Nóng cuộc chiến dữ liệu cá nhân

Vụ việc chấn động đầu tiên là vào tháng 7/2019 khi Facebook bị Ủy ban Thương mại Mỹ phạt 5 tỷ USD vì bê bối để lộ dữ liệu của hơn 50 triệu người dùng. Sau đó 2 tháng, cơ quan này phạt tiếp Google 150 triệu USD vì thu thập dữ liệu trẻ em trái phép qua ứng dụng Youtube.

Tháng 5/2017, Nhật Bản ban hành Luật Bảo vệ thông tin cá nhân. Luật này điều chỉnh hoạt động của tất cả các công ty kinh doanh có trụ sở tại Nhật Bản hay ở nước ngoài khi kinh doanh tại Nhật. Đồng thời Nhật Bản thành lập Ủy ban Bảo vệ thông tin cá nhân nhằm tăng cường quản lý các doanh nghiệp công nghệ nước ngoài như Google, Facebook, Amazon…

Sau đó 1 năm, tháng 5/2018, EU ban hành Luật Bảo vệ dữ liệu chung châu Âu, yêu cầu các doanh nghiệp phải tuân thủ các quy định cụ thể, rõ ràng về cách thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, loại hình dữ liệu được phép chia sẻ. Các công ty nằm ngoài lãnh thổ châu Âu cũng phải chấp hành các quy định này.

Với nước Mỹ, hệ thống bảo mật thông tin được cho là rất cứng rắn. Ngoài đạo luật của chính quyền các bang, chẳng hạn như Đạo luật Bảo vệ quyền riêng tư trực tuyến của California, thì đạo luật của liên bang được ban hành mang tính bao trùm với những quy định rất chi tiết.

Tại khu vực Đông Nam Á, Singapore cũng đi đầu trong việc ban hành đạo luật riêng về bảo vệ dữ liệu cá nhân. Đạo luật này được “nâng cấp” từ một quy định bảo vệ dữ liệu cá nhân được Nghị viện nước này phê chuẩn từ năm 2012. Bên cạnh đó, một số văn bản pháp luật chuyên ngành của Singapore cũng có quy định về vấn đề này như Luật An ninh mạng và máy tính, Luật Bí mật công vụ, Luật Thống kê, Luật Giao dịch điện tử, Luật Ngân hàng, Luật Viễn thông…

Tại Vương quốc Anh, năm 2018, London đã phạt tiền đối với vụ bê bối lộ dữ liệu người dùng của Facebook và Cambridge Analytica. Tuy nhiên, mức phạt gần 700.000 USD là rất nhỏ so với doanh thu hàng tỷ USD của Facebook mỗi năm tại Anh. Dẫu vậy, đại diện Văn phòng Ủy viên thông tin của Anh vẫn cho rằng đó là “một thông điệp cứng rắn đối với hành vi làm lộ lọt, mua bán, sử dụng trái phép thông tin cá nhân”. Trong trường hợp này, lỗi của Facebook được xác định là “không đảm bảo bí mật thông tin cá nhân người dùng, thiếu minh bạch trong việc để thông tin bị các bên thứ 3 khai thác”.

Ngày 14/4/2016, Nghị viện châu Âu đã ban hành Quy định chung về bảo vệ dữ liệu cá nhân (GDPR). GDPR được đánh giá là tạo ra cơ chế bảo vệ thông tin cá nhân khắt khe nhất thế giới hiện nay khi đặt ra hàng loạt nghĩa vụ của các tổ chức đối với việc xử lý dữ liệu cá nhân mà họ thu thập và xử lý. GDPR quy định, việc xử lý dữ liệu cá nhân phải được thực hiện trên cơ sở sự chấp thuận của chủ thể dữ liệu cá nhân hoặc trên cơ sở hợp đồng với người này. Khái niệm “dữ liệu cá nhân” được GDPR định nghĩa bao gồm: tên tuổi, số chứng minh thư, dữ liệu nơi cư trú, số điện thoại, hoặc bất kỳ một hoặc những yếu tố đặc biệt nào liên quan đến việc nhận diện về thể chất, tâm lý, sinh lý (sẽ được coi là nhạy cảm khi tiết lộ về xu hướng tình dục), di truyền, kinh tế, nhận xét của người sử dụng lao động. Nói cách khác, các phần thông tin rời rạc khác nhau nếu được thu thập và tập hợp lại mà có thể dẫn đến việc nhận diện một cá nhân cụ thể thì được coi là dữ liệu cá nhân.

Nghĩa vụ, trách nhiệm của chủ thể kiểm soát, chủ thể xử lý thông tin cá nhân được GDPR quy định trong 19 điều (từ Điều 24 đến Điều 43 tại Quy định chung về bảo vệ dữ liệu cá nhân); với rất nhiều ràng buộc được chi tiết hóa để ngăn chặn triệt để hành vi vi phạm. Mối quan hệ giữa chủ thể xử lý thông tin và chủ thể kiểm soát thông tin được xác định trên cơ sở hợp đồng. Trường hợp dữ liệu bị tiết lộ, truy cập, thay đổi hoặc bị đánh cắp, chủ thể kiểm soát dữ liệu cần phải thực hiện nghĩa vụ báo cáo đến chủ thể dữ liệu. Nếu không thực hiện (hoặc chậm thực hiện khiến dữ liệu được khai thác trái phép) chủ thể kiểm soát dữ liệu sẽ đối mặt với án phạt của cơ quan có thẩm quyền.

Trong trường hợp vi phạm được xác định sẽ bị phạt nặng, cao nhất lên tới 20 triệu Euro hoặc 4% doanh thu toàn cầu (trong 12 tháng trước đó) của công ty vi phạm.

Tới nay, không ít nơi làm lộ dữ liệu cá nhân đã bị xử phạt. Trong đó có thể kể đến vụ việc xảy ra vào năm 2014, do làm lộ 500 triệu thông tin khách hàng song cố ý che giấu trong 2 năm, Yahoo đã bị Ủy ban Chứng khoán và Sàn giao dịch Mỹ (SEC) phạt 35 triệu USD. Thông tin bị lộ bao gồm số điện thoại đăng ký, ngày sinh, câu hỏi bảo mật và trả lời, mật khẩu dưới dạng ký tự, dữ liệu thanh toán và tài khoản ngân hàng. Theo các chuyên gia an ninh, đây là trường hợp tiêu biểu đầu tiên cho thấy việc để lộ thông tin cá nhân (dù vô tình hay cố ý) là rất nguy hiểm và cũng rất khó phát hiện vì chủ thể kiểm soát thông tin thường tìm cách che giấu trong một thời gian dài.