Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới với số người sử dụng Internet xếp thứ 13 trên thế giới (hơn 64 triệu, chiếm 66% dân số, trong đó có 58 triệu tài khoản Facebook, 62 triệu tài khoản Google). Chính phủ đang quyết liệt chỉ đạo đẩy mạnh xây dựng Chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số và đã đạt được nhiều kết quả quan trọng. Tuy nhiên, mức độ ứng dụng công nghệ càng nhiều thì việc cung cấp, sử dụng thông tin cá nhân lại càng lớn. Điều này đặt ra bài toán phải quản lý hiệu quả, bảo đảm phòng ngừa, xử lý các hành vi vi phạm pháp luật về thông tin cá nhân; đồng thời, phù hợp với Hiến pháp, pháp luật Việt Nam cũng như pháp luật quốc tế.
Hiện nay, tình trạng lộ, lọt, hoạt động đánh cắp, mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng, ảnh hưởng trực tiếp đến an ninh, an toàn của người dân. Vì vậy, dự thảo Nghị định về quy định dữ liệu cá nhân đang được xin ý kiến đóng góp của cá nhân, tổ chức, doanh nghiệp trong và ngoài nước nhận được sự quan tâm lớn. Nghị định được kỳ vọng sẽ tạo cơ sở pháp lý để bảo đảm tốt hơn quyền con người, quyền công dân liên quan đến dữ liệu cá nhân, góp phần hiệu quả vào việc triển khai Chính phủ điện tử hướng tới Chính phủ số tại Việt Nam.
Xuất phát từ yêu cầu thực tiễn
Thời gian qua, khi giao dịch, mua bán hàng hóa, thuận theo đề nghị của các cơ quan, đơn vị, cửa hàng về việc sẽ được chăm sóc, cung cấp các dịch vụ khuyến mại, mọi người đã dễ dàng cung cấp thông tin cá nhân cho các tổ chức đó. Nhưng ngay sau đó đã có những hoạt động mua bán bất hợp pháp các dữ liệu cá nhân khiến hầu như ai cũng là nạn nhân của những cuộc gọi điện, tin nhắn gửi đích danh nhằm để chào hàng, quảng cáo trái ý muốn. Bên cạnh đó, ngày càng nhiều chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra các vi phạm pháp luật. Trên thực tế đã có những hành vi liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng bị cơ quan công an phát hiện và xử lý.
Qua rà soát sơ bộ, Bộ Công an phát hiện hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng, bao gồm: Các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hang, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện…
Việc xây dựng Nghị định về quy định bảo vệ dữ liệu cá nhân xuất phát từ một số yêu cầu. Thứ nhất, yêu cầu từ sự phát triển kinh tế số và ứng dụng khoa học – công nghệ vào đời sống xã hội. Dữ liệu cá nhân là đầu vào và giá trị vô tận cho nền kinh tế số. Hầu hết các ngành, lĩnh vực đều sử dụng dữ liệu cá nhân để xử lý dữ liệu như: hành chính, y tế, hình sự, hộ tịch, quốc tịch, chứng thực, thương mại điện tử, giáo dục, tài chính, ngân hàng, thuế và hoạt động thuế, công nghệ thông tin, truyền thông, trí tuệ nhân tạo, internet vạn vật, điện toán đám mây, dữ liệu lớn, dữ liệu nhanh. Do đó, phải bảo đảm cho thông tin cá nhân được sử dụng đúng mục đích, phục vụ đắc lực cho xã hội, hạn chế tối đa nguy cơ bị sử dụng, lạm dụng và có cơ chế, chế tài xử lý các hành vi vi phạm. Thứ hai, yêu cầu từ công tác phòng ngừa, đấu tranh, xử lý các hành vi vi phạm pháp luật. Hiện nay, tình trạng lộ, lọt, hoạt động đánh cắp, mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Ngày càng nhiều chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra các hành vi vi phạm pháp luật. Thách thức trước những dịch vụ mới, sử dụng thông tin cá nhân trên không gian mạng, như: thanh toán trực tuyến, thương mại điện tử, trò chơi trực tuyến, kinh doanh tiền ảo, kinh doanh đa cấp qua mạng… đã đặt ra nhiều vấn đề liên quan tới an ninh quốc gia, trật tự an toàn xã hội, gây nguy cơ mất an ninh mạng. Thứ ba, yêu cầu cấp bách của việc triển khai Chính phủ điện tử và thể chế hóa chủ trương, chính sách của Đảng, Nhà nước: Dưới góc độ an ninh, yêu cầu đặt ra đối với dữ liệu cá nhân được lưu trữ trong các hệ thống của Chính phủ không chỉ là dữ liệu hoạt động thông suốt, bình thường mà phải bảo đảm an ninh dữ liệu, hạn chế tới mức tối đa hoặc không để xảy ra tình trạng tấn công, chiếm đoạt dữ liệu cá nhân. Mọi sự cố xảy ra đối với “trung tâm lưu trữ dữ liệu cá nhân” đều có thể gây hậu quả nghiêm trọng. Thứ tư, yêu cầu nâng cao nhận thức cho quần chúng nhân dân về bảo vệ dữ liệu cá nhân, nhất là các thông tin về lý lịch cá nhân, mối quan hệ, tình trạng sức khỏe, tài chính… để người dân nắm rõ và thực hiện đúng các quy định của pháp luật, góp phần phòng ngừa, đấu tranh với các hành vi vi phạm pháp luật cũng như đảm bảo quyền và lợi ích hợp pháp của các cơ quan, tổ chức, cá nhân. Thứ năm, yêu cầu phù hợp với quy định của pháp luật một số quốc gia trên thế giới về bảo vệ dữ liệu cá nhân, trong đó có Quy định bảo vệ dữ liệu chung của Liên minh Châu Âu (GDPR).
Bảo vệ dữ liệu cá nhân của người dùng
Gồm 6 chương với tổng số 30 điều, dự thảo Nghị định quy định về dữ liệu cá nhân, xử lý dữ liệu cá nhân, biện pháp bảo vệ dữ liệu cá nhân, Ủy ban bảo vệ dữ liệu cá nhân, xử lý vi phạm về dữ liệu cá nhân, trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Theo dự thảo Nghị định, dữ liệu cá nhân được định nghĩa là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể. Dữ liệu cá nhân gồm có hai loại chủ yếu là dữ liệu cơ bản và dữ liệu nhạy cảm.
Dữ liệu cơ bản gồm có: Họ, tên; ngày, tháng, năm sinh/năm chết hoặc mất tích; nhóm máu, giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, địa chỉ thư điện tử. Dữ liệu cơ bản còn bao gồm trình độ học vấn; quốc tịch; số điện thoại; số CMND/căn cước công dân, số hộ chiếu, mã số thuế cá nhân, số BHXH; tình trạng hôn nhân… Không chỉ có vậy, dữ liệu cơ bản còn có dữ liệu phản ánh hoạt động hoặc lịch sử hoạt động trên không gian mạng.
Dữ liệu nhạy cảm gồm có dữ liệu về quan điểm chính trị, tôn giáo; dữ liệu về tình trạng giới tính (là thông tin về người được xác định có giới tính nam, nữ, người kết hợp giữa nữ và nam, không phải nữ hoàn toàn hoặc nam hoàn toàn…). Bên cạnh đó, dữ liệu nhạy cảm còn bao gồm dữ liệu về đời sống, xu hướng tình dục; dữ liệu về các mối quan hệ xã hội; dữ liệu về tình trạng sức khỏe trong quá trình đăng ký hoặc cung cấp dịch vụ y tế; dữ liệu về tài chính (tài khoản, thẻ, công cụ thanh toán, hồ sơ, tình trạng tài chính, lịch sử tín dụng, mức thu nhập…).
ThS. Nguyễn Văn Dũng[1]
[1] Học viện Cảnh sát nhân dân
