Từ lộ, lọt đến quấy rối, làm phiền
Chị Thái Minh Hoà ở quận Hà Đông (Hà Nội) phàn nàn rằng, do thực hiện giãn cách bởi dịch COVID-19 nên thay vì trực tiếp đi mua sắm, chị thường dùng thương mại điện tử để giao dịch. Xong chị liên tục bị làm phiền bởi những cuộc điện thoại mời chào, thậm chí đối tác xa lạ còn nắm rất chắc thông tin của chị Hoà và gia đình. “Rõ ràng là bên dịch vụ chưa làm tròn cam kết bảo vệ thông tin cá nhân như họ đã hứa. Vài lần như vậy, tôi cũng không biết khiếu nại như thế nào”.
Còn anh Minh Tận ở Cầu Giấy (Hà Nội) khi được hỏi cũng rất bức xúc về chuyện hàng ngày vẫn nhận được tin nhắn chào hàng buôn bán bất động sản, cho vay tiền hoặc quảng cáo sản phẩm: “Tôi nghĩ rằng dù chúng ta cũng đã có những quy định nhưng thương mại điện tử phát triển hàng ngày và các quy định đã có nhanh chóng bị lạc hậu. Vì thế, thông tin của khách hàng thường xuyên bị mua đi bán lại và bị sử dụng công khai dù không có sự chấp thuận của khách hàng”.
Bộ Công an nhận định: “Hiện nay, tình trạng lộ, lọt, hoạt động đánh cắp, mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Ngày càng nhiều chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra các hành vi vi phạm pháp luật. Thách thức trước những dịch vụ mới, sử dụng thông tin cá nhân trên không gian mạng, như: Thanh toán trực tuyến, thương mại điện tử, trò chơi trực tuyến, kinh doanh tiền ảo, kinh doanh đa cấp qua mạng... đã đặt ra nhiều vấn đề liên quan tới an ninh quốc gia, trật tự an toàn xã hội, gây nguy cơ mất an ninh mạng.
Một số vụ việc điển hình như: Việc Cty VNG để lộ hơn 163 triệu tài khoản khách hàng; Cty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airlines, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng; tình trạng để lộ thông tin khách hàng để các Cty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS; dữ liệu khách hàng của Cty FPT bị đăng tải công khai trên mạng”.
Lý do được đưa ra là, định của pháp luật về bảo vệ thông tin cá nhân chưa hoàn thiện. Tuy đã được ghi nhận từ lâu, song những quy định pháp luật cụ thể về bảo vệ dữ liệu cá nhân được quy định rải rác trong các văn bản quy phạm pháp luật với mức độ khác nhau và chưa có quy định chi tiết, cụ thể và thiếu tính khả thi trên thực tế.
Các văn bản pháp luật hiện hành hiện chưa đưa ra được một khái niệm thống nhất, đầy đủ dẫn đến khó hiểu và khó áp dụng pháp luật về bảo vệ dữ liệu cá nhân. Bên cạnh khái niệm dữ liệu cá nhân, thông tin cá nhân, một số văn bản quy phạm pháp luật còn sử dụng khái niệm thông tin riêng, thông tin bí mật đời tư dẫn tới trùng lặp, khó áp dụng trong thực tiễn. Hệ thống pháp luật nước ta chưa có quy định xử lý việc tiết lộ thông tin cá nhân mà chưa có sự đồng ý của chủ thể, tạo nên lỗ hổng lớn trong thời đại sử dụng dữ liệu cá nhân như một nguyên liệu để phân tích phục vụ kinh tế như hiện nay.
Hiện tại, mới chỉ có Luật An toàn thông tin mạng quy định về nguyên tắc bảo vệ thông tin cá nhân nhưng theo hướng cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật. Điều này đặt ra vấn đề cần bổ sung thêm các nguyên tắc khác để bảo vệ dữ liệu cá nhân. Các chuyên gia an ninh mạng cũng chỉ ra rằng, lo ngại thông tin cá nhân bị tiết lộ vẫn là 1 trong 3 trở ngại lớn nhất với người tiêu dùng khi mua hàng trực tuyến. Sợ lộ thông tin cá nhân đều nằm trong Top 10 lý do người tiêu dùng chưa tham gia mua sắm trực tuyến.
Tăng trách nhiệm bên cung cấp dịch vụ
Việc buôn bán dữ liệu cá nhân hiện nay trên thị trường diễn ra dưới cả 2 dạng nêu trên, tiến hành kinh doanh dữ liệu cá nhân thô và dữ liệu cá nhân đã qua xử lý. Các dữ liệu này được mua đi, bán lại nhiều lần, cung cấp dưới dạng dịch vụ như databox.vn, databoxviet.com, laydata.com, laydata.net, khodata.net, databox.biz, fff.com.vn, cokhach.com, vltoolkit.com.
Các gói dữ liệu thô được giao bán liên quan tới nhiều lĩnh vực: Danh sách cán bộ, danh sách nội bộ (bao gồm cả các đơn vị công an, quốc phòng, thuế...); điện lực; thuê bao Internet; ngân hàng (chi tiết tới cả số dư tài khoản); bảo hiểm; hồ sơ đăng ký kinh doanh; giáo dục (phụ huynh, giáo viên, học sinh sinh viên); bất động sản (kèm theo khả năng tài chính); nhân sự có chọn lọc (mức thu nhập, chức vụ); danh sách khách hàng sử dụng các dịch vụ Internet (danh sách thành viên đăng ký Facebook, fpt, vnn.com, yahoo.com, gmail.com, gov.vn, hopthu.com, hotmail.com, saigonnet.vn).
Các loại dữ liệu được mua bán trong thời gian dài, có cam kết về độ chính xác, cam kết cập nhật dữ liệu, hỗ trợ xuất dữ liệu theo yêu cầu người mua. Nhiều khả năng, nguồn của các dữ liệu thô xuất phát từ hệ thống nội bộ của cơ quan, nhà nước hoặc từ hệ thống hành chính điện tử.
Qua rà soát sơ bộ, Bộ Công an phát hiện hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng, bao gồm: Các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện...
Tháng 6.2020, dư luận choáng váng khi hàng loạt trang web rao bán công khai thông tin cá nhân của hàng vạn khách hàng. Rõ ràng, tình trạng lộ, lọt, hoạt động đánh cắp, mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Ngày càng nhiều chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra các hành vi vi phạm pháp luật.
Nghị định 98/2020/NĐ-CP có hiệu lực từ 15.10 tới đây đã quy định chi tiết hơn trách nhiệm của nhà cung cấp dịch vụ thương mại điện tử. Theo đó, hành vi “Xây dựng chính sách bảo vệ thông tin cá nhân không đúng quy định; Không hiển thị cho người tiêu dùng chính sách bảo vệ thông tin cá nhân trước hoặc tại thời điểm thu thập thông tin; Không tiến hành kiểm tra, cập nhật, điều chỉnh, hủy bỏ thông tin cá nhân khi có yêu cầu của chủ thể thông tin” sẽ bị phạt từ 5-10 triệu đồng. Hành vi “Thu thập thông tin cá nhân của người tiêu dùng mà không được sự đồng ý trước của chủ thể thông tin; Thiết lập cơ chế mặc định buộc người tiêu dùng phải đồng ý với việc thông tin cá nhân của mình bị chia sẻ, tiết lộ hoặc sử dụng cho mục đích quảng cáo và các mục đích thương mại khác; Sử dụng thông tin cá nhân của người tiêu dùng không đúng với mục đích và phạm vi đã thông báo” sẽ bị phạt tới 30 triệu đồng.
Trên thực tế, hành vi buôn bán thông tin cá nhân người khác còn bị điều chỉnh bởi Luật An ninh mạng, Bộ luật Hình sự nhưng với những chi tiết của Nghị định 98/2020/NĐ-CP thì việc ngăn chặn lộ, lọt thông tin sẽ bắt đầu từ gốc. Đó là yêu cầu bắt buộc để người dân tham gia môi trường thương mại điện tử minh bạch, an toàn.