Tiết lộ dữ liệu cá nhân trái phép: Phạt nhẹ sao đủ sức răn đe!

Nghị định quy định về bảo vệ dữ liệu cá nhân sẽ là cơ sở pháp lý để xử lý việc đánh cắp và mua bán dữ liệu cá nhân tràn lan nhưng nhiều chuyên gia cho rằng mức phạt còn nhẹ.

Bộ Công an vừa hoàn thành dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân và đưa ra lấy ý kiến trong vòng 2 tháng. Đáng chú ý, dự thảo có quy định đề xuất xử phạt từ 50-80 triệu đồng với trường hợp cá nhân, tổ chức tiết lộ, chia sẻ các dữ liệu cá nhân trái phép, chưa được sự đồng ý, gây tổn hại đến nhân phẩm, danh dự của người bị tiết lộ.

Hơn 60 tổ chức, cá nhân mua bán trái phép thông tin

Qua rà soát sơ bộ, Bộ Công an đã phát hiện hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng.

Các đối tượng, tổ chức này hoạt động trong nhiều lĩnh vực như: công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện...

Một số đơn vị thu thập thông tin khách hàng rồi cho đối tác thứ ba tiếp cận các thông tin này và chuyển giao cho các đối tác khác. Bên cạnh đó, một số doanh nghiệp (DN) khác chủ động thu thập thông tin của khách hàng để phân tích và tiếp tục buôn bán. Các dữ liệu này được cung cấp dưới dạng dịch vụ như: databox.vn, databoxviet.com...

Ông Võ Đỗ Thắng, Giám đốc Trung tâm An ninh mạng Athena, cho rằng việc thu thập thông tin cá nhân diễn ra phổ biến nhất ở khối DN như lĩnh vực bất động sản, ngân hàng, hàng không. "Thông tin của khách hàng được các nhân viên kinh doanh chuyền tay nhau sử dụng hoặc mang ra để liên kết bán hàng. Vì vậy mới xảy ra tình trạng nhiều người mỗi ngày nhận hàng chục tin nhắn, cuộc gọi đến mời mua căn hộ, đất nền... gây nhiều phiền phức" - ông Thắng nói.

Trao đổi với phóng viên Báo Người Lao Động, Thiếu tướng Nguyễn Văn Giang, Phó Cục trưởng Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an) - đơn vị soạn thảo dự thảo nghị định, cho biết A05 và cơ quan chức năng đã xử lý nhiều trường hợp tiết lộ đời tư cá nhân.

"Tình trạng lộ, lọt, hoạt động đánh cắp và mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Do vậy, dự thảo nghị định được xây dựng từ yêu cầu của công tác phòng ngừa, đấu tranh, xử lý các vi phạm pháp luật liên quan" - Thiếu tướng Nguyễn Văn Giang lý giải.

Tăng trách nhiệm của đơn vị quản lý dữ liệu

Theo dự thảo nghị định, dữ liệu cá nhân được chia làm 2 loại: Loại dữ liệu cơ bản gồm họ và tên khai sinh; ngày, tháng, năm sinh; nhóm máu; giới tính; số điện thoại; nơi sinh; nơi thường trú; số CMND, căn cước; tình trạng hôn nhân... Loại dữ liệu cá nhân nhạy cảm gồm quan điểm chính trị, tôn giáo, tình trạng sức khỏe, dữ liệu về di truyền, tình trạng giới tính, xu hướng tình dục...

Bộ Công an đề xuất xử phạt từ 50-80 triệu đồng với trường hợp cá nhân, tổ chức tiết lộ, chia sẻ các dữ liệu cá nhân trái phép, chưa được sự đồng ý của cá nhân, gây tổn hại đến nhân phẩm, danh dự của người bị tiết lộ, các vi phạm về xử lý dữ liệu cá nhân của trẻ em hay hủy, xóa dữ liệu cá nhân trái phép... Bên cạnh đó, mức phạt từ 80-100 triệu đồng được đề xuất áp dụng với các hành vi chuyển dữ liệu cá nhân trái phép qua biên giới, vi phạm đăng ký xử lý dữ liệu cá nhân nhạy cảm.

Theo ông Võ Đỗ Thắng, từ trước đến nay có rất ít vụ kiện liên quan đến lĩnh vực thu thập, mua bán dữ liệu cá nhân trái phép. Dự thảo nghị định này được thông qua sẽ là cơ sở pháp lý hướng dẫn cơ quan chức năng xử lý người cố ý tiết lộ, qua đó bảo vệ người tiêu dùng. Đồng thời cũng sẽ tạo ra sự công bằng trong thị trường; thúc đẩy các đơn vị quản lý dữ liệu phải có trách nhiệm, ý thức giám sát chặt chẽ hơn về nhân viên cũng như thiết bị công nghệ để bảo mật thông tin của khách hàng.
 

Việc đánh cắp và mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng

Ý kiến trái chiều về mức phạt

Với mức phạt đề xuất, luật sư Trần Xuân Tiền (Đoàn Luật sư TP Hà Nội) cho rằng là phù hợp, mang tính răn đe. Trong quá trình soạn thảo dự thảo, các cơ quan soạn thảo cũng đã nghiên cứu, căn cứ vào tình hình kinh tế chung cũng như các quy định pháp luật hiện hành về việc xử phạt các hành vi vi phạm tương tự để đề xuất mức xử phạt. Ngoài ra, nhân thân cũng là vấn đề mới được quan tâm, cần có thêm ý kiến đóng góp của người dân và các chuyên gia để có thể sửa đổi, bổ sung và hoàn thiện.

Trong khi đó, luật sư Nguyễn Anh Thơm (Đoàn Luật sư TP Hà Nội) cho rằng việc đề xuất mức phạt nêu trên là quá thấp. Do lợi nhuận nên không ít DN vi phạm khiến người dân cũng rất bức xúc, như việc để lộ thông tin, số điện thoại… khách hàng. Tại châu Âu, sự ra đời của Quy định chung về bảo vệ dữ liệu (GDPR) với mục đích vạch ra kế hoạch cải cách bảo vệ dữ liệu cá nhân trên toàn Liên minh châu Âu. Theo đó, có 2 cách thức phạt, có thể tối đa là 20 triệu euro hoặc 4% doanh thu toàn cầu (tùy theo mức nào cao hơn), cộng với việc các chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại. Từ đó, có thể thấy mức phạt trong luật pháp Việt Nam còn quá nhẹ.

Về vấn đề này, Thiếu tướng Nguyễn Văn Giang thừa nhận mức phạt trên là nhẹ và mới chỉ là đề xuất tham khảo. Trên thế giới nhiều nước đã phạt 10% mức doanh thu của DN vi phạm. "Sau này, sẽ căn cứ vào tình hình thực tế để cơ quan chức năng xử lý. Trong đó, đối với những trường hợp mua bán, thu lời từ việc mua bán dữ liệu cá nhân trái phép gây hậu quả nghiêm trọng, với số tiền thu lời bất chính từ 50 triệu đồng trở lên, sẽ bị xử lý theo điều 290 Bộ Luật Hình sự" - Thiếu tướng Nguyễn Văn Giang thông tin.
 

Bài và ảnh: NGUYỄN HƯỞNG
(Dẫn nguồn NLĐO)