Vì sao phải bảo vệ dữ liệu cá nhân?
Không gian mạng đang trở nên ngày càng phổ biến, gắn bó mật thiết với các hoạt động kinh tế xã hội và tạo ra sự thay đổi to lớn trong cách thức con người vận hành cuộc sống. Theo thống kê của Liên hợp quốc, tính đến tháng 4/2023, thế giới có 5,18 tỷ người sử dụng internet (chiếm gần 65% dân số thế giới) với gần 29 tỷ thiết bị kết nối internet. Việt Nam cũng đang hòa vào xu hướng chuyển đổi số, phát triển Chính phủ điện tử, kinh tế số, xã hội số, công dân số với hơn 77,93 triệu người sử dụng internet (chiếm hơn 79% dân số), xếp thứ 12 trên thế giới về tỷ lệ người sử dụng internet.
 |
Đại tá Hoàng Ngọc Bách, Trưởng phòng 4, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an |
Cơ sở hạ tầng không gian mạng phát triển nhanh, cùng với đó là sự ứng dụng sâu rộng của công nghệ thông tin, truyền thông, trí tuệ nhân tạo, internet vạn vật, điện toán đám mây, dữ liệu lớn, dữ liệu nhanh... đã tạo điều kiện thuận lợi cho các ngành nghề, dịch vụ kinh doanh có liên quan tới dữ liệu cá nhân phát triển. Dữ liệu cá nhân trở thành “tài sản” quan trọng, là “nguyên liệu” chính cho hoạt động của các ngành nghề, dịch vụ nêu trên, tạo ra giá trị lợi nhuận cao. Theo ước tính, đến năm 2024, dữ liệu cá nhân của gần 70% dân số thế giới sẽ được bảo vệ bởi các quy định về bảo mật dữ liệu.
Những khó khăn, thách thức
Bên cạnh các yếu tố thuận lợi, sự phát triển nhanh, mạnh của khoa học công nghệ đã và đang đặt ra nhiều khó khăn, thách thức đối với công tác bảo vệ dữ liệu cá nhân. Tình trạng lộ, mất, mua bán dữ liệu cá nhân diễn ra công khai, phổ biến trên không gian mạng, ảnh hướng nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gây bức xúc trong quần chúng nhân dân. Bộ Công an đã xác định được các nguyên nhân chủ yếu dẫn tới tình trạng trên gồm:
Một là, tấn công mạng chiếm đoạt dữ liệu cá nhân. Các nhóm tội phạm mạng tập trung tấn công vào các hệ thống dữ liệu lớn, quan trọng nhằm chiếm đoạt số lượng lớn dữ liệu cá nhân, trong đó có nhiều loại dữ liệu nhạy cảm để mua bán, trục lợi, lừa đảo và các hành vi vi phạm pháp luật khác.
Hai là, nhận thức, ý thức của người dùng chưa cao, đăng tải công khai dữ liệu cá nhân, dẫn tới bị chiếm đoạt. Xuất hiện tâm lý sẵn sàng đánh đổi dữ liệu cá nhân lấy tiện ích về mặt công nghệ. Việc đăng tải quá nhiều thông tin cá nhân trên không gian mạng trở thành “miếng mồi béo bở” cho các tổ chức, cá nhân thực hiện các hành vi vi phạm pháp luật như lừa đảo, chiếm đoạt tài sản, làm nhục, khủng bố, phá hoại…, ảnh hướng tới tinh thần, vật chất của chủ thể dữ liệu. Việc các công ty cho phép các bên thứ ba tiếp cận dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ… dẫn tới bị lộ, mất dữ liệu cá nhân.
Ba là, xuất hiện tình trạng thiết lập các hệ thống kỹ thuật chuyên biệt thu thập dữ liệu cá nhân. Một số công ty, cá nhân hoạt động trên lĩnh vực công nghệ đã âm thầm thu thập dữ liệu cá nhân từ nhiều nguồn khác nhau như các doanh nghiệp cung cấp dịch vụ viễn thông, internet, mạng xã hội, tài chính, ngân hàng, bảo hiểm, bất động sản... nhằm xây dựng các giải pháp, phần mềm, dịch vụ công nghệ xử lý dữ liệu cá nhân.
Tuy nhiên, đáng chú ý, việc thu thập này hoàn toàn không có sự đồng ý của chủ thể dữ liệu, khách hàng của các công ty, cá nhân có quyền truy cập, nắm giữ toàn bộ thông tin của cá nhân như tài sản, tín dụng, thông tin liên hệ... Điều này đặt các chủ thể dữ liệu trước các mối đe dọa, không chỉ giới hạn ở mức các cuộc gọi làm phiền, mời chào sản phẩm, dịch vụ.
Qua công tác phòng ngừa, phát hiện, đấu tranh, Bộ Công an đã phát hiện hàng trăm tổ chức, cá nhân liên quan mua bán, tấn công xâm nhập đánh cắp thông tin, dữ liệu cá nhân; trong đó, từ năm 2018 đến nay, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao đã đấu tranh, triệt phá 14 vụ án với hơn 30 bị can. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý với số lượng dữ liệu bị thu thập, mua bán trái phép lớn nhất từng được phát hiện lên tới gần 1.300 GB với hàng tỷ dữ liệu cá nhân, trong đó có nhiều dữ liệu nhạy cảm.
Xây dựng hành lang pháp lý bảo vệ dữ liệu cá nhân
Tình trạng lộ, mất, mua bán dữ liệu cá nhân diễn ra công khai, phổ biến trên không gian mạng, ảnh hướng nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gây bức xúc trong quần chúng nhân dân.
Trước tình hình trên, Bộ Công an xác định việc xây dựng hành lang pháp lý về bảo vệ dữ liệu cá nhân là giải pháp căn bản để giải quyết thực trạng dữ liệu cá nhân bị mua bán, bị lộ, bị mất tràn lan như hiện nay. Thực hiện Chương trình xây dựng pháp luật của Chính phủ, từ năm 2019 đến nay, Bộ Công an đã tham mưu cho Chính phủ xây dựng dự thảo Nghị định bảo vệ dữ liệu cá nhân một cách công phu, bài bản, khoa học. Đồng thời, tham khảo đầy đủ kinh nghiệm quốc tế của hơn 80 quốc gia trên thế giới, có khảo sát, đánh giá thực trạng trong nước, nhiều lần nghiên cứu, tiếp thu chỉnh sửa và báo cáo đánh giá tác động chính sách.
Cụ thể, ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân sau 4 năm xây dựng, đánh dấu bước tiến lớn đầu tiên trong nỗ lực xây dựng hành lang pháp lý nhằm bảo vệ dữ liệu cá nhân tại Việt Nam một cách hiệu quả. Giảm thiểu tối đa những nguy cơ và hệ quả của các hành vi xâm phạm dữ liệu cá nhân, chung tay với cộng đồng quốc tế trong xử lý các nguy cơ, thách thức đến từ không gian mạng. Đây là văn bản nền móng để từ đó đúc rút kinh nghiệm tổng kết thực tiễn tiến tới xây dựng Luật Bảo vệ dữ liệu cá nhân.
Nghị định 13/2023 gồm 4 chương, 44 Điều, quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Trong nghị định này đã xác định vai trò, vị trí, trách nhiệm của các bên có liên quan. Căn cứ vào hoạt động thực tiễn, các tổ chức, cá nhân tự xác định vai trò của mình là Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Thứ ba. Căn cứ vào vai trò của mình, các tổ chức, cá nhân tự xác định trách nhiệm thực tiễn.
Với quan điểm coi dữ liệu cá nhân là tài nguyên đầu vào quan trọng của quá trình chuyển đổi số, các tổ chức, cá nhân cần tuân thủ nghiêm quy định của Nghị định, nguyên tắc xử lý dữ liệu cá nhân, trong đó đặc biệt lưu ý Nghị định quy định cấm mua, bán dữ liệu cá nhân dưới mọi hình thức, trừ trường hợp luật quy định khác.
 |
Có nhiều điểm cần lưu ý khi xử lý dữ liệu cá nhân |
Tám lưu ý khi xử lý dữ liệu cá nhân
Bên cạnh đó, việc xử lý dữ liệu dân cư cũng được miễn trừ trách nhiệm liên quan tới sự đồng ý của chủ thể dữ liệu vì phù hợp với quy định tại Điều 17 - Nghị định 13/2023. Ngoài miễn trừ quy định về sự đồng ý, việc xử lý dữ liệu cá nhân vẫn cần tuân thủ đầy đủ các quy định khác, trong đó lưu ý một số nội dung sau:
Thứ nhất, quá trình xử lý cần bảo đảm các nguyên tắc bảo vệ dữ liệu cá nhân như chỉ được xử lý đúng với mục đích đã được đăng ký, tuyên bố về xử lý dữ liệu cá nhân; thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý; không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
Thứ hai, chấp hành quy định về quyền và nghĩa vụ của chủ thể dữ liệu.
Thứ ba, nghiên cứu, tổ chức triển khai và thực hiện nghiêm các quy định về bảo vệ dữ liệu cá nhân qua nhiều hình thức khác nhau, trong đó chú trọng tổ chức phổ biến, quán triệt tới toàn bộ cán bộ, công nhân viên về quyền và nghĩa vụ, xác định trách nhiệm cần triển khai thực hiện, bảo đảm về tiến độ thời gian theo quy định của pháp luật.
Thứ tư, chỉ đạo các đơn vị có hoạt động thu thập, xử lý dữ liệu cá nhân tiến hành rà soát tổng thể, phân loại dữ liệu cá nhân đã thu thập, đang xử lý, từ đó xác định trách nhiệm bảo vệ tương ứng với từng loại dữ liệu cá nhân theo quy định của Nghị định số 13/2023/NĐ-CP.
Thứ năm, rà soát, đánh giá quy trình thu thập, xử lý dữ liệu cá nhân, đề xuất ban hành các biện pháp quản lý phù hợp với quy mô, mức độ xử lý dữ liệu cá nhân của cơ quan, đơn vị mình; xử lý nghiêm các hành vi chuyển giao dữ liệu cá nhân trái phép, mua bán dữ liệu cá nhân nếu phát hiện.
Thứ sáu, chỉ định (bằng văn bản có hiệu lực pháp lý) bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân nếu cơ quan, tổ chức, cá nhân xử lý dữ liệu cá nhân nhạy cảm và trao đổi 1 bản chính văn bản nêu trên về cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an).
Thứ bảy, thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân trong trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân về cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định 13/2023.
Thứ 8, lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và gửi cơ quan chuyên trách bảo vệ dữ liệu cá nhân theo 3 hình thức: Trực tuyến qua cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, trực tiếp tại Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an, hoặc theo đường bưu chính sau 60 ngày kể từ ngày xử lý dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân ra nước ngoài.
