tin cá nhân, đảm bảo an toàn thông tin mạng
Trong bối cảnh ứng dụng thương mại điện tử ngày càng phát triển, việc thu thập thông tin khách hàng trên môi trường mạng đang trở thành xu hướng tất yếu trong hoạt động phát triển kinh doanh của doanh nghiệp. Các giao dịch thương mại điện tử giữa doanh nghiệp với cá nhân (B2C), các hoạt động thu thập và xử lý dữ liệu, tiếp thị, quản trị quan hệ khách
hàng ... diễn ra ngày càng phổ biến. Những hoạt động này đặt ra nhu cầu lớn về thông tin cá nhân, bao gồm cả những thông tin riêng tư nhất. Nhiều công nghệ tiên tiến như cookie, rệp web, định vị toàn cầu và các cơ sở dữ liệu số hoá cho phép các công ty chuyên hoạt động kinh doanh trên Internet có thể tự động thu thập và xử lý thông tin cá nhân một cách dễ dàng. Các nhà quảng cáo trực tuyến cũng luôn hướng tới mục tiêu thu thập, thiết lập thậm chí kinh doanh các hồ sơ thông tin về người tiêu dùng. Thông tin cá nhân đang trở thành thứ hàng hoá có giá trị cao đối với doanh nghiệp và người tiêu dùng cũng khó có thể hình dung hết nhữung nguy cơ thông tin cá nhân của mình bị khai thác bất hợp pháp khi tham gia mua bán trên môi trường mạng.
Trong khi các nước phát triển và nhiều tổ chức hợp tác quốc tế đã đưa vấn đề thông tin cá nhân lên vị trí ưu tiên trong chương trình nghị sự, thì khái niệm bảo vệ thông tin cá nhân và quyền riêng tư thông tin vẫn còn là một chủ đề khá mới mẻ ở Việt Nam. Một mặt, hệ thống pháp luật thiếu những quy định về bảo vệ thông tin cá nhân, mặt khác bản thân người dân và doanh nghiệp vẫn còn tương đối bỡ ngỡ với khái niệm này. Cùng với bước tiến của công nghệ thông tin và sự xâm nhập sâu rộng của Internet vào mọi mặt của đời sống xã hội, những tác động từ việc rò rỉ thông tin cá nhân dần trở nên rõ nét, và vấn đề bảo vệ thông tin cá nhân đang nổi lên thu hút sự chú ý rộng rãi của dư luận xã hội.
Ngày càng có nhiều thông tin cá nhân của người sử dụng được lưu trữ ở trên mạng. Nếu những thông tin này không được bảo vệ một cách thích hợp, kẻ xấu có thể thu thập, khai thác trái phép. Thông tin trên mạng giờ đây đã trở thành tài sản có giá trị đặc biệt của mỗi cá nhân, tổ chức và thậm chí cả quốc gia. Có nhiều cá nhân, tổ chức mà giá trị tài sản của họ trên mạng còn lớn hơn nhiều so với các tài sản hữu hình khác. Các doanh nghiệp sẽ không thể tồn tại và phát triển nếu các thông tin hoặc hệ thống thông tin bị đánh cắp hay bị phá hoại. Các cơ quan nhà nước thì không thể phục vụ người dân nhanh chóng và thuận tiện nếu các website của họ hoạt động không bình thường. Cải cách hành chính, chính phủ điện tử, thương mại điện tử và hàng loạt chương trình lớn của quốc gia sẽ không thể thực hiện được nếu an toàn thông tin không được đảm bảo. Một cá nhân cũng sẽ bị thiệt hại nếu các thông tin cá nhân bị đánh cắp, bị làm sai lệch.
Thời gian vừa qua, nhiều website của các doanh nghiệp và cơ quan nhà nước bị tấn công, phá hoại, gây thiệt hại nhiều tỷ đồng. Có sự cố đã ảnh hưởng tới hàng trăm trang thông tin điện tử của Việt Nam, trong đó có một số hệ thống thương mại điện tử, một số tờ báo điện tử lớn có hàng triệu người đang sử dụng dịch vụ. Tin tặc không loại trừ một quốc gia, một tổ chức hay cá nhân nào, ngay cả nước Mỹ, một trong những nước phát triển nhất trên thế giới về CNTT, cũng gặp không ít rắc rối. Trong bối cảnh đó, mỗi cá nhân, tổ chức có “tài sản mềm”, cần nhận thức đầy đủ hơn và có biện pháp bảo vệ phù hợp với loại tài sản này.
- Thông tin riêng của tổ chức, cá nhân được pháp luật bảo vệ
Khái niệm bảo vệ thông tin cá nhân và quyền riêng tư về thông tin cá nhân trên môi trường điện tử vẫn còn là vấn đề khá mới mẻ đối với Việt Nam. Hệ thống pháp luật vẫn còn thiếu những quy định chế tài cụ thể về bảo vệ thông tin cá nhân trên mạng. Bên cạnh đó, đa số doanh nghiệp cũng như người dân vẫn còn bỡ ngỡ với khái niệm này. Cùng với sự phát triển mạnh mẽ của công nghệ thông tin và thương mại điện tử, đặc biệt là sự xâm nhập sâu rộng của Internet vào mọi mặt đời sống xã hội, những tác động tiêu cực của việc sử dụng thông tin
cá nhân bất hợp pháp cũng gia tăng, biểu hiện rõ nhất là việc thu thập, sử dụng bất hợp pháp địa chỉ thư điện tử làm quảng cáo hoặc các hành vi đánh cắp thông tin tài khoản cá nhân để trục lợi, phát tán thông tin về hình ảnh riêng tư, lừa đảo qua thẻ ATM... Về vấn đề này, pháp luật Việt nam cần sửa đổi để phù hợp với nguyên tắc bảo vệ dữ liệu cá nhân phù hợp với pháp luật quốc tế. Đồng thời, bảo vệ thông tin cá nhân của khách hàng một cách hữu hiệu, góp phần thúc đẩy sản xuất kinh doanh của doanh nghiệp.
Việc bảo vệ thông tin riêng cũng như thông tin cá nhân là vấn đề thời sự không chỉ ở Việt Nam mà còn ở nhiều nước trên thế giới. Vì thế, nhiều quốc gia có các đạo luật riêng về vấn đề này. Hiện nay, trên thế giới, có khoảng 40 quốc gia đã ban hành các quy định pháp luật về bảo vệ thông tin cá nhân trên mạng. Những kinh nghiệm của Mỹ, châu Âu, Nhật Bản, Malaysia và Trung Quốc và nhiều tổ chức, doanh nghiệp nước ngoài... đã được phía Việt Nam nghiên cứu, tiếp thu và căn cứ vào tình hình thực tiễn Việt Nam để đưa ra các quy định về bảo vệ thông tin cá nhân trong Luật An toàn thông tin mạng.
Thời gian gần đây, vấn đề bảo vệ dữ liệu cá nhân trở thành mối quan tâm hàng đầu của các doanh nghiệp, cơ quan quản lý nhà nước và người tiêu dùng. Năm 2005, Việt Nam ban hành Luật giao dịch điện tử, cũng từ đó ứng dụng thương mại điện tử của các doanh nghiệp ngày càng tăng. Đặc biệt, từ cuối năm 2007 đến nay, nhiều doanh nghiệp đã triển khai và áp dụng chu trình thương mại điện tử hoàn chỉnh. Các công đoạn của giao dịch từ quảng cáo, chào hàng, giao kết hợp đồng, thanh toán, giao hàng, chăm sóc khách hàng... đều có thể thực hiện qua môi trường điện tử. Việc thu thập thông tin khách hàng trên môi trường mạng đã trở thành tất yếu trong hoạt động sản xuất kinh doanh của các doanh nghiệp. Do đặc thù của giao dịch thương mại điện tử là được thực hiện hoàn toàn trên mạng, các đối tác thực hiện giao dịch mua bán, thanh toán, nhận hàng,... mà không cần phải gặp trực tiếp nên nhu cầu về thông tin cá nhân ngày càng lớn, bao gồm cả thông tin riêng tư, nhạy cảm nhất.
Năm 2008, theo khảo sát của Cục thương mại điện tử, trong các lĩnh vực ngân hàng, dịch vụ du lịch, sản xuất hàng hoá, dịch vụ phần mềm, đào tạo,bất động sản, xây dựng, hiệp hội... về bảo vệ dữ liệu cá nhân cho khách hàng, trong đó có 84% doanh nghiệp thông báo trước về mục địch sử dụng thông tin cá nhân của khách hàng; hầu hết cho biết không tiết lộ thông tin của khách hàng cho bên thứ ba. Tuy nhiên, mới có 18% xây dựng quy chế bảo vệ dữ liệu cá nhân cho khách hàng, 40% cho biết sẽ xây dựng quy chế này trong tương lai. Riêng về biện pháp bảo vệ có khoảng 67% doanh nghiệp có triển khai cả hai nhóm giải pháp công nghệ và quản lý để bảo vệ thông tin cá nhân của khách hàng. Có thể nói, các doanh nghiệp Việt Nam đã quan tâm đến bảo vệ dữ liệu cá nhân trong thương mại điện tử. Đây cũng là tín hiệu đáng mừng khi mà các doanh nghiệp Việt Nam ý thức được việc bảo vệ khách hàng trong quá trình giao dịch.
Với thực trạng trên, cần hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân trong thương mại điện tử, tham khảo các mô hình ở nước ngoài, đặc biệt là trong các nền kinh tế ở khu vực. Tuyên truyền, phổ biến, giáo dục doanh nghiệp, các cơ quan quản lý nhà nước và cộng đồng để bảo vệ dữ liệu cá nhân; tăng cường năng lực cho cá cơ quan hoạch định chính sách, các cơ quan thực thi pháp luật về bảo vệ dữ liệu cá nhân. Đối với các doanh nghiệp, ngoài việc xây dựng quy chế nội bộ về bảo vệ dữ liệu cá nhân, các doanh nghiệp cần tích cực tuân thủ luật pháp.
Cho đến nay Việt Nam chưa có một văn bản quy phạm pháp luật nào điều chỉnh các hành vi liên quan đến bảo vệ dữ liệu cá nhân một cách có hệ thống. Tuy nhiên, cùng với tiến trình hội nhập và sự phát triển mạnh mẽ của ứng dụng công nghệ thông tin và thương mại điện tử trong tất cả các lĩnh vực hoạt động của xã hội, các cơ quan quản lý nhà nước đã ngày càng nhận thức rõ và quan tâm hơn đến vấn đề quan trọng này. Điều này đã được thể hiện trong các chỉ thị của Đảng và Nhà nước, các văn bản luật được ban hành trong thời gian gần đây.
Tại Chỉ thị số 27/CT-TƯ ngày 16/10/2008 về lãnh đạo thực hiện cuộc Tổng điều tra dân số và nhà ở năm 2009, Ban Bí thư trung ương Đảng đã yêu cầu “chú ý bảo mật thông tin theo quy định của pháp luật, nhất là bảo mật thông tin cá nhân,...”.
Vậy thông tin cá nhân là gì? Thông tin cá nhân là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác.27
Xem xét một cách có hệ thống các văn bản quy phạm pháp luật có thể thấy các nội dung điều chỉnh vấn đề bảo vệ dữ liệu cá nhân đã được quy định ngày càng rõ hơn từ cấp độ luật đến các văn bản hướng dẫn luật. Đã có quy định về các hình thức xử phạt, chế tài cụ thể từ xử phạt vi phạm hành chính, phạt tiền đến xử lý hình sự đối với các trường hợp vi phạm nặng.
Ở mức độ văn bản pháp luật dân sự, Bộ luật dân sự đã đưa ra một số quy định nguyên tắc về bảo vệ thông tin cá nhân tại các Điều 31 “Quyền của cá nhân đối với hình ảnh”, Điều 38 “Quyền bí mật đời tư”. Điều 31 quy định cá nhân có quyền đối với hình ảnh của mình, việc sử dụng hình ảnh của cá nhân phải được người đó đồng ý và nghiêm cấm việc sử dụng hình ảnh của người khác mà xâm phạm vào danh dự, nhân phẩm, uy tín của người có hình ảnh. Điều 38 quy định một số nội dung về quyền bí mật đời tư. Theo đó, quyền bí mật đời tư của cá nhân được tôn trọng và được pháp luật bảo vệ; việc thu thập, công bố thông tin, tư liệu về đời tư của cá nhân phải được người đó đồng ý; thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân được bảo đảm an toàn và bí mật.
Điều 46 Luật giao dịch điện tử quy định về bảo mật thông tin trong giao dịch điện tử như sau:” Cơ quan, tổ chức, cá nhân không được sử dụng, cung cấp hoặc tiết lộ thông tin về bí mật đời tư hoặc thông tin của cơ quan, tổ chức, cá nhân khác mà mình tiếp cận hoặc kiểm soát được trong giao dịch điện tử nếu không được sự đồng ý của họ, trừ trường hợp pháp luật có quy định khác”.
Điều 16, Điều 19 Luật an toàn thông tin mạng 2015 quy định về việc thu thập và sử dụng thông tin cá nhân và các hành vi bị cấm như thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác. Luật cũng quy định về trách nhiệm bảo đảm an toàn thông tin cá nhân của các chủ thể.
27 Điều 3, Nghị định 64/2007/NĐ-CP về ứng dụng CNTT trong hoạt động các cơ quan nhà nước
Điều 72 Luật công nghệ thông tin quy định về bảo đảm an toàn, bí mật thông tin như sau: “1. Thông tin riêng hợp pháp của tổ chức, cá nhân trao đổi, truyền đưa, lưu trữ trên môi trường mạng được bảo đảm bí mật theo quy định của pháp luật.
2. Tổ chức, cá nhân không được thực hiện một trong những hành vi vi phạm sau đây: a. Xâm nhập, sửa đổi, xoá bỏ nội dung thông tin của tổ chức, cá nhân khác trên môi trường mạng;
b. Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin;
c. Ngăn chặn việc truy nhập tới thông tin của tổ chức, cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép;
d. Bẻ khoá, trộm cắp, sử dụng mật khẩu, khoá mật mã và thông tin của tổ chức, cá nhân khác trên môi trường mạng;
e. Hành vi khác làm mất an toàn, bi mật thông tin của tổ chức, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng”.
Theo kết quả điều tra của Bộ công thương qua các năm, vấn đề an ninh an toàn thông tin trong giao dịch ngày càng được doanh nghiệp quan tâm khi tình trạng ăn cắp các dữ liệu cá nhân như thông tin tài khoản, phát tán hình ảnh đời tư, gửi thư rác... đang diễn ra với mức độ ngày càng phổ biến.
Trường hợp điển hình trong thời gian qua về ăn cắp dữ liệu cá nhân là vụ án Trần Quang Duy (21 tuổi) đã ăn cắp được số tài khoản thẻ tín dụng của nhiều người để đặt mua gần 100 vé máy bay của hãng Tiger Airway rồi đem bán lại kiếm tiền. Khi hành vi của Duy bị phát hiện, hãng Tiger Airway chỉ kịp hủy một số vé máy bay, còn lại 59 vé đã bị bạn bè của Duy sử dụng cho việc du lịch và để bán cho người khác, thu lợi hơn 50 triệu đồng28. Cũng liên quan đến việc trộm dữ liệu thẻ tín dụng, Vũ Ngọc Hà đã thực hiện trót lọt việc dùng tiền ăn cắp để mua hàng trên mạng trị giá 441.226.215 đồng trong suốt quãng thời gian từ năm 2004 đến năm 2006. Hà đã mua một phần mềm domain, đăng ký trò chơi điện tử, rồi sau đó tự tìm kiếm thông tin tài khoản thẻ tín dụng bằng cách tung virut (Keylogger) vào các địa chỉ e-mail của họ để các chương trình diệt virut không phát hiện được, bẻ khoá lấy mật mã. Khi đã lấy được các thông tin từ tài khoản mà chủ tài khoản tín dụng không biết bị virut xâm nhập, nên đã kích hoạt virut làm cho các thông tin về tài khoản tín dụng được gửi đến e-mail của Hà. Nhiều khách hàng đăng ký tài khoản tại dịch vụ chuyển tiền trực tuyến trên mạng đã bị lộ thông tin và mật khẩu truy cập. Vũ ngọc Hà thường sử dụng, thực hiện các lệnh chuyển tiền đến bất kỳ địa chỉ nào theo ý mình29
Một hình thức vi phạm việc bảo vệ dữ liệu cá nhân khá phổ biến trong thời gian qua là việc thu thập địa chỉ thư điện tử trái phép nhằm phục vụ cho nhiều mục đích khác nhau nhưng chưa được sự chấp thuận của chủ thể thông tin. Việc công khai bán danh sách các địa chỉ thư điện tử đang rất phổ biến hiện nay, điều này đã làm ảnh hưởng tiêu cực tới hoạt động quảng cáo điện tử, gây thiệt hại cho lợi ích của người tiêu dùng.