Trung tâm Công nghệ thông tin và Truyền thông Thái Nguyên
Nền tảng pháp lý bảo vệ dữ liệu cá nhân
Việc ban hành Nghị định số 13/2023/NĐ-CP nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức.
Việt Nam đang đẩy mạnh xây dựng Chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số với sự tham gia ngày càng sâu rộng của các lĩnh vực hành chính, y tế, hình sự, hộ tịch, quốc tịch, chứng thực, thương mại điện tử, giáo dục, tài chính, ngân hàng, thuế… Công nghệ thông tin, truyền thông, trí tuệ nhân tạo, internet vạn vật, điện toán đám mây, dữ liệu lớn, dữ liệu nhanh… được ứng dụng sâu rộng, tạo ra những giá trị to lớn xã hội.
Dữ liệu cá nhân từ vị trí chưa thực sự quan trọng, trở thành nguyên liệu chính cho hoạt động của các ngành, nghề, dịch vụ nêu trên và ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân.
Điều này đặt ra cho Chính phủ bài toán phải quản lý hiệu quả, tương đồng giữa sử dụng và bảo vệ dữ liệu cá nhân, ứng phó, hạn chế nguy cơ, xử lý vi phạm để giữ vững sự phát triển và giá trị do dữ liệu cá nhân tạo ra.
Tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.
Tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.
Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác.
Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết "bảo hành" và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua.
Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội[7], diễn đàn tin tặc. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.
Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp.
Một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; tán phát mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng (máy tính và thiết bị di động); tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân.
Chỉ trong 02 năm từ năm 2019 đến năm 2020, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới gần 1.300GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.
Với thực trạng buôn bán, xử lý dữ liệu cá nhân tràn lan như hiện nay, việc không có chế tài xử lý hoặc chế tài xử lý không đủ mạnh, không đủ sức răn đe sẽ không giải quyết được tình hình.
Để đồng bộ, thống nhất và bảo đảm quy định của pháp luật về ban hành văn bản quy phạm pháp luật, một số nội dung mang tính căn bản cho công tác bảo vệ dữ liệu cá nhân không quy định tại Nghị định này, mà đề xuất bổ sung vào Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng.
Ngày 01/10/2020, Chính phủ đã có báo cáo số 442/BC-CP trình Quốc hội về kết quả rà soát văn bản quy phạm pháp luật thuộc các lĩnh vực quản lý nhà nước, đưa ra phương án giải quyết thực trạng trên là tiếp tục xây dựng Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng, bổ sung các vấn đề liên quan tới dữ liệu cá nhân vào Nghị định này .
Nội dung chủ yếu: Nghị định 13/2023/NĐ-CP gồm 44 Điều, chia thành 04 chương; cụ thể:
Chương I. Những Quy định chung, gồm 08 điều (Điều 1 tới Điều 8), quy định về phạm vi điều chỉnh; đối tượng áp dụng; giải thích từ ngữ; nguyên tắc bảo vệ dữ liệu cá nhân; xử lý vi phạm quy định bảo vệ dữ liệu cá nhân; quản lý nhà nước về bảo vệ dữ liệu cá nhân; áp dụng Nghị định bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế; hợp tác quốc tế về bảo vệ dữ liệu cá nhân; hành vi bị nghiêm cấm.
Chương II. Xử lý dữ liệu cá nhân, gồm 04 mục, 20 điều (từ Điều 9 đến Điều 31), gồm: Mục 1 quy định về quyền và nghĩa vụ của chủ thể dữ liệu. Mục 2 quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân. Mục 3 quy định về đánh giá tác động và chuyển dữ liệu cá nhân ra nước ngoài. Mục 4 quy định về biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân.
Chương III. Trách nhiệm của cơ quan, tổ chức, cá nhân, gồm 11 điều (từ Điều 32 đến Điều 42), quy định về: Trách nhiệm của Bộ Công an, Bộ Thông tin và Truyền thông, Bộ Khoa học và Công nghệ, Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ Ba, tổ chức, cá nhân có liên quan.
Chương IV. Điều khoản thi hành, gồm 02 điều (từ Điều 43 đến Điều 44), quy định về: Hiệu lực thi hành; Trách nhiệm thi hành./.
Dữ liệu cá nhân từ vị trí chưa thực sự quan trọng, trở thành nguyên liệu chính cho hoạt động của các ngành, nghề, dịch vụ nêu trên và ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân.
Điều này đặt ra cho Chính phủ bài toán phải quản lý hiệu quả, tương đồng giữa sử dụng và bảo vệ dữ liệu cá nhân, ứng phó, hạn chế nguy cơ, xử lý vi phạm để giữ vững sự phát triển và giá trị do dữ liệu cá nhân tạo ra.
Tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.
Tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.
Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác.
Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết "bảo hành" và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua.
Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội[7], diễn đàn tin tặc. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.
Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp.
Một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; tán phát mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng (máy tính và thiết bị di động); tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân.
Chỉ trong 02 năm từ năm 2019 đến năm 2020, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới gần 1.300GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.
Với thực trạng buôn bán, xử lý dữ liệu cá nhân tràn lan như hiện nay, việc không có chế tài xử lý hoặc chế tài xử lý không đủ mạnh, không đủ sức răn đe sẽ không giải quyết được tình hình.
Để đồng bộ, thống nhất và bảo đảm quy định của pháp luật về ban hành văn bản quy phạm pháp luật, một số nội dung mang tính căn bản cho công tác bảo vệ dữ liệu cá nhân không quy định tại Nghị định này, mà đề xuất bổ sung vào Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng.
Ngày 01/10/2020, Chính phủ đã có báo cáo số 442/BC-CP trình Quốc hội về kết quả rà soát văn bản quy phạm pháp luật thuộc các lĩnh vực quản lý nhà nước, đưa ra phương án giải quyết thực trạng trên là tiếp tục xây dựng Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng, bổ sung các vấn đề liên quan tới dữ liệu cá nhân vào Nghị định này .
Nội dung chủ yếu: Nghị định 13/2023/NĐ-CP gồm 44 Điều, chia thành 04 chương; cụ thể:
Chương I. Những Quy định chung, gồm 08 điều (Điều 1 tới Điều 8), quy định về phạm vi điều chỉnh; đối tượng áp dụng; giải thích từ ngữ; nguyên tắc bảo vệ dữ liệu cá nhân; xử lý vi phạm quy định bảo vệ dữ liệu cá nhân; quản lý nhà nước về bảo vệ dữ liệu cá nhân; áp dụng Nghị định bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế; hợp tác quốc tế về bảo vệ dữ liệu cá nhân; hành vi bị nghiêm cấm.
Chương II. Xử lý dữ liệu cá nhân, gồm 04 mục, 20 điều (từ Điều 9 đến Điều 31), gồm: Mục 1 quy định về quyền và nghĩa vụ của chủ thể dữ liệu. Mục 2 quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân. Mục 3 quy định về đánh giá tác động và chuyển dữ liệu cá nhân ra nước ngoài. Mục 4 quy định về biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân.
Chương III. Trách nhiệm của cơ quan, tổ chức, cá nhân, gồm 11 điều (từ Điều 32 đến Điều 42), quy định về: Trách nhiệm của Bộ Công an, Bộ Thông tin và Truyền thông, Bộ Khoa học và Công nghệ, Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ Ba, tổ chức, cá nhân có liên quan.
Chương IV. Điều khoản thi hành, gồm 02 điều (từ Điều 43 đến Điều 44), quy định về: Hiệu lực thi hành; Trách nhiệm thi hành./.
Ngọc Quỳnh
Ý kiến bạn đọc
Bạn cần đăng nhập với tư cách là Thành viên chính thức để có thể bình luận
ỨNG DỤNG CNTT TRONG CQNN
Tin nổi bật
-
Huyện Định Hóa phát động hưởng ứng Ngày Chuyển đổi số quốc gia
-
169 nền tảng, dịch vụ, giải pháp số xuất sắc được trao Giải thưởng Sao Khuê 2024
-
Số liệu thống kê lĩnh vực bưu chính năm 2023
-
Việt Nam - Ấn Độ trao đổi hợp tác phát triển hạ tầng công cộng số, mạng lưới thanh toán số
-
5G sẽ đem lại cơ hội doanh thu mới cho các nhà mạng Việt Nam
