Thực trạng và giải pháp hoàn thiện pháp luật về bảo mật thông tin cá nhân trên không gian mạng

Nhận thức chung 

Về bảo mật thông tin cá nhân (TTCN) trên không gian mạng (KGM), hiện nay vẫn chưa có khái niệm thống nhất về vấn đề này. Tiếp cận theo hướng an ninh mạng thì Bảo mật thông tin cá nhân trên không gian mạng là việc áp dụng các biện pháp cần thiết để đảm bảo thông tin cá nhân được giữ bí mật và chỉ những người được ủy quyền mới có thể truy cập, sử dụng, thay đổi, chia sẻ được thông tin của một cá nhân nào đó và sự thông suốt khi một cá nhân truy cập vào thông tin của mình. Bảo mật thông tin cá nhân còn là việc duy trì tính bảo mật, tính toàn vẹn, toàn diện và tính sẵn sàng cho toàn bộ thông tin cá nhân của mình.

Theo Điều 9 của Nghị định 13/2023/NĐ-CP ngày 17 tháng 04 năm 2023 quy định về bảo vệ dữ liệu cá nhân: quyền của chủ thể dữ liệu trong đó bao gồm việc bảo mật thông tin cá nhân trên không gian mạng, có thể hiểu Quyền bảo mật thông tin cá nhân trên không gian mạng của các chủ thể bao gồm: Quyền được biết, Quyền đồng ý, Quyền truy cập, Quyền rút lại sự đồng ý, Quyền xóa dữ liệu, Quyền hạn chế xử lý dữ liệu, Quyền cung cấp dữ liệu, Quyền phản đối xử lý dữ liệu, Quyền khiếu nại, tố cáo, khởi kiện, Quyền yêu cầu bồi thường thiệt hại, Quyền tự bảo vệ.

 Các quy định pháp luật về quyền bảo mật thông tin cá nhân trên không gian mạng

Các quy định pháp luật quốc tế về quyền bảo mật TTCN trên KGM

Điều 12 Tuyên ngôn Quốc tế về Nhân quyền UDHR quy định không ai phải chịu sự can thiệp một cách tuỳ tiện vào cuộc sống riêng tư, gia đình, nơi ở hoặc thư tín, cũng như bị xúc phạm danh dự hoặc uy tín cá nhân. Mọi người đều có quyền được pháp luật bảo vệ chống lại sự can thiệp và xâm phạm như vậy. Quy định trong Điều 12 UDHR sau đó được tái khẳng định trong  Điều 17 Công ước Quốc tế về các quyền dân sự - chính trị, trong đó nêu rằng: “Không ai bị can thiệp một cách tuỳ tiện hoặc bất hợp pháp vào đời sống riêng tư, gia đình, nhà ở, thư tín, hoặc bị xâm phạm bất hợp pháp đến danh dự và uy tín. Mọi người đều có quyền được pháp luật bảo vệ chống lại những can thiệp hoặc xâm phạm như vậy [4].

Nghị quyết 68/167 về quyền riêng tư trong thời đại kỹ thuật số kêu gọi các quốc gia tôn trọng và bảo vệ quyền bảo mật TTCN, kể cả trong bối cảnh giao tiếp kỹ thuật số: có biện pháp chấm dứt vi phạm các quyền đó; tạo điều kiện để ngăn chặn các vi phạm, bao gồm cả việc đảm bảo pháp luật quốc gia có liên quan tuân thủ nghĩa vụ của mình theo luật nhân quyền quốc tế; xem xét các thủ tục, quá trình thực hiện pháp quyền [5]...

GDPR cung cấp cho công dân châu Âu phương thức để họ kiểm soát tốt hơn các dữ liệu được thu thập về họ (bởi lẽ việc thu thập dữ liệu đôi khi là một phần không thể thiếu trong quá trình vận hành các công ty trực tuyến). Theo GDPR, các công ty và tổ chức phải thực hiện việc thu thập, sử dụng và chia sẻ TTCN theo cách đáng tin cậy và phù hợp với quy định của pháp luật. Họ cũng phải cung cấp thông tin chi tiết về việc sử dụng TTCN cho người dùng và giải quyết các yêu cầu của người dùng về quyền riêng tư của họ[6].

Các quy định pháp luật trong nước về quyền bảo mật TTCN trên KGM

Điều 21 Hiến pháp năm 2013 quy định: “1. Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cả nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cả nhân, bí mật gia đình được pháp luật bảo đảm an toàn; 2. Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác. Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác”.

Khoản 3 Điều 38 Bộ luật Dân sự 2015 quy định: “Thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của cá nhân được đảm bảo an toàn và bí mật”. Việc bổ sung thêm thuật ngữ “cơ sở dữ liệu điện tử” có nghĩa là việc đảm bảo quyền riêng tư không chỉ áp dụng đối với các loại thông tin riêng tư của cá nhân tồn tại dưới các dạng thức truyền thống như thư tín, điện thoại, điện tín,… mà còn áp dụng cả đối với TTCN riêng tư trên không gian mạng.

Nghị định số 117/2018/NĐ-CP ngày 11/9/2018 của Chính phủ về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài. Bên cạnh các quyền lợi, khách hàng có nghĩa vụ tuân thủ các quy định của Nghị định này và hướng dẫn của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài trong việc cung cấp thông tin khách hàng.

Tình hình vi phạm pháp luật về quyền bảo mật thông tin cá nhân trên không gian mạng

Hoạt động thu thập thông tin cá nhân từ các tổ chức tội phạm kỹ thuật cao

Các hệ thống thông tin trực tuyến là mục tiêu hấp dẫn để các tin tặc tấn công bởi lượng dữ liệu lớn được lưu trên các hệ thống thông tin. Mức độ nghiêm trọng của các cuộc tấn công phụ thuộc vào mức độ bảo mật và giá trị của thông tin bị khai thác. Trên thế giới đã xảy ra không ít những trường hợp tấn công thông tin cá nhân người dùng từ tội phạm công nghệ cao. Điển hình như Albert Gonzalez, kẻ được mệnh danh là "hacker của thế kỷ 21", vì phạm tội đánh cắp dữ liệu của 170 triệu thẻ tín dụng trong khoảng thời gian từ năm 2005 đến năm 2007 [7] . Đây là vụ án gây chấn động dư luận Hoa Kỳ lẫn toàn thế giới vì mức độ thiệt hại nặng nề. Tại Việt Nam, nhiều cuộc tấn công mạng nhằm đánh cắp TTCN của người dùng đã được phát hiện và xử lý. Điển hình vào ngày 7/11/2018, thành viên erwincho của diễn đàn RaidForums đã đăng tải thông tin được cho là dữ liệu của hơn 5,4 triệu khách hàng Thế Giới Di Động [8].

Ngoài những thủ đoạn phổ biến như tấn công thông qua hòm thư điện tử, tấn công thông qua vật trung gian (USB, CD, DCD), hay tấn công qua các thiết bị thông minh, việc thực hiện tấn công dữ liệu cá nhân còn bắt nguồn gián tiếp bởi chính người dùng. Nhận thức của một bộ phận người dân về nguy cơ mất an ninh, an ninh mạng còn hạn chế, thói quen giao tiếp trên môi trường mạng thiếu cẩn trọng. Nhu cầu trao đổi thông tin qua USB, thư điện tử ngày càng nhiều nhưng chưa có các biện pháp cụ thể và toàn diện để đảm bảo an ninh, an ninh mạng. Các cơ quan, tổ chức chưa có đủ nhân lực, vật lực để thực hiện công tác đảm bảo an ninh, an ninh kiểm soát hết khả năng mất an ninh, an ninh mạng do các phần mềm, thiết bị phần cứng nhập ngoại.

Hoạt động của chủ thể dữ liệu trên không gian mạng      

Nguy cơ lộ, mất TTCN có thể đến từ những người sử dụng trên không gian mạng hoặc chuyên nghiệp như người quản trị hệ thống và vận hành hệ thống. Đối với nhóm người sử dụng, bên cạnh những tích cực thì kèm theo đó là nguy cơ vi phạm quyền bảo mật TTCN trên KGTT từ chính người dùng mạng. Cụ thể như sau:

- Nhận thức về bảo vệ thông tin cá nhân còn hạn chế, chưa phù hợp với tình hình thực tế là nguyên nhân chính dẫn tới tình trạng lộ, lọt, chiếm đoạt thông tin cá nhân, buôn bán thông tin cá nhân.

- Đặt mật khẩu yếu: các cuộc tấn công mạng có thể là nguyên nhân phổ biến nhất của việc lộ lọt TTCN, tuy nhiên lý do chính thường là do mật khẩu đơn giản, yếu hoặc bị mất.

- Sự bất cẩn của người dùng: Người sử dụng không gian mạng chưa có ý thức bảo vệ TTCN, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn đến bị chiếm đoạt và đăng tải công khai.

- Chia sẻ thông tin cá nhân quá nhiều trên các phương tiện thông tin xã hội: Đây là một lý do phổ biến, việc cung cấp các TTCN một cách công khai cũng là lý do tộ phạm mạng có thể sử dụng những thông tin này vào mục đích xấu.

- Chủ quan trong tham gia ký kết các điều khoản giao dịch: Khi đăng ký các dịch vụ trực tuyến, đa số người dùng thường không đọc hết các quy định trong điều khoản khi tham gia sử dụng các dịch vụ này.

Hoạt động thu thập thông tin cá nhân của các bên liên quan

Thực tế thời gian vừa qua cho thấy, các tổ chức, doanh nghiệp có hoạt động thu thập TTCN vẫn còn buông lỏng, chưa có các biện pháp quản lý và kỹ thuật phù hợp để bảo vệ TTCN thu thập được, đặc biệt là các tổ chức, doanh nghiệp thu thập thông tin ở quy mô vừa và nhỏ, khả năng ứng phó trước mối đe dọa vẫn còn yếu kém. Nhiều tổ chức, doanh nghiệp cũng không nhận thức được trách nhiệm bảo vệ cũng như hậu quả có thể xảy ra nếu các thông tin đó bị lộ lọt hay cung cấp cho bên thứ 3. Các doanh nghiệp chủ động thu thập TTCN của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại thông tin đó để tiến hành kinh doanh, buôn bán. Việc buôn bán TTCN được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật thông tin, trích xuất thông tin theo yêu cầu của người mua.  Nhiều thông tin được rao bán công khai, trong thời gian dài, với số lượng lớn trên KGM. Nhiều doanh nghiệp nhận thức chưa đầy đủ về trách nhiệm bảo vệ TTCN nên từ đó chủ quan, không chú ý một cách đầy đủ các giải pháp bảo vệ TTCN trong khi thủ tấn công đoạn, cách thức tấn công mạng ngày càng tinh vi, phức tạp. Hệ thống bảo mật của các doanh nghiệp, đặc biệt là các doanh nghiệp vừa và nhỏ, hiện còn rất hạn chế, thậm chí có doanh nghiệp còn trong tỉnh trạng sơ sài, yếu kém; chưa có một quy trình bảo vệ TTCN chuẩn trong doanh nghiệp, do vậy khả năng rò rỉ TTCN xuất phát từ chính con người vận hành hệ thống.

Thực trạng tại Việt Nam

Nhìn chung, các văn bản quy phạm pháp luật đã tạo hành lang pháp lý cho cơ quan, tổ chức, các doanh nghiệp và cá nhân thực hiện quyền bảo mật TTCN trên KGM. Đồng thời, đảm bảo an toàn thông tin, bảo vệ hệ thống thông tin, góp phần bảo vệ chủ quyền quốc gia trên không gian mạng. Về chế tài và hình thức xử phạt:

Thứ nhất, trách nhiệm dân sự. Quyền bảo vệ thông tin cá nhân (trong đó có quyền bảo mật TTCN trên KGM) là một quyền dân sự, việc bảo vệ quyền này được coi là nguyên tắc trong pháp luật Dân sự, có thể yêu cầu bồi thường thiệt hại theo Bộ luật dân sự năm 2015. Cơ chế được áp dụng ở đây là bồi thường thiệt hại khi xâm phạm đời sống riêng tư dẫn đến thiệt hại về danh dự, nhân phẩm, uy tín của chủ thể khác. Người bị xâm phạm các thông tin liên quan đời sống riêng tư sẽ được bồi thường nếu chứng minh có hành vi trái pháp luật xâm phạm đời sống riêng tư; có thiệt hại xảy ra, nhất là thiệt hại tổn thất về tinh thần, tài sản; có mối quan hệ nhân quả giữa hành vi xâm phạm và thiệt hại cho người bị xâm phạm. Khi thỏa mãn các điều kiện trên, chủ thể sẽ được bồi thường về chi phí hạn chế, khắc phục thiệt hại, thu nhập bị mất do hành vi xâm phạm gây ra, các thiệt hại khác, kể cả là thiệt hại về tổn thất tinh thần.

Thứ hai, trách nhiệm hành chính. Hành vi xâm phạm đời sống riêng tư, đối với trách nhiệm hành chính, bị xử phạt theo Nghị định số 15/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử.

- Thẩm quyền xử phạt vi phạm hành chính: Các hình thức xử phạt vi phạm hành chính được quy định cho một số chủ thể như: Thanh tra, Ủy ban nhân dân các cấp, Công an nhân dân, Bộ đội Biên phòng, Cảnh sát biển, Quản lý thị trường…

- Hình thức xử phạt chính: Cảnh cáo; phạt tiền; tùy theo tính chất, mức độ vi phạm, tổ chức, cá nhân có hành vi vi phạm hành chính còn có thể bị áp dụng một hoặc nhiều hình thức xử phạt bổ sung.

Các nhóm giải pháp hoàn thiện pháp luật

Xây dựng một văn bản pháp luật riêng về quyển bảo mật TTCN trên không gian mạng. Nghiên cứu xây dựng Luật Bảo vệ thông tin cá nhân, trên cơ sở kế thừa một số quy định về bảo vệ TTCN đã có trong Luật Công nghệ thông tin năm 2006, Luật An toàn thông tin mạng năm 2015, Nghị định số 52/2013/NĐ-CP về thương mại điện tử . Phải quy định đầy đủ hơn các nguyên tắc bảo mật TTCN, quy định về việc thu thập và xử lý TTCN liên quan tới trẻ em, quy định rõ hơn trách nhiệm của các chủ thể tham gia vào quá trình thu thập, lưu trữ, xử lý, khai thác, chuyển giao TTCN.

Hoàn thiện quy định về khái niệm bảo mật TTCN trong Hiến pháp và các văn bản Luật, quy định thống nhất khái niệmTTCN, bảo mậtTTCN, từ đó cập nhật, bổ sung các TTCN trong từng ngành, lĩnh vực, bảo đảm quy định đầy đủ những TTCN cần được bảo vệ. Bên cạnh việc tiếp tục hiến định quyền riêng tư trong Hiến pháp, cần tiếp tục sửa đổi, bổ sung các Bộ luật cơ bản và các văn bản pháp luật chuyên ngành để có một khái niệm thống nhất về TTCN.

Hoàn thiện các quy định về hành vi vi phạm pháp luật về bảo mật TTCN trên KGM trong các văn bản pháp luật chuyên ngành, bổ sung một số quy định trong các văn bản pháp luật về bảo mật TTCN trong lĩnh vực Tư pháp - Hình sự, các quy định pháp luật về thông tin cá nhân trên internet, môi trường số, báo chí truyền thông.

Hoàn thiện các quy định về thẩm quyền, điều kiện xử lý thông tin cá nhân của các cơ quan, tổ chức Nhà nước, về phương thức, trình tự thủ tục bảo vệTTCN, cần quy định cụ thể thẩm quyền của cơ quan có trách nhiệm xử lýTTCN, về điều kiện, trình tự, thủ tục xử lý các TTCN trong các luật liên quan tới an ninh quốc gia, quốc phòng như Luật An ninh Quốc gia, Luật Quốc phòng, Luật Công an nhân dân, tránh tình trạng quy định dẫn chiếu: "do pháp luật quy định". Các trường hợp hạn chế quyền theo Điều 14 Hiến pháp 2013 cần phải được quy định rõ trong các văn bản luật.  

Hoàn thiện mức độ bảo đảm về quyền riêng tư và lợi ích hợp pháp của công dân trong hệ thống pháp luật bảo mậtTTCN, về lâu dài, cần nghiên cứu hoàn thiện hơn nữa thể chế về quyền bảo mật TTCN và bảo đảm thực hiện quyền bảo mật TTCN đặt trong tổng thể thể chế quyền riêng tư, bí mật cá nhân, bí mật gia đình theo đúng tinh thần của Hiến pháp năm 2013 và Công ước Liên Hợp quốc về các quyền dân sự, chính trị.

Ảnh: Báo Trà Vinh

           TÀI LIỆU THAM KHẢO

1. Bộ Chính trị (2015), Chỉ thị số 46-CT/TW ngày 2/Q9 22/6/2015 về “Tăng cường sự lãnh đạo của Đảng đối với công tác đảm bảo an ninh thông tin trong tình hình mới”.
2. PGS.TS. Nguyễn Thị Quế Anh, PGS.TS. Vũ Công Giao, TS. Ngô Minh Hương & TS. Lã Khánh Tùng (2018), Quyền về sự riêng tư, Nxb. Chính trị quốc gia sự thật, Hà Nội.
3. GS.TS Trần Đại Quang (2017), Không gian mạng - Tương lai và Hành động, Nxb Công an nhân dân, Hà Nội.

4. https://www.vnba.org.vn/gop-y-chinh-sach/tiem-hieu-van-ban/trong-nuoc/item/5216- hai-hoa-hoa-phap-luat-ve-thuong-mai-dien-tu-trong-khu-vuc-asean-va-mot-so-khuyen- nghi, truy cập ngày 14/02/2023.
5. https://www.vnba.org.vn/gop-y-chinh-sach/tiem-hieu-van-ban/trong-nuoc/item/5216- hai-hoa-hoa-phap-luat-ve-thuong-mai-dien-tu-trong-khu-vuc-asean-va-mot-so-khuyen- nghi, truy cập ngày 09/03/2023.
6. Tra cứu toàn văn GDPR tại: https://gdpr-info.eu/, truy cập ngày 7/2/2023.
7. https://thanhnien.vn/hacker-cua-the-ky-vao-tu-185278975.htm, truy cập ngày 26/02/2023.
8. https://antoanthongtin.vn/an-toan-thong-tin/ro-ri-thong-tin-du-tieu-nghi-la-cua-khach- hang-the-gioi-di-dong-104914, truy cập ngày 03/03/2023.

Bài viết của nhóm sinh viên nghiên cứu khoa học, Học viện An ninh nhân dân: Nguyễn Duy Điển, Lê Thị Bích, Trần Thị Hoa, Vũ Phong Hùng, Nguyễn Công Trí.

Nhóm sinh viên nghiên cứu khoa học Học viện An ninh nhân dân