1. Đề dẫn
Tháng 01/2022, Đề án Phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022-2025, tầm nhìn đến năm 2030 đã được Thủ tướng Chính phủ ký Quyết định số 06/QĐ-TTg phê duyệt. Đề án được chia làm ba giai đoạn, trong đó giai đoạn từ năm 2022-2023 được coi là thời điểm tập trung nghiên cứu, xây dựng các quy định của pháp luật để có những hành lang pháp lý triển khai ứng dụng dữ liệu dân cư, định danh điện tử và xác thực điện tử vào công tác chuyển đổi số, từ đó góp phần xây dựng phát triển đất nước. Về phía các cấp chủ quản, theo quy định tại Quyết định số 20/2020/QĐ-TTg, trước ngày 15/9/2022 được coi là mốc thời gian để mã định danh điện tử cấp chủ quản phải đảm bảo vận hành, sử dụng thống nhất, kết nối, chia sẻ dữ liệu dùng chung trong hệ thống quản lý văn bản và điều hành(HL, 2022). Như vậy, việc định danh điện tử[1], danh tính số[2] và xác thực điện tử có vai trò hết sức quan trọng[3] và được xác định là nền tảng cho quá trình chuyển đổi số (Nguyễn Thiện Nghĩa, 2021). Tuy nhiên, bên cạnh những chiều hướng tích cực, việc thúc đẩy quá trình định danh điện tử, danh tính số và xác thực cũng đặt ra những vấn đề thách thức đến an toàn dữ liệu cá nhân. Trong bài viết, tác giả sẽ tập trung đưa ra các luận điểm về an toàn dữ liệu cá nhân trong bối cảnh chuyển đổi số quốc gia, phân tích sâu hơn vào những vấn đề còn là thách thức, từ đó, đề xuất một số kiến nghị, giải pháp.
2. An toàn dữ liệu cá nhân trong chuyển đổi số quốc gia
Mới đây, phiên chất vấn Bộ trưởng Bộ Công an, tại Phiên họp thứ 14 của Ủy ban Thường vụ Quốc hội (ngày 10/08/2022), nội dung an toàn dữ liệu cá nhân đã trở thành một một vấn đề nóng, được nhiều đại biểu Quốc hội quan tâm và chất vấn.
Nhìn vào vấn đề an toàn dữ liệu cá nhân tại Việt Nam trong thực tiễn, chúng ta dễ dàng nhận thấy, tình trạng lộ lọt, rao bán dữ liệu cá nhân diễn ra phổ biến. Nhiều vụ việc mua bán dữ liệu thông tin với quy mô lớn, nghiêm trọng gần đây lại diễn ra vào những thời điểm có tính chất nhạy cảm như: Vụ việc rao bán dữ liệu trường học của 30 triệu người Việt trong thời điểm gần đến các kỳ thi quan trọng của giáo dục nước nhà; Vụ việc rao bán hàng ảnh chụp nghìn chứng minh nhân dân trong thời điểm đẩy nhanh triển khai căn cước công dân gắn chíp…
Theo tác giả Ka Mi (2022):
Chỉ cần vài cú click chuột và gõ trên thanh công cụ tìm kiếm Google về dữ liệu cá nhân, người dùng có thể nhận vô vàn kết quả có liên quan đến những website cung cấp dịch vụ mua bán thông tin. Cụ thể, khi gõ từ khoá “danh sách khách hàng”, chỉ trong vòng 0,84s đã có khoảng 254 triệu kết quả với nhiều trang web hiện ra như: danhsachmoi.com, danhsachkhachhang.net, fulldata.org, danhsachkhachhang.biz… Các gói dữ liệu dành cho nhiều phân khúc khách hàng khác nhau, từ thông tin những người đang sở hữu ôtô, mua bảo hiểm nhân thọ, có tài khoản tiết kiệm đến danh sách phụ huynh học sinh hay doanh nhân.
Theo số liệu về chỉ cố an ninh mạng toàn cẩu mà Ngân hàng thế giới (2021) đã thống kê, Việt Nam được đánh giá là một quốc gia có mức độ bảo vệ khá tốt, với thứ hạng 25 trên 194 quốc gia và vùng lãnh thổ, đứng thứ tư trong số 11 quốc gia thuộc Hiệp hội các Quốc gia Đông Nam Á (ASEAN) và đứng thứ bảy trong khu vực Châu Á – Thái Bình Dương (Ngân hàng thế giới, 2021). Mới đây, ngày 10/08/2022, Chính phủ nước ta cũng đã ký quyết định số 964/QĐ-TTg, phê duyệt Chiến lược An toàn, An ninh mạng quốc gia. Có thể thấy, Việt Nam đã có nhiều điểm sáng trong bảo vệ an toàn, anh ninh mạng quốc gia, tạo nhiều tiền đề cho quá trình chuyển đổi số quốc gia. Tuy nhiên, khi nhìn ở một chiều cạnh khác, vi mô hơn, thì vấn đề an toàn dữ liệu cá nhân lại còn nhiều khoảng trống, cần giải quyết, cụ thể:
– Hệ thống quy định của pháp luật về dữ liệu cá nhân còn chưa hoàn thiện Theo Ngân hàng thế giới (2021), Việt Nam vẫn đi sau về bảo vệ quyền riêng tư và là quốc gia xếp cuối cùng trong số các quốc gia so sánh tương đồng hoặc đi trước về mức độ can thiệp của chính phủ trên Internet và mạng xã hội.
Cũng theo Ngân hàng thế giới (2021), khung thể chế phục vụ chuyển đổi số ở Việt Nam còn cồng kềnh, dàn trải ở nhiều bộ ngành (ít nhất là bảy bộ ngành), dẫn đến công tác phối hợp, triển khai quản lý có nguy cơ chồng chéo, khó thực hiện, từ đó, đặt ra những vấn đề thách thức về an toàn cho dữ liệu cá nhân.
Ghi chú viết tắt: Bộ Thông tin và Truyền thông (Bộ TTTT); Bộ Kế hoạch và Đầu tư (Bộ KH&ĐT); Văn phòng Chính phủ (VPCP); Ngân hàng Nhà nước (NHNN)
(nguồn Ngân hàng thế giới, 2021, tr51)
Tiếp tục soi chiếu vào các quy định của pháp luật tại Việt Nam về dữ liệu cá nhân, chúng ta cũng dễ dàng nhận thấy những khoảng trống về vấn đề dữ liệu cá nhân. Cụ thể:
Thứ nhất, dữ liệu cá nhân là vấn đề được ghi nhận từ lâu nhưng lại chưa có sự đồng bộ, tính hệ thống và tính xuyên suốt. Theo đó, dữ liệu cá nhân được ghi nhận và xuất hiện trong nhiều các văn bản quy phạm pháp luật, ban hành và áp dụng từ 2015 như: Bộ luật Dân sự, Bộ luật Hình sự, Bộ luật Tố tụng dân sự ; Bộ luật Tố tụng hình sự, Luật An toàn thông tin mạng … Mỗi văn bản đề cập một phần, rải rác, thiếu tính khái quát, hệ thống. Trước bối cảnh chuyển đổi số đang diễn ra, với yêu cầu và thực trạng ở trên, đòi hỏi cần có sớm có một hệ thống văn bản quy phạm pháp luật khắc phục tình trạng này.
Thứ hai, nhiều thuật ngữ liên quan đến dữ liệu cá nhân trong các văn bản quy phạm pháp luật còn dẫn đến nguy cơ chồng chéo, mâu thuẫn. Theo đó, các văn bản quy phạm pháp luật hiện hành của Việt Nam sử dụng nhiều thuật ngữ có liên quan đến dữ liệu cá nhân và bảo vệ dữ liệu cá nhân như “thông tin cá nhân”, “thông tin riêng”, “thông tin riêng tư”, “thông tin cá nhân trên môi trường mạng”, “thông tin bí mật đời tư”, “thông tin về đời sống riêng tư”, “bí mật cá nhân”, “bí mật gia đình”…với những cách giải thích khái niệm khác nhau (Chu Thị Hoa, 2020). Một số quy định còn dẫn đến sự mâu thuẫn nhau. Ví dụ như Khoản 13, Điều 3, Nghị định số 52/2013/NĐ-CP coi thông tin liên hệ công việc và những thông tin cá nhân tự công bố trên các phương tiện truyền thông không phải là thông tin cá nhân. Trong khi, nghị định số 72/2013/NĐ-CP thì lại quy định mọi thông tin cá nhân không phân biệt đã công khai hay giữ bí mật đều được coi là thông tin cá nhân. Điều này dẫn đến những nguy cơ thiếu thống nhất và chồng chéo về cách hiểu các khái niệm.
Trước bối cảnh chuyển đổi số quốc gia, ngày 09/02/2021, Bộ Công an đã được giao nhiệm vụ Chủ trì soạn thảo Dự thảo nghị định về bảo vệ dữ liệu cá nhân. Trong bối cảnh hiện nay, văn bản quy phạm này có thể coi là văn bản có tính hệ thống, khái quát, cập nhật về vấn đề dữ liệu cá nhân. Từ đó, chúng ta sẽ có những điều kiện và căn cứ để bảo vệ, xử lý các vấn đề liên quan đến dữ liệu cá nhân. Tuy nhiên, đến nay, qua nhiều lần chỉnh sửa, điều chỉnh, trong phiên chất vấn tại Quốc hội mới nhất (ngày 10/08/2022), Nghị định này vẫn chưa được ban hành. Như vậy, những khoảng trống trong các quy phạm pháp luật về dữ liệu cá nhân trong bối cảnh chuyển đổi số tại Việt Nam vẫn còn rất lớn.
Chế tài xử lý vi phạm chưa đủ sức răn đe
Mặc dù pháp luật về xử lý vi phạm hành chính hiện nay đã có các quy định xử phạt đối với một số hành vi vi phạm liên quan đến dữ liệu cá nhân, nhưng đặt trong bối cảnh chuyển đổi số quốc gia, có thể dễ dàng đánh giá các chế tài xử lý này nhìn chung là chưa đầy đủ, chưa toàn diện, thiếu sức răn đe. Theo đó, hiện nay các chế tài này đa phần mới chỉ áp dụng đối với các hành vi vi phạm thuộc lĩnh vực bưu chính, viễn thông, công nghệ thông tin, tần số vô tuyến điện, thương mại, sản xuất, buôn bán hàng giả, hàng cấm, bảo vệ quyền lợi người tiêu dùng, còn các lĩnh vực khác thì chưa có.
Đơn cử như điểm a, khoản 5, điều 66, Nghị định số 174/2013/NĐ-CP ngày 13/11/2013 của Chính phủ, quy định phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với hành vi mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông. Đây là mức phạt hành chính cao nhất mà Nghị định này áp dụng xử phạt trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện. Trong khi, lợi nhuận của việc buôn bán dữ liệu cá nhân, khai thác dữ liệu cá nhân để chuộc lợi lại lớn, nhiều vụ việc có tính chất phức tạp, nghiêm trọng. Như mới đây, ngày 15/01/2022, công an tỉnh Thừa Thiên Huế triệt phá vụ giao dịch mua bán khoảng 6,2 triệu dữ liệu cá nhân với mức chi phí khoảng 2,3 tỉ đồng (Ka Mi, 2022). Nếu so sánh một cách cơ học, giữa mức phạt cao nhất là 70.000.000 đồng với những con số mà cơ quan công an công bố của một vụ mua bán dữ liệu cá nhân, phần nào cho thấy mức độ răn đe của các quy định là chưa đủ. Từ đó, dẫn tới thực tế, tình trạng sẵn sàng vi phạm, chấp nhận mức phạt và tiếp tục vi phạm vẫn thường xuyên diễn ra.
Nhận thức về công tác bảo vệ dữ liệu cá nhân còn hạn chế, chưa phù hợp
Hiện nay, việc để lộ dữ liệu cá nhân đã và đang trở thành tình trạng phổ biến trên không gian Internet. Theo Cục an toàn thông tin (Bộ Thông tin và Truyền thông), 80% nguyên nhân gây lộ, lọt thông tin, dữ liệu cá nhân là do người dùng bất cẩn, chỉ 20% nguyên nhân còn lại là đến từ nhà cung cấp dịch vụ trên môi trường mạng (Thế Lâm, 2021).
Theo cẩm nang “Hướng dẫn sử dụng an toàn các phần mềm, công cụ dạy và học trực tuyến” mà Bộ Thông tin và Truyền thông ban hành, các nguyên nhân để lộ thông tin, dữ liệu cá nhân có thể do vô tình nhưng cũng có thể đến từ sự cố tình. Đơn cử, người dùng thường nhận được tin nhắn, cuộc gọi, email quảng cáo về khóa học tiếng Anh, rao bán bán bất động sản, mời sử dụng các gói bảo hiểm, dịch vụ chăm sóc sắc đẹp miễn phí…khi tương tác lại, được yêu cầu khai báo một số thông tin cá nhân. Bên cạnh đó, một tình trạng đang rất phổ biến hiện nay là một số ứng dụng mua hàng trực tuyến gợi ý liên tục những món đồ mà người dùng từng tìm kiếm. Thậm chí, người dùng chỉ cần dùng Internet miễn phí tại một quán ăn và một khoảng thời gian sau trên điện thoại cá nhân xuất hiện các câu hỏi đánh giá địa điểm đó thế nào… Từ đó, thông tin, dữ liệu cá nhân có thể bị thu thập. Rất nhiều trường hợp lọt lộ thông tin, dữ liệu cá nhân mà người dùng thường không để ý, không hiểu tại sao, và cũng không biết làm thế nào để tránh. Tất cả những yếu tố này thể hiện thực trạng nhân thức về công tác bảo vệ dữ liệu của từng cá nhân còn hạn chế, chưa phù hợp trước bổi cảnh thay đổi nhanh chóng của công nghệ và công cuộc chuyển đổi số.
3. Một số kiến nghị
Trước thực trạng trên, theo tác giả, để đảm bảo an toàn dữ liệu cá nhân trong chuyển đổi số quốc gia, cần tập trung vào một số giải pháp chính:
Thứ nhất, sớm hoàn thiện hệ thống văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Theo đó, trước tiên, cần sớm hoàn thiện và ban hành Nghị định về bảo vệ dữ liệu cá nhân, sau đó hướng đến xây dựng, ban hành Luật về bảo vệ dữ liệu cá nhân. Đây là nhiệm vụ trọng tâm, bảo đảm yếu tố pháp lý cho triển khai công tác bảo vệ dữ liệu cá nhân ở nước ta, từ đó góp phần bảo đảm an toàn dữ liệu cá nhân và bảo đảm hoạt động cho Chính phủ điện tử trong bối cảnh chuyển đổi số quốc gia
Theo thống kê, hiện nay đã có hơn 80 quốc gia đã ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Đối với nước ta, trước tốc độ phát triển và ứng dụng Internet nhanh; với yêu cầu từ sự phát triển kinh tế số, ứng dụng khoa học, công nghệ vào đời sống xã hội; yêu cầu cấp bách của việc triển khai chính phủ điện tử; yêu cầu từ công tác phòng ngừa, đấu tranh, xử lý các hành vi vi phạm về dữ liệu cá nhân thì việc hoàn thiện và ban hành sớm quy định về bảo vệ dữ liệu cá nhân là rất quan trọng.
Thứ hai, nâng chế tài xử lý vi phạm về dữ liệu cá nhân, bởi lẽ lợi ích, tác động của dữ liệu cá nhân trong nền kinh tế số là rất lớn.Các hành vi vi phạm, xâm hại đến dữ liệu cá nhân có thể bị buộc bồi thường thiệt hại, xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự, tùy thuộc vào tính chất, mức độ nguy hiểm và hậu quả do hành vi vi phạm gây ra.
Thứ ba, cần có những chương trình, hoạt động với những giải pháp mang tính đồng bộ nhằm nâng cao trình độ nhận thức của nhân dân về an toàn dữ liệu cá nhân trong bối cảnh số. Các cơ quan báo chí, truyền thông là đơn vị tiên phong, đẩy mạnh công tác tuyên truyền, phổ biến quy định của pháp luật về bảo vệ dữ liệu cá nhân trong bối cảnh mới, giúp công chúng nhận thức được mức độ quan trọng của dữ liệu cá nhân, từ đó chủ động tìm hiểu, học cách bảo vệ dữ liệu cá nhân trên môi trường Internet. Phối hợp, tổ chức các chiến lược truyền thông trên nền tảng mạng xã hội về an toàn dữ liệu, bảo vệ dữ liệu cá nhân trên môi trường Internet. Triển khai các chương trình, dự án, tài liệu hướng đến trang bị, nâng cao kiến thức cho người dân để bảo vệ an toàn dữ liệu cá nhân trong các trường hợp như: cách quản lý, bảo vệ dữ liệu cá nhân; các kiến thức phòng tránh các tình huống lừa đảo qua mạng có thể xảy ra khi dữ liệu bị kẻ xấu đánh cắp; các giải pháp khi bị lộ dữ liệu cá nhân…
Dữ liệu cá nhân được ví như dầu mỏ của nền kinh tế số (Vũ My, 2021), do vậy, nếu bị đánh cắp, nó có thể gây ra những tổn thất nghiêm trọng về nhiều mặt, gây ra hậu quả cả về vật chất, tinh thần, ảnh hưởng trực tiếp đến quyền lợi, lợi ích hợp pháp của các cơ quan, tổ chức, doanh nghiệp và mỗi cá nhân. Đặc biệt, trong bối cảnh chuyển đổi số quốc gia, an toàn dữ liệu cá nhân trên môi trường số là một trong những yếu tố quan trọng. Từ thực trạng trên, để dữ liệu cá nhân được an toàn, cần sự chung tay của nhiều bên, đồng bộ, từ những quy định pháp luật, chế tài xử lý cho đến hành động của từng cá nhân trong xã hội.
Nguyễn Đình Hậu
Bài viết đăng kỷ yếu Hội thảo Quốc gia “An toàn, bình đẳng trong không gian mạng”, T11.2022
Tài liệu tham khảo
HL. (2022). Trước 15/9/2022: sử dụng mã định danh điện tử thống nhất kết nối, chia sẻ dữ liệu. Tạp chí Thông tin và Truyền thông điện tử. Địa chỉ truy cập https://ictvietnam.vn/truoc-15-9-2022-su-dung-ma-dinh-danh-dien-tu-thong-nhat-khi-ket-noi-chia-se-du-lieu-20210412071308695.htm
Chu Thị Hoa. (2020). Báo cáo rà soát pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam. Tài liệu tại Hội thảo trong khuôn khổ Chương trình hoạt động năm 2020 của dự án “Tăng cường pháp luật và tư pháp tại Việt Nam” (EU JULE), do Bộ Công an phối hợp Chương trình phát triển Liên hợp quốc tổ chức tại Hà Nội ngày 09/1/2020, tr7.
Thế Lâm. (2021). 80% nguyên nhân gây lộ lọt thông tin, dữ liệu cá nhân do người dùng bất cẩn. Báo điện tử Lao động. Địa chỉ truy cập https://laodong.vn/kinh-doanh/80-nguyen-nhan-gay-lo-lot-thong-tin-du-lieu-ca-nhan-do-nguoi-dung-bat-can-972892.ldo
Ka Mi. (2022). Mua bán dữ liệu cá nhân trên mạng dễ như mua rau. Báo điện tử VietNamNet. Địa chỉ truy cập https://ictnews.vietnamnet.vn/bao-mat/dau-nam-dao-cho-mua-ban-du-lieu-ca-nhan-tren-mang-404630.html
Vũ My. (2021). Bảo vệ dữ liệu cá nhân cần xuất phát từ chính người dùng. Báo điện tử Quân đội nhân dân. Địa chỉ truy cập https://www.qdnd.vn/kinh-te/cac-van-de/bao-ve-du-lieu-ca-nhan-can-xuat-phat-tu-chinh-nguoi-dung-661269
Bạch Thị Nhã Nam. (2022). Hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân. Tạp chí nghiên cứu lập pháp điện tử. Địa chỉ truy cập http://lapphap.vn/Pages/TinTuc/211048/Hoan-thien-phap-luat-ve-bao-ve-du-lieu-ca-nhan.html
Ngân hàng thế giới. (2021). Việt Nam số hóa: Con đường đến tương lai. Địa chỉ truy cập https://www.viettelidc.com.vn/uploadimage/Root/root/VI_Worldbank—Vi%E1%BB%87t-Nam-so-hoa_-con-duong-den-tuong-lai.pdf Nguyễn Thiện Nghĩa. (2021). Định danh và xác thực điện tử – Nền tảng cho chuyển đổi số. Tạp chí Thông tin và Truyền thông điện tử. Địa chỉ truy cập https://ictvietnam.vn/dinh-danh-va-xac-thuc-dien-tu-nen-tang-cho-chuyen-doi-so-20210306214348207.htm
[1] Định danh điện tử (electronic Identification) là quá trình thiết lập, xác định hoặc công nhận danh tính số của một đối tượng.
[2] Danh tính số (Digital Identity) là danh tính của một thực thể đủ chi tiết để phân biệt thực thể đó trong một ngữ cảnh số. Danh tính số của một người bao gồm nhiều thuộc tính: dữ liệu tiểu sử (tên, tuổi, giới tính, địa chỉ…), dữ liệu sinh trắc học (vân tay, mống mắt…) cũng như các thuộc tính mở rộng khác liên quan đến những gì người đó làm hoặc điều gì đó mà người khác biết về cá nhân đó. Khi những dữ liệu này được thu thập và xác minh, chúng có thể được sử dụng để xác định một người bằng cách trả lời câu hỏi “Bạn là ai?” (Nguyễn Thiện Nghĩa, 2021).
[3] 03 vai trò chính của danh tính số là:1) Với cơ quan chính phủ (Danh tính số là một yếu tố quyết định cho việc chuyển đổi số các dịch vụ của chính phủ và là một khối chức năng nền tảng cho kinh tế số); 2) Với doanh nghiệp (Cải thiện chất lượng dịch vụ theo hướng lấy khách hàng làm trung tâm; Đảm bảo an toàn cho các giao dịch số, giảm thiệt hại cho các doanh nghiệp từ các vụ gian lận, trộm cắp danh tính; Mở ra cơ hội kinh doanh mới cho các doanh nghiệp, đặc biệt trong lĩnh vực tài chính ngân hàng. Cắt giảm chi phí và thời gian vận hành…); 3) Với người sử dụng (bao gồm cơ quan Chính phủ, doanh nghiệp và người dân, trong đó người dân là đối tượng được hưởng lợi nhiều nhất từ việc xây dựng hệ thống định danh và xác thực điện tử thông qua nhiều vai trò như: là công dân được bảo đảm quyền lợi theo pháp luật, là người sở hữu danh tính, là đối tượng quản lý của các chính sách Pháp luật và Nhà nước, là người lao động trong doanh nghiệp hoặc cơ quan chính phủ, là khách hàng…)
Nguyễn Đình Hậu 