Lộ bí mật thông tin cá nhân: lỗ hổng ở đâu?

2021.06.01
Lộ bí mật thông tin cá nhân: lỗ hổng ở đâu? Ảnh chụp màn hình các CMND được rao bán trên mạng RaidForums
Ảnh: RFA's screen capture

Mặc dù vụ gần 17GB dữ liệu chứng minh nhân dân (CMND) và căn cước công dân (CCCD) của gần 10.000 người dân Việt Nam bị rao bán trên mạng vẫn còn đang trong quá trình điều tra nhưng từ những thông tin ban đầu của vụ việc này, giới chuyên môn đã chỉ ra nhiều lỗ hổng pháp lý cũng như bất cập trong việc bảo mật thông tin cá nhân của các cơ quan lưu trữ dữ liệu tại Việt Nam. 

Chế tài không mạnh, quy định không cụ thể

Hiện tại, pháp luật Việt Nam đã có những quy định về vấn đề bảo vệ thông tin cá nhân. Tuy nhiên, các quy định này nằm rải rác ở nhiều văn bản như Luật An ninh mạng 2017, Luật An toàn thông tin mạng 2015, Luật Công Nghệ Thông tin 2006, Bộ luật Hình sự 2015 và các văn bản hướng dẫn khác.

Trong một trao đổi với RFA gần đây, Luật sư Nguyễn Huyền Minh thuộc công ty Luật Baker McKenzie cho biết, một bất cập nổi bật của pháp luật về bảo vệ thông tin cá nhân của Việt Nam là các chế tài vẫn chưa đủ mạnh. Cụ thể, theo Luật sư Minh, trong trường hợp cá nhân (có thể là hacker), tổ chức có hành vi thu thập, xử lý và sử dụng thông tin của tổ chức, cá nhân khác (sử dụng dịch vụ viễn thông) mà không được sự đồng ý hoặc sai mục đích theo quy định của pháp luật có thể bị xử phạt từ 10 - 20 triệu đồng theo điểm e, khoản 3, điều 102 nghị định 15/2020/NĐ-CP

Khoản 4, Điều 86 của Nghị định 15/2020 có quy định mức xử phạt đối Doanh nghiệp để xảy ra sự cố an toàn an ninh mạng dẫn đến lộ lọt thông tin cá nhân trên mạng nhưng không áp dụng ngay biện pháp khắc phục thì cũng chỉ bị phạt tối đa đến 70.000.000 đồng. Tại khoản 5, điều 102 của Nghị định này cũng chỉ quy định phạt tiền từ 50-70 triệu đồng đối với tổ chức, cá nhân có hành vi mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông. 

“Như vậy mức phạt đối với các DN vẫn còn rất là thấp và chưa có đủ tính răn đe. Mức xử phạt này không đáng kể so với doanh thu và lợi nhuận có từ việc họ vi phạm quy định của pháp luật” – LS. Minh nói.

Trong khi đó, theo LS. Minh, ở nhiều quốc gia tiên tiến trên thế giới, mức xử phạt đối với tổ chức làm lộ lọt thông tin cá nhân rất cao. Ví dụ với Liên minh Châu Âu (EU), mức phạt tối đa có thể lên đến 4% tổng doanh thu toàn cầu của doanh nghiệp trong năm tài chính trước đó hoặc lên đến 20 triệu Euro tùy theo mức nào lớn hơn.

2017-05-13T000000Z_1067815867_RC18F229E2D0_RTRMADP_3_CYBER-ATTACK.JPG
Hệ thống dữ liệu các ngân hàng, công ty bưu chính viễn thông, các hãng hàng không được xem là những miếng mồi béo bở đối với hackers. Ảnh: Reuters

Bên cạnh việc chế tài không đủ mạnh, LS. Minh cũng cho biết Việt Nam vẫn còn chưa có chế tài hình sự đối với các tổ chức làm lột lọt thông tin cá nhân. Hiện tại, Bộ Luật hình sự 2015 mới chỉ quy định chế tài hình sự đối với cá nhân có hành vi vi phạm liên quan đến bí mật thông tin cá nhân (Điều 159 và điều 288) và điều này cũng làm tính răn đe của pháp luật không lớn.

Luật sư Minh cũng cho rằng cùng với ngân hàng, các nhà cung cấp dịch vụ bưu chính viễn thông, vận tải hàng không hiện là các doanh nghiệp (DN) đang thu thập một lượng rất lớn thông tin cá nhân của khách hàng – cũng là nơi có nguy cơ cao và là mục tiêu hấp dẫn đối với hackers, tuy nhiên pháp luật Việt Nam hiện vẫn chưa có những quy định cụ thể về những yêu cầu và nghĩa vụ bảo vệ thông tin cá nhân từ các DN này. Luật sư Minh phân tích thêm:

Tôi nghĩ với ngành ngân hàng, pháp luật đã đưa ra một số yêu cầu khá cụ thể liên quan đến bảo mật hệ thống thông tin, bảo vệ dữ liệu của khách hàng nhưng đối với ngành như viễn thông hay vận tải hàng không, họ vẫn chưa có những quy định cụ thể liên quan tới bảo vệ bí mật thông tin cá nhân. Về cơ bản việc áp dụng bảo vệ TTCN chỉ dựa trên việc doanh nghiệp tự nguyện, tự nghiên cứu một số quy định”.

"Vấn đề an toàn, bảo mật còn chưa được coi trọng tại các DN vừa và nhỏ Việt Nam. Thường DN không có đội ngũ làm bảo mật chuyên nghiệp do đó những dữ liệu của cty có nguy cơ rất dễ bị rò rỉ, gây tổn thất cho khách hàng và DN. DN không có người làm bảo mật sẽ là miếng mồi ngon cho kẻ xấu. Các hackers có thể gửi đường link giả mạo, phần mềm giả mạo đến cho toàn bộ khách hàng của DN. Khách hàng chỉ cần mở các đường link đó là họ sẽ mất toàn bộ thông tin cá nhân” – Trích thảo luận của ông Nguyễn Quốc Việt - CTO Fado.vn tại  tọa đàm trực tuyến “Dữ liệu của doanh nghiệp trong giai đoạn mới” do báo VnExpress tổ chức ngày 27/5/2021.  

Luật sư Minh theo đó, cho rằng:

“Cần phải có những hướng dẫn cụ thể hơn. Chúng ta không thể chỉ nói chung chung là các DN phải có hệ thống bảo vệ phù hợp mà không nói rõ ra như thế nào là phù hợp, hệ thống công nghệ thông tin của DN phải như thế nào, DN phải lưu trữ thông tin trong  bao lâu, ai được tiếp cận vào thông tin cá nhân”.

Cũng với phân tích đó, luật sư Minh nhận định, các DN cần phải có sự phân định rõ ràng ai thuộc thẩm quyền như thế nào mới được tiếp cận thông tin cá nhân. Một mặt, nhằm hạn chế tối đa việc có quá nhiều người có quyền tiếp cận những thông tin đó và cũng là để giúp DN và các cơ quan chức năng dễ dàng truy vết ai đã làm lộ lọt thông tin trong trường hợp có sự cố rò rỉ thông tin xảy ra.

000_Hkg419603.jpg
Ảnh minh họa: Việt Nam chưa có quy định chặt chẽ về bảo mật thông tin tại các tổ chức, doanh nghiệp. Ảnh: AFP

Nhìn từ vụ việc lộ lọt CMND và CCCD của gần 10 ngàn người Việt Nam, luật sư Minh cũng cho rằng những quy định về bảo vệ thông tin cá nhân nói trên cần phải được áp dụng không chỉ đối với tổ chức, doanh nghiệp mà kể cả các cơ quan chức năng của nhà nước.

“Điều quan trọng là các quy định và chế tài của pháp luật không chỉ áp dụng với DN mà còn áp dụng với cơ quan chức năng vì thông qua sự kiện  này, chúng ta có thể thấy rủi ro có thể đến từ tất cả các bên thu thập và xử lý thông tin cá nhân, kể cả các cơ quan nhà nước. Họ cũng đang thu thập rất nhiều thông tin cá nhân và trong trường hợp những thông tin các nhân đó bị leak [rò rỉ] ra ngoài thì hậu quả cũng nghiêm trọng như trường hợp DN bị mất thông tin cá nhân. Các bên tham gia thu thập và xử lý dữ liệu đều phải có nghĩa vụ, không phân biệt đó là DN hay cơ quan chức năng”– LS. Nguyễn Huyền Minh nói. 

“Điều quan trọng là các quy định và chế tài của pháp luật không chỉ áp dụng với DN mà còn áp dụng với cơ quan chức năng vì thông qua sự kiện  này, chúng ta có thể thấy rủi ro có thể đến từ tất cả các bên thu thập và xử lý thông tin cá nhân, kể cả các cơ quan nhà nước. Họ cũng đang thu thập rất nhiều thông tin cá nhân và trong trường hợp những thông tin các nhân đó bị leak [rò rỉ] ra ngoài thì hậu quả cũng nghiêm trọng như trường hợp DN bị mất thông tin cá nhân. Các bên tham gia thu thập và xử lý dữ liệu đều phải có nghĩa vụ, không phân biệt đó là DN hay cơ quan chức năng”– LS. Minh nhận định.

Nâng cao nhận thức của người dân

Nhìn nhận ở góc độ khác cũng về vấn đề này, Blogger Trần Bang cho rằng, gốc rễ của nhiều vụ lộ lọt thông tin cá nhân xảy ra trong những năm gần đây chứng tỏ “văn hóa ít quan tâm”, tôn trọng thông tin cá nhân của công chức và nhân viên các tổ chức, doanh nghiệp tại Việt Nam. Ông Trần Bang nêu ý kiến của mình trong một trả lời với RFA như sau:

“Theo tôi cái gốc của vấn đề là nhân quyền, văn hóa coi thường thông tin cá nhân, coi thường nhân quyền ở Việt Nam”.

Ông Trần Bang cũng cho rằng do ở Việt Nam việc giáo dục nhân quyền, trong đó có quyền bí mật thông tin cá nhân không được thực hiện kỹ lưỡng nên nhân viên của các doanh nghiệp dịch vụ như ngân hàng, bưu điện, internet… không thấy được tầm quan trọng của việc bảo vệ bí mật thông tin của khách hàng, dẫn tới việc vô tình hay cố ý để lộ lọt.  

Tiếp ý kiến của ông Trần Bang, Luật sư Minh cũng cho rằng cần nâng cao ý thức của người dân về vấn đề bảo mật thông tin cá nhân. Điều này sẽ giúp họ hiểu đây là quyền được pháp luật bảo vệ, LS. Minh nói tiếp:

Người Việt Nam dường như quen với chuyện ai đó có được thông tin cá nhân của họ để gọi điện tiếp thị.  Vì vậy, việc rất quan trọng là chúng ta phải giáo dục từ con trẻ cho đến cả người già nhận thức được bảo vệ thông tin cá nhân là quyền hợp pháp của họ và được pháp luật bảo vệ. Nếu quyền này bị xâm phạm thì họ [người dân] sẽ được phép khiếu nại hoặc yêu cầu xử phạt”. 

Nhận xét

Bạn có thể đưa ý kiến của mình vào khung phía dưới. Ý kiến của Bạn sẽ được xem xét trước khi đưa lên trang web, phù hợp với Nguyên tắc sử dụng của RFA. Ý kiến của Bạn sẽ không xuất hiện ngay lập tức. RFA không chịu trách nhiệm về nội dung các ý kiến. Hãy vui lòng tôn trọng các quan điểm khác biệt cũng như căn cứ vào các dữ kiện của vấn đề.

Nhận xét

Anonymous
01/06/2021 17:35

- "Ông Trần Bang nêu ý kiến của mình trong một trả lời với RFA như sau:
Theo tôi cái gốc của vấn đề là nhân quyền, văn hóa coi thường thông tin cá nhân, coi thường nhân quyền ở Việt Nam”.

Đúng vậy,
Nhưng còn một điểm nữa là các quan chúc VN học tập quá nhiều đạo đức của Bác Hồ, còn dân thì lại học tập, làm theo các quan... dẫn đến xã hội thối nát, quan thì tham, dân thì gian,
Cho nên, nếu "thông tin cá nhân" của nguời khác , nếu nó có giá, tại sao họ lại không lấy mà đem bán lấy tiền?