16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ
Bộ Công an đang đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân để lấy ý kiến đóng góp của các cơ quan, tổ chức, cá nhân.
Theo Bộ Công an, thời gian qua, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.
Tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật…
Trong năm 2023, hoạt động mua bán dữ liệu cá nhân, dữ liệu nhạy cảm tiếp tục diễn biến phức tạp với nhiều phương thức, thủ đoạn tinh vi. Bộ Công an đã chủ động phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên không gian mạng.
Qua công tác đấu tranh, Bộ Công an phát hiện số lượng lớn dữ liệu bị lộ mất được tin tặc rao bán công khai trên các nền tảng, diễn đàn (BreachedForums, Telegram, Facebook). Các đối tượng rao bán hoạt động với độ ẩn danh cao, thủ đoạn hoạt động và phương thức thanh toán hoàn toàn bằng tiền mã hoá nên khó truy vết.
Nổi lên là: nhóm Telegram “Data Pro 298” (4.685 thành viên) cung cấp dịch vụ tra cứu thông tin dữ liệu viễn thông, Facebook, điện lực, ví điện tử Momo, thông tin biển kiểm soát phương tiện giao thông; nhóm Telegram “Tra cứu thông tin toàn quốc” (2.700 thành viên) cung cấp dịch vụ tra “nóng” dữ liệu cá nhân công dân Việt Nam (dữ liệu thời gian thực); diễn đàn tin tặc “Nohide.space” (nguồn gốc Nga) rao bán số lượng lớn thông tin đăng nhập nhiều hệ thống trọng yếu của Việt Nam…
Một số trường hợp còn lợi dụng các diễn đàn, hội nhóm chia sẻ phương thức tấn công mạng, cách thức phát triển, phát tán mã độc số lượng lớn, gây nguy cơ mất an toàn, an ninh mạng. Thực trạng này cho thấy hệ thống cơ sở dữ liệu của cơ quan nhà nước và khu vực doanh nghiệp vẫn có những điểm yếu, lỗ hổng bảo mật để tin tặc lợi dụng xâm nhập, đánh cắp dữ liệu.
4 chính sách trong đề nghị xây dựng Luật
Theo Bộ Công an, việc xây dựng, ban hành Luật Bảo vệ dữ liệu cá nhân là hết sức cần thiết nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân.
Về mục tiêu tổng quát, theo cơ quan chủ trì, việc xây dựng Luật Bảo vệ dữ liệu cá nhân góp phần hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
Mục tiêu cụ thể bao gồm: Thống nhất thuật ngữ và xây dựng một số khái niệm quan trọng về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân, chủ thể dữ liệu, phân loại dữ liệu cá nhân, xử lý dữ liệu cá nhân, sự đồng ý của chủ thể dữ liệu, chuyển dữ liệu cá nhân ra nước ngoài.
Xây dựng các nguyên tắc bảo vệ dữ liệu cá nhân; quy định về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân; quy định quyền và nghĩa vụ của chủ thể dữ liệu; quy định sự đồng ý của chủ thể dữ liệu.
Quy định xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu; quy định về điều kiện bảo vệ dữ liệu cá nhân đối với các tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân; dịch vụ cung cấp tổ chức, nhân sự bảo vệ dữ liệu cá nhân (DPO).
Đánh giá tác động xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân ra nước ngoài; biện pháp bảo vệ dữ liệu cá nhân, điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân.
Hoàn thiện quy định bảo đảm các điều kiện, biện pháp bảo vệ dữ liệu cá nhân, cơ quan chuyên trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân; lực lượng bảo vệ dữ liệu cá nhân, gồm: lực lượng chuyên trách, lực lượng tham gia bảo vệ dữ liệu cá nhân (bộ phận bảo vệ dữ liệu cá nhân, nhân sự bảo vệ dữ liệu cá nhân).
Đề nghị xây dựng Luật đề cập đến 4 chính sách, gồm:
Chính sách 1: Thống nhất quy định pháp luật về các thuật ngữ pháp lý liên quan tới dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.
Chính sách 2: Quy định cụ thể các quyền và nghĩa vụ của chủ thể dữ liệu.
Chính sách 3: Hoàn thiện quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu.
Chính sách 4: Hoàn thiện quy định bảo đảm các điều kiện, biện pháp bảo vệ dữ liệu cá nhân.