Trước tình trạng mua bán dữ liệu cá nhân tràn lan gây nguy cơ lừa đảo và chiếm đoạt tài sản, Chính phủ đề xuất luật hóa việc cấm hoàn toàn hành vi mua bán này.
Phó thủ tướng Lê Thành Long chiều 5/5 thừa ủy quyền Thủ tướng trình Quốc hội dự án Luật Bảo vệ dữ liệu cá nhân. Dự luật liệt kê 6 nhóm hành vi bị nghiêm cấm, bao gồm: xử lý dữ liệu cá nhân trái luật, gây ảnh hưởng tiêu cực đến Nhà nước, quốc phòng, an ninh, quyền và lợi ích hợp pháp của tổ chức, cá nhân; cản trở hoạt động bảo vệ dữ liệu của cơ quan chức năng; lợi dụng bảo vệ dữ liệu để vi phạm pháp luật; thu thập, xử lý, chuyển giao dữ liệu trái quy định; mua, bán dữ liệu cá nhân; cố ý chiếm đoạt, làm lộ hoặc làm mất dữ liệu cá nhân.
Nghị định số 13/2023 đã quy định “dữ liệu cá nhân không được mua, bán dưới mọi hình thức”, song thực tế tình trạng mua bán dữ liệu cá nhân hiện diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Trong bối cảnh chuyển đổi số diễn ra sâu rộng, dữ liệu cá nhân được chuyển lên môi trường điện tử thường xuyên. Việc này dẫn đến tình trạng lộ, lọt diễn ra phổ biến trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.
Ngoài ra, một số doanh nghiệp không có thỏa thuận xử lý dữ liệu cá nhân chặt chẽ với đối tác, để đối tác chuyển giao, bán cho bên thứ ba. Thậm chí, doanh nghiệp chủ động thu thập, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Một số loại tội phạm tấn công, xâm nhập hệ thống thông tin để chiếm đoạt dữ liệu cá nhân, tán phát mã độc thu thập dữ liệu cá nhân trên môi trường mạng.
Phó thủ tướng Lê Thành Long. Ảnh: Cổng TTĐT Quốc hội
Bộ Công an đã phát hiện, đấu tranh, xử lý một số đường dây chiếm đoạt, mua bán dữ liệu cá nhân quy mô lớn tại Việt Nam lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm. Đơn cử năm 2024, tấn công mã hóa dữ liệu kết hợp đánh cắp thông tin cá nhân lên đến 10 terabyte, gây tổng thiệt hại ước tính lên đến 11 triệu USD; 14,5 triệu tài khoản ở Việt Nam bị rò rỉ, chiếm 12% toàn cầu.
Thực trạng hiện nay đặt ra yêu cầu cấp bách về một khung pháp lý bảo vệ dữ liệu cá nhân thống nhất, đồng bộ, với các quy định rõ ràng nhằm bảo đảm quyền của chủ thể dữ liệu.
Cơ quan thẩm tra dự án luật – Ủy ban Quốc phòng, An ninh và Đối ngoại cho biết một số thành viên đề xuất làm rõ định nghĩa “mua, bán dữ liệu cá nhân” để có cơ sở pháp lý vững chắc cho việc cấm hành vi này. Có đại biểu kiến nghị loại trừ các hoạt động chuyển giao, cung cấp, chia sẻ dữ liệu nội bộ trong các tổ chức, doanh nghiệp phục vụ mục đích xử lý và sử dụng nghiệp vụ.
Tuy nhiên, một số ý kiến lại nhìn nhận dữ liệu cá nhân như một loại hàng hóa đặc biệt mà quyền của chủ thể có thể được giao dịch. Việc cấm tuyệt đối mua bán có thể gây ra những hệ lụy không nhỏ cho hoạt động sản xuất, kinh doanh của các tổ chức, doanh nghiệp.
“Cần phải quy định theo hướng thông thoáng hơn để khơi thông nguồn lực, khuyến khích đổi mới sáng tạo, không cản trở thị trường dữ liệu”, Ủy ban đề xuất, cho rằng không nên tạo rào cản cho thị trường dữ liệu mà cần quản lý chặt chẽ thông qua minh bạch hóa, tăng cường giám sát, ứng dụng công nghệ bảo vệ tiên tiến, đảm bảo quyền lợi của chủ thể dữ liệu.
Cơ quan thẩm tra đề xuất Chính phủ điều chỉnh quy định theo hướng cấm “mua, bán dữ liệu cá nhân trái pháp luật”. Đối với các giao dịch mua bán quyền dữ liệu cá nhân, có thể cho phép nếu được sự đồng ý của chủ thể và phục vụ mục tiêu phát triển kinh tế xã hội, bảo đảm quốc phòng, an ninh quốc gia.
Ủy ban kiến nghị cấm doanh nghiệp đặt ra yêu cầu bắt buộc người dùng phải cung cấp dữ liệu cá nhân như một điều kiện tiên quyết để sử dụng dịch vụ, đặc biệt là hạn chế việc lạm dụng các dữ liệu nhạy cảm như họ tên, vị trí địa lý, thông tin sinh trắc học. Ngoài ra, Chính phủ cần nghiên cứu cấm việc thu thập, hình thành các kho dữ liệu cá nhân, phân tích và xử lý dữ liệu nhằm mục đích kinh doanh, buôn bán; nghiêm cấm hành vi rao bán dữ liệu cá nhân với số lượng lớn, có hệ thống, có tổ chức; và ngăn chặn việc vận hành các hệ thống kỹ thuật chuyên dụng để thu thập trái phép dữ liệu cá nhân.
Bên cạnh chính sách về mua bán dữ liệu cá nhân, dự Luật còn điều chỉnh một loạt các nội dung quan trọng khác, bao gồm việc quy định 11 quyền và nghĩa vụ của chủ thể dữ liệu; thiết lập các điều kiện bảo vệ dữ liệu cá nhân nghiêm ngặt đối với các tổ chức kinh doanh dịch vụ; quy định chặt chẽ việc chuyển giao dữ liệu cá nhân ra nước ngoài; xác định các hoạt động bảo vệ dữ liệu cá nhân cần thiết và thiết lập cơ quan chuyên trách chịu trách nhiệm bảo vệ dữ liệu cá nhân.
Dự kiến, Quốc hội sẽ tiến hành thảo luận chi tiết về toàn bộ nội dung của dự Luật này tại hội trường vào ngày 24/5 và biểu quyết thông qua tại đợt hai của kỳ họp.