Vi phạm về bảo vệ dữ liệu cá nhân tại Việt Nam vẫn diễn ra phổ biến

Ngày 16/7, tại Hà Nội, Hiệp hội An ninh mạng quốc gia tổ chức hội thảo chủ đề ‘Quản lý, khai thác dữ liệu khách hàng tuân thủ Nghị định 13’, có sự tham dự của đại diện nhiều tổ chức, doanh nghiệp tài chính, ngân hàng và các công ty công nghệ.

Trung tá Triệu Mạnh Tùng, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - A05 (Bộ Công an), Trưởng ban Kiểm tra của Hiệp hội An ninh mạng quốc gia nhấn mạnh, Nghị định 13 ra đời đã đặt nền móng rất quan trọng để Việt Nam có cơ sở pháp lý, có quy định cụ thể đối với việc chủ thể dữ liệu, bên xử lý dữ liệu, kiểm soát dữ liệu cùng các bên liên quan khác phải ứng xử thế nào với dữ liệu khách hàng.

Tuy vậy, ông Triệu Mạnh Tùng cũng chỉ rõ tuy đã có sự ra đời của Nghị định 13, nhưng đến nay các vi phạm về bảo vệ dữ liệu cá nhân tại Việt Nam vẫn diễn ra phổ biến. Ngay tại thời điểm này, A05 với vai trò là cơ quan chuyên trách của Bộ Công an đang rà soát để kiểm tra, đánh giá, xác minh và xử lý hàng trăm hội nhóm mua bán thông tin dữ liệu cá nhân, khai thác và sử dụng trái phép dữ liệu cá nhân.

“Việc mua bán dữ liệu diễn ra công khai. Hầu hết các dữ liệu có đầy đủ thông tin, từ thông tin cơ bản của cá nhân đến thông tin về quan hệ gia đình, sức khỏe, và thậm chí cả thông tin về hoạt động tiêu dùng của cá nhân đó, đều đang bị mua bán và sử dụng rất tràn lan, phổ biến”, ông Triệu Mạnh Tùng chia sẻ.

Đại diện A05 cũng cho biết, theo kết quả rà soát của cơ quan này, có khoảng hơn 1,2 triệu doanh nghiệp chịu sự tác động của Nghị định 13. Tuy nhiên, tỷ lệ doanh nghiệp nộp hồ sơ báo cáo về cơ quan chuyên trách của Bộ Công an còn rất nhỏ, với khoảng hơn 1.000 hồ sơ. Từ xem xét hơn 1.000 hồ sơ này, A05 nhận thấy doanh nghiệp còn gặp rất nhiều khó khăn, vướng mắc trong triển khai thực hiện các quy định của pháp luật về bảo vệ dữ liệu cá nhân.

“Hội thảo này chính là dịp để các bên trao đổi, thảo luận những vấn đề các doanh nghiệp gặp phải, đồng thời đánh giá công tác bảo vệ dữ liệu cá nhân tại Việt Nam”, đại diện A05 nhận xét.

Theo ông Đào Đức Triệu, Phó Tổng thư ký, Trưởng ban Nghiên cứu, tư vấn chính sách pháp luật của Hiệp hội An ninh mạng quốc gia, sau 1 năm Nghị định 13 có hiệu lực, công tác bảo vệ dữ liệu cá nhân tại Việt Nam đã có tiến bộ, thay đổi được nhiều điểm.

Nhấn mạnh tầm quan trọng của việc ban hành Nghị định 13, đặc biệt là quy định về các quyền của chủ thể dữ liệu cá nhân, ông Đào Đức Triệu chỉ rõ: Nghị định 13 là văn bản pháp luật đầu tiên của Việt Nam quy định 11 quyền của chủ thể dữ liệu. Việc của các doanh nghiệp là làm sao cụ thể hóa được 11 quyền này bằng các chính sách, quy trình của đơn vị mình nhằm đáp ứng yêu cầu, từ khâu thu thập đến khâu phân tích, xử lý và xóa bỏ dữ liệu.

“Chúng tôi hiện nay bắt đầu nhận được các thông tin khiếu nại liên quan đến dữ liệu cá nhân của người dùng được sử dụng vào các dịch vụ”, ông Đào Đức Triệu chia sẻ.

Tuy vậy, Phó Tổng thư ký Hiệp hội An ninh mạng quốc gia Đào Đức Triệu cũng có cùng quan điểm với đại diện A05, khi nhận xét rằng dù Nghị định 13 đã ra đời, được thực thi 1 năm, nhưng tình trạng mua bán, chiếm đoạt, sử dụng trái phép dữ liệu cá nhân một cách bất hợp pháp vẫn diễn ra rất tràn lan, phổ biến.

Theo thống kê, từ đầu năm 2023 đến đầu năm 2024, Bộ Công an đã tiếp tục phát hiện nhiều cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý.

Bàn về các vấn đề của các doanh nghiệp gặp phải trong việc thực thi quy định của Nghị định 13, ông Đào Đức Triệu cho hay, đó là việc thu thập thừa dữ liệu cá nhân; Thiếu cơ sở pháp lý khi thu thập dữ liệu cá nhân; Không thể xác định các luồng xử lý dữ liệu; Không thể lấy ý kiến đồng ý của chủ thể dữ liệu; Chủ thể dữ liệu từ chối cho ý kiến; Khó khăn trong thực thi các giải pháp kỹ thuật...

“Vướng mắc lớn nhất trong quá trình triển khai là nhiều cơ quan, đơn vị chưa hiểu hết nội dung của Nghị định 13. Nhiều đơn vị chỉ chú ý đến việc làm sao xây dựng thủ tục hành chính, hồ sơ đánh giá tác động; không nghiên cứu để hiểu cũng như không xác định rõ những vấn đề doanh nghiệp mình gặp phải khi triển khai Nghị định 13 là gì. Vì thế, doanh nghiệp vướng rất nhiều!", ông Đào Đức Triệu phân tích.

Chia sẻ ở góc nhìn của một đơn vị chịu ảnh hưởng tác động lớn từ quy định của Nghị định 13, ông Trần Công Quỳnh Lân, Phó Tổng giám đốc VietinBank cho rằng: Việc tuân thủ Nghị định này là bắt buộc và cần thiết để bảo vệ dữ liệu người dùng, đồng thời đảm bảo uy tín của ngân hàng.

Theo ông Trần Công Quỳnh Lân, bên cạnh việc mang lại nhiều lợi ích cho ngân hàng cũng như người dùng dịch vụ của ngân hàng, việc tuân thủ Nghị định 13 cũng đưa đến cho VietinBank và các ngân hàng khác nhiều thách thức về chi phí đầu tư, quản lý và giám sát tuân thủ, phân loại dữ liệu, đánh giá tác động việc xử lý dữ liệu, tuân thủ yêu cầu pháp lý và đào tạo nhân viên.

Cụ thể như, có rất nhiều hệ thống thông tin bị tác động bởi Nghị định 13, do đó ngân hàng cần phải đầu tư chi phí khá lớn cho việc điều chỉnh các hệ thống hiện có của mình. Khâu quản lý và giám sát tuân thủ cũng đòi hỏi ngân hàng phải có hệ thống để giám sát hiệu quả. Hay về phân loại dữ liệu, hiện nay ngân hàng khó có thể xác định được loại dữ liệu cá nhân nào khách hàng có quyền sở hữu hoàn toàn, dữ liệu nào cần phải thu thập theo luật, dữ liệu nào phục vụ cho ngân hàng sử dụng xác thực hoặc chứng minh có tranh chấp. Một thách thức khác là các ngân hàng cần phải đào tạo nhân viên về quy định mới và các biện pháp bảo mật.

Trong khuôn khổ hội thảo, đại diện Hiệp hội An ninh mạng quốc gia và một số doanh nghiệp công nghệ cũng hướng dẫn, đề xuất các giải pháp cũng như những vấn đề cốt lõi doanh nghiệp cần quan tâm để thực thi tốt Nghị định 13, mang lại lợi ích cho chính doanh nghiệp và khách hàng.