Việc lộ dữ liệu cá nhân không những gây phiền phức mà còn tạo điều kiện cho tội phạm mạng có thể sử dụng những thông tin đó để đe dọa tống tiền, bắt cóc, hoặc lừa người sử dụng chuyển tiền vào tài khoản. Nhằm ngăn chặn tình trạng tiết lộ, chia sẻ dữ liệu cá nhân của người khác trái phép, Bộ Công an đã xây dựng Dự thảo Nghị định về Bảo vệ dữ liệu cá nhân và đưa ra lấy ý kiến.

Theo đó, Bộ Công an đề xuất xử phạt từ 50 đến 80 triệu đồng với trường hợp cá nhân, tổ chức tiết lộ, chia sẻ các dữ liệu cá nhân như tên, năm sinh, số điện thoại... mà chưa được sự đồng ý của chủ thể.

Phóng viên VOV đã trao đổi với Thượng tá Nguyễn Đình Đỗ Thi - Phó Trưởng phòng Tham mưu, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công An về một số nội dung trong Dự thảo này.

PV:

Ông đánh giá thế nào về tình trạng mua bán thông tin cá nhân hiện nay? Vậy cơ quan chức năng có nắm được hiện có bao nhiêu tổ chức, cá nhân thực hiện hành vi mua bán trái phép thông tin cá nhân như vậy? Phải chăng đây chính là lỗ hổng trong chính sách bảo mật thông tin khách hàng của doanh nghiệp?

Thượng tá Nguyễn Đình Đỗ Thi:Việc lộ dữ liệu cá nhân là vấn đề lâu nay nhiều người chưa ý thức và chưa lường trước được hết hậu của nghiêm trọng của nó. Việc mua bán thông tin cá nhân trên không gian mạng hiện nay cũng đang diễn ra rất phổ biến, công khai, trắng trợn. Thực tế là xuất hiện rất nhiều trang web, chợ rao bán dữ liệu cá nhân trên mạng xã hội.

Không khó để chúng ta có thể tìm kiếm các tệp thông tin khách hàng, được phân loại đa dạng từ cơ bản đến các khách VIP, thuộc rất nhiều lĩnh vực ngành nghề, từ y tế, giáo dục rồi bảo hiểm, du lịch. Có các tệp thông tin nhiều triệu khách hàng đã được rao bán với những thông tin rất chi tiết như tên tuổi, địa chỉ, số điện thoại...

Về số lượng các tổ chức, cá nhân thực hiện hành vi rao bán thông tin cá nhân thì khó thống kê, tuy nhiên con số này có thể lên đến hàng trăm và hơn thế nữa.

PV: Nhiều người đồng tình về dự thảo này của Bộ và việc ban hành những chế tài xử phạt thích đáng là rất cần thiết, tuy nhiên có ý kiến cho rằng mức xử phạt từ 50 - 80 triệu đồng với hành vi tiết lộ, chia sẻ các dữ liệu cá nhân trái phép mà Dự thảo đề xuất còn khá nhẹ so với lợi nhuận mang lại khi rao bán thông tin của người khác. Trong khi đó, tại châu Âu, hành vi này có thể bị phạt tối đa là 20 triệu euro hoặc 4% doanh thu toàn cầu (tùy theo mức nào cao hơn), cộng với việc các chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại. Là cơ quan chủ trì xây dựng Dự thảo, ông nghĩ gì về ý kiến này?

Thượng tá Nguyễn Đình Đỗ Thi:Mức xử phạt được đề xuất là nội dung thu hút sự quan tâm của người dân. Trên thế giới, tại nhiều quốc gia, áp dụng các mức xử phạt khác nhau và có mức xử phạt rất cao, chẳng hạn, Liên minh Châu Âu ban hành Luật bảo vệ dữ liệu cá nhân có hiệu lực thi hành từ tháng 5/2018 đưa ra mức phạt lên đến 50.000 EUR. Cao hơn nữa là 4% doanh thu toàn cầu nếu một doanh nghiệp nào đó vi phạm về việc bảo vệ dữ liệu cá nhân. Mỹ cũng đã tiến hành xử phạt một doanh nghiệp vi phạm về an ninh mạng với số tiền lên đến 5 tỷ USD.

Tuy nhiên, với nước ta, khi xây dựng mức xử phạt với hành vi tiết lộ, chia sẻ dữ liệu cá nhân chưa được sự đồng ý của chủ thể, chúng ta phải căn cứ vào các quy định liên quan của pháp luật Việt Nam và các tiền lệ đã xử lý trước đó.

Để đảm bảo tính răn đe và hiệu lực thực thi thì mức phạt, Bộ Công An đề xuất trong Dự thảo là căn cứ vào khung hình phạt được quy định trong Luật sửa đổi, bổ sung Luật Xử phạt vi phạm hành chính hành chính được Quốc hội thông qua vào tháng 11/2020. Quy định hiện nay áp dụng với cá nhân có hành vi vi phạm luật An ninh mạng là 100 triệu đồng và đối với tổ chức là 200 triệu đồng.

Tuy nhiên trong Dự thảo cũng đưa ra các hình thức xử phạt bổ sung đi kèm như buộc khắc phục hậu quả hoặc bồi thường. Tùy theo tính chất mức độ của từng sự việc để xử lý theo Luật hình sự hoặc là Luật xử lý vi phạm hành chính.

PV:Hiện nay, khi đăng ký một dịch vụ nào, hầu như khách hàng đều phải khai ít nhất là tên, số điện thoại cá nhân; nhiều hơn thì phải khai báo email, số CMND, địa chỉ thường trú. Các đơn vị cung cấp dịch vụ luôn cam kết bảo mật dữ liệu khách hàng ở mức cao nhất. Tuy nhiên, bất chợt bỗng một ngày lại có những số điện thoại lạ gọi điện đến đề mời chào mua mặt hàng này, mặt hàng kia của họ. Những người cung cấp thông tin như vậy rõ ràng là sai, nhưng làm sao có thể biết được bên nào là nơi cung cấp thông tin để mà có thể khiếu nại đến các cơ quan chức năng?  

Thượng tá Nguyễn Đình Đỗ Thi: Đây là một vấn đề nhiều người gặp phải, bản thân tôi cũng nhiều lần nhận được các cuộc điện thoại như vậy và khi tôi hỏi ngược lại là tại sao lại có được thông tin của tôi thì họ im lặng và lảng tránh. Có thể nhận thấy ở đây có sự bắt tay của các doanh nghiệp khi trao đổi thông tin khách hàng với nhau.

Thực ra người dân bình thường khó mà xác định được nguồn cung cấp thông tin đó. Hiện nay, người dân chúng ta thường cung cấp khá vô tư thông tin cá nhân của mình mà chưa lường hết được hậu quả của nó. Chỉ khi xảy ra các sự việc liên quan đến pháp lý, có khiếu nại thì cơ quan chức năng mới vào cuộc và xác định nguồn phát tán dữ liệu cá nhân.

Đây cũng là lý do vì sao Bộ Công An phải xây dựng Nghị định về Bảo vệ dữ liệu cá nhân và xin ý kiến công khai trên cổng thông tin điện tử của Chính phủ và cổng thông tin điện tử của Bộ Công an.

PV:

 Khi đăng ký tài khoản có thông tin ở một ngân hàng nào đó thì thỉnh thoảng chính ngân hàng đó thường xuyên gọi điện để mời sử dụng dịch vụ của họ. Như vậy thì ngân hàng có vi phạm quyền cá nhân cũng như là lạm dụng thông tin của khách hàng hay không, thưa ông?

Thượng tá Nguyễn Đình Đỗ Thi:Về mặt nguyên tắc, ngân hàng cũng như các tổ chức có liên quan khi sử dụng thông tin cá nhân của khách hàng đều phải tuân theo quy chế bảo vệ dữ liệu cá nhân khách hàng và tuân thủ các quy định của pháp luật.

Đối với khách hàng khi sử dụng dịch vụ của ngân hàng cũng cần tìm hiểu xem họ sử dụng thông tin của mình ở trường hợp nào là đúng, là phù hợp để từ đó có thể khiếu nại nếu họ làm chưa đúng. Tôi cho rằng các ngân hàng cần tuân thủ các quy định chặt chẽ về bảo mật thông tin khách hàng.

Tuy nhiên không loại trừ trường hợp có những cá nhân làm việc với khách hàng, được tiếp cận với thông tin khách hàng đã sử dụng những dữ liệu cá nhân đó để trục lợi. Thực tế đã có nhiều trường hợp như vậy và không chỉ riêng ngân hàng mà còn nhiều tổ chức khác cũng xảy ra tình trạng như vậy.

PV:Cũng có ý kiến cho rằng, thông tin cá nhân của khách hàng trong công ty là thuộc về doanh nghiệp, doanh nghiệp phải có trách nhiệm bảo vệ và bảo mật. Những thông tin này dù bị đánh cắp do hacker, rò rỉ do lỗi hệ thống hay bị lấy mang ra ngoài do nhân viên thì trách nhiệm chính vẫn thuộc về doanh nghiệp và doanh nghiệp cần phải chịu trách nhiệm rõ ràng. Ông nghĩ sao về ý kiến này?

Thượng tá Nguyễn Đình Đỗ Thi: Khi khách hàng đã tin tưởng sử dụng dịch vụ của một công ty, doanh nghiệp thì doanh nghiệp đó phải có trách nhiệm bảo vệ thông tin cá nhân khách hàng của mình. Việc bảo vệ bí mật của công dân cũng được quy định rất rõ trong Hiến pháp. Một số văn bản khác như là Luật An ninh mạng cũng đưa ra quy định bảo vệ bí mật cũng như đời sống riêng tư của cá nhân.

Như vậy việc doanh nghiệp hoặc công ty đó để cho các đối tượng như tin tặc hay là tội phạm sử dụng công nghệ cao tấn công để lấy thông tin khách hàng thì trách nhiệm đầu tiên là thuộc về doanh nghiệp đó. Những biện pháp áp dụng bảo vệ của họ là chưa chặt chẽ và chưa an toàn. Trong Dự thảo cũng có đề cập đến trách nhiệm của cả cá nhân và doanh nghiệp về vấn đề này.

PV:

Từ trước đến nay có rất ít vụ kiện liên quan đến lĩnh vực thu thập, mua bán dữ liệu cá nhân trái phép. Theo ông là vì sao? Phải chăng là do chúng ta khó xác định được thông tin của mình bị mất do đâu nên không thể kiện bên cung cấp? 

Thượng tá Nguyễn Đình Đỗ Thi:Nhiều người chưa ý thức được việc này và khi biết thông tin của mình bị lộ thì họ cũng thấy điều đó là bình thường, nên ít khi tiến hành khiếu nại, tố giác, do đó cơ quan chức năng cũng không có căn cứ xử lý.

Nguyên nhân thứ hai là việc mỗi cá nhân xác định được vì sao thông tin cá nhân của mình bị lộ là rất khó khăn. Đặc điểm của không gian mạng là xuyên biên giới, tính nặc danh rất cao, đi đến đâu có thể xóa dấu vết đến đó.

Chúng ta hiện đang thiếu những quy định cụ thể để tạo điều kiện thuận lợi cho người dân có thể dễ dàng phát hiện tố giác hành vi thu thập thông tin, dữ liệu cá nhân. Rất cần sự ban hành và thực thi Nghị định về Bảo vệ dữ liệu cá nhân như Dự thảo Bộ Công an đang xây dựng và lấy ý kiến.

PV:Xin cảm ơn Thượng tá./.