Nhằm góp phần hạn chế tình trạng phát tán thông tin cá nhân trên mạng, dự thảo Luật An toàn thông tin đề xuất quy định tăng cường hơn nữa trách nhiệm của tổ chức, doanh nghiệp trong việc bảo vệ thông tin cá nhân của người sử dụng.
Hai nhóm thông tin trên mạng
Ngày nay, việc trao đổi, chia sẻ thông tin qua mạng đã trở thành một phần không thể thiếu trong cuộc sống của đa số mọi người trong xã hội.
Theo Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng, “thông tin trên mạng” có thể được phân loại thành 2 nhóm, là thông tin công cộng và thông tin riêng.
Thông tin công cộng là thông tin trên mạng của một tổ chức, cá nhân được công khai cho tất cả các đối tượng (ví dụ: Thông tin đăng trên báo điện tử, viết công khai trên blog). Còn thông tin riêng là thông tin trên mạng của một tổ chức, cá nhân mà tổ chức, cá nhân đó không công khai hoặc chỉ công khai cho một hoặc một số nhóm đối tượng cụ thể (ví dụ: Thư điện tử, thông tin nội bộ của một cơ quan, tổ chức).
Thông tin riêng của tổ chức, cá nhân được pháp luật bảo vệ.
Hiến pháp, Bộ Luật Dân sự, Luật Bảo vệ người tiêu dùng và nhiều văn bản pháp luật chuyên ngành như các luật về viễn thông, công nghệ thông tin, giao dịch điện tử đều đã có quy định về quyền cơ bản của công dân và bảo vệ thông tin cá nhân.
Chẳng hạn, Điều 38 của Bộ luật Dân sự quy định “Quyền bí mật đời tư của cá nhân được tôn trọng và được pháp luật bảo vệ” hay “Thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân được bảo đảm an toàn và bí mật”.
Bên cạnh đó, hằng ngày, chúng ta vẫn sử dụng các giao dịch trực tuyến, thương mại điện tử, ngân hàng điện tử. Khi sử dụng các dịch vụ trên mạng này, người sử dụng sẽ phải kê khai các thông tin như: Tên, ngày sinh, địa chỉ liên hệ, số điện thoại hay số chứng minh thư nhân dân. Những thông tin này được gọi là thông tin cá nhân, tức là những thông tin gắn với việc xác định rõ ràng danh tính, nhân thân của một con người cụ thể, nhằm phân biệt người này với người khác.
Song song với mặt tích cực mà giao dịch điện tử mang lại, ngày càng có nhiều thông tin cá nhân của người sử dụng được lưu trữ ở trên mạng. Nếu những thông tin này không được bảo vệ một cách thích hợp, kẻ xấu có thể thu thập, khai thác trái phép. Đây là một trong những nguyên nhân gây ra hiện tượng phát tán thông tin cá nhân trên mạng, gây bức xúc dư luận trong những năm gần đây.
Quy định mới trong dự thảo Luật
Nhằm trực tiếp hướng đến giải quyết vấn đề bất cập nêu trên, dự thảo Luật đưa ra các quy định nhằm điều chỉnh các hành vi thu thập, sử dụng, lưu trữ thông tin cá nhân trên mạng nhằm mục đích thương mại, kinh doanh. Các hoạt động thu thập thông tin phục vụ nhu cầu cá nhân đơn thuần, chẳng hạn người sử dụng lưu thông tin cá nhân của bạn bè mình trong danh bạ điện thoại, không thuộc phạm vi bị điều chỉnh bởi dự thảo Luật.
Trách nhiệm của tổ chức, doanh nghiệp
Từ góc độ pháp lý, để giải quyết vấn đề trên, cần có quy định cho 2 nhóm đối tượng khác nhau, bao gồm cá nhân, tổ chức có hành vi phát tán thông tin cá nhân bất hợp pháp và doanh nghiệp kinh doanh dịch vụ có lưu giữ thông tin cá nhân của người sử dụng.
Đối với cá nhân, tổ chức có hành vi phát tán thông tin cá nhân bất phợp pháp, hành lang pháp lý để xử lý hành vi này cơ bản được quy định trong Bộ Luật Dân sự, Luật Bảo vệ người tiêu dùng và các luật chuyên ngành như các Luật: Viễn thông, Công nghệ thông tin, Giao dịch điện tử. Tuy nhiên, các quy định này còn rời rạc, chưa đầy đủ, chưa đủ rõ ràng để có thể áp dụng vào một số trường hợp trong thực tiễn.
Đối với các doanh nghiệp cung cấp dịch vụ trên mạng có thu thập thông tin cá nhân, hành lang pháp lý gần như chưa có quy định cụ thể về việc áp dụng các biện pháp bảo đảm an toàn thông tin. Điều này dẫn đến các doanh nghiệp thực hiện thu thập thông tin cá nhân nhưng lại không thực hiện đủ trách nhiệm pháp lý tối thiểu về bảo vệ thông tin cá nhân, là một trong những nguyên nhân chủ yếu gây ra hiện tượng bức xúc nêu trên.
Chính vì thế, dự Luật đã dành hẳn một chương riêng (Chương 3) để quy định về vấn đề này. Bên cạnh việc bổ sung các quy định cụ thể về thu thập, sử dụng thông tin cá nhân, dự Luật quy định doanh nghiệp lưu giữ thông tin cá nhân của khách hàng phải áp dụng biện pháp quản lý và biện pháp kỹ thuật phù hợp, tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật để bảo vệ thông tin cá nhân của khách hàng.
Trách nhiệm của mỗi cá nhân
Một điểm mới của dự Luật là việc chỉ rõ trách nhiệm của chính người dùng trong việc bảo vệ thông tin cá nhân của mình, trên nguyên tắc chung là mỗi người phải có trách nhiệm "tự bảo vệ thông tin cá nhân và tự chịu trách nhiệm khi cung cấp những thông tin đó trên mạng".
Chẳng hạn, nếu ông A có tài sản là một chiếc xe máy thì trước hết ông A phải tự có trách nhiệm bảo vệ tài sản của mình (khóa xe, trông giữ ). Trường hợp ông A để xe của mình ở trong nhà hoặc ngoài đường, khi bị mất trộm, thì pháp luật sẽ xử lý đối tượng có hành vi trộm cắp tài sản của ông A. Với thông tin cá nhân cũng như vậy, trước hết, người sử dụng phải tự ý thức bảo vệ thông tin cá nhân của mình, cũng như thận trọng khi cung cấp thông tin cá nhân của mình lên mạng.
Còn trong trường hợp ông A gửi xe của mình ở một nhà xe, thì nhà xe phải có trách nhiệm áp dụng các biện pháp bảo vệ cần thiết để bảo vệ tài sản của ông A mà nhà xe đang giữ. Điều này cũng giống với doanh nghiệp viễn thông hay ngân hàng, nếu có lưu giữ thông tin cá nhân của người sử dụng thì phải có trách nhiệm bảo đảm an toàn thông tin đối với những thông tin được lưu giữ đó.
Hoàn thiện hành lang pháp lý phù hợp với thông lệ quốc tế
Hiện nay, trên thế giới, đã có khoảng 40 nước ban hành các quy định pháp luật về bảo vệ thông tin cá nhân trên mạng. Trong quá trình tiếp thu ý kiến hoàn thiện dự thảo Luật, cơ quan soạn thảo đã nghiên cứu kinh nghiệm của Mỹ, châu Âu, Nhật Bản, Malaysia và Trung Quốc, ý kiến góp ý của nhiều tổ chức, doanh nghiệp nước ngoài và căn cứ vào tình hình thực tiễn Việt Nam để đề xuất các quy định về bảo vệ thông tin cá nhân trong dự thảo Luật.
Dự thảo Luật ATTT khi được ban hành, kết hợp cùng Bộ luật Dân sự, Luật Bảo vệ người tiêu dùng và các văn bản pháp luật chuyên ngành khác như Luật Viễn thông, Luật Giao dịch điện tử v.v… sẽ tạo thành hệ thống pháp luật đồng bộ, đầy đủ cho công tác bảo vệ thông tin cá nhân của người sử dụng trong kỷ nguyên Internet hiện nay, góp phần thúc đẩy hơn nữa hoạt động giao dịch điện tử phục vụ phát triển kinh tế-xã hội của đất nước./.
Nhật Quang