Báo cáo Đánh giá tác động của chính sách trong đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân

Tác giả : Bộ Công An

Mô tả :

Tài liệu đăng tải lấy ý kiến Nhân dân trên Cổng thông tin điện tử của Chính phủ.

Bộ Công an xây dựng Báo cáo đánh giá tác động của chính sách trong đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân, như sau:

I. XÁC ĐỊNH VẤN ĐỀ BẤT CẬP TỔNG QUAN VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN

1. Thể chế hóa quy định của Hiến pháp và pháp luật về quyền bảo vệ bí mật cá nhân, quyền con người, quyền công dân, an ninh mạng

Hiến pháp năm 2013 đã kế thừa các quy định của các bản Hiến pháp trước đây, khẳng định quyền riêng tư của cá nhân là bất khả xâm phạm, đồng thời phát triển mở rộng phạm vi quyền riêng tư không chỉ là quyền bất khả xâm phạm về thân thể, nhà ở, thư tín mà còn bao gồm quyền bảo vệ bí mật cá nhân, trong đó có thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình (Điều 21). Hiện nay, trong hệ thống pháp luật Việt Nam chỉ có 01 văn bản là Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân, chưa có văn bản Luật nào định nghĩa về vấn đề này. Điều này đặt ra thực trạng là phạm vi điều chỉnh của Nghị định chưa bao quát hết các lĩnh vực, quan hệ của đời sống, xã hội, chưa tương thích với các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình được nêu trong Hiến pháp năm 2013, cùng các quy định liên quan tới “thông tin cá nhân”, “thông tin riêng”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin bí mật đời tư”... được nêu trong một số văn bản Luật hiện hành.

Theo quy định của Hiến pháp năm 2013, chỉ có văn bản luật được quyền quy định các nội dung liên quan tới hạn chế quyền con người, quyền công dân. Dự thảo Luật Bảo vệ dữ liệu cá nhân dự kiến quy định một số trường hợp liên quan tới tiết lộ, xử lý dữ liệu cá nhân khi chưa được sự đồng ý của chủ thể dữ liệu, có khả năng ảnh hưởng tới quyền con người. Mặc dù đã được Ủy ban Thường vụ Quốc hội đồng ý, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân quy định một số trường hợp tại Điều 17. Tuy nhiên, về mặt pháp lý và để bảo đảm quy phạm đầy đủ các trường hợp khác trong thực tiễn, cần ban hành Luật Bảo vệ dữ liệu cá nhân để quy định các nội dung nêu trên.

2. Thực hiện chủ trương, chính sách của Đảng, Nhà nước, bảo đảm sự đồng bộ, thống nhất trong hệ thống pháp luật

Dữ liệu cá nhân là vấn đề liên quan tới chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, chính phủ điện tử, chính phủ số, kinh tế số. Thời gian gần đây, Đảng và Nhà nước đã ban hành nhiều văn bản chỉ đạo vấn đề này[1]. Bảo vệ dữ liệu cá nhân được tiến hành song song, đồng thời với sự phát triển kinh tế, xã hội, đi liền với tất cả các khâu, quá trình nhưng phải đảm bảo không hạn chế sự phát triển, đổi mới và sáng tạo.

Theo thống kê của Bộ Công an, có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 04 Bộ luật; 39 Luật, 01 Pháp lệnh; 19 Nghị định; 04 Thông tư/Thông tư liên tịch; 01 Quyết định của Bộ trưởng. Tuy nhiên, dù có tới 69 văn bản nhưng tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân. Ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Tuy nhiên, đây mới chỉ là văn bản Nghị định, chưa phải văn bản Luật nên cần thống nhất thực hiện trong thực tiễn.

- Có hơn 10 khái niệm thuật ngữ liên quan tới thông tin cá nhân được diễn giải theo những cách khác nhau, gồm: “dữ liệu cá nhân”, “thông tin cá nhân”, “thông tin riêng”, “thông tin riêng tư”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin bí mật đời tư”; “thông tin về đời sống riêng tư”, “bí mật gia đình”, “quyền bất khả xâm phạm về đời sống riêng tư”; “cơ sở dữ liệu điện tử”; “thông tin của người tiêu dùng”. Riêng về khái niệm “thông tin cá nhân”, khái niệm này được coi là tương đồng và gần gũi nhất với khái niệm “dữ liệu cá nhân”. Cụm từ “thông tin cá nhân” xuất hiện ở hơn 300 văn bản quy phạm pháp luật, nhưng chỉ có 07 văn bản pháp luật có định nghĩa/diễn giải thế nào là thông tin cá nhân[2]. Số văn bản pháp luật còn lại chỉ đề cập đến thông tin cá nhân trong nội dung các quy định, không đưa ra giải thích hay dẫn chiếu giải thích đến văn bản pháp luật khác.

Điều này đặt ra yêu cầu phải thống nhất về thuật ngữ “dữ liệu cá nhân” ở tầm văn bản Luật, bảo đảm sự đồng bộ về nội dung, phạm vi và cách thức, trường hợp áp dụng cụ thể. Phương án giải quyết là quy định các vấn đề mang tính nguyên tắc tại Luật Bảo vệ dữ liệu cá nhân, bãi bỏ các quy định tại các văn bản có liên quan nếu không đồng nhất với nguyên tắc về bảo vệ dữ liệu cá nhân.

3. Hài hòa với thông lệ, quy định quốc tế về bảo vệ dữ liệu cá nhân

Bảo vệ dữ liệu cá nhân là vấn đề được các tổ chức và nhiều quốc gia trên thế giới quan tâm và đi trước nước ta trong thời gian khá dài, có nhiều kinh nghiệm pháp lý và thực tiễn triển khai thi hành để tiếp thu. Do hệ thống pháp luật, trình độ nhận thức, kinh tế, xã hội khác nhau nên việc tiếp thu cần bảo đảm yếu tố hài hòa, trên cơ sở phù hợp với thực tiễn của nước ta. Hầu hết các công ước, khuyến nghị và tiêu chuẩn khu vực về quyền riêng tư và bảo vệ thông tin và dữ liệu cá nhân đều tuân thủ Nguyên tắc bảo mật của Tổ chức hợp tác và phát triển kinh tế (OECD), bao gồm Công ước của Hội đồng châu Âu về bảo vệ cá nhân liên quan đến tự động xử lý thông tin và dữ liệu cá nhân (sau đây là Công ước 108), Hướng dẫn của Liên hợp quốc về các tệp thông tin và dữ liệu cá nhân được vi tính hóa, Khung bảo mật hợp tác kinh tế châu Á-Thái Bình Dương (APEC), Các tiêu chuẩn quốc tế về quyền riêng tư và bảo vệ thông tin và dữ liệu cá nhân (Nghị quyết Madrid), Luật của Tổ chức các quốc gia Hoa Kỳ (OAS) về bảo vệ thông tin và dữ liệu cá nhân năm 2014, và gần đây là Quy định bảo vệ dữ liệu chung của EU (GDPR). Hiện nay, đã có hơn 130quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân, nhiều văn bản có quy định áp dụng đối với tổ chức, cá nhân Việt Nam. Điều này đặt ra yêu cầu đối với phải ban hành Luật Bảo vệ dữ liệu cá nhân, bảo đảm hài hòa với thông lệ quốc tế, tạo môi trường kinh doanh bình đẳng cho doanh nghiệp Việt Nam khi tham gia thị trường nước ngoài, doanh nghiệp nước ngoài tham gia thị trường Việt Nam.

4. Phát triển kinh tế xã hội, tạo nền tảng pháp lý cho hoạt động kinh doanh có liên quan tới dữ liệu cá nhân

Nước ta là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới. Số lượng người sử dụng Internet của Việt Nam đã đạt hơn 79 triệu người, tương đương gần 80% tổng dân số. Dữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ chi tiết khác nhau. Việc thu thập dữ liệu cá nhân được tích hợp sâu trong từng sản phẩm, dịch vụ và khó có thể nhận biết, xác thực đúng sai và bảo đảm mục đích sử dụng như thông báo. Yêu cầu bảo vệ được nâng cao từ góc độ cá nhân tới vấn đề chủ quyền, an ninh quốc gia.

Cơ sở hạ tầng không gian mạng phát triển nhanh và ngày càng hoàn thiện, tạo điều kiện thuận lợi cho các ngành, nghề, dịch vụ kinh doanh có liên quan tới dữ liệu cá nhân phát triển. Nước ta đang đẩy mạnh xây dựng Chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số với sự tham gia ngày càng sâu rộng của các lĩnh vực hành chính, y tế, hình sự, hộ tịch, quốc tịch, chứng thực, thương mại điện tử, giáo dục, tài chính, ngân hàng, thuế… Công nghệ thông tin, truyền thông, trí tuệ nhân tạo, internet vạn vật, điện toán đám mây, dữ liệu lớn, dữ liệu nhanh… được ứng dụng sâu rộng, tạo ra những giá trị to lớn xã hội. Dữ liệu cá nhân từ vị trí chưa thực sự quan trọng, trở thành nguyên liệu chính cho hoạt động của các ngành, nghề, dịch vụ nêu trên và ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân. Điều này đặt ra cho Chính phủ bài toán phải quản lý hiệu quả, tương đồng giữa sử dụng và bảo vệ dữ liệu cá nhân, ứng phó, hạn chế nguy cơ, xử lý vi phạm để giữ vững sự phát triển và giá trị do dữ liệu cá nhân tạo ra.

Hiện nay, đã có nhiều doanh nghiệp sử dụng dữ liệu cá nhân vào mục đích kinh doanh, phát triển kinh tế, tạo giá trị cho xã hội nhưng cũng xuất hiện nhiều vụ lộ, mất dữ liệu cá nhân nghiêm trọng, liên quan tới hàng chục triệu người. Do đó, việc quy định cụ thể các hoạt động kinh doanh liên quan tới dữ liệu cá nhân là vô cùng cấp bách và cần thiết.

5. Dữ liệu cá nhân đang bị mua bán, lộ, mất tràn lan, nhiều hành vi vi phạm pháp luật thiếu quy định xử lý

Tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai[3].

Tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô[4] và dữ liệu cá nhân đã qua xử lý[5], nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội[6], diễn đàn tin tặc[7]. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.

Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp. Một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; tán phát mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng (máy tính và thiết bị di động); tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân. Thời gian gần đây, Bộ Công an phát hiện hàng trămcá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm[8].

Trong năm 2023, hoạt động mua bán dữ liệu cá nhân, dữ liệu nhạy cảm tiếp tục diễn biến phức tạp với nhiều phương thức, thủ đoạn tinh vi. Bộ Công an đã chủ động phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên không gian mạng. Qua công tác đấu tranh, Bộ Công an phát hiện số lượng lớn dữ liệu bị lộ mất được tin tặc rao bán công khai trên các nền tảng, diễn đàn (BreachedForums, Telegram, Facebook). Các đối tượng rao bán hoạt động với độ ẩn danh cao, thủ đoạn hoạt động và phương thức thanh toán hoàn toàn bằng tiền mã hoá nên khó truy vết. Nổi lên là: nhóm Telegram “Data Pro 298” (4.685 thành viên) cung cấp dịch vụ tra cứu thông tin dữ liệu viễn thông, Facebook, điện lực, ví điện tử Momo, thông tin biển kiểm soát phương tiện giao thông; nhóm Telegram “Tra cứu thông tin toàn quốc” (2.700 thành viên) cung cấp dịch vụ tra “nóng” dữ liệu cá nhân công dân Việt Nam (dữ liệu thời gian thực); diễn đàn tin tặc “Nohide.space” (nguồn gốc Nga)rao bán số lượng lớn thông tin đăng nhập nhiều hệ thống trọng yếu của Việt Nam… Một số trường hợp còn lợi dụng các diễn đàn, hội nhóm chia sẻ phương thức tấn công mạng, cách thức phát triển, phát tán mã độc số lượng lớn, gây nguy cơ mất an toàn, an ninh mạng. Thực trạng này cho thấy hệ thống cơ sở dữ liệu của cơ quan nhà nước và khu vực doanh nghiệp vẫn có những điểm yếu, lỗ hổng bảo mật để tin tặc lợi dụng xâm nhập, đánh cắp dữ liệu.

Thực trạng trên xuất phát từ nhiều nguyên nhân, trong đó có cả nguyên nhân khách quan và chủ quan. Về khách quan: sự phát triển nhanh của khoa học công nghệ dẫn tới nhiều phương thức thủ đoạn mới trong tấn công mạng, các lỗ hổng và thiếu hụt biện pháp phòng thủ mạng; dữ liệu cá nhân trở thành nguồn nguyên liệu quý giá cho các hoạt động kinh tế, có giá trị lợi nhuận cao, hấp dẫn tin tặc và các đối tượng phạm tội thực hiện hành vi đánh cắp, mua bán dữ liệu cá nhân. Về chủ quan: nhận thức về bảo vệ dữ liệu cá nhân của công dân còn hạn chế, sẵn sàng cung cấp thông tin đời tư để lấy sự tiện ích về công nghệ; việc chấp hành các quy định của pháp luật (Nghị định số 13/2023/NĐ-CP) về bảo vệ dữ liệu cá nhân còn hạn chế, việc xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, thông báo vi phạm về bảo vệ dữ liệu cá nhân vẫn còn nhiều lúng túng, chậm trễ; công tác đào tạo, tập huấn, bồi dưỡng cán bộ, nhân viên về bảo vệ dữ liệu cá nhân chưa được tiến hành, thậm chí nhiều cán bộ, nhân viên còn chưa biết đến các quyền và nghĩa vụ của chủ thể dữ liệu; việc thay đổi quy trình làm việc, chính sách hiện hành của tổ chức, doanh nghiệp phù hợp với quy định về bảo vệ dữ liệu cá nhân đã được quan tâm nhưng chưa được triển khai đúng mức; việc cung cấp các giải pháp kỹ thuật bảo vệ dữ liệu cá nhân còn hạn chế, thiếu tiêu chí đánh giá các giải pháp kỹ thuật đáp ứng được yêu cầu bảo vệ dữ liệu cá nhân.

Pháp luật bảo vệ dữ liệu cá nhân nước ta đã có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân, chưa có quy định về bảo vệ dữ liệu cá nhân. Về chế tài hình sự: Chưa có chế tài hình sự về dữ liệu cá nhân. Vi phạm các quy định về thông tin cá nhân có thể bị xử phạt hình sự theo 02 tội danh tại Điều 159 và Điều 288[9], với án tù giam cao nhất là 07 năm theo quy định của Bộ Luật Hình sự 2015 (sửa đổi, bổ sung năm 2017). Hầu hết các vụ việc buôn bán dữ liệu cá nhân đang được hoàn thiện theo hướng chứng minh 02 tội danh này. Tuy nhiên, do chưa quy định cụ thể về các yếu tố cấu thành trong hoạt động mua bán dữ liệu cá nhân, nhất là hoạt động có sự trung gian qua nhiều cá nhân, tổ chức nên khó chứng minh tội phạm. Về chế tài dân sự: Chưa có chế tài dân sự về dữ liệu cá nhân. Quyền bảo vệ thông tin cá nhân là một quyền dân sự, được quy định trong Bộ luật Dân sự[10]. Về chế tài hành chính: Chưa có chế tài hành chính về dữ liệu cá nhân. Các hành vi vi phạm, xâm hại đến thông tin cá nhân đã có nhưng nằm rải rác ở nhiều văn bản khác nhau[11].

Với thực trạng buôn bán, xử lý dữ liệu cá nhân tràn lan như hiện nay, việc không có chế tài xử lý hoặc chế tài xử lý không đủ mạnh, không đủ sức răn đe sẽ không giải quyết được tình hình. Luật Bảo vệ dữ liệu cá nhân sẽ quy phạm đầy đủ các nội dung bảo vệ dữ liệu cá nhân, các hành vi vi phạm quy định sẽ được căn cứ vào Luật để đề xuất các hình thức, biện pháp xử lý phù hợp.

6. Nâng cao nhận thức, ý thức về xử lý dữ liệu cá nhân hiện nay

Nhận thức về bảo vệ thông tin cá nhân còn hạn chế, chưa phù hợp với tình hình thực tế, là nguyên nhân chính dẫn tới tình trạng lộ, lọt, chiếm đoạt thông tin cá nhân, buôn bán dữ liệu cá nhân. Nhiều dữ liệu cá nhân nhạy cảm, quan trọng, như: sinh trắc học, tình trạng sức khỏe, tài chính, gia đình… được đăng tải công khai, trở thành nguồn để các phần mềm thu thập dữ liệu. Nhận thức của một số cán bộ, công chức, viên chức về cung cấp, quản lý hồ sơ cá nhân, dữ liệu cá nhân chưa đầy đủ, dẫn đến việc chỉ đạo, hướng dẫn, thực hiện nhiệm vụ lưu trữ ở một cơ quan, đơn vị chưa được quan tâm chú trọng đúng mức. Có sự mất cân bằng về tính hai mặt của công nghệ thông tin, tâm lý sẵn sàng đánh đổi thông tin đời tư, thông tin cá nhân để lấy sự tiện ích về mặt công nghệ. Nhận thức, ý thức về bảo vệ dữ liệu cá nhân thấp không chỉ ảnh hưởng tới quyền và lợi ích của chủ thể dữ liệu, mà còn tác động trực tiếp tới an ninh, chủ quyền quốc gia. Về lâu dài, không thể dự báo trước với những dữ liệu cá nhân được công khai sẽ tác động, ảnh hưởng thế nào đến chủ thể dữ liệu khi khả năng khai thác, phân tích, xử lý dữ liệu cá nhân ngày càng phát triển.

Như vậy:

(1) Việc ban hành Luật Bảo vệ dữ liệu cá nhân là hết sức cần thiết nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân.

(2) Việc xây dựng Luật Bảo vệ dữ liệu cá nhân là bước đi thận trọng, kỹ lưỡng, có quá trình và sự chuẩn bị công phu của Chính phủ, bắt đầu từ khi khảo sát xây dựng Nghị định bảo vệ dữ liệu cá nhân (năm 2019) đến khi Nghị định có hiệu lực và triển khai trên thực tiễn.

2. Mục tiêu xây dựng chính sách

2.1. Các vấn đề tổng thể cần giải quyết

2.1.1.Cần có một văn bản xác định trách nhiệm về xử lý dữ liệu cá nhân và bảo vệ dữ liệu cá nhân của tổ chức, doanh nghiệp, cá nhân có liên quan.

2.1.2. Xác định rõ nội dung, thủ tục tổ chức, doanh nghiệp, cá nhân có liên quan phải tiến hành.

2.1.3. Xác định đầu mối liên hệ, thông tin cần thiết phục vụ công tác quản lý nhà nước về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.

2.1.5. Quy định thống nhất biểu mẫu, trình tự, thủ tục, thời gian thực hiện đối với toàn bộ tổ chức, doanh nghiệp, cá nhân trong phạm vi theo quy định của pháp luật.

2.1.6. Xác định căn cứ pháp lý để phòng ngừa, đấu tranh với các hành vi vi phạm liên quan tới bảo vệ dữ liệu cá nhân hiện nay (buôn bán dữ liệu cá nhân; thu thập, xử lý, phân tích trái phép dữ liệu cá nhân; công khai, đăng tải dữ liệu cá nhân trái phép; sử dụng dữ liệu cá nhân vào mục đích phạm tội...).

2.1.7. Xác định trách nhiệm của tổ chức, doanh nghiệp, cá nhân khi để xảy ra vi phạm hoặc áp dụng các biện pháp hành chính cần thiết, tương xứng với các loại dữ liệu cá nhân.

2.2. Mục tiêu tổng quát

Xây dựng Luật Bảo vệ dữ liệu cá nhân góp phần hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.

2.3. Mục tiêu cụ thể

- Thống nhất thuật ngữ và xây dựng một số khái niệm quan trọng về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân, chủ thể dữ liệu, phân loại dữ liệu cá nhân, Xử lý dữ liệu cá nhân, Sự đồng ý của chủ thể dữ liệu, chuyển dữ liệu cá nhân ra nước ngoài.

- Xây dựng các nguyên tắc bảo vệ dữ liệu cá nhân

- Quy định về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân

- Quy định quyền và nghĩa vụ của chủ thể dữ liệu

- Quy định sự đồng ý của chủ thể dữ liệu

- Quy định xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu

- Quy định về điều kiện bảo vệ dữ liệu cá nhân đối với các tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân; dịch vụ cung cấp tổ chức, nhân sự bảo vệ dữ liệu cá nhân (DPO)

- Đánh giá tác động xử lý dữ liệu cá nhân và Chuyển dữ liệu cá nhân ra nước ngoài

- Biện pháp bảo vệ dữ liệu cá nhân, điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân

- Hoàn thiện quy định bảo đảm các điều kiện, biện pháp bảo vệ dữ liệu cá nhân, cơ quan chuyên trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân; lực lượng bảo vệ dữ liệu cá nhân, gồm: lực lượng chuyên trách, lực lượng tham gia bảo vệ dữ liệu cá nhân (bộ phận bảo vệ dữ liệu cá nhân, nhân sự bảo vệ dữ liệu cá nhân).

III. ĐÁNH GIÁ TÁC ĐỘNG THỦ TỤC CỦA CHÍNH SÁCH

1. Chính sách 1: Thống nhất quy định pháp luật về các thuật ngữ pháp lý liên quan tới dữ liệu cá nhân và bảo vệ dữ liệu cá nhân

1.1. Xác định vấn đề bất cập

Nước ta chưa có văn bản Luật quy định đầy đủ về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân nhưng lại có 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 04 Bộ luật; 39 Luật, 01 Pháp lệnh; 19 Nghị định; 04 Thông tư/Thông tư liên tịch; 01 Quyết định của Bộ trưởng; có hơn 10 khái niệm thuật ngữ liên quan tới dữ liệu cá nhân; cụm từ “thông tin cá nhân” xuất hiện ở hơn 300 văn bản quy phạm pháp luật, nhưng chỉ có 07 văn bản pháp luật có định nghĩa/diễn giải thế nào là thông tin cá nhân. Điều này đặt ra yêu cầu phải thống nhất về thuật ngữ “dữ liệu cá nhân” ở tầm văn bản Luật, có sự phân biệt rõ ràng với “thông tin cá nhân” để bảo đảm sự đồng bộ về nội dung, phạm vi và cách thức, trường hợp áp dụng cụ thể. Phương án giải quyết là quy định các vấn đề mang tính nguyên tắc tại Luật Bảo vệ dữ liệu cá nhân, bãi bỏ các quy định tại các văn bản có liên quan nếu không đồng nhất với nguyên tắc về bảo vệ dữ liệu cá nhân.

1.2. Mục tiêu giải quyết vấn đề

Xây dựng, áp dụng thống nhất thuật ngữ, quy định, nội hàm, phạm vi, nội dung, trách nhiệm về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân, tiến tới hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân.

1.3. Giải pháp đề xuất giải quyết vấn đề

- Phương án 1: Giữ nguyên quy định như hiện nay.

- Phương án 2: xây dựng, áp dụng thống nhất quy định pháp luật về các thuật ngữ pháp lý liên quan tới dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.

1.4. Đánh giá tác động của các giải pháp

1.4.1. Phương án 1: Giữ nguyên quy định như hiện nay.

(1) Tác động về kinh tế

- Về mặt tích cực: Nhà nước không phát sinh chi phí sửa đổi, bổ sung hoặc ban hành mới các văn bản để điều chỉnh chính sách.

- Về mặt tiêu cực: không tạo điều kiện để sử dụng dữ liệu cá nhân làm nguyên liệu phát triển kinh tế, xã hội; tiếp tục để tồn tại tình trạng trùng dẫm, chồng chéo, có khả năng gây vướng mắc trong thi hành pháp luật sau khi Luật Bảo vệ dữ liệu cá nhân được ban hành.

(2) Tác động về xã hội

- Về mặt tích cực: Không làm thay đổi chính sách hiện hành.

- Về mặt tiêu cực: Khó khăn, vướng mắc trong quản lý nhà nước và phòng ngừa, đấu tranh với tội phạm, vi phạm pháp luật về bảo vệ dữ liệu cá nhân; khó khăn trong áp dụng đồng bộ, thống nhất hiệu quả trong hoạt động kinh doanh của tổ chức, doanh nghiệp; khó khăn trong bảo vệ các quyền chính đáng của chủ thể dữ liệu.

(3) Tác động về giới: Chính sách không ảnh hưởng đến cơ hội, điều kiện, năng lực thực hiện và thụ hưởng các quyền, lợi ích của mỗi giới do chính sách được áp dụng chung, không có sự phân biệt về giới.

(4) Tác động về thủ tục hành chính

- Về mặt tích cực: Không làm thay đổi quy định về thủ tục hành chính hiện hành.

- Về mặt tiêu cực: Không áp dụng được đồng bộ, thống nhất, hiệu lực hiệu quả các thủ tục hành chính mới được ban hành trong Luật Bảo vệ dữ liệu cá nhân.

(5) Tác động đối với hệ thống pháp luật

- Về mặt tích cực: Không làm thay đổi hệ thống pháp luật có liên quan.

- Về mặt tiêu cực: Không khắc phục được những khó khăn, bất cập hiện nay về tính đồng bộ với Hiến pháp, các văn bản pháp luật; không khắc phục được tình trạng mua bán, chuyển giao trái phép dữ liệu cá nhân; không hài hòa với thông lệ quốc tế và không góp phần nâng cao nhận thức về bảo vệ dữ liệu cá nhân; không tạo điều kiện để sử dụng dữ liệu cá nhân làm nguyên liệu phát triển kinh tế, xã hội.

1.4.2. Phương án 2: xây dựng, áp dụng thống nhất quy định pháp luật về các thuật ngữ pháp lý liên quan tới dữ liệu cá nhân và bảo vệ dữ liệu cá nhân, theo hướng:

- Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Bảo vệ dữ liệu cá nhân là hoạt động tuyên truyền, hướng dẫn, bảo đảm, quản lý, vận hành, phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân. Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.

+ Làm rõ khái niệm và nội hàm của dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm. Theo đó, Dữ liệu cá nhân cơ bản là thông tin cơ bản của công dân hoặc các thông tin khác không phải dữ liệu cá nhân nhạy cảm, gắn liền với danh tính của công dân; Dữ liệu cá nhân nhạy cảm là thông tin khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gắn liền với quyền riêng tư của cá nhân. Việc xây dựng các quy định này phù hợp với hệ thống pháp luật trong nước, như: Luật Căn cước công dân, Bộ luật Dân sự, Luật Khám bệnh, chữa bệnh… và tính chất quan trọng của từng loại dữ liệu cá nhân. Để phù hợp với sự phát triển của khoa học công nghệ, Dự thảo Luật coi dữ liệu cá nhân như một nguồn tài nguyên có thể kinh doanh phục vụ phát triển kinh tế, xã hội nhưng phải có sự quản lý chặt chẽ của Nhà nước và bảo đảm nguyên tắc luôn có sự đồng ý của chủ thể dữ liệu.

- Xác định chính xác, đầy đủ những hoạt động xử lý dữ liệu cá nhân. Theo đó, Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, tiết lộ, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

- Làm rõ khái niệm để thống nhất thực hiện trong toàn bộ Dự thảo Luật: Sự đồng ý của chủ thể dữ liệu là thông tin được thể hiện rõ ràng, tự nguyện, khẳng định về việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu

- Phân loại các thành phần có liên quan tới xử lý dữ liệu cá nhân phù hợp với thực tế của nước ta và quy định của một số quốc gia trên thế giới, gồm: Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân; Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu; Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân; Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.

- Làm rõ hoạt động, phạm vi chuyển dữ liệu cá nhân qua biên giới. Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân.

(1) Tác động về kinh tế

- Về mặt tiêu cực: Phát sinh chi phí phục vụ việc sửa đổi, bổ sung văn bản quy phạm pháp luật điều chỉnh trong lĩnh vực này.

(2) Tác động về xã hội

- Về mặt tích cực: tạo hành lang pháp lý phục vụ công tác quản lý nhà nước và phòng ngừa, đấu tranh chống tội phạm; bảo vệ quyền và lợi ích hợp pháp của cá nhân.

- Về mặt tiêu cực: phát sinh yêu cầu rà soát, đánh giá quy trình, chính sách và các biện pháp tuân thủ.

(4) Tác động về thủ tục hành chính

- Về mặt tích cực: làm cơ sở xây dựng các quy định về thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân.

- Về mặt tiêu cực: Không.

(5) Tác động đối với hệ thống pháp luật

- Về mặt tích cực: góp phần từng bước hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân phục vụ hiệu quả công tác quản lý nhà nước và phòng ngừa, đấu tranh với tội phạm, vi phạm pháp luật; khắc phục được những khó khăn, bất cập hiện nay về tính đồng bộ với Hiến pháp, các văn bản pháp luật; góp phần khắc phục được tình trạng mua bán, chuyển giao trái phép dữ liệu cá nhân; hài hòa với thông lệ quốc tế và góp phần nâng cao nhận thức về bảo vệ dữ liệu cá nhân; tạo điều kiện để sử dụng dữ liệu cá nhân làm nguyên liệu phát triển kinh tế, xã hội.

- Về mặt tiêu cực: phát sinh yêu cầu rà soát, chỉnh sửa, hoàn thiện hệ thống pháp luật.

1.5. Kiến nghị giải pháp lựa chọn

Từ sự phân tích về tác động tích cực, tiêu cực của mỗi phương án, có thể thấy rằng, tác động tích cực của phương án thống nhất quy định pháp luật về các thuật ngữ pháp lý liên quan tới dữ liệu cá nhân và bảo vệ dữ liệu cá nhân là lớn hơn, lâu dài hơn, cần thiết hơn, có tác động tiêu cực nhưng không lớn, ít hơn so với lợi ích và có thể khắc phục.

2. Chính sách 2: Quy định cụ thể các quyền và nghĩa vụ của chủ thể dữ liệu

2.1. Xác định vấn đề bất cập

2.2. Mục tiêu giải quyết vấn đề

Giúp chủ thể dữ liệu nhận biết được mình có quyền và nghĩa vụ gì trong bảo vệ dữ liệu cá nhân, từ đó có trách nhiệm bảo vệ dữ liệu cá nhân hoặc phản ứng trước dữ liệu cá nhân của mình bị xâm phạm, gắn trách nhiệm tự bảo vệ dữ liệu cá nhân của mình trước khi đề nghị cơ quan chức năng, tổ chức, cá nhân bảo vệ.

2.3. Giải pháp đề xuất giải quyết vấn đề

- Phương án 1: Giữ nguyên quy định như hiện nay.

- Phương án 2: Quy định cụ thể các quyền và nghĩa vụ của chủ thể dữ liệu.

2.4. Đánh giá tác động của các giải pháp

2.4.1. Phương án 1: Giữ nguyên quy định như hiện nay.

(1) Tác động về kinh tế

- Về mặt tích cực: Nhà nước không phát sinh chi phí sửa đổi, bổ sung hoặc ban hành mới các văn bản để điều chỉnh chính sách.

- Về mặt tiêu cực: chưa thể chế cụ thể quy định của Hiến pháp về quyền con người, quyền công dân trong lĩnh vực bảo vệ dữ liệu cá nhân; khiến cá nhân chưa xác định được các quyền và nghĩa vụ của mình trong hoạt động kinh tế, xã hội, dễ bị xâm phạm.

(2) Tác động về xã hội

- Về mặt tích cực: Không làm thay đổi chính sách hiện hành.

(4) Tác động về thủ tục hành chính

- Về mặt tích cực: Không làm thay đổi quy định về thủ tục hành chính hiện hành.

(5) Tác động đối với hệ thống pháp luật

- Về mặt tích cực: Không làm thay đổi hệ thống pháp luật có liên quan.

2.4.2. Phương án 2: Quy định cụ thể các quyền và nghĩa vụ của chủ thể dữ liệu

- Quy định cụ thể các quyền của chủ thể dữ liệu, gồm: Quyền được biết; Quyền đồng ý; Quyền truy cập; Quyền rút lại sự đồng ý; Quyền xóa dữ liệu; Quyền hạn chế xử lý dữ liệu; Quyền cung cấp dữ liệu; Quyền phản đối xử lý dữ liệu; Quyền khiếu nại, tố cáo, khởi kiện; Quyền yêu cầu bồi thường thiệt hại; Quyền tự bảo vệ.

- Quy định cụ thể nghĩa vụ của chủ thể dữ liệu: Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình; Tôn trọng, bảo vệ dữ liệu cá nhân của người khác; Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân; Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.

(1) Tác động về kinh tế

- Về mặt tích cực: Góp phần tạo hành lang pháp lý cho việc sử dụng dữ liệu cá nhân như nguyên liệu để phát triển kinh tế trong thời đại cách mạng Công nghiệp lần thứ tư, phù hợp với xu thế thời đại; giúp chủ thể dữ liệu bảo vệ được quyền và lợi ích hợp chính đáng của mình, hạn chế các hành vi xâm phạm.

- Về mặt tiêu cực: Phát sinh chi phí tuân thủ các quy định bảo vệ quyền của chủ thể dữ liệu.

(2) Tác động về xã hội

- Về mặt tích cực: nâng cao vị thế quốc gia trong bảo vệ quyền con người, quyền công dân; góp phần xây dựng xã hội lành mạnh,

tạo hành lang pháp lý phục vụ công tác quản lý nhà nước và phòng ngừa, đấu tranh chống tội phạm; bảo vệ quyền và lợi ích hợp pháp của cá nhân.

- Về mặt tiêu cực: phát sinh yêu cầu rà soát, đánh giá quy trình, chính sách và các biện pháp tuân thủ.

(4) Tác động về thủ tục hành chính

- Về mặt tích cực: làm cơ sở xây dựng các quy định về thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân.

- Về mặt tiêu cực: Không.

(5) Tác động đối với hệ thống pháp luật

- Về mặt tiêu cực: phát sinh yêu cầu rà soát, chỉnh sửa, hoàn thiện hệ thống pháp luật để bảo đảm quyền của chủ thể dữ liệu.

2.5. Kiến nghị giải pháp lựa chọn

Từ sự phân tích về tác động tích cực, tiêu cực của mỗi phương án, có thể thấy rằng, tác động tích cực của phương án Quy định cụ thể các quyền và nghĩa vụ của chủ thể dữ liệu là lớn hơn, lâu dài hơn, cần thiết hơn, có tác động tiêu cực nhưng không lớn, ít hơn so với lợi ích và có thể khắc phục.

3. Chính sách 3: Hoàn thiện quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu

3.1. Xác định vấn đề bất cập

Theo thống kê của Bộ Công an, có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 04 Bộ luật; 39 Luật, 01 Pháp lệnh; 19 Nghị định; 04 Thông tư/Thông tư liên tịch; 01 Quyết định của Bộ trưởng. Tuy nhiên, dù có tới 69 văn bản nhưng tất cả đều chưa thống nhất về quy trình, quy định bảo vệ dữ liệu cá nhân. Ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Tuy nhiên, đây mới chỉ là văn bản Nghị định, chưa phải văn bản Luật nên cần thống nhất thực hiện trong thực tiễn.

Chuyển đổi số, phát triển kinh tế số, xây dựng xã hội số là xu thế của thời đại. Việt Nam đang đẩy mạnh quá trình này để làm chủ cuộc Cách mạng công nghiệp lần thứ tư. Dữ liệu cá nhân là một trong những nguyên liệu chính để thực hiện chuyển đổi số, phát triển kinh tế số, xây dựng xã hội số. Hiện nay, đã có nhiều doanh nghiệp sử dụng dữ liệu cá nhân vào mục đích kinh doanh, phát triển kinh tế, tạo giá trị cho xã hội nhưng cũng xuất hiện nhiều vụ lộ, mất dữ liệu cá nhân nghiêm trọng, liên quan tới hàng chục triệu người. Do đó, việc quy định cụ thể các hoạt động kinh doanh liên quan tới dữ liệu cá nhân là vô cùng cấp bách và cần thiết.

Điều này đặt ra yêu cầu phải thống nhất quy định bảo vệ dữ liệu cá nhân ở tầm văn bản Luật, bảo đảm sự đồng bộ về nội dung, phạm vi và cách thức, trường hợp áp dụng cụ thể.

3.2. Mục tiêu giải quyết vấn đề

Quy định cụ thể những nội dung, chính sách, biện pháp cần áp dụng để bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu nhằm kịp thời bảo vệ quyền và lợi ích hợp pháp của chủ thể dữ liệu trong hoạt động kinh tế, xã hội. Đồng thời, xác định đầy đủ trách nhiệm cần thực hiện cho các tổ chức, cá nhân bao gồm các điều kiện tuân thủ và thực hiện thủ tục hành chính.

3.3. Giải pháp đề xuất giải quyết vấn đề

- Phương án 1: Giữ nguyên quy định như hiện nay.

- Phương án 2: Hoàn thiện quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu.

3.4. Đánh giá tác động của các giải pháp

3.4.1. Phương án 1: Giữ nguyên quy định như hiện nay.

(1) Tác động về kinh tế

- Về mặt tích cực: Nhà nước không phát sinh chi phí sửa đổi, bổ sung hoặc ban hành mới các văn bản để điều chỉnh chính sách.

- Về mặt tiêu cực: chưa thể chế cụ thể quy định của Hiến pháp về quyền con người, quyền công dân trong lĩnh vực bảo vệ dữ liệu cá nhân trong từng khâu đoạn của quá trình xử lý dữ liệu; tiếp tục xảy ra tình trạng xử lý dữ liệu một cách âm thầm, trái phép như hiện nay.

(2) Tác động về xã hội

- Về mặt tích cực: Không làm thay đổi chính sách hiện hành.

- Về mặt tiêu cực: Gây khó khăn, vướng mắc trong quản lý nhà nước và phòng ngừa, đấu tranh với tội phạm, vi phạm pháp luật về bảo vệ dữ liệu cá nhân; khó khăn trong áp dụng đồng bộ, thống nhất hiệu quả trong hoạt động kinh doanh của tổ chức, doanh nghiệp; khó khăn trong bảo vệ các quyền chính đáng của chủ thể dữ liệu.

(4) Tác động về thủ tục hành chính

- Về mặt tích cực: Không làm thay đổi quy định về thủ tục hành chính hiện hành.

(5) Tác động đối với hệ thống pháp luật

- Về mặt tích cực: Không làm thay đổi hệ thống pháp luật có liên quan.

- Về mặt tiêu cực: Không khắc phục được những khó khăn, bất cập hiện nay về tính đồng bộ với Hiến pháp, các văn bản pháp luật; không quy trình hóa các hoạt động bảo vệ dữ liệu cá nhân trong từng khâu đoạn; không khắc phục được tình trạng mua bán, chuyển giao trái phép dữ liệu cá nhân; không hài hòa với thông lệ quốc tế và không góp phần nâng cao nhận thức về bảo vệ dữ liệu cá nhân.

3.4.2. Phương án 2: Hoàn thiện quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu

- Quy định cụ thể về sự đồng ý của chủ thể dữ liệu; rút lại sự đồng ý; thông báo xử lý dữ liệu cá nhân; Cung cấp dữ liệu cá nhân; Chỉnh sửa dữ liệu cá nhân; Lưu trữ, xóa, hủy dữ liệu cá nhân.

- Quy định cụ thể về Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu; Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng; Xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết; Xử lý dữ liệu cá nhân của trẻ em.

(1) Tác động về kinh tế

- Về mặt tích cực:

+ Giải pháp này sẽ giúp các tổ chức, cá nhân xác định rõ trường hợp, nội dung, quy trình, quy định, các biện pháp, thủ tục cần áp dụng để bảo vệ dữ liệu cá nhân; bảo vệ và nâng cao hơn quyền và lợi ích hợp pháp của chủ thể dữ liệu trước tình trạng mua bán dữ liệu cá nhân tràn lan như hiện nay; bảo đảm điều kiện giúp các tổ chức, doanh nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, hạn chế nguy cơ bị tấn công mạng, lộ, mất dữ liệu cá nhân; cụ thể hóa cam kết quốc tế của Việt Nam trong hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân.

+ Góp phần tạo hành lang pháp lý cho việc sử dụng dữ liệu cá nhân như nguyên liệu để phát triển kinh tế trong thời đại cách mạng Công nghiệp lần thứ tư, phù hợp với xu thế thời đại; giúp chủ thể dữ liệu bảo vệ được quyền và lợi ích hợp chính đáng của mình, hạn chế các hành vi xâm phạm; giúp các công ty biết và tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân.

- Về mặt tiêu cực: Phát sinh chi phí tuân thủ quy trình xử lý dữ liệu cá nhân theo quy định.

(2) Tác động về xã hội

- Về mặt tích cực: tạo ra sự đồng bộ, góp phần nâng cao niềm tin, thương hiệu trong kinh doanh, góp phần xây dựng xã hội lành mạnh, tạo hành lang pháp lý phục vụ công tác quản lý nhà nước và phòng ngừa, đấu tranh chống tội phạm; bảo vệ quyền và lợi ích hợp pháp của cá nhân.

- Về mặt tiêu cực: phát sinh yêu cầu rà soát, đánh giá quy trình, chính sách và các biện pháp tuân thủ trong quá trình xử lý dữ liệu cá nhân.

(4) Tác động về thủ tục hành chính

- Về mặt tích cực: làm cơ sở xây dựng các quy định về thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân.

- Về mặt tiêu cực: Không.

(5) Tác động đối với hệ thống pháp luật

- Về mặt tích cực: góp phần từng bước hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu, sát với thực tiễn hoạt động của doanh nghiệp, phục vụ hiệu quả công tác quản lý nhà nước và phòng ngừa, đấu tranh với tội phạm, vi phạm pháp luật; khắc phục được những khó khăn, bất cập hiện nay về tính đồng bộ với Hiến pháp, các văn bản pháp luật; góp phần khắc phục được tình trạng mua bán, chuyển giao trái phép dữ liệu cá nhân; hài hòa với thông lệ quốc tế và góp phần nâng cao nhận thức về bảo vệ dữ liệu cá nhân; tạo điều kiện để sử dụng dữ liệu cá nhân làm nguyên liệu phát triển kinh tế, xã hội.

- Về mặt tiêu cực: phát sinh yêu cầu rà soát, chỉnh sửa, hoàn thiện hệ thống pháp luật để bảo đảm quyền của chủ thể dữ liệu.

3.5. Kiến nghị giải pháp lựa chọn

Từ sự phân tích về tác động tích cực, tiêu cực của mỗi phương án, có thể thấy rằng, tác động tích cực của phương án hoàn thiện quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu là lớn hơn, lâu dài hơn, cần thiết hơn, có tác động tiêu cực nhưng không lớn, ít hơn so với lợi ích và có thể khắc phục.

4. Chính sách 4: Hoàn thiện quy định bảo đảm các điều kiện, biện pháp bảo vệ dữ liệu cá nhân

4.1. Xác định vấn đề bất cập

Hiện có nhiều tổ chức, doanh nghiệp sử dụng dữ liệu cá nhân vào mục đích kinh doanh nhưng chưa có văn bản quy định về điều kiện kinh doanh hoạt động này. Trong khi đó, dữ liệu cá nhân đang bị mua bán, lộ, mất tràn lan, nhiều hành vi vi phạm pháp luật thiếu quy định xử lý.

- Hiện nay, mặc dù đã có Nghị định 13/2023/NĐ-CP quy định về cơ quan chuyên trách bảo vệ dữ liệu cá nhân nhưng chưa được quy định ở văn bản thuộc tầm Luật. Lực lượng bảo vệ dữ liệu cá nhân, gồm: lực lượng chuyên trách, lực lượng tham gia bảo vệ dữ liệu cá nhân (bộ phận bảo vệ dữ liệu cá nhân, nhân sự bảo vệ dữ liệu cá nhân) chưa được quy định cụ thể.

- Hiện nay chưa có văn bản luật quy định về các thủ tục hành chính cần chấp hành quy định về bảo vệ dữ liệu cá nhân.

4.2. Mục tiêu giải quyết vấn đề

- Quy định cụ thể về biện pháp bảo vệ dữ liệu cá nhân; bảo vệ dữ liệu cá nhân cơ bản; bảo vệ dữ liệu cá nhân nhạy cảm; tiêu chuẩn bảo vệ dữ liệu cá nhân.

- Quy định về cơ quan chuyên trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân; lực lượng bảo vệ dữ liệu cá nhân, gồm: lực lượng chuyên trách, lực lượng tham gia bảo vệ dữ liệu cá nhân (bộ phận bảo vệ dữ liệu cá nhân, nhân sự bảo vệ dữ liệu cá nhân).

- Quy định về điều kiện bảo vệ dữ liệu cá nhân đối với các tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân; dịch vụ cung cấp tổ chức, nhân sự bảo vệ dữ liệu cá nhân (DPO).

- Quy định về thực hiện thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân, gồm: Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân; Đánh giá tác động xử lý dữ liệu cá nhân; Chuyển dữ liệu cá nhân ra nước ngoài.

- Quy định các điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân, như nguồn lực, kinh phí, trang thiết bị.

4.3. Giải pháp đề xuất giải quyết vấn đề

- Phương án 1: Giữ nguyên quy định như hiện nay.

- Phương án 2: Hoàn thiện quy định bảo đảm các điều kiện, biện pháp bảo vệ dữ liệu cá nhân.

4.4. Đánh giá tác động của các giải pháp

4.4.1. Phương án 1: Giữ nguyên quy định như hiện nay.

(1) Tác động về kinh tế

- Về mặt tích cực: Nhà nước không phát sinh chi phí sửa đổi, bổ sung hoặc ban hành mới các văn bản để điều chỉnh chính sách.

(2) Tác động về xã hội

- Về mặt tích cực: Không làm thay đổi chính sách hiện hành.

(4) Tác động về thủ tục hành chính

- Về mặt tích cực: Không làm thay đổi quy định về thủ tục hành chính hiện hành.

(5) Tác động đối với hệ thống pháp luật

- Về mặt tích cực: Không làm thay đổi hệ thống pháp luật có liên quan.

4.4.2. Phương án 2: Hoàn thiện quy định bảo đảm các điều kiện, biện pháp bảo vệ dữ liệu cá nhân

- Quy định các điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân, như nguồn lực, kinh phí, trang thiết bị.

(1) Tác động về kinh tế

- Về mặt tích cực:

+ Quyền và lợi ích hợp pháp của cơ quan, tổ chức, doanh nghiệp, cá nhân sẽ được nâng cao và bảo vệ tốt hơn. Đồng thời, giúp cơ quan, tổ chức, doanh nghiệp, cá nhân tăng cường nhận thức, ý thức hơn được tầm quan trọng của công tác bảo vệ dữ liệu cá nhân.

+ Khi quy định về quy định về điều kiện bảo vệ dữ liệu cá nhân đối với các tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân; dịch vụ cung cấp tổ chức, nhân sự bảo vệ dữ liệu cá nhân (DPO), Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được thực hiện, đồng bộ, thống nhất trên phạm vi toàn quốc, môi trường đầu tư kinh doanh sẽ trở nên minh bạch hơn, tạo được sự tin tưởng cho các doanh nghiệp đầu tư trong và ngoài nước, tăng mức độ an tâm của người sử dụng.

- Về mặt tiêu cực: (a) Làm phát sinh chi phí từ lập hồ sơ, gồm chi phí in ấn, photocopy, nhân sự thực hiện. Đây là những chi phí một lần, việc cập nhật bổ sung hồ sơ không phát sinh chi phí đáng kể. (b) Chi phí cho công tác tuyên truyền, phổ biến, thực thi quy định về lập hồ sơ. Đây là chi phí giảm dần theo từng năm, chủ yếu là chi phí thời gian, công sức của cán bộ cơ quan nhà nước có thẩm quyền được giao hướng dẫn.

(2) Tác động về xã hội

- Về mặt tích cực:

+ Tạo ra sự đồng bộ, góp phần nâng cao niềm tin, thương hiệu trong kinh doanh, góp phần xây dựng xã hội lành mạnh, tạo hành lang pháp lý phục vụ công tác quản lý nhà nước và phòng ngừa, đấu tranh chống tội phạm; bảo vệ quyền và lợi ích hợp pháp của cá nhân.

+ Tăng thêm mức độ giá trị của ngành nghề hướng dẫn, thực thi pháp luật, cơ hội việc làm mới có các công ty, tổ chức, cá nhân hoạt động về luật pháp, tăng cường giá trị thượng tôn pháp luật, gắn kết cộng đồng, xã hội và các vấn đề khác có liên quan đến xã hội.

- Về mặt tiêu cực: Không.

(4) Tác động về thủ tục hành chính

- Về mặt tích cực: làm cơ sở xây dựng các quy định về thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân.

- Về mặt tiêu cực: Có thể trong thời gian đầu thực hiện, việc lập, gửi, nhận, lưu trữ hồ sơ còn vướng mắc về nội dung, trình tự thực hiện, trong đó có một số cơ quan, tổ chức, doanh nghiệp nước ngoài. Tuy nhiên, khi hồ sơ được hướng dẫn đồng bộ, thực hiện qua Cổng thông tin bảo vệ dữ liệu cá nhân hoặc gửi qua đường văn bản đối với nội dung nhạy cảm, mật, cần giữ kính, hệ thống pháp luật và môi trường kinh doanh của nước ta sẽ trở nên minh bạch, an toàn, thượng tôn pháp luật hơn.

(5) Tác động đối với hệ thống pháp luật

- Về mặt tiêu cực: phát sinh yêu cầu rà soát, chỉnh sửa, hoàn thiện hệ thống pháp luật để bảo đảm quyền của chủ thể dữ liệu.

4.5. Kiến nghị giải pháp lựa chọn

Từ sự phân tích về tác động tích cực, tiêu cực của mỗi phương án, có thể thấy rằng, tác động tích cực của phương án hoàn thiện quy định bảo đảm các điều kiện, biện pháp bảo vệ dữ liệu cá nhân là lớn hơn, lâu dài hơn, cần thiết hơn, có tác động tiêu cực nhưng không lớn, ít hơn so với lợi ích và có thể khắc phục.

IV. QUÁ TRÌNH LẤY Ý KIẾN

1. Tham vấn: Việc đánh giá tác động được tiến hành trước và trong quá trình soạn thảo Nghị định số 13/2023/NĐ-CP và tiếp tục được lấy ý kiến rộng rãi của quần chúng nhân dân, các bộ, ngành, địa phương có liên quan trong thời gian xây dựng dự thảo Luật. Đồng thời, tổ chức khảo sát tới tổ chức, doanh nghiệp trong nước về công tác bảo vệ dữ liệu cá nhân để có cơ sở xây dựng Luật Bảo vệ dữ liệu cá nhân.

2. Lấy ý kiến: Hồ sơ xây dựng Luật sẽ được xin ý kiến tham gia của tất cả các đối tượng chịu sự tác động của Luật theo quy định của Luật Ban hành văn bản quy phạm pháp luật.

3. Thẩm định: Hồ sơ dự thảo Luật được tiến hành thẩm định theo quy định của Luật Ban hành văn bản quy phạm pháp luật.

V. GIÁM SÁT VÀ ĐÁNH GIÁ

1. Cơ quan chịu trách nhiệm tổ chức thi hành chính sách

Cơ quan chịu trách nhiệm tổ chức thi hành chính sách bao gồm tất cả các đối tượng được đề xuất là đối tượng áp dụng của Luật.

2. Cơ quan giám sát đánh giá việc thực hiện chính sách

- Cơ quan chịu trách nhiệm tổ chức thi hành chính sách: Bộ Công an tổ chức triển khai Luật.

- Cơ quan giám sát thực hiện chính sách: Chính phủ, Văn phòng Chính phủ, các Bộ, ngành liên quan.

Trên đây là báo cáo đánh giá tác động của chính sách trong dự thảo Luật Bảo vệ dữ liệu cá nhân, Bộ Công an kính báo cáo Chính phủ xem xét, quyết định./.

[1] Nghị quyết 48-NQ/TW của Bộ Chính trị về chiến lược xây dựng và hoàn thiện hệ thống pháp luật Việt Nam đến năm 2010, định hướng đến năm 2020; Chỉ thị 44-CT/TW ngày 20/7/2010 của Ban Bí thư về công tác nhân quyền trong tình hình mới; Nghị quyết số 52-NQ/TW ngày 27/9/2019 của Bộ Chính trị về “Một số chủ trương, chính sách chủ động tham gia cuộc Cách mạng công nghiệp lần thứ tư”; Nghị quyết 30-NQ/TW ngày 25/7/2018 của Bộ Chính trị về Chiến lược An ninh mạng quốc gia và Nghị quyết số 22/NQ-CP ngày 18/10/2019 của Chính phủ ban hành Chương trình hành động thực hiện Nghị quyết 30-NQ/TW.

[2] Luật an toàn thông tin mạng năm 2015; Luật Tố cáo năm 2013, Nghị định số 146/2018/NĐ-CP ngày 17/10/2018 quy định chi tiết và hướng dẫn biện pháp thi hành một số điều của Luật bảo hiểm y tế; Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ; Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 về quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng; Nghị định số 52/2013/NĐ-CP ngày 16/5/2013 về thương mại điện tử; Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động cơ quan của Chính phủ

[3] Một số vụ việc điển hình như: việc Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airline, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng; tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS; dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng

[4] Danh sách cán bộ, danh bạ nội bộ của các Bộ, tập đoàn kinh tế (Công thương, Tài chính, Giao thông Vận tải, Khoa học và Công nghệ, Nông nghiệp và Phát triển nông thôn, Thương mại, Tổng cục Thuế, Tập đoàn Than…); khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh; trường học; thông tin hộ khẩu; thông tin khách hàng thuộc các lĩnh vực bất động sản, siêu thị, mua ô tô, xe máy…

[5] Thông tin chi tiết về các cá nhân, tổ chức, doanh nghiệp, như: họ tên, ngày sinh, số CMND, địa chỉ, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác…

[6] Facebook, Zalo, Telegram

[7] raidforums.com…

[8] thông tin về các cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ điện lực của EVN; thông tin phụ huynh, học sinh tại các trường trên cả nước; thông tin khách hàng của các ngân hàng BIDV, Techcombank, VPBank, AgriBank...; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng Viettel, Mobiphone, Vinaphone; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy tại 63 tỉnh, thành toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành SPA, Nha khoa, thời trang, thẩm mỹ viện

[9] Điều 159 quy định, việc “xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt từ tới 03 năm; Điều 288 quy định về “Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” với mức hình phạt cao nhất là 07 năm tù giam.

[10] Khoản 1 Điều 9 Bộ luật Dân sự năm 2015 khẳng định: “Tất cả các quyền dân sự của cá nhân, pháp nhân, chủ thể khác được tôn trọng và được pháp luật bảo vệ”. Tại Khoản 2 điều này đã ghi nhận 5 hình thức chế tài dân sự: Khi quyền dân sự của một chủ thề bị xâm phạm thì chủ thể đó có quyền tự bảo vệ theo quy định của Bộ luật này hoặc yêu cầu cơ quan, tổ chức có thẩm quyền: Công nhận quyền dân sự của mình; Buộc chấm dứt hành vi vi phạm; Buộc xin lỗi, cải chính công khai; Buộc thực hiện nghĩa vụ dân sự; Buộc bồi thường thiệt hại

[11] Nghị định số 159/2013/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực báo chí, xuất bản (điểm d khoản 2 Điều 8, điểm a khoản 1 Điều 20…); Nghị định số 158/2013/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực văn hóa, thể thao, du lịch và quảng cáo (điểm b khoản 1 Điều 4, điểm b khoản 3 Điều 51…); Nghị định số 176/2013/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực y tế (điểm c khoản 3 Điều 17, điểm b khoản 4 Điều 17, điểm a khoản 2 Điều 46…); Nghị định số 15/2020/NĐ-CP ngày 3/2/2020 quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử (Điều 83, 84 85, 100, 101, 102,…); Nghị định số 98/2020/NĐ-CP ngày 26/ 8/2020 quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng (khoản 5 Điều 63, khoản 3 Điều 64, Điều 65 và khoản 4 Điều 66);

4.-baocaodanhgiatacdong-lbvdlcn.doc

Báo cáo Đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân

Tác giả : Bộ Công An

Mô tả :

Tài liệu lấy ý kiến Nhân dân được đăng tải trên Cổng thông tin điện tử của Chính phủ.

Thực hiện chỉ đạo của Chính phủ về việc xây dựng Luật Bảo vệ dữ liệu cá nhân, căn cứ quy định của Luật Ban hành văn bản quy phạm pháp luật năm 2015, Bộ Công an báo cáo đánh giá thực trạng quan hệ xã hội liên quan đến nội dung bảo vệ dữ liệu cá nhân, như sau:

I. THỰC TRẠNG PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN

1. Pháp luật trong nước

- Có hơn 10 khái niệm thuật ngữ liên quan tới thông tin cá nhân được diễn giải theo những cách khác nhau, gồm: “dữ liệu cá nhân”, “thông tin cá nhân”, “thông tin riêng”, “thông tin riêng tư”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin bí mật đời tư”; “thông tin về đời sống riêng tư”, “bí mật gia đình”, “quyền bất khả xâm phạm về đời sống riêng tư”; “cơ sở dữ liệu điện tử”; “thông tin của người tiêu dùng”. Riêng về khái niệm “thông tin cá nhân”, khái niệm này được coi là tương đồng và gần gũi nhất với khái niệm “dữ liệu cá nhân”. Cụm từ “thông tin cá nhân” xuất hiện ở hơn 300 văn bản quy phạm pháp luật, nhưng chỉ có 07 văn bản pháp luật có định nghĩa/diễn giải thế nào là thông tin cá nhân^{^[1]}. Số văn bản pháp luật còn lại chỉ đề cập đến thông tin cá nhân trong nội dung các quy định, không đưa ra giải thích hay dẫn chiếu giải thích đến văn bản pháp luật khác.

Trong đó, Hiến pháp năm 2013 có quy định về quyền riêng tư, bảo vệ dữ liệu cá nhân tại Điều 21 như sau: “1.Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an ninh. 2. Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác. Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác”. Kể từ Hiến pháp năm 2013, cụm từ “thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình” được sử dụng tại Bộ luật Dân sự năm 2015, Luật tiếp cận thông tin, Luật trẻ em. Tuy nhiên, trong tất cả các văn bản nêu trên, chưa văn bản nào đưa ra được định nghĩa cho các khái niệm này. Bên cạnh đó, khoản 2 Điều 14 Hiến pháp năm 2013 quy định: “Quyền con người, quyền công dân chỉ có thể bị hạn chế theo quy định của luật trong trường hợp cần thiết vì lý do quốc phòng, an ninh quốc gia, trật tự, an ninh xã hội, đạo đức xã hội, súc khỏe cộng đồng”.

2. Pháp luật quốc tế về bảo vệ dữ liệu cá nhân

Chủ đề “bảo vệ dữ liệu cá nhân” đã được cộng đồng quốc tế quan tâm từ nhiều năm nay và đã được thảo luận tại nhiều diễn đàn quốc tế, trên nhiều góc độ như trong khuôn khổ Liên hợp quốc, ASEAN, APEC... Sự phát triển nhanh chóng và hiệu quả của công nghệ đã cho phép các quốc gia, tập đoàn kinh tế, công ty lớn...tiến hành các hoạt động giám sát và thu thập dữ liệu cá nhân trên quy mô lớn, tạo ra những lo ngại do khả năng xâm phạm các quyền riêng tư cá nhân được quy định tại Điều 17 của Công ước quốc tế về Quyền dân sự và chính trị.

Theo thống kê của Hội nghị Liên hợp quốc về Thương mại và Phát triển (UNCTAD), đến nay đã có khoảng hơn 107 thành viên (trong đó có 66 nền kinh tế đang chuyển đổi hoặc đang phát triển) có các quy định về bảo vệ dữ liệu cá nhân. Về cơ bản, các quốc gia đều bám sát các nguyên tắc về quyền riêng tư, tuy nhiên, còn có sự khác nhau tương đối đáng kể trong việc giải thích và áp dụng nguyên tắc này. Một số tổ chức cũng ban hành những quy định, hướng dẫn, khung bảo vệ dữ liệu cá nhân như: APEC có khung Bảo vệ dữ liệu cá nhân (chỉnh sửa 2015) và Hệ thống các quy tắc trao đổi dữ liệu cá nhân xuyên biên giới; EU có Quy định bảo vệ dữ liệu cá nhân của Liên minh châu Âu chính thức có hiệu lực từ năm 2018; ASEAN đang thảo luận xây dựng Nền tảng bảo vệ dữ liệu cá nhân của ASEAN.

2.1. Các điều ước, thỏa thuận quốc tế mà Việt Nam là thành viên

Hiệp định WTO về Thương mại dịch vụ đặt ra các quy định ràng buộc về bảo vệ dữ liệu cá nhân. Điều 16(c)(ii) của Hiệp định quy định cho phép các quốc gia có các biện pháp hạn chế thương mại nếu cần thiết để bảo vệ quyền riêng tư của các nhân liên quan đến xử lý, phát tán dữ liệu cá nhân, các biện pháp bảo vệ tính bảo mật của các bản ghi và tài khoản cá nhân” với điều kiện các biện pháp không tạo thành phân biệt đối xử tùy tiện và hạn chế thương mại trá hình.

Trong khuôn khổ Hiệp định Đối tác toàn diện và tiến bộ xuyên Thái Bình Dương (CPTPP), các quốc gia đã có những quy định cụ thể về nghĩa vụ bảo vệ dữ liệu cá nhân tại Điều 14.8, theo đó các quốc gia sẽ phải xây dựng và duy trì các khung pháp lý về bảo vệ dữ liệu cá nhân của người dùng trong thương mại điện tử trên cơ sở cân nhắc các nguyên tắc và hướng dẫn của các thể chế quốc tế. Đặc biệt, các quốc gia sẽ không có các quy định mang tính phân biệt đối xử trong việc bảo vệ người sử dụng thương mại điện tử trước các vi phạm về bảo vệ dữ liệu cá nhân trong thẩm quyền xét xử của mình. Cụ thể, các quốc gia sẽ cần công bố thông tin về các biện pháp bảo vệ dữ liệu cá nhân dành cho người sử dụng thương mại điện tử, bao gồm các cách thức để cá nhân thực thi các quyền của mình, cũng như cách thức để các doanh nghiệp tuân thủ các quy định pháp lý liên quan. Ngoài ra, các quốc gia cần thúc đẩy và hướng đến sự tương thích giữa các quy định nội luật của các quốc gia trong CPTPP thông qua các cơ chế song phương hoặc khuôn khổ quốc tế.

Tại Hiệp định thương mại tự do giữa Liên minh châu Âu và Việt Nam (EVFTA), hai Bên cũng có những cam kết về bảo vệ dữ liệu cá nhân. Cụ thể tại Điều 8.45, các Bên sẽ phải ban hành hoặc duy trì các biện pháp phù hợp để bảo vệ dữ liệu cá nhân và quyền riêng tư, bao gồm các bản ghi và tài khoản cá nhân. Trong đó, đối với lĩnh vực tài chính, các Bên sẽ cho phép chuyển thông tin ra ngoài lãnh thổ để xử lý phù hợp với tính chất cung cấp dịch vụ tài chính.

2.2. Quy định bảo vệ dữ liệu chung của Liên minh Châu Âu

Một trong những bộ quy tắc về chính sách bảo vệ dữ liệu cá nhân được quốc tế và nhiều hãng công nghệ lớn quan tâm, chú ý là Bộ quy tắc chung của Liên minh châu Âu về bảo vệ dữ liệu (GDPR), có hiệu lực từ 25/5/2018. Về nội dung, GDPR đang được áp dụng thống nhất tại 28 nước EU đối với tất cả các doanh nghiệp xử lý dữ liệu cá nhân liên quan đến các chủ thể tại Liên minh châu âu và không phụ thuộc vào nơi xuất xứ của doanh nghiệp. Theo quy định, dữ liệu cá nhân sẽ được hiểu là bất kỳ thông tin nào mà gián tiếp hoặc trực tiếp có thể nhận diện được một cá nhân, vì vậy, có thể gồm tên gọi, hình ảnh, thông tin tài khoản, các nội dung trên mạng xã hội, thông tin sức khỏe, y tế...Về cơ bản, GDPR yêu cầu bên thu thập dữ liệu có các biện pháp bảo vệ dữ liệu theo hình thức chủ động và tự động ngay từ ban đầu. Các doanh nghiệp thu thập dữ liệu phải chủ động đưa ra các biện pháp tổ chức và kỹ thuật (bao gồm vô danh hóa) nhằm hạn chế tối thiểu việc xử lý dữ liệu cá nhân. Đồng thời, các doanh nghiệp phải tự động bảo vệ dữ liệu cá nhân theo hướng chỉ xử lý các thông tin cần thiết cho mục đích cụ thể. Nghĩa vụ này áp dụng đối với khối lượng dữ liệu các doanh nghiệp thu thập, phạm vi xử lý, thời gian lưu trữ và khả năng tiếp cận. GDPR cũng cho phép chủ thể của dữ liệu được quyền chuyển dữ liệu sang doanh nghiệp xử lý khác.

2.3. Một số quốc gia khác như Mỹ, Pháp, Singapore, Thái Lan, Indonesia, Nhật Bản, Đức, Hungary, Ba Lan, Ấn Độ, Trung Quốc, Canada… đã ban hành văn bản pháp luật về bảo vệ dữ liệu cá nhân. Tuy nhiên, mức độ tác động hoạt động thương mại, phát triển kinh tế xã hội của nước ta chưa cao, có thể tham khảo để xây ra quy định bảo vệ dữ liệu cá nhân của nước ta.

II. THỰC TRẠNG CÁC MỐI QUAN HỆ XÃ HỘI LIÊN QUAN TỚI BẢO VỆ DỮ LIỆU CÁ NHÂN

1. Hoạt động thu thập dữ liệu cá nhân của cơ quan nhà nước, tổ chức, doanh nghiệp, cá nhân với chủ thể dữ liệu

Với sự phát triển ngày càng nhanh, mạnh của khoa học công nghệ, dữ liệu cá nhân trở thành nguyên liệu chính cho các hoạt động của cơ quan nhà nước, tổ chức, doanh nghiệp, cá nhân. Thực tế thời gian vừa qua cho thấy, công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, doanh nghiệp, cá nhân có hoạt động thu thập dữ liệu cá nhân vẫn còn buông lỏng, chưa có các biện pháp quản lý và kỹ thuật phù hợp để bảo vệ các dữ liệu cá nhân thu thập được, đặc biệt là các tổ chức, doanh nghiệp thu thập thông tin ở quy mô vừa và nhỏ, khả năng ứng phó trước mối đe dọa vẫn còn rất yếu kém. Nhiều tổ chức, doanh nghiệp cũng không nhận thức được trách nhiệm bảo vệ cũng như hậu quả có thể xảy ra nếu các thông tin đó bị lộ lọt hay cung cấp cho bên thứ 3. Các tổ chức, doanh nghiệp thực hiện các hoạt động thu thập, lưu trữ, xử lý dữ liệu cá nhân của người dùng chưa áp dụng giải pháp kỹ thuật đủ mức để chống lộ lọt thông tin, tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật bảo đảm an ninh mạng, chưa có quy trình quản lý an ninh mạng và thông báo, hướng dẫn, khuyến nghị xử lý khi xảy ra sự cố lộ, lọt dữ liệu cá nhân của người dùng.

Nguyên nhân của thực trạng trên là do:

Thứ nhất, nhận thức chưa đầy đủ về trách nhiệm bảo vệ DLCN nên từ đó chủ quan, không chú ý một cách đầy đủ các giải pháp bảo vệ DLCN trong khi thủ đoạn, cách thức tấn công mạng ngày càng tinh vi, phức tạp. Nhiều vụ tấn công mạng được thực hiện bởi các tổ chức, băng nhóm tội phạm xuyên quốc gia, có máy chủ đặt tại nước ngoài.

Thứ hai, hệ thống bảo mật của các doanh nghiệp, đặc biệt là các doanh nghiệp vừa và nhỏ, hiện còn rất hạn chế, thậm chí có doanh nghiệp còn trong tình trạng sơ sài, yếu kém. Chưa đầu tư, hoặc đầu tư quá thấp cho các giải pháp an ninh bảo mật thông tin nên không đủ khả năng chống lại các cuộc tấn công mạng, đã đến nguy cơ bị mất dữ liệu và thông tin cá nhân: Các máy tính trong mạng nội bộ, nắm quyền website không sử dụng các giải pháp như tường lửa, mã hóa và backup dữ liệu; Hệ thống mạng được thiết kế lỏng lẻo, có lỗ hổng nhất là Wifi. Thiếu các giải pháp giám sát, bảo vệ hệ thống mạng, website trước các cuộc tấn công mạng bất ngờ. Về quản lý nhà nước, bên cạnh một số khuyến nghị, hiện chưa có một yêu cầu kỹ thuật bắt buộc nào để các doanh nghiệp phải đáp ứng để bảo vệ DLCN trong hệ thống của họ. Có doanh nghiệp đã chú trọng đầu tư các giải pháp an ninh bảo mật nhưng không có sự đánh giá chuyên nghiệp dẫn đến vẫn có nhưng lỗ hổng bảo mật lớn.

Thứ ba, chưa có một quy trình bảo vệ DLCN chuẩn trong doanh nghiệp, do vậy khả năng dò rỉ DLCN xuất phát từ chính con người vận hành hệ thống. An ninh mạng được cấu thành từ ba yếu tố con người, quy trình và công nghệ. Về con người, nhận thức an ninh mạng của nhân viên còn kém, kỹ năng an ninh bảo mật chưa cao. Quy trình đảm bảo an ninh mạng của các doanh nghiệp hiện cũng là một lỗ hổng lớn trong việc bảo vệ DLCN. Công ty chưa có chính sách về an ninh mạng và dữ liệu riêng khiến cho hệ thống mạng dễ bị xâm nhập, thông tin nội bộ trong công ty dễ bị người ngoài tiếp cận. Cơ sở dữ liệu được lưu trữ phân tán, việc backup dữ liệu trên USB, truy cập dữ liệu từ máy tính cá nhân mà không có quy định cụ thể chi tiết thì sẽ tạo ra lỗ hổng rất lớn. Một số doanh nghiệp đã có quy định về an ninh bảo mật, nhưng ở mức độ chung, chưa có tiêu chuẩn chi tiết để đảm bảo tuân thủ và chưa có đánh giá ở cấp độ chuyên môn để giúp họ cảnh báo. Một số tổ chức, doanh nghiệp có hoạt động thu thập dữ liệu cá nhân ở quy mô lớn đã xây dựng các quy trình, áp dụng biện pháp kỹ thuật khi thu thập, lưu trữ, xử lý thông tin cá nhân, tuy nhiên, hiệu quả chưa cao, vẫn để xảy ra các vụ lộ lọt quy mô lớn ảnh hưởng tới người sử dụng các dịch vụ. Một điều đáng lo ngại nữa là các tổ chức, doanh nghiệp khi để xảy ra sự cố lộ lọt thông tin nhưng không thông báo cho các đơn vị chuyên trách nhằm khắc phục, giảm nhẹ hiệu quả có thể xảy ra và cũng không có biện pháp khắc phục kịp thời hay thông báo cho các cá nhân, tổ chức bị lộ lọt thông tin.

Thứ tư, từ góc độ quản lý nhà nước chưa có một cơ quan chuyên trách về bảo vệ dữ liệu để đưa ra các yêu cầu tối thiểu đảm bảo an ninh bảo mật cả về công nghệ cũng như quy trình và giám sát việc tuân thủ. Khi xảy ra các sự cố nghiêm trọng, các đơn vị chuyên trách của Bộ Thông tin và Truyền thông, Bộ Công an, Bộ Quốc phòng, các doanh nghiệp cung cấp dịch vụ an ninh mạng mạng cũng như chủ thể xảy ra mất an ninh mạng đã phối hợp kiểm tra, rà soát khắc phục sự cố nhằm giảm thiểu hậu quả có thể xảy ra và điều tra nguyên nhân để có biện pháp xử lý. Tuy nhiên, mức xử phạt vẫn còn nhẹ, chưa đủ sức răn đe cũng như chưa có căn cứ cụ thể, rõ ràng nào về việc tổ chức, cá nhân phải chịu trách nhiệm bồi thường khi để lộ, lọt thông tin khách hàng.

Thứ năm là nhân lực an ninh mạng. Chúng ta thiếu và yếu cả nhân lực vận hành cũng như doanh nghiệp cung cấp giải pháp. Nhân lực đảm bảo an ninh mạng ở các doanh nghiệp vừa và nhỏ đa số là kiêm nhiệm, kiến thức và kỹ năng an ninh, an ninh không gian mạng không được cập nhật, trong khi thủ đoạn tấn công mạng lại càng tinh vi phức tạp. Hiện nay, số lượng doanh nghiệp hoạt động trong lĩnh vực an ninh, an ninh mạng: có 85 doanh nghiệp (04 tập đoàn nhà nước, 54 công ty cổ phần và 27 công ty TNHH). Trong đó: 72 doanh nghiệp được cấp phép nhập khẩu sản phẩm; 13 doanh nghiệp được cấp phép sản xuất sản phẩm và 56 doanh nghiệp được cấp phép cung cấp dịch vụ (29 doanh nghiệp được cấp phép dịch vụ kiểm tra, đánh giá an ninh mạng); 56 doanh nghiệp có trụ sở tại TP. Hà Nội, 28 doanh nghiệp có trụ sở tại TP.HCM và 01 doanh nghiệp có trụ sở tại TP. Hải Phòng. Số lượng như vậy còn ít so với yêu cầu, chưa nói đến năng lực đáp ứng của các tổ chức trên.

Như vậy, có thể nói nguy cơ mất an ninh DLCN từ các tổ chức, doanh nghiệp có hoạt động thu thập DLCN là rất lớn. Tuy nhiên, nhận thức, giải pháp, quy trình bảo vệ an ninh mạng đã tạo ra khoảng trống lớn. Quản lý nhà nước chưa có tổ chức chuyên trách để đưa ra các khuyến cáo, các yêu cầu và có cơ chế giám sát để đảm bảo an ninh mạng trong các hoạt động thu thập DLCN.

2. Hoạt động thu thập dữ liệu cá nhân từ tội phạm công nghệ cao (tổ chức, cá nhân) với chủ thể dữ liệu

Các hệ thống thông tin trực tuyến là mục tiêu hấp dẫn để các tin tặc tấn công bởi lượng dữ liệu lớn được lưu trên các hệ thống thông tin. Mức độ nghiêm trọng của các cuộc tấn công phụ thuộc vào mức độ bảo mật và giá trị của dữ liệu bị khai thác. Thông tin rò rỉ có thể là thông tin tài chính, thông tin về sức khỏe, bí mật thương mại, sở hữu trí tuệ của tổ chức hay thông tin cá nhân,…Có nhiều vấn đề an ninh, bảo mật trong các hệ thống thông tin trực tuyến vì nó bao gồm nhiều công nghệ như mạng, cơ sở dữ liệu, hệ điều hành, ảo hóa, các công nghệ phục vụ giao dịch,…

Trong bối cảnh các mối đe dọa tới an ninh mạng và quyền riêng tư ngày càng thay đổi đặc biệt là khi các tổ chức chuyển sang các hệ thống, lưu trữ và ứng dụng dựa trên đám mây. Các mối đe dọa đối với thông tin, dữ liệu cá nhân trong các hệ thống thông tin trực tuyến có thể khác nhau tùy theo mô hình, hệ thống được sử dụng. Theo nghiên cứu toàn cầu được thực hiện bởi Ponemon Institute, trong số các công ty được thăm dò trên toàn thế giới, một nửa đã có vi phạm dữ liệu phải được báo cáo theo Quy đinh bảo vệ dữ liệu chung (GDPR) của Liên minh Châu Âu. Tuy nhiên, chỉ có 18% tự tin vào khả năng thông báo vi phạm dữ liệu tới các cơ quan quản lý trong khung thời gian 72 giờ cần thiết. Và 54% cho rằng GDPR khó thực hiện hơn họ mong đợi.

2.1. Phương thức, thủ đoạn thu thập trái phép dữ liệu cá nhân

Thông qua các Website:Với thủ đoạn này, các đối tượng sẽ tạo lập hoặc lợi dụng các website có nội dung hấp dẫn thu hút người dùng, khi người dùng truy cập sẽ âm thầm cài cắm mã độc vào máy tính và các thiết bị thông minh mà người dùng không hề hay biết để thu thập thông tin. Ví dụ như: Đính kèm các mã độc vào các trang game online, các trang web có nội dung đồi trụy… hoặc đối tượng tạo ra các trang đăng nhập thông tin giả mạo (facebook, email, bank). Những trang này sẽ được gửi qua email đến nạn nhân và chúng có giao diện giống hệt với trang đăng nhập của các nhà cung cấp dịch vụ. Nếu nạn nhân mất cảnh giác và thực hiện đăng nhập thông tin trên trang web đó, thông tin sẽ được gửi đến hacker thay vì là các nhà cung cấp dịch vụ như họ nghĩ.

Thông qua phần mềm miễn phí: Với một số phần mềm được cung cấp miễn phí trên mạng internet, đặc biệt là đối với những phầm mềm không rõ nguồn gốc, phần mềm bẻ khóa, các đối tượng sẽ lợi dụng để cài cắm các mã độc đính kèm, khi người dùng tải về máy và tiến hành cài đặt thì vô tình cài đặt mã độc lên chính thiết bị của mình. Và các mã độc này sẽ tiến hành âm thầm thu thập dữ liệu cá nhân người dùng. Ví dụ: các chương trình crack, patch phần mềm; một số phần mềm diệt virus giả mạo như AntivirusGold, Antivirus PC 2009, AntiSpyware Shield Pro, DoctorTrojan...

Thông qua hòm thư điện tử:Các mẫu virus mới thường giả mạo địa chỉ email của cán bộ, đồng nghiệp trong cơ quan để gửi file cho cán bộ khác bằng tiếng Việt với nội dung như liên quan tiền lương, xin ý kiến, chương trình công tác…Kẻ địch thường tìm hiểu kỹ tên tuổi, chức vụ của người trong cơ quan trước khi tiến hành phát tán mã độc qua email.

Tấn công thông qua vật trung gian: Đây là các mã độc được viết riêng, có chủ định, không bị các chương trình diệt vi rút phát hiện. Các mã độc này sử dụng USB, CD, DCD làm vật trung gian. Đặc biệt các đối tượng có thể cài cắm các mã độc này vào cả những USB, CD, DCD mới, được bán trôi nổi trên thị trường. Khi các thiết bị lưu trữ này đã nhiễm mã độc cắm vào máy tính, chúng tiến hành thu gom dữ liệu do các đối tượng quy định (file tài liệu, file ảnh…), dữ liệu được nén và mã hóa trong các thư mục mà bình thường không phát hiện được. Khi có điều kiện kết nối Internet sẽ gửi ra máy chủ đặt ở nước ngoài.

Tấn công qua các thiết bị thông minh: Đây là một thủ đoạn mới, các đối tượng thường nhắm vào các thiết bị thông minh có kết nối internet như: Router wifi, camera an ninh, điện thoại thông minh… Bằng việc tiến hành rà quét nhằm phát hiện và lợi dụng các lỗ hổng an ninh phổ biến trên các thiết bị này như: Sử dụng tài khoản và mật khẩu mặc định của nhà sản xuất, không cập nhật các bản vá lỗi thường xuyên… Từ đó, cài cắm mã độc nhằm theo dõi, thu thập dữ liệu, đe dọa hoặc tống tiền người dùng. Ngoài ra các đối tượng còn sử dụng nhiều thiết bị nghe lén thông minh để thu thập thông tin. Ngoài những thủ đoạn phổ biến kể trên, việc thực hiện tấn công dữ liệu cá nhân còn bắt nguồn gián tiếp bởi chính người dùng. Nhận thức của một bộ phận người dân về nguy cơ mất an ninh, an ninh mạng còn hạn chế, thói quen giao tiếp trên môi trường mạng thiếu cẩn trọng. Nhu cầu trao đổi thông tin qua USB, thư điện tử ngày càng nhiều nhưng chưa có các biện pháp cụ thể và toàn diện để đảm bảo an ninh, an ninh mạng. Các cơ quan, tổ chức chưa có đủ nhân lực, vật lực để thực hiện công tác đảm bảo an ninh, an ninh mạng; chưa kiểm soát hết khả năng mất an ninh, an ninh mạng do các phần mềm, thiết bị phần cứng nhập ngoại.

2.2. Đối tượng thu thập trái phép dữ liệu cá nhân

- Các mối đe dọa và thách thức an ninh, bảo mật đối với các hệ thống thông tin trực tuyến ngày càng lớn, nhiều mối đe dọa đã trở lên quen thuộc đối với chủ quản các hệ thống thông tin. Mỗi hệ thống thông tin trực tuyến đều phải chịu các mối đe dọa đến từ những kẻ tấn công, chúng có thể được chia thành 2 nhóm như sau:

Tấn công nội bộ: Những kẻ tấn công có thể chính là những người bên trong tổ chức vận hành hệ thống thông tin. Đây chính là những nguy cơ rất lớn, bởi các biện pháp phòng thủ, bảo vệ đa số chỉ tập trung chống lại những kẻ tấn công từ bên ngoài. Nhóm tấn công này có những đặc điểm chung như sau: (1) Trong nội bộ nhà cung cấp các hệ thống thông tin trực tuyến, khách hành hoặc bên thứ 3 hỗ trợ các hoạt động của hệ thống thông tin trực tuyến; (2) Có thể có quyền truy cập vào các dịch vụ của hệ thống thông tin, dữ liệu khách hàng hoặc cơ sở hạ tầng và ứng dụng hỗ trợ, tùy thuộc vào vai trò của họ trong tổ chức; (3) Sử dụng các đặc quyền hiện có để có thêm quyền truy cập hoặc hỗ trợ bên thứ 3 trong việc thực hiện các cuộc tấn công chống lại tính bí mật, nguyên vẹn và khả dụng của thông tin trong các hệ thống thông tin trực tuyến.

Tấn công từ bên ngoài: Đây là những hacker phổ biến trên không gian mạng. Chúng thực hiện những kỹ thuật tấn công khai thác điểm yếu, lỗ hổng của các hệ thống thông tin. Khai thác các dữ liệu, thông tin quan trọng để phục vụ cho nhiều mục đích khác nhau. Những kẻ này thường có chung đặc điểm như sau: (1) Không nằm trong nội bộ nhà cung cấp các hệ thống thông tin trực tuyến, khách hành hoặc bên thứ 3 hỗ trợ các hoạt động của hệ thống thông tin trực tuyến; (2) Không có quyền truy cập vào các dịch vụ của hệ thống thông tin, dữ liệu khách hàng hoặc cơ sở hạ tầng và ứng dụng hỗ trợ; (3) Khai thác các lỗ hổng kỹ thuật, vận hành, quy trình và tấn công phi kỹ thuật để tấn công vào các hệ thống thông tin trực tuyến, khách hàng hoặc bên thứ 3 hỗ trợ các hoạt động của hệ thống thông tin trực tuyến, để có quyền truy cập, thực hiện các cuộc tấn công vào các hệ thống thông tin trực tuyến.

- Ngoài ra, có thể phân loại các đối tượng tấn công theo năng lực và mục đích của chúng, cụ thể:

+ Ngẫu nhiên: Đây là loại tấn công phổ biến nhất, kẻ tấn công sử dụng các công cụ, kỹ thuật đơn giản. Kẻ tấn công có thể quét ngẫu nhiên internet cố gắng tìm tìm các thành phần dễ bị tổn thương, lỗ hổng bảo mật, các đối tượng sẽ sử dụng các công cụ, kỹ thuật nổi tiếng để dễ dàng phát hiện các lỗ hổng.

+ Yếu: Những đối tượng tấn công không chuyên nghiệp hướng vào các máy chủ, nhà cung cấp các hệ thống thông tin trực tuyến bằng cách sử dụng các công cụ có sẵn công khai.

+ Mạnh: Các nhóm tấn công có tổ chức, được tài trợ tốt và có các kỹ năng chuyên nghiệp hướng mục tiêu vào các hệ thống thông tin trực tuyến, các ứng dụng và người dùng của các hệ thống thông tin trực tuyến. Các nhóm này sẽ là các nhóm tội phạm có tổ chức chuyên tấn công quy mô lớn.

+ Nghiêm trọng: Những kẻ tấn công có năng lực, trình độ cao và chuyên nghiệp, có động cơ cụ thể, không dễ dàng bị phát hiện bởi các tổ chức bị tấn công, thậm trí là các tổ chức thực thi pháp luật, cơ quan điều tra về an ninh, an ninh mạng. Để giảm thiểu mối đe dọa từ những đối tượng này cần năng lực, và đội ngũ chuyên gia để đối phó và phát hiện các mối đe dọa.

Các rủi ro bảo mật liên quan đến các hệ thống thông tin trực tuyến phục thuộc vào nhiều yếu tố như mức độ nhạy cảm của tài sản thông tin, kiến trúc hệ thống thông tin và các kiến trúc bảo mật liên quan đến một hệ thống thông tin cụ thể.

3. Hoạt động xử lý dữ liệu cá nhân giữa các doanh nghiệp cung cấp dịch vụ và chủ thể dữ liệu

Khi dữ liệu được lưu trữ trên các hệ thống thông tin, nhà cung cấp có quyền truy cập vào thông tin, dữ liệu đó và cũng có quyền truy cập vào dữ liệu đó của các thực thể khác (bao gồm cả những người dùng khác của các hệ thống thông tin và bên thứ ba khác). Duy trì bảo mật dữ liệu trên các hệ thống thông tin và hạn chế quyền truy cập của người dùng đặc quyền có thể đạt được bằng ít nhất một trong hai cách tiếp cận của chủ sở hữu dữ liệu: thứ nhất, mã hóa dữ liệu trước khi vào hệ thống thông tin để tách khả năng lưu trữ dữ liệu khỏi khả năng để sử dụng nó; và thứ hai, thực thi một cách hợp pháp các yêu cầu của nhà cung cấp hệ thống thông tin thông qua các nghĩa vụ hợp đồng và các cơ chế đảm bảo để đảm bảo tính bảo mật của dữ liệu được duy trì theo các tiêu chuẩn bắt buộc. Nhà cung cấp các hệ thống thông tin cần có các chính sách và giải pháp kỹ thuật kiểm soát truy cập bảo mật rõ ràng nhằm ngăn chặn sự gia tăng đặc quyền, cho phép kiểm tra hành động của người dùng và hỗ trợ nguyên tắc phân biệt nhiệm vụ cho người dùng đặc quyền để ngăn chặn và phát hiện hoạt động nội bộ nguy hiểm, độc hại. Đối tượng tấn công chuyên nghiệp có thể khai thác các chính sách mã hóa yếu và quyền truy cập quản lý của nhà cung cấp đặc quyền để khôi phục dữ liệu khách hàng bằng cách sử dụng phần mềm hoặc phần cứng phức tạp tấn công vào các thiết bị người sử dụng đầu cuối hoặc thiết bị cơ sở hạ tầng hệ thống thông tin.

Vị trí và sự phân tán dữ liệu có tầm quan trọng trong các hệ thống thông tin trực tuyến. Người sử dụng các hệ thống thông tin trực tuyến có thể theo các quy định của pháp luật hoặc hợp đồng để đảm bảo dữ liệu được lưu trữ, xử lý hoặc quản lý theo một cách nhất định. Có một số rủi ro bảo mật liên quan trong tình huống này đó là: (1) Nhà cung cấp hệ thống thông tin được yêu cầu tiết lộ dữ liệu (và các khóa có khả năng giải mã) hoặc bàn giao phương tiện vật lý cho bên thứ 3 hoặc cơ quan theo luật định; (2) Các mối nguy hiểm đến từ môi trường như động đất, lũ tụt thời tiết ảnh hưởng đến an ninh dữ liệu của khách hàng; (3) Rủi ro kinh tế ảnh hưởng đến chất lượng dịch vụ của nhà cung cấp hoặc chất lượng nhân sự.

4. Hoạt động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân, Bên thứ ba với chủ thể dữ liệu

Việc xử lý thông tin, dữ liệu cá nhân thu thập được cũng có thể gây ra những rủi ro gây mất an ninh mạng. Các quy trình thu thập, xử lý, lưu trữ, chia sẻ, xóa, … thông tin, dữ liệu cá nhân cần phải được chuẩn hóa tuân thủ theo các quy định của pháp luật để tránh các lộ, mất DLCN trong quá trình hoạt động. Một trong những thách thức quan trọng đó là sự đảm bảo với các kiểm soát bảo mật của các nhà cung cấp các hệ thống thông tin. Các khách hàng cần quan tâm đến các vấn đề như:

- Xác định các yêu cầu bảo mật: Các yêu cầu bảo mật thông tin của khách hàng được lấy từ chính sách, nghĩa vụ pháp lý và các quy định riêng của tổ chức có thể thực hiện từ các hợp đồng hoặc cam kết của đơn vị cung cấp với khách hàng của mình.

- Hoạt động thẩm tra: Khách hàng nên tìm hiểu, xem xét trước khi thực hiện các hoạt động tương tác hay hợp tác. Các hoạt động tìm hiểu, điều tra có thể cung cấp một góc nhìn có giá trị về nhà cung cấp như tình trạng tài chính, hoạt động pháp lý và danh tiếng thương mại của nó. Các chương trình chứng nhận như ISO 27001 cũng cung cấp cho các khách hàng một số đảm bảo rằng nhà cung cấp các hệ thống thông tin đã thực hiện một số bước nhất định trong việc kiểm soát các rủi ro bảo mật thông tin.

5. Hoạt động xử lý dữ liệu cá nhân giữa cá nhân với cá nhân

Sự phát triển công nghệ đã cho phép mọi đối tượng trong xã hội có thể truy cập được thông tin và dịch vụ một cách bình đằng và xóa dần khoảng cách số. Với thống kê Việt Nam có gần 150 triệu thuê bao điện thoại thì có thể nói mọi đối tượng đều có cơ hội truy cập thông tin và dịch vụ một cách bình đẳng. Tuy nhiên, kỹ năng số của các đối tượng là hoàn toàn khác nhau. Một số đối tượng yếu thế về kỹ năng số: đó là trẻ em, người khuyết tật, những người mắc bệnh HIV. Do thiếu kỹ năng số nên đối tượng này dễ để lộ DLCN và bị lợi dụng. Nguy cơ lộ lọt dữ liệu cá nhân của những người dùng trên không gian mạng là rất lớn.

Các nguyên nhân chính bao gồm:

- Đặt mật khẩu yếu: các cuộc tấn công mạng có thể là nguyên nhân phổ biến nhất của việc lộ lọt thông tin cá nhân, tuy nhiên lý do chính thường là do mật khẩu đơn giản, yếu hoặc bị mất.

- Lỗ hổng từ các phần mềm, cửa hậu: Tại sao phải phá cửa khi cửa đã mở sẵn. Tin tặc thích khai thác điểm yếu, lỗ hổng từ các ứng dụng phần mềm được cài đặt trên máy tính người dùng hoặc hệ thống mạng được thiết kế hoặc triển khai kém. Chúng để lại những lỗ hổng, điểm yếu mà tội phạm mạng sử dụng chúng để tấn công.

- Phần mềm độc hại: Giới tội phạm mạng thường xuyên dùng các phần mềm độc hại được cài đặt trực tiếp hoặc gián tiếp trên các thiết bị của người dùng. Từ đó làm phương tiện để tấn công đánh cắp thông tin, dữ liệu.

- Kỹ thuật tấn công phi kỹ thuật (Social engineering attack): Tội phạm mạng có thể tấn công thông qua lừa đảo người dùng liên quan đến việc thao tác tâm lý của con người để dụ họ tiết lộ các thông tin bí mật. Với mục đích thu thập thông tin, gian lận hoặc truy cập hệ thống.

- Sự bất cẩn của người dùng: việc sử dụng các mạng wifi công cộng, các trang web giả mạo, các email lừa đảo của tội phạm mạng, không sử dụng các phần mềm bảo mật trên thiết bị cá nhân… là một trong những lý do khiến các dữ liệu cá nhân bị lộ, lọt.

- Chia sẻ dữ liệu cá nhân quá nhiều trên các phương tiện truyền thông xã hội: Đây cũng là một lý do phổ biến, việc cung cấp các dữ liệu cá nhân một cách công khai cũng là lý do tội phạm mạng có thể sử dụng những thông tin này vào mục đích xấu.

- Chủ quan trong tham gia ký kết các điều khoản giao dịch: Khi đăng ký các dịch vụ trực tuyến, đa số người dùng thường không đọc hết các quy định trong điều khoản khi tham gia sử dụng các dịch vụ này. Điều này dẫn đến việc các nhà cung cấp dịch vụ trực tuyến có thể sử dụng các dữ liệu khách hàng của mình vào những mục đích mà người dùng không nghĩ đến. Đa số người dùng không chịu khó tìm hiểu cặn kẽ, thường bỏ qua những điều khoản trao quyền cho ứng dụng, cứ nhanh tay click vào ô “Tôi đồng ý với các điều khoản trên”, để rồi đã tự “bán mình” cho chính nhà phát hành hoặc bên thứ ba nào đó, mà không hề lường hết những hậu quả có thể xảy ra. Các trang mạng xã hội thường yêu cầu người dùng nhập nhiều thông tin về bản thân để tiện lợi cho việc tìm kiếm và kết nối với các thành viên khác, và đó chính là cách họ xác định, theo dõi các hoạt động mà người dùng không hề hay biết.

Đối với người sử dụng, chỉ cần nhận thức và có ý thức tự áp dụng một số biện pháp đảm bảo an ninh mạng cơ bản cũng phòng ngừa được đa phần các nguy cơ, rủi ro, như: Cân nhắc kỹ lưỡng trước khi cung cấp dữ liệu cá nhân của mình cho các dịch vụ trên mạng; Luôn có thói quen kiểm tra, định kỳ thay đổi các thông tin xác thực để giảm thiểu nguy cơ lộ, lọt, lộ, mất DLCN; Tránh kết bạn với những người lạ, không trả lời tin nhắn có dấu hiệu đáng ngờ được gửi đến trên Facebook, Viber, Zalo; Rà soát các nhóm đã tham gia trên mạng xã hội và rời khỏi những nhóm không cần thiết; Tuyệt đối không click, nhấp vào đường dẫn lạ; Khi giao dịch trực tuyến, cần kiểm tra website đó có an ninh hay không, hãy để ý đến tên miền; Hạn chế tham gia các trò chơi trên mạng xã hội có yêu cầu xác thực hay kiểm tra dữ liệu cá nhân quá nhiều lần. Việc đẩy mạnh hoạt động tuyên truyền, phổ biến, nâng cao nhận thức về an ninh mạng tại Việt Nam.

6. Cách mạng Công nghiệp lần thứ tư và bảo vệ dữ liệu cá nhân

Cách mạng công nghiệp lần thứ 4 là một xu thế lớn đang diễn ra trên toàn thế giới. Việt Nam quyết tâm tham gia Cách mạng công nghiệp lần thứ 4 để thúc đẩy trưởng kinh tế và hình thành nên kinh tế số. Quyết định số 749/QĐ-TTg của Thủ Tương về Chương trình chuyển đổi số quốc gia đã khẳng định Việt Nam tham gia tích cực vào Cách mạng công nghiệp 4.0. Đặc trưng của Cách mạng công nghiệp lần thứ tư là sự hợp nhất về mặt công nghệ; khả năng kết nối thông qua các thiết bị di động và khả năng tiếp cận với cơ sở dữ liệu lớn, những tính năng xử lý thông tin sẽ được nhân lên bởi những đột phá công nghệ trên nhiều lĩnh vực. Với chuyển đổi các nền tảng công nghệ đám mây, nền tảng IoT, nền tảng dữ liệu lớn sẽ được triển khai từ tất cả các cơ quan, doanh nghiệp. Công nghệ thay đổi, phương thức hoạt động thay đổi, mô hình kinh doanh thay đổi trên nền tảng số vì vậy đây là thách thức lớn đối với việc đảm bảo an ninh dữ liệu nói chung và DLCN nói riêng. Do vậy, vấn đề tội phạm công nghệ cao và việc bảo vệ bí mật đời tư, bảo vệ dữ liệu cá nhân, duy trì an ninh mạng lại trở nên cấp thiết và ngày càng thách thức.

7. Quản lý nhà nước về bảo vệ dữ liệu cá nhân trên không gian mạng

Đứng trước yêu cầu đặt ra trong công tác bảo vệ dữ liệu cá nhân cho công dân, một số cơ quan thuộc Chính phủ đang căn cứ chức năng, nhiệm vụ được giao thực hiện việc bảo vệ dữ liệu cá nhân của công dân như Bộ Công an chịu trách nhiệm tiếp nhận, xử lý các phản ánh, khiếu nại của người dân về dữ liệu cá nhân bị đánh cắp, phát tán lộ lọt gây ảnh hưởng đến đời tư, danh dự và nhân phẩm; Bộ Lao động, Thương binh và Xã hội chịu trách nhiệm tiếp nhận, xử lý các trường hợp đối tượng xâm hại là trẻ em; Bộ Công Thương xử lý các trường hợp lộ lọt thông tin của đối tượng là người mua hàng trực tuyến; Bộ Thông tin và Truyền thông xử lý các sự cố kỹ thuật, các cuộc tấn công đánh cắp dữ liệu cá nhân trên mạng Internet… Có thể thấy, có rất nhiều đơn vị chịu trách nhiệm bảo vệ dữ liệu cá nhân của công dân trước hành vi đánh cắp, phát tán lên các môi trường khác nhau (tin nhắn, mạng xã hội, tranh, ảnh…) của nhiều đối tượng khác nhau (người lớn, trẻ em, người nổi tiếng…). Đặc biệt, Bộ Lao động Thương binh và Xã hội (Cục Trẻ em) đã thiết lập đường dây nóng 111 nhằm mục tiêu thường trực tiếp nhận, xử lý thông tin, thông báo, tố giác nguy cơ, hành vi xâm hại trẻ em - trong đó có hành vi xâm hại dữ liệu cá nhân của trẻ em. Đây là dịch vụ công đặc biệt thực hiện tiếp nhận thông tin, thông báo, tố giác từ cơ quan, tổ chức, cơ sở giáo dục, gia đình, cá nhân và các em qua điện thoại, là sự kiện quan trọng góp phần thực hiện chức năng phối hợp với các cơ quan, tổ chức, cá nhân có liên quan để xác minh thông tin và kịp thời cung cấp dịch vụ bảo vệ trẻ em; cung cấp thông tin, tư vấn về pháp luật, chính sách, kiến thức, kỹ năng về thực hiện quyền trẻ em, tham vấn về tâm lý cho trẻ em, cha, mẹ, thành viên gia đình, trong chăm sóc trẻ em... Có thể thấy đây là cách tiếp cận trực tiếp và nhanh nhất nhằm bảo vệ trẻ em khỏi việc bị xâm hại, trong đó có bảo vệ thông tin cá nhân. Công tác bảo vệ DLCN hiện được phân công theo nhiều cơ quan dựa theo chức năng nhiệm vụ được giao; thiếu một tổ chức chuyên trách thực hiện bảo vệ dữ liệu cá nhân. Công tác bảo vệ dữ liệu từ thực tiễn cho thấy phải có hành lang pháp lý và lồng ghép trong đó là phải có khung công nghệ yêu cầu tuân thủ và phải có giám sát và đánh giá.

8. Chế tài xử phạt hành vi xâm phạm dữ liệu cá nhân

Pháp luật bảo vệ dữ liệu cá nhân còn quy định các chế tài xử phạt với những hành vi vi phạm bảo vệ dữ liệu cá nhân. Nếu có hành vi vi phạm, tùy vào mức độ nghiêm trọng thì cá nhân, tổ chức có thể phải chịu các chế tài hành chính hoặc hình sự theo quy định của pháp luật:

- Chế tài hình sự: Vi phạm các quy định về dữ liệu cá nhân có thể bị xử phạt hình sự, với án tù giam cao nhất là 07 năm. Cụ thể: Điều 159 Bộ Luật Hình sự quy định, việc “xâm phạm bí mật hoặc an ninh thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt tù tới 03 năm. Điều 288 quy định về “Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” với mức hình phạt cao nhất là 07 năm tù giam. Tuy nhiên, 02 tội danh này chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới dữ liệu cá nhân đang diễn ra hiện nay.

- Chế tài dân sự: Quyền bảo vệ dữ liệu cá nhân (dữ liệu cá nhân) là một quyền dân sự, việc bảo vệ quyền này được coi là nguyên tắc trong pháp luật Dân sự. Khoản 1 Điều 9 Bộ luật Dân sự năm 2015 khẳng định: “Tất cả các quyền dân sự của cá nhân, pháp nhân, chủ thể khác được tôn trọng và được pháp luật bảo vệ”. Tại Khoản 2 điều này đã ghi nhận 5 hình thức chế tài dân sự: Khi quyền dân sự của một chủ thể bị xâm phạm thì chủ thể đó có quyền tự bảo vệ theo quy định của Bộ luật này hoặc yêu cầu cơ quan, tổ chức có thẩm quyền: a) Công nhận quyền dân sự của mình; b) Buộc chấm dứt hành vi vi phạm; c) Buộc xin lỗi, cải chính công khai; d) Buộc thực hiện nghĩa vụ dân sự; đ) Buộc bồi thường thiệt hại.

- Chế tài hành chính: Các hành vi vi phạm, xâm hại đến dữ liệu cá nhân có thể bị buộc bồi thường thiệt hại, xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự, tùy thuộc vào tính chất, mức độ nguy hiểm và hậu quả do hành vi vi phạm gây ra. Mặc dù pháp luật về xử lý vi phạm hành chính hiện nay đã có các quy định xử phạt đối với một số hành vi vi phạm liên quan đến bảo vệ dữ liệu cá nhân, nhưng các quy định trên chưa bảo đảm đầy đủ, toàn diện để làm cơ sở xử phạt đối với các hành vi vi phạm không thuộc lĩnh vực bưu chính, viễn thông, công nghệ thông tin, tần số vô tuyến điện, thương mại, sản xuất, buôn bán hàng giả, hàng cấm, bảo vệ quyền lợi người tiêu dùng. Ngoài ra, việc xử lý hành vi mua bán dữ liệu cá nhân gặp khó khăn do nhiều nguyên nhân, ví dụ như: khó truy ra đầu mối ai là người tiết lộ, đánh cắp, sử dụng thông tin cá nhân. Nghị định số 174/2013/NĐ-CP ngày 13/11/2013 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện quy định: phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi không có biện pháp bảo vệ thông tin riêng hoặc dữ liệu cá nhân của người sử dụng (điểm c khoản 1 Điều 65); phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi tiết lộ trên môi trường mạng thông tin thuộc bí mật kinh doanh hoặc tiết lộ trái phép nội dung thông tin riêng của người sử dụng dịch vụ viễn thông (điểm a khoản 4 Điều 66); phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với hành vi mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông (điểm a khoản 5 Điều 66).

9. Thực trạng dữ liệu cá nhân đang bị mua bán, lộ, mất tràn lan, nhiều hành vi vi phạm pháp luật thiếu quy định xử lý

Tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô^{^[3]} và dữ liệu cá nhân đã qua xử lý^{^[4]}, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội^{^[5]}, diễn đàn tin tặc^{^[6]}. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.

Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp. Một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; tán phát mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng (máy tính và thiết bị di động); tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân. Chỉ trong 02 năm từ năm 2019 đến năm 2020, Bộ Công an phát hiện hàng trămcá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới gần 1.300GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm^{^[7]}.

III. NHẬN XÉT, ĐÁNH GIÁ

1. Dữ liệu cá nhân đã trở thành tài sản và là mục tiêu của các tổ chức tội phạm công nghệ cao. Thực tiễn cho thấy, các tổ chức tội phạm công nghệ cao đã sử dụng nhiều thủ đoạn công nghệ tinh vi, phức tạp để tấn công mạng, chiếm đoạt dữ liệu cá nhân để sử dụng với mục đích xấu. Trong một không gian mạng kết nối, việc bảo vệ DLCN cần phải được đồng bộ, có sự phối hợp của chủ thể là các tổ chức, doanh nghiệp, cá nhân với các đơn vị nghiệp vụ chuyên trách về an ninh mạng. Chỉ một khâu yếu, một lỗ hổng, đối tượng xấu sẽ lợi dụng để tấn công. Với tốc độ phát triển và ứng dụng công nghệ thông tin vào các lĩnh vực của đời sống xã hội như hiện nay, dữ liệu cá nhân đang trở thành nguồn nguyên liệu cơ bản, ngày càng quan trọng, đóng góp vào phát triển kinh tế xã hội, bảo đảm quốc phòng, an ninh.

2. Báo cáo đánh giá đã cho thấy, có nhiều mối quan hệ xã hội có liên quan tới dữ liệu cá nhân, như: giữa tổ chức thu thập với chủ thể dữ liệu, giữa cơ quan quản lý nhà nước với chủ thể dữ liệu; giữa chủ thể dữ liệu với chủ thể dữ liệu (cá nhân với cá nhân), giữa tổ chức với chủ thể dữ liệu. Mặc dù tồn tại nhiều văn bản quy phạm pháp luật khác nhau quy định các nội hàm liên quan tới DLCN nhưng chưa có văn bản Luật quy định trực tiếp bảo vệ dữ liệu cá nhân. Với sự trùng dẫm, chồng chéo nhưng lại thiếu hiệu lực, hiệu quả như hiện nay, việc xây dựng một văn bản mới, điều chỉnh toàn bộ các vấn đề là cần thiết.

3. Chế tài xử lý các hành vi vi phạm liên quan tới dữ liệu cá nhân hiện còn đang thiếu, yếu về hiệu lực, chưa đủ sức răn đe, xử lý thích đáng đối với hành vi vi phạm. Cần thiết bổ sung, sửa đổi, tập trung thống nhất các chế tài xử lý vi phạm để đáp ứng yêu cầu thực tế của công tác quản lý nhà nước về bảo vệ dữ liệu cá nhân, cũng như công tác đấu tranh, phòng chống tội phạm và hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Trên đây là Báo cáo đánh giá thực trạng quan hệ xã hội liên quan đến bảo vệ dữ liệu cá nhân, Bộ Công an kính báo cáo Chính phủ xem xét, quyết định./.

[1] Luật an toàn thông tin mạng năm 2015; Luật Tố cáo năm 2013, Nghị định số 146/2018/NĐ-CP ngày 17/10/2018 quy định chi tiết và hướng dẫn biện pháp thi hành một số điều của Luật bảo hiểm y tế; Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ; Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 về quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng; Nghị định số 52/2013/NĐ-CP ngày 16/5/2013 về thương mại điện tử; Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động cơ quan của Chính phủ

[2] Một số vụ việc điển hình như: việc Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airline, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng; tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS; dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng

[3] Danh sách cán bộ, danh bạ nội bộ của các Bộ, tập đoàn kinh tế (Công thương, Tài chính, Giao thông Vận tải, Khoa học và Công nghệ, Nông nghiệp và Phát triển nông thôn, Thương mại, Tổng cục Thuế, Tập đoàn Than…); khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh; trường học; thông tin hộ khẩu; thông tin khách hàng thuộc các lĩnh vực bất động sản, siêu thị, mua ô tô, xe máy…

[4] Thông tin chi tiết về các cá nhân, tổ chức, doanh nghiệp, như: họ tên, ngày sinh, số CMND, địa chỉ, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác…

[5] Facebook, Zalo, Telegram

[6] raidforums.com…

[7] thông tin về các cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ điện lực của EVN; thông tin phụ huynh, học sinh tại các trường trên cả nước; thông tin khách hàng của các ngân hàng BIDV, Techcombank, VPBank, AgriBank...; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng Viettel, Mobiphone, Vinaphone; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy tại 63 tỉnh, thành toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành SPA, Nha khoa, thời trang, thẩm mỹ viện

3.-baocaothuctrangquanhexahoi-2.doc

Dự thảo online

Edit Title Bar Properties

sample

Top Link Bar