hiện hành vi thì cần phải xử lý nghiêm và nặng. Khi nghị định này chính thức có hiệu lực thi hành, các cơ quan chức năng cần đẩy mạnh công tác kiểm tra, xử lý kịp thời, tránh trì trệ, đùn đẩy trách nhiệm và bỏ lọt vi phạm. Đồng thời, cần đẩy mạnh việc tuyên truyền, phổ biến pháp luật, nâng cao kiến thức của người dân. |
Nhiều nước phạt nặng Hai phóng viên của tạp chí Next Magazine (Hồng Kông - Trung Quốc) vừa hầu tòa ngày 22-2 sau khi bị buộc tội thu thập và đăng tải chi tiết giấy khai sinh của Marcus - con trai út của nữ diễn viên Trương Bá Chi. Cảnh sát cho biết 2 bị cáo nói trên bị khởi tố vì tình nghi tiết lộ thông tin cá nhân của người khác mà không được sự đồng ý. Theo Quy định dữ liệu cá nhân của Hồng Kông, những ai vi phạm có thể bị phạt tù 5 năm và phạt tiền 1 triệu đô-la Hồng Kông (khoảng 171.000 USD). Theo tờ South China Morning Post, 2 bị cáo lấy được giấy khai sinh của con trai út Trương Bá Chi sau khi tìm kiếm trong hệ thống hồ sơ của Cục Nhập cư đặc khu và sau đó đăng tải vào tháng 1-2019. Nữ diễn viên nhanh chóng khiếu nại và cảnh sát vào cuộc điều tra. Vụ việc khiến từ đó Cục Nhập cư yêu cầu phải có ủy quyền từ chủ dữ liệu mới được tìm kiếm giấy khai sinh, chứng tử hoặc giấy đăng ký kết hôn. Trung Quốc vừa lấy ý kiến về dự luật Bảo vệ thông tin cá nhân. Theo tạp chí Analytics India Magazine, dự luật mới bổ sung nhiều khoản phạt tăng vọt. Theo thống kê của Liên Hiệp Quốc, hiện có 128/194 quốc gia và vùng lãnh thổ có luật về bảo vệ dữ liệu cá nhân. Đi đầu lĩnh vực này phải kể tới Luật Bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu (EU). Có hiệu lực từ năm 2018 và được nhiều nước khác học hỏi như Thái Lan, Brazil, Anh, Hàn Quốc..., GDPR quy định về quyền đối với dữ liệu, trách nhiệm của các tổ chức kiểm soát dữ liệu, thẩm quyền của cơ quan chức năng, việc chuyển giao dữ liệu cá nhân cho các bên thứ ba. Những vi phạm không nghiêm trọng có thể chịu mức phạt tối đa 10 triệu euro hoặc 2% doanh thu toàn cầu hằng năm của DN trong năm tài chính trước đó. Với những vi phạm nghiêm trọng nhất, mức phạt có thể lên tới 20 triệu euro hoặc 4% doanh thu toàn cầu hằng năm của DN trong năm tài chính trước đó. Singapore đang xem xét Luật (sửa đổi) Bảo vệ dữ liệu cá nhân (PDPA) theo hướng tăng nặng mức phạt đối với công ty vi phạm, từ mức tối đa 1 triệu USD hiện nay có thể lên tới 10% doanh thu hằng năm của công ty. Tuy nhiên, mức phạt "khủng" chỉ áp dụng với những công ty có doanh thu hằng năm vượt 10 triệu USD. Luật sửa đổi cho phép các tổ chức thu thập, sử dụng và tiết lộ thông tin cá nhân mà không cần sự ưng thuận của cá nhân liên quan trong các tình huống được phân loại là "lợi ích hợp pháp", như dữ liệu trích xuất từ camera an ninh và các thiết bị mạng khác để hỗ trợ điều tra. Cũng theo luật sửa đổi, người tiêu dùng có quyền không cho phép các công ty như các nền tảng thương mại trực tuyến Amazon, Shopee... sử dụng thông tin cá nhân của mình. Hải Ngọc |