Phổ biến tình trạng lộ, mất, mua, bán dữ liệu cá nhân
Trong bối cảnh chuyển đổi số diễn ra sâu rộng trên hầu hết các lĩnh vực, dữ liệu cá nhân được chuyển lên môi trường điện tử thường xuyên, liên tục dẫn đến tình trạng lộ, mất dữ liệu cá nhân diễn ra phổ biến trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai. Mặc dù Nghị định số 13/2023/NĐ-CP đã quy định dữ liệu cá nhân không được mua, bán dưới mọi hình thức, thực tế tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.
Hoạt động mua, bán dữ liệu cá nhân diễn ra dưới nhiều hình thức như: Doanh nghiệp không có thỏa thuận xử lý dữ liệu cá nhân chặt chẽ với đối tác, để đối tác chuyển giao, bán cho các đối tác khác; chủ động thu thập, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán; rao bán dữ liệu cá nhân số lượng lớn, có hệ thống, có tổ chức, cam kết "bảo hành" và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua; lập doanh nghiệp vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; tấn công, xâm nhập hệ thống thông tin để chiếm đoạt dữ liệu cá nhân, tán phát mã độc thu thập dữ liệu cá nhân trên môi trường mạng.
Việc xây dựng Luật Bảo vệ dữ liệu cá nhân giúp ngăn chặn các hành vi xâm phạm dữ liệu cá nhân
Bộ Công an phát hiện, đấu tranh, xử lý một số đường dây chiếm đoạt, mua bán dữ liệu cá nhân quy mô lớn tại Việt Nam (lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm). Trong năm 2023, các cơ quan chức năng đã phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên các nền tảng, diễn đàn (BreachedForums, Telegram, Facebook); cung cấp dịch vụ tra cứu dữ liệu cá nhân công dân Việt Nam (dữ liệu thời gian thực). Thực trạng trên đặt ra yêu cầu cấp bách trong hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân mang tính thống nhất, đồng bộ trong hệ thống pháp luật, nâng cao nhận thức, ý thức về hoạt xử lý dữ liệu cá nhân hiện nay song hành với công tác bảo vệ dữ liệu cá nhân và có các quy định rõ ràng về việc bảo đảm các quyền của chủ thể dữ liệu. Luật Bảo vệ dữ liệu cá nhân sẽ giúp nâng cao nhận thức của tất các cả đối tượng (cá nhân, cơ quan, tổ chức, doanh nghiệp) về quyền, trách nhiệm, nghĩa vụ bảo vệ dữ liệu cá nhân. Các chế tài được áp dụng sau khi ban hành Luật cũng mang tính răn đe, nâng cao ý thức thượng tôn pháp luật, tôn trọng và tuân thủ các quy định trong hoạt động xử lý dữ liệu cá nhân.
Trong nhiều lĩnh vực tại Việt Nam, hồ sơ giấy vẫn là phương tiện lưu trữ dữ liệu cá nhân phổ biến. Việc thiếu các quy định cụ thể về bảo vệ dữ liệu trên môi trường này đã dẫn đến nhiều trường hợp vi phạm và rủi ro tiềm tàng. Đặc biệt, trong bối cảnh chuyển đổi từ dữ liệu vật lý sang dữ liệu điện tử (số hóa), nếu không có quy định rõ ràng và thống nhất cho cả hai dạng dữ liệu, quá trình này có thể phát sinh nhiều rủi ro, bao gồm suy giảm chất lượng dữ liệu, mất mát thông tin và vi phạm bảo mật. Thực tế, nhiều tổ chức, doanh nghiệp vẫn duy trì hệ thống lưu trữ song song giữa dữ liệu trên môi trường mạng và dữ liệu vật lý. Việc pháp luật hiện hành chủ yếu tập trung vào bảo vệ dữ liệu cá nhân trên môi trường điện tử, trong khi chưa có quy định chặt chẽ cho dữ liệu vật lý, đã dẫn đến sự bất đồng trong việc áp dụng các biện pháp bảo vệ đồng bộ. Những quy định này không chỉ gây khó khăn cho việc quản lý và chuyển đổi dữ liệu giữa các hệ thống mà còn tạo ra lỗ hổng pháp lý dễ bị lợi dụng. Đặc biệt, khi quy định bảo vệ dữ liệu chỉ tập trung vào môi trường điện tử, người quản lý dữ liệu có thể lợi dụng kẽ hở này để hủy dữ liệu trên hệ thống mạng nhưng vẫn giữ lại bản giấy nhằm tránh bị giám sát chặt chẽ, từ đó làm gia tăng rủi ro về bảo mật thông tin và xâm phạm quyền riêng tư của chủ thể dữ liệu.
Điển hình như trong ngành Y tế, hồ sơ bệnh án của bệnh nhân chứa nhiều thông tin nhạy cảm như tiền sử bệnh, thông tin cá nhân và gia đình. Tuy nhiên, việc lưu trữ hồ sơ giấy tại các bệnh viện và phòng khám thường không được bảo vệ chặt chẽ, dẫn đến nguy cơ rò rỉ thông tin. Trong lĩnh vực lao động, các doanh nghiệp và cơ quan nhà nước thường lưu trữ hồ sơ nhân sự dưới dạng giấy, bao gồm thông tin cá nhân, lý lịch, hợp đồng lao động và thông tin tài chính. Tuy nhiên, không có quy định cụ thể về việc bảo vệ những hồ sơ này, dẫn đến nguy cơ truy cập trái phép và rò rỉ thông tin. Các trường học cũng lưu trữ hồ sơ học sinh, sinh viên bằng hồ sơ giấy, bao gồm thông tin cá nhân, kết quả học tập và các dữ liệu liên quan.
Lực lượng Công an thu giữ tang vật trong đường dây thu thập, mua bán dữ liệu thông tin cá nhân khách hàng trái phép của các công ty tài chính
69 văn bản quy phạm pháp luật... chưa thống nhất
Theo thống kê của Bộ Công an, có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp, 4 bộ luật, 39 luật, 1 pháp lệnh, 19 nghị định, 4 thông tư/thông tư liên tịch, 1 quyết định của bộ trưởng. Tuy nhiên, dù có tới 69 văn bản nhưng tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân, chỉ có Nghị định số 13/2023/NĐ-CP ngày 17/4/2024 của Chính phủ về bảo vệ dữ liệu cá nhân (Nghị định số 13/2023/NĐ-CP) đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.
Tuy nhiên, đây mới chỉ là văn bản nghị định, chưa phải văn bản luật nên cần thống nhất thực hiện trong thực tiễn, cần có văn bản luật làm "luật gốc", mang tính nguyên tắc, góp phần tiếp tục thể chế hóa quy định của Hiến pháp và pháp luật về quyền bảo vệ bí mật cá nhân, quyền con người, quyền công dân, an ninh mạng bảo đảm sự đồng bộ, thống nhất trong hệ thống pháp luật.
Hiến pháp năm 2013 khẳng định quyền riêng tư của cá nhân là bất khả xâm phạm, đồng thời phát triển mở rộng phạm vi quyền riêng tư không chỉ là quyền bất khả xâm phạm về thân thể, nhà ở, thư tín mà còn bao gồm quyền bảo vệ bí mật cá nhân, trong đó có thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình (Điều 21).
Hiện nay, trong hệ thống pháp luật Việt Nam chỉ có 1 văn bản là Nghị định số 13/2023/NĐ-CP đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân, chưa có văn bản luật nào quy định về vấn đề này. Tuy nhiên, phạm vi điều chỉnh của nghị định chưa bao quát hết các lĩnh vực, quan hệ của đời sống, xã hội, chưa tương thích với các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình được nêu trong Hiến pháp năm 2013, cùng các quy định liên quan tới "thông tin cá nhân", "thông tin riêng", "thông tin số"; "thông tin cá nhân trên môi trường mạng"; "thông tin bí mật đời tư” được nêu trong một số văn bản luật hiện hành.
Qua rà soát pháp luật cho thấy việc bảo vệ dữ liệu cá nhân trên môi trường truyền thống, bao gồm dữ liệu cá nhân trong các tài liệu, hồ sơ, bệnh án ở trên giấy đang chưa được quy định cụ thể trong bất kỳ văn bản pháp luật hiện hành nào, đặc biệt là thiếu vắng các quy định chi tiết và chỉ rõ các biện pháp bảo vệ quyền của chủ thể dữ liệu. Các quy định pháp luật hiện đang có hiệu lực, sau khi đã loại trừ các văn bản tập trung vào đối tượng là dữ liệu cá nhân trên môi trường mạng, mới chỉ có quy định chung về bảo vệ bí mật cá nhân, bí mật gia đình, thông tin về đời sống riêng tư không kể hình thức chứa đựng thông tin là trên các phương tiện điện tử hay hồ sơ giấy.
Theo quy định của Hiến pháp năm 2013, chỉ có văn bản luật được quyền quy định các nội dung liên quan tới hạn chế quyền con người, quyền công dân. Dự thảo Luật Bảo vệ dữ liệu cá nhân dự kiến quy định một số trường hợp liên quan tới tiết lộ, xử lý dữ liệu cá nhân khi chưa được sự đồng ý của chủ thể dữ liệu, có khả năng ảnh hưởng tới quyền con người. Mặc dù đã được Ủy ban Thường vụ Quốc hội đồng ý, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP quy định một số trường hợp tại Điều 17. Tuy nhiên, về mặt pháp lý và để bảo đảm quy phạm đầy đủ các trường hợp khác trong thực tiễn, cần ban hành Luật Bảo vệ dữ liệu cá nhân để quy định các nội dung nêu trên.
Theo Bộ Công an, Luật Bảo vệ dữ liệu cá nhân sẽ quy phạm đầy đủ các quyền của chủ thể dữ liệu, bảo vệ dữ liệu cá nhân, các hành vi vi phạm quy định sẽ được căn cứ vào Luật để đề xuất các hình thức, biện pháp xử lý phù hợp.