Hàng triệu dữ liệu cá nhân bị lộ
Hiện nay ở nước ta, tình trạng lọt lộ thông tin cá nhân vẫn diễn ra phổ biến. Theo Bộ Công an, nguyên nhân dẫn đến việc lộ, lọt thông tin cá nhân chủ yếu do người sử dụng thiếu ý thức bảo mật, tự ý đăng tải công khai hoặc trong quá trình chuyển giao, lưu trữ dữ liệu phục vụ mục đích kinh doanh nhưng không có các biện pháp bảo vệ thích hợp, dẫn đến dữ liệu bị đánh cắp.
Một số vụ việc điển hình như Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng, Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng.
Hay như trường hợp của Vietnam Airlines, tin tặc tấn công vào hệ thống máy chủ để đánh cắp thôn tin, rồi đăng tải công khai 411.000 tài khoản khách hàng thuộc chương trình Bông Sen Vàng. Dữ liệu khách hàng của Công ty FPT cũng bị tin tặc đăng tải công khai trên mạng...
Ngoài vấn đề lộ, lọt, Bộ Công an còn cảnh báo về tình trạng mua bán dữ liệu cá nhân. Các dữ liệu thô được giao dịch như danh bạ nội bộ của các cơ quan Nhà nước, tập đoàn kinh tế; khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; trường học…
Ngoài ra, còn có giao dịch mua bán dữ liệu cá nhân đã qua xử lý, chứa thông tin chi tiết về các cá nhân, tổ chức, doanh nghiệp như họ tên, ngày sinh, địa chỉ, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư), thông tin người thân, chức vụ và vị trí công tác.
Một vấn đề đáng lo ngại khác là nhiều doanh nghiệp kinh doanh dịch vụ thu thập dữ liệu cá nhân của khách hàng nhưng lại để cho đối tác thứ ba tiếp cận thông tin mà không có các yêu cầu, quy định bảo mật chặt chẽ, dẫn đến việc đối tác thứ ba chuyển giao hoặc buôn bán thông tin này cho một bên khác.
Hoạt động buôn bán dữ liệu cá nhân thường được tổ chức một cách có hệ thống, có cam kết "bảo hành", đồng thời có khả năng cập nhật và trích xuất dữ liệu theo yêu cầu của người mua. Nhiều dữ liệu bị rao bán công khai trong thời gian dài và với số lượng lớn trên không gian mạng.
Cấm mua, bán dưới mọi hình thức
Bộ Công an cho hay, Việt Nam hiện có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân, tuy nhiên tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân. Trong khi, tình trạng dữ liệu cá nhân bị mua bán, lộ, mất đang diễn ra tràn lan, nhiều hành vi vi phạm pháp luật thiếu quy định xử lý…
Trước thực tiễn trên, Bộ Công an đề xuất xây dựng Luật Bảo vệ dữ liệu cá nhân. Bộ nhận định, việc ban hành luật bảo vệ dữ liệu cá nhân là hết sức cần thiết, nhằm ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân.
Dự thảo luật nêu rõ 8 nguyên tắc bảo vệ dữ liệu cá nhân. Trong đó, điển hình như không được mua, bán dữ liệu cá nhân dưới mọi hình thức. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật quy định khác…
Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
Ngoài ra, dự thảo còn dành riêng một điều luật để quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị. Theo đó, các tổ chức và cá nhân kinh doanh dịch vụ tiếp thị chỉ được phép sử dụng dữ liệu cá nhân của khách hàng mà họ đã thu thập trong quá trình kinh doanh để phục vụ cho mục đích tiếp thị. Quá trình thu thập và sử dụng dữ liệu cá nhân phải đảm bảo các quyền lợi của chủ thể dữ liệu.
Việc xử lý dữ liệu cá nhân của khách hàng cho mục đích tiếp thị chỉ được tiến hành khi có sự đồng ý của khách hàng và khách hàng phải được thông báo rõ ràng về nội dung, phương thức, hình thức và tần suất giới thiệu sản phẩm.
Việc sử dụng dữ liệu cá nhân trong hoạt động tiếp thị phải tuân thủ các quy định của pháp luật về phòng chống thư rác và SIM rác.
Chủ thể dữ liệu có quyền yêu cầu ngừng nhận thông tin tiếp thị bất cứ lúc nào. Các tổ chức, cá nhân kinh doanh dịch vụ tiếp thị phải ngay lập tức chấm dứt việc gửi thông tin khi có yêu cầu từ chủ thể dữ liệu.
Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị không được phép thuê hoặc thỏa thuận để bên thứ ba thực hiện hoặc hỗ trợ hoạt động kinh doanh tiếp thị thay cho mình.
Các tổ chức, cá nhân kinh doanh dịch vụ tiếp thị phải có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng để giới thiệu sản phẩm tuân thủ đúng các quy định pháp luật.