Cần chế tài nghiêm khắc để ngăn chặn lộ, lọt, rao bán dữ liệu, bí mật nhà nước

Vấn nạn lộ, lọt dữ liệu ngày càng nhức nhối

Tình trạng dữ liệu cá nhân bị rò rỉ và mua bán công khai trên không gian mạng đã trở thành vấn đề đáng báo động. Nhiều người dùng chưa có ý thức bảo vệ dữ liệu cá nhân, vô tình công khai thông tin quan trọng trên các nền tảng trực tuyến. Bên cạnh đó, các doanh nghiệp, tổ chức quản lý dữ liệu cũng chưa bảo đảm các biện pháp bảo vệ an toàn, dẫn đến nguy cơ bị xâm nhập, đánh cắp hoặc mua bán trái phép dữ liệu với số lượng lớn.

Mới đây, Công an TP Huế đã triệt phá một đường dây mua bán gần 56 triệu thông tin dữ liệu cá nhân, bao gồm thông tin của cán bộ, công chức, viên chức, người lao động và công dân trên cả nước. Các đối tượng trong đường dây này đã sử dụng sim rác, tài khoản ngân hàng mua hoặc thuê, tạo tài khoản ảo trên Zalo, Facebook, Telegram để thực hiện hành vi phạm tội. Các loại dữ liệu bị mua bán bao gồm số CCCD, địa chỉ, số điện thoại, nơi làm việc... tạo điều kiện cho hàng loạt hành vi lừa đảo, giả mạo tài khoản ngân hàng và đòi nợ bất hợp pháp. Vụ việc đặt ra hồi chuông cảnh báo về tình trạng lộ, lọt dữ liệu cá nhân ngày càng nghiêm trọng, tiềm ẩn những hậu họa khó lường đến cá nhân, đe dọa an toàn, trật tự xã hội.

Trong báo cáo “Quan điểm, định hướng xây dựng Luật Bảo vệ dữ liệu cá nhân của Việt Nam”, Bộ Công an cho biết, tình trạng mua bán dữ liệu cá nhân diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý… Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ để đối tác thứ ba chuyển giao, buôn bán cho đối tác khác. Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Đáng lo ngại, một số công ty còn phát triển phần mềm thu thập dữ liệu ẩn, cài đặt trên các trang web để tự động thu thập, phân tích và bán dữ liệu trái phép. Thậm chí, có những trường hợp tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt thông tin.

Đặc biệt, nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm. Đáng chú ý, năm 2023, Bộ Công an đã chủ động phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên không gian mạng.

Ai chịu trách nhiệm, ai bồi thường?

Theo pháp luật hiện hành, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu sẽ bị xử lý theo nhiều hình thức, từ xử phạt hành chính đến truy cứu trách nhiệm hình sự, tùy theo mức độ vi phạm. Bộ luật Hình sự xác định cụ thể nhiều hành vi tội phạm trong lĩnh vực công nghệ thông tin, mạng viễn thông. Đơn cử, Tội thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng; Tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác để lấy cắp, thay đổi, hủy hoại, làm giả dữ liệu hoặc sử dụng trái phép các dịch vụ…

Thông tin nhân thân thường bị các đối tượng thu thập, mua bán trái phép, làm giả để thực hiện hành vi lừa đảo, chiếm đoạt tài sản và giả mạo danh tính. (Ảnh trong bài: bcp.cdnchinhphu.vn)

Bên cạnh đó, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân cũng nghiêm cấm hành vi xử lý dữ liệu cá nhân trái với quy định của pháp luật, đặc biệt là hành vi xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước hoặc gây ảnh hưởng tới an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác. Quy định nêu rõ, chủ thể dữ liệu có các quyền như quyền được biết, quyền đồng ý, quyền truy cập, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu, quyền cung cấp dữ liệu, quyền phản đối xử lý dữ liệu, quyền khiếu nại, tố cáo, khởi kiện, quyền yêu cầu bồi thường thiệt hại và quyền tự bảo vệ.

Như vậy, nếu dữ liệu cá nhân bị rò rỉ hoặc bị đánh cắp do sơ suất trong quá trình bảo mật, các cơ quan, tổ chức, cá nhân liên quan phải chịu trách nhiệm pháp lý, có thể bị truy cứu trách nhiệm hình sự. Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.

Tuy nhiên, một vấn đề đặt ra là trách nhiệm của các doanh nghiệp, tổ chức quản lý dữ liệu khi xảy ra sự cố rò rỉ. Hiện nay, nhiều doanh nghiệp chưa thực hiện đầy đủ các biện pháp bảo vệ dữ liệu hoặc xử lý dữ liệu một cách minh bạch. Nếu dữ liệu cá nhân bị đánh cắp do lỗi bảo mật của một tổ chức, thì tổ chức đó có phải chịu trách nhiệm bồi thường không? Nhiều tình huống rò rỉ dữ liệu trên thực tế vẫn chưa được giải quyết triệt để, khiến quyền lợi của các bên liên quan chưa được bảo đảm đầy đủ, trong khi đó, việc xử lý còn phụ thuộc vào sự hoàn thiện của hành lang pháp lý và cơ chế thực thi hiệu quả.

Siết chặt chế tài, tăng tính răn đe

Luật Dữ liệu 2024 cũng nghiêm cấm cấm các hành vi lợi dụng việc xử lý dữ liệu, quản trị dữ liệu, phát triển, kinh doanh, lưu hành sản phẩm, dịch vụ về dữ liệu để xâm phạm đến lợi ích quốc gia, dân tộc, quốc phòng, an ninh, trật tự, an toàn xã hội, lợi ích công cộng, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân. Các hành vi bị cấm khác gồm: Cản trở hoặc ngăn chặn trái pháp luật quá trình xử lý dữ liệu, quản trị dữ liệu hoặc tấn công, chiếm đoạt, phá hoại cơ sở dữ liệu, hệ thống thông tin phục vụ quản lý, xử lý, quản trị, bảo vệ dữ liệu; Giả mạo, cố ý làm sai lệch, làm mất, làm hư hỏng dữ liệu trong cơ sở dữ liệu của cơ quan Đảng, Nhà nước, Ủy ban Mặt trận Tổ quốc Việt Nam và các tổ chức chính trị - xã hội. Đồng thời, việc cố ý cung cấp dữ liệu sai lệch hoặc không cung cấp dữ liệu theo quy định của pháp luật cũng bị cấm.

Tuy nhiên, để thực sự ngăn chặn hiệu quả tình trạng này, cần có chế tài xử phạt nghiêm khắc, với mức phạt đủ sức răn đe, đặc biệt đối với các tổ chức, doanh nghiệp để lộ, lọt dữ liệu. Một số quốc gia đã áp dụng mức phạt rất cao đối với vi phạm liên quan đến dữ liệu cá nhân. Ví dụ, theo Quy định Bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu, các công ty vi phạm có thể bị phạt tới 20 triệu Euro hoặc 4% doanh thu toàn cầu. Trong khi đó, mức phạt hiện nay tại Việt Nam vẫn chưa đủ mạnh để tạo áp lực buộc các doanh nghiệp nâng cao trách nhiệm bảo mật dữ liệu.

Trước thực trạng rò rỉ dữ liệu ngày càng tinh vi, việc hoàn thiện hành lang pháp lý để bảo vệ dữ liệu quốc gia và siết chặt chế tài xử phạt là điều cấp thiết. Bên cạnh Luật Dữ liệu 2024, dự thảo Luật Bảo vệ dữ liệu cá nhân cũng cần quy định cụ thể hơn về trách nhiệm của cơ quan, tổ chức trong việc thu thập, xử lý và lưu trữ dữ liệu.

Nhiều ý kiến cần có cơ chế kiểm soát chặt chẽ đối với dữ liệu trọng yếu, dữ liệu liên quan đến an ninh quốc gia, bảo đảm không bị khai thác trái phép hoặc chuyển giao bất hợp pháp ra nước ngoài. Mức xử phạt đối với hành vi rò rỉ, mua bán dữ liệu cá nhân và dữ liệu bí mật Nhà nước cũng cần được tăng cường theo hướng răn đe mạnh hơn. Hiện nay, nhiều vụ việc vi phạm chỉ bị xử phạt hành chính với mức tiền không đáng kể so với lợi nhuận bất chính mà các đối tượng thu được, chưa đủ sức ngăn chặn. Vì vậy, điều quan trọng là bổ sung chế tài nghiêm khắc hơn, bao gồm cả trách nhiệm hình sự đối với cá nhân, tổ chức vi phạm nghiêm trọng, đồng thời nâng cao cơ chế bồi thường cho những cá nhân, tổ chức bị ảnh hưởng.

Ngoài ra, việc thành lập cơ quan chuyên trách về bảo vệ dữ liệu có thẩm quyền kiểm tra, giám sát, xử lý vi phạm cũng là một bước quan trọng nhằm bảo đảm tính thực thi của các quy định pháp luật. Khi hành lang pháp lý được hoàn thiện và các chế tài đủ mạnh, việc quản lý, bảo vệ dữ liệu quốc gia sẽ trở nên hiệu quả hơn, góp phần nâng cao an ninh thông tin và bảo vệ quyền lợi chính đáng của cá nhân, tổ chức.