Mở đầu phiên làm việc kỳ họp thứ 9, Quốc hội khoá XV chiều 5/5, Phó Thủ tướng Lê Thành Long trình bày trước Quốc hội về tờ trình Dự án Luật Bảo vệ dữ liệu cá nhân.
Khó chứng minh tội phạm
Theo Tờ trình, hiện nay, trong hệ thống pháp luật Việt Nam chỉ có 01 văn bản là Nghị định số 13/2023/NĐ-CP đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân, chưa có văn bản Luật nào quy định về vấn đề này. Tuy nhiên, phạm vi điều chỉnh của Nghị định chưa bao quát hết các lĩnh vực, quan hệ của đời sống, xã hội, chưa tương thích với các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình được nêu trong Hiến pháp năm 2013, cùng các quy định liên quan tới “thông tin cá nhân”, “thông tin riêng”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin bí mật đời tư” được nêu trong một số văn bản Luật hiện hành.
 |
| Phó Thủ tướng Lê Thành Long. |
Qua rà soát pháp luật cho thấy, việc bảo vệ dữ liệu cá nhân trên môi trường truyền thống, bao gồm dữ liệu cá nhân trong các tài liệu, hồ sơ, bệnh án ở trên giấy đang chưa được quy định cụ thể trong bất kỳ văn bản pháp luật hiện hành nào, đặc biệt là thiếu vắng các quy định chi tiết và chỉ rõ các biện pháp bảo vệ quyền của chủ thể dữ liệu. Sau khi đã loại trừ các văn bản tập trung vào đối tượng là dữ liệu cá nhân trên môi trường mạng, mới chỉ có quy định chung về bảo vệ bí mật cá nhân, bí mật gia đình, thông tin về đời sống riêng tư không kể hình thức chứa đựng thông tin là trên các phương tiện điện tử hay hồ sơ giấy. Gần đây nhất, Luật Lưu trữ năm 2024, mặc dù đã quy định những nguyên tắc lưu trữ và quyền, nghĩa vụ của các chủ thể có liên quan, cũng không đề cập đến việc bảo vệ dữ liệu cá nhân. Một trong các nguyên tắc lưu trữ mà các bên phải tuân thủ là “Bảo đảm quyền tiếp cận thông tin của công dân đối với tài liệu lưu trữ theo quy định của Hiến pháp và pháp luật”, dẫn sang khoản 2, 3 Điều 7 Luật Tiếp cận thông tin năm 2016, nội dung của quy định này chỉ đề cập đến quyền đồng ý của chủ thể dữ liệu.
Pháp luật bảo vệ dữ liệu cá nhân nước ta đã có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân, chưa có quy định chế tài để bảo vệ dữ liệu cá nhân gắn cụ thể với các quyền của chủ thể dữ liệu, cụ thể:
Chưa có chế tài hình sự điều chỉnh vi phạm về bảo vệ dữ liệu cá nhân, mua, bán dữ liệu cá nhân. Hiện vi phạm các quy định về thông tin cá nhân có thể bị xử phạt hình sự theo 02 tội danh tại Điều 159 và Điều 288, với án tù giam cao nhất là 07 năm theo quy định của Bộ Luật Hình sự 2015 (sửa đổi, bổ sung năm 2017). Hầu hết các vụ việc buôn bán dữ liệu cá nhân đang được hoàn thiện theo hướng chứng minh 02 tội danh này. Tuy nhiên, do chưa quy định cụ thể về các yếu tố cấu thành trong hoạt động mua, bán dữ liệu cá nhân, nhất là hoạt động có sự trung gian qua nhiều cá nhân, tổ chức nên khó chứng minh tội phạm.
Thủ đoạn tinh vi mua, bán dữ liệu cá nhân
Cũng theo Tờ trình, trong bối cảnh chuyển đổi số diễn ra sâu rộng trên hầu hết các lĩnh vực, dữ liệu cá nhân được chuyển lên môi trường điện tử thường xuyên, liên tục dẫn đến tình trạng lộ, mất dữ liệu cá nhân diễn ra phổ biến trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai. Mặc dù Nghị định số 13/2023/NĐ-CP đã quy định dữ liệu cá nhân không được mua, bán dưới mọi hình thức, thực tế tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.
Hoạt động mua, bán dữ liệu cá nhân diễn ra dưới nhiều hình thức, như: Doanh nghiệp không có thỏa thuận xử lý dữ liệu cá nhân chặt chẽ với đối tác, để đối tác chuyển giao, bán cho các đối tác khác; Chủ động thu thập, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán; Rao bán dữ liệu cá nhân số lượng lớn, có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua; Lập doanh nghiệp vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; Tấn công, xâm nhập hệ thống thông tin để chiếm đoạt dữ liệu cá nhân, tán phát mã độc thu thập dữ liệu cá nhân trên môi trường mạng.
Theo báo cáo về tình hình nguy cơ an toàn thông tin tại Việt Nam năm 2024, tấn công mã hóa dữ liệu kết hợp đánh cắp thông tin cá nhân lên đến 10 terabyte, gây tổng thiệt hại ước tính lên đến 11 triệu USD; 14,5 triệu tài khoản ở Việt Nam bị rò rỉ, chiếm 12% toàn cầu.
Bộ Công an phát hiện, đấu tranh, xử lý một số đường dây chiếm đoạt, mua bán dữ liệu cá nhân quy mô lớn tại Việt Nam (lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm ).
Trong năm 2023, phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên các nền tảng, diễn đàn (BreachedForums, Telegram, Facebook); cung cấp dịch vụ tra cứu dữ liệu cá nhân công dân Việt Nam (dữ liệu thời gian thực).
Thực trạng trên đặt ra yêu cầu cấp bách trong hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân mang tính thống nhất, đồng bộ trong hệ thống pháp luật, nâng cao nhận thức, ý thức về hoạt động xử lý dữ liệu cá nhân hiện nay song hành với công tác bảo vệ dữ liệu cá nhân và có các quy định rõ ràng về việc bảo đảm các quyền của chủ thể dữ liệu. Luật Bảo vệ dữ liệu cá nhân sẽ giúp nâng cao nhận thức của tất các cả đối tượng (cá nhân, cơ quan, tổ chức, doanh nghiệp) về quyền, trách nhiệm, nghĩa vụ bảo vệ dữ liệu cá nhân. Các chế tài được áp dụng sau khi ban hành Luật cũng mang tính răn đe, nâng cao ý thức thượng tôn pháp luật, tôn trọng và tuân thủ các quy định trong hoạt động xử lý dữ liệu cá nhân.
Trong nhiều lĩnh vực tại Việt Nam, hồ sơ giấy vẫn là phương tiện lưu trữ dữ liệu cá nhân phổ biến. Việc thiếu các quy định cụ thể về bảo vệ dữ liệu trên môi trường này đã dẫn đến nhiều trường hợp vi phạm và rủi ro tiềm tàng. Đặc biệt, trong bối cảnh chuyển đổi từ dữ liệu vật lý sang dữ liệu điện tử (số hóa), nếu không có quy định rõ ràng và thống nhất cho cả hai dạng dữ liệu, quá trình này có thể phát sinh nhiều rủi ro, bao gồm suy giảm chất lượng dữ liệu, mất mát thông tin và vi phạm bảo mật. Thực tế, nhiều tổ chức, doanh nghiệp vẫn duy trì hệ thống lưu trữ song song giữa dữ liệu trên môi trường mạng và dữ liệu vật lý. Việc pháp luật hiện hành chủ yếu tập trung vào bảo vệ dữ liệu cá nhân trên môi trường điện tử, trong khi chưa có quy định chặt chẽ cho dữ liệu vật lý, đã dẫn đến sự bất đồng trong việc áp dụng các biện pháp bảo vệ đồng bộ. Những quy định này không chỉ gây khó khăn cho việc quản lý và chuyển đổi dữ liệu giữa các hệ thống mà còn tạo ra lỗ hổng pháp lý dễ bị lợi dụng. Đặc biệt, khi quy định bảo vệ dữ liệu chỉ tập trung vào môi trường điện tử, người quản lý dữ liệu có thể lợi dụng kẽ hở này để hủy dữ liệu trên hệ thống mạng nhưng vẫn giữ lại bản giấy nhằm tránh bị giám sát chặt chẽ, từ đó làm gia tăng rủi ro về bảo mật thông tin và xâm phạm quyền riêng tư của chủ thể dữ liệu.
Điển hình như trong ngành y tế, hồ sơ bệnh án của bệnh nhân chứa nhiều thông tin nhạy cảm như tiền sử bệnh, thông tin cá nhân và gia đình. Tuy nhiên, việc lưu trữ hồ sơ giấy tại các bệnh viện và phòng khám thường không được bảo vệ chặt chẽ, dẫn đến nguy cơ rò rỉ thông tin. Thực tế đã có nhiều trường hợp thông tin bệnh án bị lộ lọt và sử dụng cho mục đích thương mại, chẳng hạn như các công ty bảo hiểm tiếp cận thông tin sức khỏe của bệnh nhân để đánh giá mức phí bảo hiểm. Trong lĩnh vực lao động, các doanh nghiệp và cơ quan nhà nước thường lưu trữ hồ sơ nhân sự dưới dạng giấy, bao gồm thông tin cá nhân, lý lịch, hợp đồng lao động và thông tin tài chính. Tuy nhiên, không có quy định cụ thể về việc bảo vệ những hồ sơ này, dẫn đến nguy cơ truy cập trái phép và rò rỉ thông tin. Các trường học cũng lưu trữ hồ sơ học sinh, sinh viên bằng hồ sơ giấy, bao gồm thông tin cá nhân, kết quả học tập và các dữ liệu liên quan...
Do đó, việc xây dựng Luật Bảo vệ dữ liệu cá nhân nhằm hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân của nước ta, tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân trong nước tiếp cận trình độ quốc tế, khu vực; đẩy mạnh sử dụng dữ liệu cá nhân đúng pháp luật phục vụ phát triển kinh tế, xã hội.
Thiên Tuấn