Bảo vệ dữ liệu cá nhân tại Việt Nam: Pháp lý đầu tiên và con đường dài phía trước

TTCT - Nghị định đầu tiên về bảo vệ dữ liệu cá nhân ở Việt Nam là bước đầu tiên Nhà nước bảo vệ dữ liệu cá nhân, sự an toàn và quyền riêng tư của công dân.

Theo Bộ Công an, từ năm 2019 đến 2020, số lượng dữ liệu cá nhân bị thu thập, mua bán được phát hiện lên tới gần 1.300 GB. Trong đó có dữ liệu cá nhân của khách hàng đã sử dụng dịch vụ điện lực của EVN, phụ huynh, học sinh tại các trường, khách hàng của các ngân hàng và các dự án bất động sản trên toàn quốc.

Một số vụ việc có dấu hiệu xâm phạm dữ liệu cá nhân của người dùng có thể kể đến là hơn 163 triệu thông tin tài khoản của khách hàng Công ty VNG bị lộ, hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán của khách hàng của công ty Thế giới di động và Điện máy xanh bị lộ…

Bảo vệ dữ liệu cá nhân: bài toán cân bằng lợi ích

Dữ liệu cá nhân ban đầu chỉ là kết quả của quá trình phát triển khoa học công nghệ và ứng dụng máy tính cá nhân vào đời sống. Qua thời gian, mô hình kinh doanh dựa trên dữ liệu, bao gồm dữ liệu cá nhân (data driven business model) đã trở nên phổ biến bởi lợi ích kinh tế mà nó mang lại. Đến nay, dữ liệu cá nhân đã trở thành nhân tố thúc đẩy lợi ích của chủ nghĩa tiêu dùng, đóng góp vào tăng trưởng kinh tế quốc gia.

Quá trình xử lý dữ liệu cá nhân tạo ra giá trị về kinh tế nhưng cũng mang lại rủi ro về an ninh và quyền riêng tư. Dữ liệu cá nhân gắn với an ninh, không chỉ là an ninh quốc gia mà còn là an ninh con người. Trong môi trường mạng, dữ liệu cá nhân được bảo mật trước các hình thức tấn công vào hệ thống mạng, thiết bị kỹ thuật quốc gia và sở hữu tư nhân.

Việc xử lý dữ liệu cá nhân (nếu không được đặt trong những giới hạn nhất định) sẽ khiến người dùng không kiểm soát được việc ai có những thông tin gì về mình, "biết" những gì về mình.

Rất nhiều người sốc khi nhận một cuộc điện thoại của người lạ mà người kia lại tường tận cả tên họ, nghề nghiệp, địa chỉ, con cái, thậm chí tài khoản ngân hàng của mình có bao nhiêu tiền. Điều này xâm phạm đến sự riêng tư, an toàn và tự do cá nhân. Trong thực tế, chỉ khi xảy ra những vụ việc lộ lọt dữ liệu cá nhân ảnh hưởng đến đời sống thì người trong cuộc mới hay dữ liệu cá nhân của mình bị đánh cắp.

Đứng trước lợi ích và rủi ro đó, các thể chế cần một giới hạn hợp lý để cân bằng lợi ích an ninh với kinh tế và cả quyền riêng tư. Giới hạn hợp lý này có thể được tạo ra bằng ba con đường: do thị trường tự điều tiết bằng những tiêu chuẩn, quy tắc ứng xử và Nhà nước không hành động; do Nhà nước trực tiếp quản lý; hoặc bằng con đường Nhà nước ghi nhận, đảm bảo thực thi tiêu chuẩn, quy tắc ứng xử từ thị trường.

Con đường dài phía trước

Với sự ra đời của nghị định 13 về bảo vệ dữ liệu cá nhân, Nhà nước đã trực tiếp tham gia bảo vệ dữ liệu cá nhân. Mỗi người có 11 loại quyền khác nhau về dữ liệu (như tên họ, hình ảnh, tài khoản cá nhân, số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế…).

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an). Các doanh nghiệp (vai trò là bên kiểm soát và xử lý dữ liệu cá nhân) có nghĩa vụ đảm bảo an ninh về dữ liệu cá nhân và quyền riêng tư của người dùng.

Xác lập các quyền cá nhân về dữ liệu là một bước tiến tích cực. Tuy nhiên, để thực thi được các quyền đó cho người dân mà vẫn khai thác được dữ liệu một cách hiệu quả, tạo động lực cho phát triển kinh tế số vẫn còn là chặng đường dài phía trước. Nội dung của nghị định vẫn làm nhiều doanh nghiệp lo lắng vì nghĩa vụ bảo đảm an ninh và quyền riêng tư của người tiêu dùng sẽ làm tăng thêm chi phí.

Việt Nam đang ở giai đoạn "bước ngoặt" quan trọng khi đi sâu vào kỷ nguyên số, nơi kinh tế, quyền con người và an ninh quốc gia giao thoa mật thiết với nhau. Một quốc gia phát triển nhờ dựa trên lợi thế công nghệ số cần cân bằng được ba yếu tố nêu trên.

Nền kinh tế số và xã hội số phát triển phải cân bằng hai yếu tố là kinh tế và nhân văn. Môi trường pháp lý với quy định rõ ràng và không tạo ra quá nhiều nghĩa vụ (vốn đi kèm với chi phí để tuân thủ) sẽ tạo ra những doanh nghiệp lớn mạnh.

Quyền của người dùng được tôn trọng thì mối đe dọa từ lừa đảo, tội phạm, xâm phạm bí mật đời tư và không gian riêng tư giảm xuống sẽ tạo ra nền kinh tế nhân văn. Và an ninh quốc gia (an ninh dữ liệu quốc gia) trong bối cảnh thế giới phân rẽ và cạnh tranh địa chính trị gay gắt, cần tìm được cách dung hòa với hai thành tố trên.

Từ góc tiếp cận đó, nghị định bảo vệ dữ liệu cá nhân nên được coi là điểm khởi đầu. Về ngắn hạn, cần văn bản pháp lý hướng dẫn rõ trình tự, thủ tục để doanh nghiệp thực hiện nghĩa vụ, trình tự, thủ tục đánh giá, kiểm tra của cơ quan nhà nước. Những lo lắng về nghĩa vụ và rủi ro của doanh nghiệp cần được 'giải đáp' và giải tỏa thích đáng trong văn bản tiếp theo này.

Về lâu dài, là xây dựng một hệ thống toàn diện hơn từ nâng cao kỹ năng số cho người dùng, khả năng tự điều tiết và năng lực công nghệ của doanh nghiệp để bảo vệ dữ liệu và cần thêm các thiết chế xử lý tranh chấp về quyền của người dùng. Có như vậy, tam giác phát triển kinh tế số - quyền của người dùng - an ninh quốc gia mới có thể tịnh tiến cân bằng, góp phần tạo động lực mạnh mẽ đưa Việt Nam bước vào kỷ nguyên số. ■

Dữ liệu cá nhân có từ đâu?

Nghị định 13 về bảo vệ dữ liệu cá nhân có hiệu lực ngày 1-7 với các quy định về quyền và nghĩa vụ của cá nhân, tổ chức tại Việt Nam hoặc có hoạt động tại Việt Nam liên quan đến dữ liệu cá nhân. Đây là văn bản pháp luật đầu tiên quy định 11 quyền của công dân đối với dữ liệu cá nhân gồm các quyền được biết, đồng ý, rút lại sự đồng ý, truy cập, xóa dữ liệu, quyền hạn chế xử lý dữ liệu, cung cấp dữ liệu, phản đối xử lý dữ liệu, quyền khiếu nại, tố cáo, khởi kiện, quyền yêu cầu bồi thường thiệt hại và quyền tự bảo vệ.

Quá trình thu thập và xử lý dữ liệu cá nhân dựa trên các thuật toán đã cho phép các doanh nghiệp thấu hiểu và dự đoán chính xác hơn nhu cầu, hành vi của người tiêu dùng để kinh doanh hiệu quả hơn. Các dịch vụ gắn liền với cuộc sống thường nhật như dịch vụ tìm kiếm, trung gian thanh toán, mạng xã hội, dịch vụ quảng cáo trực tuyến, thương mại điện tử (Google, VnPay, Zalo, YouTube, Shopee…) thành công nhờ quá trình thu thập, phân tích dữ liệu cá nhân của người dùng và đề xuất các nội dung phù hợp nhất với họ.

Bên cạnh đó, quá trình số hóa quốc gia với việc chuyển đổi các dịch vụ công từ truyền thống sang trực tuyến đã, đang và sẽ tạo ra dung lượng khổng lồ dữ liệu cá nhân. Dữ liệu này đóng vai trò như nền tảng để các dịch vụ có thể vận hành. Dễ thấy nhất là sự ra đời của hình thức định danh và xác thực điện tử để người dân tham gia dễ dàng hơn vào các giao dịch trên môi trường số.

Chữ ký điện tử, hóa đơn điện tử, giao dịch thông qua ứng dụng ngân hàng điện tử đang trở nên phổ biến hơn bao giờ hết. Dữ liệu cá nhân được tạo ra, được lưu trữ, được xử lý mỗi giây và liên tục hằng ngày đã thành một "nguồn lực" mới cho hoạt động kinh tế, bên cạnh các nguồn lực truyền thống như vốn, lao động và đất đai.

Theo báo cáo về kinh tế kỹ thuật số khu vực Đông Nam Á năm 2022 của Google, Temasek và Bain & Company, kinh tế kỹ thuật số của Việt Nam năm 2022 tăng trưởng 28% so với năm 2021, đạt 23 tỉ USD, dự báo sẽ tăng trưởng 31%, đạt 49 tỉ USD vào năm 2025.

Trong khu vực Đông Nam Á, giá trị nền kinh tế số của Việt Nam xếp thứ 3 sau Indonesia (77 tỉ USD) và Thái Lan (35 tỉ USD) nhưng mức tăng trưởng kinh tế số của Việt Nam là nhanh nhất khu vực Đông Nam Á, do sự đột phá của dịch vụ thương mại điện tử. Dịch vụ thương mại điện tử của Việt Nam năm 2022 tăng 26% so với năm 2021, đạt 14 tỉ USD và dự báo tăng 37%, đạt 32 tỉ USD vào năm 2025.

Ngoài dịch vụ thương mại điện tử, các dịch vụ khác dựa trên dữ liệu như dịch vụ nghe nhìn trực tuyến, dịch vụ du lịch trực tuyến cũng tăng trưởng. Dịch vụ nghe nhìn trực tuyến năm 2022 tăng trưởng 5% so với năm 2021, đạt 4,3 tỉ USD và dự báo tăng 12%, đạt tỉ 6 tỉ USD vào năm 2025. Dịch vụ du lịch trực tuyến năm 2022 tăng trưởng 153% so với năm 2021, đạt 2 tỉ USD và dự báo tăng trưởng 39%, đạt 6 tỉ USD vào năm 2025.