Vấn đề kiểm soát thông tin cá nhân ở nước ta - Thực trạng và một số giải pháp

1. Thực trạng về việc kiểm soát thông tin cá nhân

Hiện nay, khái niệm cũng như ý thức về “kiểm soát thông tin cá nhân” đối với người dân Việt Nam còn khá mới mẻ và hạn chế. Chính vì vậy mà có rất nhiều người xem nhẹ, thậm chí là không quan tâm đến vấn đề kiểm soát thông tin cá nhân. Đây cũng là một điểm yếu để kẻ xấu lợi dụng, dễ dàng thu thập thông tin trái luật nhằm mục đích trục lợi.

Hệ lụy của việc để lộ thông tin cá nhân ra ngoài lớn hơn chúng ta vẫn thường nghĩ. Nguy hiểm hơn cả, đôi khi chúng ta không hề biết mình đang là nạn nhân của việc đánh cắp thông tin cá nhân.

Thứ nhất, trước hết và dễ thấy nhất đó là thông tin cá nhân bị mua, bán như một “món hàng”. Không khó để có thể mua thông tin cá nhân của người khác. Chỉ cần một thao tác đơn giản, gõ từ khóa “mua thông tin cá nhân” hoặc “data khách hàng” trên các công cụ tìm kiếm, ngay lập tức, đã có hàng trăm triệu kết quả tìm kiếm trong đó có hàng loạt các trang mạng điện tử và các tài khoản Facebook rao bán đủ loại dữ liệu cá nhân như tên tuổi, số điện thoại, địa chỉ email, ngành nghề. Không chỉ là những thông tin liên hệ thông thường mà cả những thông tin mang tính tuyệt mật như thu nhập, số dư tài khoản… cũng được rao bán một cách công khai. Số thông tin này được cập nhật mỗi ngày, thống kê và phân loại để thuận tiện với nhu cầu của từng đối tượng mua hàng khác nhau, từ “danh sách khách mua chung cư cao cấp ở Hà Nội, Thành phố Hồ Chí Minh”, “data khách hàng bảo hiểm”, “danh sách khách hàng tiềm năng giữ chức vụ quản lý, giám đốc, tổng giám đốc tại các doanh nghiệp lớn” , “danh sách khách hàng bất động sản tiềm năng cho công ty” cho đến “data VIP chọn lọc có thu nhập cao 20 triệu đồng đến hơn 500 triệu đồng trong bộ data khách hàng Đà Nẵng”… Hơn thế, người mua còn có thể đặt mua các gói thông tin theo nhu cầu của mình. Bên cạnh đó, tất cả những thông tin trên đều được người bán cam kết là thông tin của khách hàng thật 100%.

Giá tiền mỗi loại danh sách như vậy giao động từ vài trăm nghìn đến hàng chục triệu đồng, tùy thuộc vào loại dữ liệu, số lượng thông tin khách hàng, mức độ cập nhật và tầm quan trọng của dữ liệu. Không chỉ thế, nếu người mua cần thì người bán còn cam kết sẽ khuyến mãi thêm một vài danh sách khách hàng cũ từ nhiều năm trước và chỉ bán những danh sách mới nhất với nhiều thông tin nhất.

Hình thức thanh toán đối với “mặt hàng” dữ liệu này cũng giống như các loại mặt hàng khác, vô cùng thuận tiện cho người mua với nhiều phương thức như chuyển khoản, nạp thẻ di động…

Theo Bộ Công an, hiện nay, hành vi mua bán dữ liệu cá nhân đang diễn ra dễ dàng, phổ biến theo 02 hình thức chính. Một là, các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Hai là, các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán dữ liệu cá nhân hiện nay trên thị trường diễn ra dưới cả 02 dạng nêu trên, tiến hành kinh doanh dữ liệu cá nhân thô và dữ liệu cá nhân đã qua xử lý[1]. 

Chính vì việc mua bán thông tin cá nhân quá đơn giản dẫn đến một sự phiền toái phổ biến mà nhiều người đang gặp phải đó là việc hàng ngày điện thoại di động của họ nhận được các tin nhắn “rác” và cả những cuộc gọi không biết từ đâu để quảng cáo và môi giới các mặt hàng, đặc biệt là trong lĩnh vực bất động sản. Không chỉ dừng ở đó, đối với các loại thông tin quan trọng hơn như số tài khoản, mức thu nhập… nếu bị kẻ xấu tiếp cận sẽ bị trục lợi vì mục đích kinh tế.

Thứ hai, với thông tin là tài khoản ngân hàng bị đánh cắp, thông thường sẽ là số tài khoản và thông tin bảo mật tài khoản, theo đó, chủ tài khoản bị ăn cắp tiền chủ yếu trong các giao dịch tại POS hoặc ATM và giao dịch trực tuyến nhưng đó là giao dịch mà họ không thực hiện. Đến khi phát hiện mới biết thông tin tài khoản đã bị ai đó biết và sử dụng vào việc thanh toán, họ cũng không hề hay biết thông tin cá nhân này bị lấy vào lúc nào và như thế nào.

Thứ ba, nhiều camera an ninh hiện nay tồn tại lỗ hổng từ đó tội phạm mạng lợi dụng để xâm nhập và theo dõi ngược lại người dùng camera một cách đơn giản. Nguyên nhân là do nhà sản xuất hạn chế về năng lực an toàn thông tin hoặc thiết bị của người dùng không được cập nhật các bản nâng cấp đã khắc phục các lỗ hổng... Bên cạnh đó, khi Việt Nam có số lượng người dùng của các mạng xã hội lớn như hiện tại, đặc biệt là mạng xã hội Facebook thì những người dùng này cũng đứng trước nguy cơ bị hack mất tài khoản cá nhân và sẽ có những cuộc điện thoại hoặc tin nhắn yêu cầu chuộc hoặc tống tiền để lấy lại tài khoản mạng xã hội hoặc không phát tán các thông tin riêng tư với một khoản tiền không nhỏ tùy theo mức độ tiếp cận công chúng của chủ tài khoản. Không chỉ thế, nhiều kẻ lừa đảo trên mạng đã sử dụng hình ảnh và những thông tin công khai của người dùng mạng xã hội để tạo nên những tài khoản giả mạo, lừa chính người thân và bạn bè của họ. Nguy hiểm hơn là những thông tin như tên của các thành viên trong gia đình, tên trường học/nơi làm việc, tuyến xe đưa đón… có thể bị sử dụng để đe dọa tống tiền, bắt cóc, hoặc lừa người sử dụng chuyển tiền vào tài khoản của tội phạm.

Nguyên nhân của thực trạng trên đó là: Nguyên nhân chủ yếu dẫn đến những tình trạng kể trên đó là sự thiếu thận trọng trong việc kiểm soát của chính chủ nhân thông tin. Khi tham gia vào mạng xã hội hay các ứng dụng kết nối dịch vụ như đặt xe, thuê phòng nhà nghỉ, khách sạn, homestay, giao hàng… người sử dụng thường bị bắt buộc cung cấp một số thông tin cá nhân như họ tên, số điện thoại, địa chỉ… để có thể cài đặt ứng dụng. Thêm vào đó, các thông tin cá nhân như họ tên, quê quán, số điện thoại, nơi làm việc... cũng được người dùng công khai trên các trang mạng xã hội, đồng thời, nhiều người còn có thói quen cập nhật rất nhiều các hoạt động trong ngày của mình lên trên mạng xã hội. Một nguyên nhân khác có thể kể đến đó là việc truy cập vào mạng wifi miễn phí tại các trung tâm thương mại hay tại các “địa điểm check in” cũng vô tình khiến thông tin của chính mình bị đánh cắp. Bên cạnh đó, các điều khoản về bảo mật và trao quyền cho ứng dụng khi sử dụng các thiết bị điện tử hay ứng dụng công nghệ cũng được người dùng dễ dàng đồng ý mà chưa có sự tìm hiểu cặn kẽ. Hành động này đồng nghĩa với việc người sử dụng đã vô tình trao thông tin của mình cho nhà sản xuất mà không biết. Ngoài ra, khi thông tin cá nhân của khách hàng ngày càng trở thành một “miếng mồi ngon” cho nhiều tổ chức, cá nhân để khai thác, tìm kiếm lợi nhuận thì việc thu thập thông tin không chỉ đơn thuần là việc các doanh nghiệp và công ty kinh doanh dịch vụ thu thập dữ liệu cá nhân khách hàng của họ mà giờ đây còn xuất hiện những phần mềm thu thập thông tin trái phép được cài ẩn trong các trang mạng bán hàng hay những đường dẫn. Theo đó, người dùng chỉ cần truy cập vào những trang web này hoặc nhấp chuột vào những đường link nêu trên thì đồng thời những thông tin cá nhân cụ thể về phiên truy cập như địa chỉ IP, thời gian, địa điểm, số điện thoại cũng được chuyển hết về máy chủ.

2. Pháp luật Việt Nam quy định về việc kiểm soát thông tin cá nhân

Xuất phát từ quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân… được quy định tại Điều 21 Hiến pháp năm 2013 thì thông tin cá nhân được kiểm soát và đảm bảo an toàn là một trong những quyền nhân thân vô cùng quan trọng đối với mỗi cá nhân và trở thành một nguyên tắc hiến định ở nước ta phù hợp với xu hướng bảo vệ quyền con người trên thế giới.

Theo Điều 38 Bộ luật Dân sự năm 2015 thì quyền về đời sống riêng tư, bí mật cá nhân được pháp luật dân sự bảo hộ, tại khoản 2 Điều 387 Bộ luật này quy định, trường hợp một bên nhận được thông tin bí mật của bên kia trong quá trình giao kết hợp đồng thì có trách nhiệm bảo mật thông tin và không được sử dụng thông tin đó cho mục đích riêng của mình hoặc cho mục đích trái pháp luật khác. Nếu vi phạm quy định trên mà gây thiệt hại thì phải bồi thường.

Luật An toàn thông tin mạng năm 2015 cũng đã thể hiện sự quan tâm của Nhà nước trong vấn đề kiểm soát thông tin cá nhân, theo đó, Điều 7 quy định các hành vi bị nghiêm cấm, trong đó có: Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân; xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc. Luật này cũng đã dành riêng Mục 2 Chương II quy định khá cụ thể về bảo vệ thông tin cá nhân với các điều khoản về nguyên tắc, việc thu thập, sử dụng, cập nhật, sửa đổi và hủy bỏ thông tin cá nhân, bảo đảm an toàn thông tin cá nhân trên mạng cũng như trách nhiệm của cơ quan quản lý nhà nước trong bảo vệ thông tin cá nhân trên mạng.

Theo Luật Công nghệ thông tin năm 2006 (sửa đổi, bổ sung năm 2017) cũng quy định đối với việc thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng, hay các quy định về lưu trữ, cung cấp thông tin cá nhân trên môi trường mạng (Điều 21, Điều 22).

Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 cũng quy định về việc bảo vệ thông tin của người tiêu dùng tại Điều 6, từ đó đặt ra vấn đề kiểm soát thông tin của người tiêu dùng cho tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ.

Cá nhân, tổ chức nếu có hành vi vi phạm các quy định nêu trên thì tùy theo tính chất, mức độ vi phạm có thể bị xử lý kỷ luật, đình chỉ hoạt động, xử phạt vi phạm hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật (căn cứ theo Điều 8 Luật An toàn thông tin mạng năm 2015, Điều 77 Luật Công nghệ thông tin năm 2006, được sửa đổi, bổ sung năm 2017, Điều 11 Luật Bảo vệ quyền lợi người tiêu dùng năm 2010).

Về xử lý vi phạm hành chính, theo Điều 46 Nghị định số 98/2020/NĐ-CP ngày 26/8/2020 của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng thì hành vi vi phạm về bảo vệ thông tin của người tiêu dùng sẽ bị phạt tiền từ 10 triệu đồng đến 20 triệu đồng và phạt tiền gấp hai lần các mức tiền phạt trên đối với trường hợp thông tin có liên quan là thông tin thuộc về bí mật cá nhân của người tiêu dùng. Bottom of FormNghị định số 15/2020/NĐ-CP ngày 03/02/2020 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử có quy định các hành vi vi phạm đối với thông tin cá nhân, cụ thể: Cung cấp, sử dụng trái phép thông tin trên mạng (Điều 80); sử dụng mạng nhằm chiếm đoạt tài sản (Điều 81); thu thập, sử dụng thông tin cá nhân (Điều 84); cập nhật, sửa đổi và hủy bỏ thông tin cá nhân (Điều 85); bảo đảm an toàn thông tin cá nhân trên mạng (Điều 86); không lập, lưu giữ và bảo mật thông tin của khách hàng sử dụng sản phẩm, dịch vụ an toàn thông tin mạng (điểm b khoản 1 Điều 92); trách nhiệm của tổ chức, doanh nghiệp thiết lập mạng xã hội (Điều 100) trong việc không có biện pháp bảo vệ bí mật thông tin riêng hoặc thông tin cá nhân của người sử dụng (điểm b khoản 1), không thông báo cho người sử dụng về quyền, trách nhiệm, rủi ro khi lưu trữ trao đổi, chia sẻ thông tin trên mạng (điểm c khoản 1), không bảo đảm quyền quyết định của người sử dụng khi cho tổ chức, doanh nghiệp thiết lập mạng xã hội cung cấp thông tin cá nhân của họ cho bên thứ ba (điểm d khoản 1), sử dụng thông tin cá nhân của người khác trên mạng xã hội nhưng chưa được sự đồng ý của cá nhân đó (điểm a khoản 2); lưu trữ, cho thuê, truyền đưa, cung cấp, truy nhập, thu thập, xử lý, trao đổi và sử dụng thông tin (Điều 102). Khi vi phạm một trong các hành vi quy định trong các điều luật kể trên có thể bị phạt tiền từ 2.000.000 đồng đến 100.000.000 đồng. Đồng thời có hình thức xử phạt bổ sung, đó là: Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài; tịch thu tang vật, phương tiện vi phạm hành chính; tước quyền sử dụng giấy phép thiết lập mạng xã hội từ 22 tháng đến 24 tháng đối với hành vi vi phạm và các biện pháp khắc phục hậu quả như: Buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm; buộc hủy bỏ thông tin cá nhân do thực hiện hành vi vi phạm quy định; buộc thu hồi đầu số, kho số viễn thông do thực hiện hành vi vi phạm quy định; buộc thu hồi tên miền do thực hiện hành vi vi phạm quy định.

Về truy cứu trách nhiệm hình sự, theo Bộ luật Hình sự năm 2015, được sửa đổi, bổ sung năm 2017, các hành vi xâm phạm đến thông tin cá nhân của người khác có thể bị truy cứu trách nhiệm hình sự về tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông (Điều 288); tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác (Điều 289); tội sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản (Điều 290); tội thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng (Điều 291). Người phạm tội có thể bị phạt tiền từ 20.000.000 đồng đến 1.000.000.000 đồng, bị phạt cải tạo không giam giữ đến 03 năm hoặc bị phạt tù từ 06 tháng đến 20 năm, người phạm tội còn có thể bị phạt tiền từ 5.000.000 đồng đến 200.000.000 đồng, cấm đảm nhiệm chức vụ, cấm hành nghề hoặc làm công việc nhất định từ 01 năm đến 05 năm, tịch thu một phần hoặc toàn bộ tài sản.

Ngoài ra, theo Chỉ thị số 04/CT-BTTTT ngày 11/01/2019 về tăng cường phòng chống mã độc và bảo vệ thông tin cá nhân trên không gian mạng, Bộ Thông tin và Truyền thông đã yêu cầu các cơ quan, đơn vị, doanh nghiệp thực hiện các quy định của pháp luật về an toàn thông tin nhằm xử lý tình hình lây nhiễm mã độc; phòng, chống nguy cơ lộ lọt thông tin cá nhân, tăng cường bảo đảm an toàn thông tin trên không gian mạng.

Như vậy, pháp luật nước ta cũng đã tạo ra một hành lang pháp lý đối với việc kiểm soát thông tin cá nhân, từ đó, với những chế tài đã đặt ra, cá nhân, tổ chức có hành vi xâm phạm đến thông tin cá nhân thì tùy từng trường hợp, tương ứng với những mức độ vi phạm pháp luật của hành vi đó mà có thể buộc bồi thường thiệt hại, bị xử lý kỷ luật, bị đình chỉ hoạt động, bị xử lý hành chính hoặc truy cứu trách nhiệm hình sự.

3. Một số giải pháp

Trong thời đại công nghệ số và có kết nối Internet thì việc thiếu kiểm soát thông tin cá nhân mang lại nhiều rủi ro. Để khắc phục những tình trạng kể trên, mỗi người cần ý thức hơn nữa đến việc bảo mật thông tin cá nhân của bản thân cũng như những người xung quanh mọi lúc, mọi nơi khi kết nối Internet hoặc sử dụng các mạng xã hội, cụ thể như tránh kết bạn với những người lạ, không trả lời tin nhắn được gửi đến tài khoản mạng xã hội có dấu hiệu đáng nghi, cần cân nhắc khi đăng tải bất kì điều gì lên mạng xã hội, đồng thời hạn chế đưa những thông tin cá nhân công khai.

Cần sử dụng những phần mềm có bản quyền và được cập nhật thường xuyên. Đối với việc sử dụng ứng dụng, nên chọn các ứng dụng được cung cấp bởi những đơn vị uy tín, người dùng cũng nên sử dụng phần mềm diệt virus để tránh bị mất thông tin quan trọng trong các thiết bị máy tính, điện thoại di động hay các thiết bị cá nhân có kết nối mạng Internet. Ngoài ra, không nên tùy tiện truy cập vào những trang web không rõ nguồn gốc hoặc các đường dẫn từ email hay các trang mạng xã hội.

Chúng ta cần cân nhắc trước khi đăng nhập vào mạng wifi miễn phí tại nơi công cộng. Khi không cần thiết không cung cấp thông tin cá nhân cho nhà cung cấp dịch vụ, các doanh nghiệp.

Bên cạnh đó, đối với tài khoản mạng xã hội, email cá nhân, dịch vụ ngân hàng điện tử, người dùng cần đặt mật khẩu có tính bảo mật cao, thay đổi mật mã thường xuyên và không dùng tính năng lưu mật mã cho các phiên đăng nhập kế tiếp.

Mặc dù pháp luật đã có những chế tài đối với các hành vi xâm phạm thông tin cá nhân nhưng vẫn chưa đủ sức răn đe, chưa đảm bảo đầy đủ  và toàn diện cũng như chưa cụ thể và trực tiếp đến các hành vi vi phạm pháp luật liên quan đến thông tin cá nhân phức tạp và biến đổi không ngừng như hiện nay. Vì vậy, mỗi cá nhân cần phải thấy được hệ lụy từ việc mất kiểm soát thông tin cá nhân, từ đó nhận thức được tầm quan trọng của việc kiểm soát tốt thông tin cá nhân và bảo vệ đúng cách, có như vậy những thiệt hại sẽ được giảm thiểu và nếu có xảy ra cũng ở mức thấp nhất.