Bài 2: Giải quyết những vấn đề về bảo vệ dữ liệu cá nhân trong thực tiễn

Quyền cơ bản của công dân đối với dữ liệu cá nhân chưa được đảm bảo, việc thực hiện các nghĩa vụ trong quá trình xử lý dữ liệu cá nhân chưa được đảm bảo... Từ các vấn đề thực tiễn đặt ra yêu cầu xây dựng và ban hành Luật Bảo vệ dữ liệu cá nhân.

Phổ biến tình trạng lộ, mất , mua, bán dữ liệu cá nhân

Trong bối cảnh chuyển đổi số diễn ra sâu rộng trên hầu hết các lĩnh vực, dữ liệu cá nhân được chuyển lên môi trường điện tử thường xuyên, liên tục dẫn đến tình trạng lộ, mất dữ liệu cá nhân diễn ra phổ biến trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai. Mặc dù Nghị định số 13/2023/NĐ-CP đã quy định dữ liệu cá nhân không được mua, bán dưới mọi hình thức, thực tế tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.

Hoạt động mua, bán dữ liệu cá nhân diễn ra dưới nhiều hình thức như: Doanh nghiệp không có thỏa thuận xử lý dữ liệu cá nhân chặt chẽ với đối tác, để đối tác chuyển giao, bán cho các đối tác khác; chủ động thu thập, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán; rao bán dữ liệu cá nhân số lượng lớn, có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua; lập doanh nghiệp vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; tấn công, xâm nhập hệ thống thông tin để chiếm đoạt dữ liệu cá nhân, tán phát mã độc thu thập dữ liệu cá nhân trên môi trường mạng.

Bộ Công an phát hiện, đấu tranh, xử lý một số đường dây chiếm đoạt, mua bán dữ liệu cá nhân quy mô lớn tại Việt Nam (lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm). Trong năm 2023, các cơ quan chức năng đã phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên các nền tảng, diễn đàn (BreachedForums, Telegram, Facebook); cung cấp dịch vụ tra cứu dữ liệu dữ liệu cá nhân công dân Việt Nam (dữ liệu thời gian thực). Thực trạng trên đặt ra yêu cầu cấp bách trong hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân mang tính thống nhất, đồng bộ trong hệ thống pháp luật, nâng cao nhận thức, ý thức về hoạt xử lý dữ liệu cá nhân hiện nay song hành với công tác bảo vệ dữ liệu cá nhân và có các quy định rõ ràng về việc bảo đảm các quyền của chủ thể dữ liệu. Luật Bảo vệ dữ liệu cá nhân sẽ giúp nâng cao nhận thức của tất các cả đối tượng (cá nhân, cơ quan, tổ chức, doanh nghiệp) về quyền, trách nhiệm, nghĩa vụ bảo vệ dữ liệu cá nhân. Các chế tài được áp dụng sau khi ban hành Luật cũng mang tính răn đe, nâng cao ý thức thượng tôn pháp luật, tôn trọng và tuân thủ các quy định trong hoạt động xử lý dữ liệu cá nhân.

Trong nhiều lĩnh vực tại Việt Nam, hồ sơ giấy vẫn là phương tiện lưu trữ dữ liệu cá nhân phổ biến. Việc thiếu các quy định cụ thể về bảo vệ dữ liệu trên môi trường này đã dẫn đến nhiều trường hợp vi phạm và rủi ro tiềm tàng. Đặc biệt, trong bối cảnh chuyển đổi từ dữ liệu vật lý sang dữ liệu điện tử (số hóa), nếu không có quy định rõ ràng và thống nhất cho cả hai dạng dữ liệu, quá trình này có thể phát sinh nhiều rủi ro, bao gồm suy giảm chất lượng dữ liệu, mất mát thông tin và vi phạm bảo mật. Thực tế, nhiều tổ chức, doanh nghiệp vẫn duy trì hệ thống lưu trữ song song giữa dữ liệu trên môi trường mạng và dữ liệu vật lý. Việc pháp luật hiện hành chủ yếu tập trung vào bảo vệ dữ liệu cá nhân trên môi trường điện tử, trong khi chưa có quy định chặt chẽ cho dữ liệu vật lý, đã dẫn đến sự bất đồng trong việc áp dụng các biện pháp bảo vệ đồng bộ. Những quy định này không chỉ gây khó khăn cho việc quản lý và chuyển đổi dữ liệu giữa các hệ thống mà còn tạo ra lỗ hổng pháp lý dễ bị lợi dụng. Đặc biệt, khi quy định bảo vệ dữ liệu chỉ tập trung vào môi trường điện tử, người quản lý dữ liệu có thể lợi dụng kẽ hở này để hủy dữ liệu trên hệ thống mạng nhưng vẫn giữ lại bản giấy nhằm tránh bị giám sát chặt chẽ, từ đó làm gia tăng rủi ro về bảo mật thông tin và xâm phạm quyền riêng tư của chủ thể dữ liệu.

Điển hình như trong ngành Y tế, hồ sơ bệnh án của bệnh nhân chứa nhiều thông tin nhạy cảm như tiền sử bệnh, thông tin cá nhân và gia đình. Tuy nhiên, việc lưu trữ hồ sơ giấy tại các bệnh viện và phòng khám thường không được bảo vệ chặt chẽ, dẫn đến nguy cơ rò rỉ thông tin. Trong lĩnh vực lao động, các doanh nghiệp và cơ quan nhà nước thường lưu trữ hồ sơ nhân sự dưới dạng giấy, bao gồm thông tin cá nhân, lý lịch, hợp đồng lao động và thông tin tài chính. Tuy nhiên, không có quy định cụ thể về việc bảo vệ những hồ sơ này, dẫn đến nguy cơ truy cập trái phép và rò rỉ thông tin. Các trường học cũng lưu trữ hồ sơ học sinh, sinh viên bằng hồ sơ giấy, bao gồm thông tin cá nhân, kết quả học tập và các dữ liệu liên quan.

Quyền cơ bản của công dân đối với dữ liệu cá nhân chưa được bảo đảm

Qua thực tiễn triển khai công tác bảo vệ dữ liệu cá nhân theo Nghị định số 13/2023/NĐ-CP thấy, hiện có nhiều tổ chức, doanh nghiệp thu thập thừa dữ liệu cá nhân so với ngành nghề, sản phẩm, dịch vụ kinh doanh, thiếu cơ sở pháp lý khi thu thập dữ liệu cá nhân, không xác định được các luồng xử lý dữ liệu. Nhiều hoạt động thu thập, xử lý dữ liệu cá nhân mà chưa có sự đồng ý của chủ thể dữ liệu, không thể lấy ý kiến về sự đồng ý đối với những dữ liệu cá nhân đã thu thập. Điều đó cho thấy, các quyền cơ bản của công dân đối với dữ liệu cá nhân chưa được bảo đảm, công dân chưa biết cách tự bảo vệ, chưa biết cách khiếu kiện, phản đối, yêu cầu bồi thường thiệt hại khi có hành vi vi phạm pháp luật, xâm hại tới quyền và lợi ích hợp pháp của mình. Luật Bảo vệ dữ liệu cá nhân sẽ là cơ sở pháp lý ghi nhận các quyền của công dân đối với dữ liệu cá nhân, góp phần nâng cao nhận thức và hoàn thiện cơ chế thực thi bảo vệ các quyền công dân.

Bên cạnh đó, việc thực hiện các nghĩa vụ trong quá trình xử lý dữ liệu cá nhân như xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, thông báo vi phạm về bảo vệ dữ liệu cá nhân vẫn còn nhiều lúng túng, chậm trễ; công tác đào tạo, tập huấn về bảo vệ dữ liệu cá nhân trong các tổ chức chưa được tiến hành thường xuyên.

Việc thay đổi quy trình làm việc, chính sách hiện hành của tổ chức, doanh nghiệp phù hợp với quy định về bảo vệ dữ liệu cá nhân đã được quan tâm nhưng chưa được triển khai đúng mức; việc cung cấp các giải pháp kỹ thuật bảo vệ dữ liệu cá nhân còn hạn chế, thiếu tiêu chí đánh giá các giải pháp kỹ thuật đáp ứng được yêu cầu bảo vệ dữ liệu cá nhân. Những hạn chế, thiếu hiệu quả khi triển khai tuân thủ Nghị định số 13/2023/NĐ-CP sẽ được giải quyết thông qua việc bổ sung, chỉnh sửa các quy định trong Luật Bảo vệ dữ liệu cá nhân theo hướng đầy đủ, rõ ràng hơn và sẽ được cụ thể hóa trong các văn bản của Chính phủ hướng dẫn chi tiết thi hành Luật.