Theo Bộ Công an, các tổ chức tội phạm công nghệ cao đã sử dụng nhiều thủ đoạn công nghệ tinh vi, phức tạp để tấn công mạng, chiếm đoạt DLCN để sử dụng với mục đích xấu. Trong một không gian mạng kết nối, việc bảo vệ DLCN cần phải được đồng bộ, có sự phối hợp của chủ thể là các tổ chức, doanh nghiệp, cá nhân với các đơn vị nghiệp vụ chuyên trách về an ninh mạng.
Tội phạm công nghệ cao đang ngày càng trở nên tinh vi. |
Đánh giá thực trạng quan hệ xã hội liên quan bảo vệ DLCN, Bộ Công an cho rằng, có nhiều mối quan hệ xã hội có liên quan tới DLCN, như, giữa tổ chức thu thập với chủ thể dữ liệu, giữa cơ quan quản lý nhà nước với chủ thể dữ liệu; giữa chủ thể dữ liệu với chủ thể dữ liệu (cá nhân với cá nhân), giữa tổ chức với chủ thể dữ liệu.
Ngoài ra, chế tài xử lý các hành vi vi phạm liên quan tới DLCN hiện còn đang thiếu, yếu về hiệu lực, chưa đủ sức răn đe, xử lý thích đáng đối với hành vi vi phạm. Cần thiết bổ sung, sửa đổi, tập trung thống nhất các chế tài xử lý vi phạm để đáp ứng yêu cầu thực tế của công tác quản lý nhà nước về bảo vệ DLCN, cũng như công tác đấu tranh, phòng chống tội phạm và hành vi vi phạm pháp luật về bảo vệ DLCN. Vì vậy, việc ban hành Luật Bảo vệ dữ liệu cá nhân là cần thiết.
Hàng triệu thông tin, dữ liệu tổ chức, cá nhân bị rao bán công khai
Theo đánh giá của Bộ Công an, việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội , diễn đàn tin tặc . Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.
Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp. Một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị. Phát tán mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng (máy tính và thiết bị di động), tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân.
Bộ Công an cũng cho biết, việc mua bán thông tin tổ chức, cá nhân được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội như, Facebook, Zalo, Telegram raidforums.com, diễn đàn tin tặc…
Một số vụ việc điển hình như, Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airline, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng.
Tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS, dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng; Danh sách cán bộ, danh bạ nội bộ của các bộ, tập đoàn kinh tế (Công thương, Tài chính, Giao thông Vận tải, Khoa học và Công nghệ, Nông nghiệp và Phát triển nông thôn, Thương mại, Tổng cục Thuế, Tập đoàn Than…); khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh; trường học; thông tin hộ khẩu; thông tin khách hàng thuộc các lĩnh vực bất động sản, siêu thị, mua ô tô, xe máy…
Thông tin chi tiết về các cá nhân, tổ chức, doanh nghiệp, như, họ tên, ngày sinh, số CMND, địa chỉ, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác…thông tin về các cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ điện lực của EVN; thông tin phụ huynh, học sinh tại các trường trên cả nước; thông tin khách hàng của các ngân hàng BIDV, Techcombank, VPBank, AgriBank...
Một số thông tin khác, như đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng Viettel, Mobiphone, Vinaphone; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy tại 63 tỉnh, thành toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành SPA, Nha khoa, thời trang, thẩm mỹ viện cũng được rao bán tràn lan.
Có 69 văn bản nhưng chưa thống nhất về khái niệm
Theo Bộ Công an, hiện có tổng cộng 69 văn bản trong hệ thống pháp luật Việt Nam liên quan trực tiếp đến bảo vệ dữ liệu cá nhân. Tuy nhiên, tất cả đều chưa đồng nhất về khái niệm và nội dung của dữ liệu cá nhân cũng như về bảo vệ thông tin cá nhân.
Bộ Công an cũng cho biết, Hiến pháp năm 2013 đã xác nhận rằng quyền riêng tư của cá nhân là không thể xâm phạm. Sự không thể xâm phạm này không chỉ bao gồm thân thể, nhà cửa, thư tín, mà còn liên quan đến quyền bảo vệ thông tin cá nhân, bao gồm thông tin về đời sống riêng tư, bí mật cá nhân, và bí mật gia đình.
Tính đến thời điểm hiện tại, chỉ có Nghị định số 13/2023 về bảo vệ dữ liệu cá nhân đã đưa ra định nghĩa và quy định về bảo vệ dữ liệu cá nhân. Còn lại, không có văn bản pháp luật nào khác định nghĩa về vấn đề này.
Tuy nhiên, phạm vi của Nghị định này vẫn chưa bao quát toàn bộ các lĩnh vực và mối quan hệ trong đời sống xã hội, đặc biệt là các quy định liên quan đến "thông tin cá nhân", "thông tin riêng", "thông tin số"; "thông tin cá nhân trên môi trường mạng"; và "thông tin bí mật đời tư".
Bảo đảm các điều kiện, biện pháp bảo vệ dữ liệu cá nhân
Bộ Công an đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân với mục tiêu hoàn thiện hệ thống pháp luật về bảo vệ DLCN và trách nhiệm bảo vệ DLCN của cơ quan, tổ chức, cá nhân có liên quan.
Cụ thể là thống nhất thuật ngữ và xây dựng một số khái niệm quan trọng về DLCN, bảo vệ DLCN. Xây dựng các nguyên tắc bảo vệ DLCN, quy định về xử lý vi phạm quy định bảo vệ DLCN, quyền và nghĩa vụ của chủ thể dữ liệu.
Sự đồng ý của chủ thể dữ liệu, quy định xử lý DLCN trong trường hợp không cần sự đồng ý của chủ thể dữ liệu.
Đồng thời, quy định rõ hơn về điều kiện bảo vệ DLCN đối với các tổ chức kinh doanh dịch vụ xử lý DLCN; dịch vụ cung cấp tổ chức, nhân sự bảo vệ DLCN (DPO); biện pháp bảo vệ DLCN, điều kiện bảo đảm hoạt động bảo vệ DLCN và hoàn thiện quy định bảo đảm các điều kiện, biện pháp bảo vệ DLCN, cơ quan chuyên trách bảo vệ DLCN và Cổng thông tin quốc gia về bảo vệ DLCN.
Lực lượng bảo vệ DLCN, gồm, lực lượng chuyên trách, lực lượng tham gia bảo vệ DLCN (bộ phận bảo vệ DLCN, nhân sự bảo vệ DLCN)…