Hiến pháp, Bộ Luật Dân sự, Luật Bảo vệ người tiêu dùng và nhiều văn bản pháp luật chuyên ngành như các Luật viễn thông, công nghệ thông tin, giao dịch điện tử đều đã có quy định về quyền cơ bản của công dân và bảo vệ thông tin cá nhân. Tuy nhiên, tình trạng phát tán thông tin cá nhân trên mạng tại Việt Nam vẫn tiếp tục gây bức xúc dư luận từ nhiều năm nay.
Nhằm góp phần hạn chế vấn nạn này, dự thảo Luật an toàn thông tin đề xuất quy định tăng cường hơn nữa trách nhiệm của tổ chức, doanh nghiệp trong việc bảo vệ thông tin cá nhân của người sử dụng.
Vì sao thông tin cá nhân bị phát tán tràn lan?
Theo Nghị định số72 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng, thông tin trên mạng có thể được phân thành 2 nhóm, là thông tin công cộng và thông tin riêng. Thông tin công cộng là thông tin trên mạng của một tổ chức, cá nhân được công khai cho tất cả các đối tượng (ví dụ: thông tin đăng trên báo điện tử, viết công khai trên blog). Còn thông tin riêng là thông tin trên mạng của một tổ chức, cá nhân mà tổ chức, cá nhân đó không công khai hoặc chỉ công khai cho một hoặc một số nhóm đối tượng cụ thể (ví dụ: thư điện tử, thông tin nội bộ của một cơ quan, tổ chức). Thông tin riêng của tổ chức, cá nhân được pháp luật bảo vệ. Chẳng hạn, Điều 38 của Bộ Luật Dân sự quy định “Quyền bí mật đời tư của cá nhân được tôn trọng và được pháp luật bảo vệ” hay “Thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân được bảo đảm an toàn và bí mật”.
Bên cạnh đó, hàng ngày, chúng ta vẫn sử dụng các giao dịch trực tuyến, thương mại điện tử, ngân hàng điện tử. Khi sử dụng các dịch vụ trên mạng này, người sử dụng sẽ phải kê khai các thông tin như: tên, ngày sinh, địa chỉ liên hệ, số điện thoại hay số chứng minh thư nhân dân. Những thông tin này được gọi là thông tin cá nhân, tức là những thông tin gắn với việc xác định rõ ràng danh tính, nhân thân của một con người cụ thể, nhằm phân biệt người này với người khác.
Đưa hành vi thu thập thông tin cá nhân vào khuôn khổ
Nhằm trực tiếp hướng đến giải quyết vấn đề bất cập nêu trên, dự thảo Luật ATTT đã đưa ra các quy định nhằm điều chỉnh các hành vi thu thập, sử dụng, lưu trữ thông tin cá nhân trên mạng nhằm mục đích thương mại, kinh doanh. Các hoạt động thu thập thông tin phục vụ nhu cầu cá nhân đơn thuần, chẳng hạn người sử dụng lưu thông tin cá nhân của bạn bè mình trong danh bạ điện thoại, không thuộc phạm vi bị điều chỉnh bởi dự thảo Luật.
Từ góc độ hành lang pháp lý, để giải quyết vấn đề trên, cần có quy định cho 2 nhóm đối tượng khác nhau, bao gồm cá nhân, tổ chức có hành vi phát tán thông tin cá nhân bất hợp pháp và doanh nghiệp kinh doanh dịch vụ có lưu giữ thông tin cá nhân của người sử dụng.
Đối với cá nhân, tổ chức có hành vi phát tán thông tin cá nhân bất phợp pháp, hành lang pháp lý để xử lý hành vi này cơ bản được quy định trong Bộ Luật Dân sự, Luật Bảo vệ người tiêu dùng và các Luật chuyên ngành như Luật viễn thông, công nghệ thông tin, giao dịch điện tử. Tuy nhiên, các quy định này còn còn rời rạc, chưa đầy đủ, chưa đủ rõ ràng để có thể áp dụng vào một số trường hợp trong thực tiễn.
Đối với các doanh nghiệp cung cấp dịch vụ trên mạng có thu thập thông tin cá nhân, hành lang pháp lý gần như chưa có quy định cụ thể về việc áp dụng các biện pháp bảo đảm an toàn thông tin. Điều này dẫn đến các doanh nghiệp thực hiện thu thập thông tin cá nhân nhưng lại không thực hiện đủ trách nhiệm pháp lý tối thiểu về bảo vệ thông tin cá nhân, là một trong những nguyên nhân chủ yếu gây ra hiện tượng bức xúc nêu trên.
Chính vì thế, dự duật đã dành hẳn một chương riêng (Chương 3) để quy định về vấn đề này. Bên cạnh việc bổ sung các quy định cụ thể về thu thập, sử dụng thông tin cá nhân, dự Luật quy định doanh nghiệp lưu giữ thông tin cá nhân của khách hàng phải áp dụng biện pháp quản lý và biện pháp kỹ thuật phù hợp, tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật để bảo vệ thông tin cá nhân của khách hàng.
Người dùng cũng phải "tự bảo vệ" thông tin cá nhân
Một điểm mới của dự luật là việc chỉ rõ trách nhiệm của chính người dùng trong việc bảo vệ thông tin cá nhân của mình, trên nguyên tắc chung là mỗi người phải có trách nhiệm "tự bảo vệ thông tin cá nhân và tự chịu trách nhiệm khi cung cấp những thông tin đó trên mạng".
Chẳng hạn, nếu ông A có tài sản là một chiếc xe máy thì trước hết ông A phải tự có trách nhiệm bảo vệ tài sản của mình (khóa xe, trông giữ cẩn thận). Trường hợp ông A để xe của mình ở trong nhà hoặc ngoài đường, khi bị mất trộm, thì pháp luật sẽ xử lý đối tượng có hành vi trộm cắp tài sản của ông A. Với thông tin cá nhân cũng như vậy, trước hết, người sử dụng phải tự ý thức bảo vệ thông tin cá nhân của mình, cũng như thận trọng khi cung cấp thông tin cá nhân của mình lên mạng.
Còn trong trường hợp ông A gửi xe của mình ở một nhà xe, thì nhà xe phải có trách nhiệm áp dụng các biện pháp bảo vệ cần thiết để bảo vệ tài sản của ông A mà nhà xe đang giữ. Điều này cũng giống với doanh nghiệp viễn thông hay ngân hàng, nếu có lưu giữ thông tin cá nhân của người sử dụng thì phải có trách nhiệm bảo đảm an toàn thông tin đối với những thông tin được lưu giữ đó.
Hiện nay, trên thế giới, đã có khoảng 40 nước ban hành các quy định pháp luật về bảo vệ thông tin cá nhân trên mạng. Trong quá trình tiếp thu ý kiến hoàn thiện dự thảo Luật ATTT, cơ quan soạn thảo đã nghiên cứu kinh nghiệm của Mỹ, châu Âu, Nhật Bản, Malaysia và Trung Quốc, ý kiến góp ý của nhiều tổ chức, doanh nghiệp nước ngoài và căn cứ vào tình hình thực tiễn Việt Nam để đề xuất các quy định về bảo vệ thông tin cá nhân trong dự thảo Luật.
Nhật Quang