Quy định pháp luật về việc bảo vệ thông tin cá nhân

16:19 | 11/03/2016

Ngày càng có nhiều thông tin cá nhân của người sử dụng được lưu trữ ở trên mạng. Nếu những thông tin này không được bảo vệ một cách thích hợp, kẻ xấu có thể thu thập, khai thác trái phép.

Thông tin trên mạng giờ đây đã trở thành tài sản có giá trị đặc biệt của mỗi cá nhân, tổ chức và thậm chí cả quốc gia. Có nhiều cá nhân, tổ chức mà giá trị tài sản của họ trên mạng còn lớn hơn nhiều so với các tài sản hữu hình khác. Các doanh nghiệp sẽ không thể tồn tại và phát triển nếu các thông tin hoặc hệ thống thông tin bị đánh cắp hay bị phá hoại. Các cơ quan nhà nước thì không thể phục vụ người dân nhanh chóng và thuận tiện nếu các website của họ hoạt động không bình thường. Cải cách hành chính, chính phủ điện tử, thương mại điện tử và hàng loạt chương trình lớn của quốc gia sẽ không thể thực hiện được nếu an toàn thông tin không được đảm bảo. Một cá nhân cũng sẽ bị thiệt hại nếu các thông tin cá nhân bị đánh cắp, bị làm sai lệch.

Thời gian vừa qua, nhiều website của các doanh nghiệp và cơ quan nhà nước bị tấn công, phá hoại, gây thiệt hại nhiều tỷ đồng. Có sự cố đã ảnh hưởng tới hàng trăm trang thông tin điện tử của Việt Nam, trong đó có một số hệ thống thương mại điện tử, một số tờ báo điện tử lớn có hàng triệu người đang sử dụng dịch vụ. Tin tặc không loại trừ một quốc gia, một tổ chức hay cá nhân nào, ngay cả nước Mỹ, một trong những nước phát triển nhất trên thế giới về CNTT, cũng gặp không ít rắc rối. Trong bối cảnh đó, mỗi cá nhân, tổ chức có “tài sản mềm”, cần nhận thức đầy đủ hơn và có biện pháp bảo vệ phù hợp với loại tài sản này.

Bên cạnh đó, hằng ngày chúng ta vẫn sử dụng các giao dịch trực tuyến, thương mại điện tử, ngân hàng điện tử.... Khi sử dụng các dịch vụ trên mạng này, người sử dụng sẽ phải kê khai các thông tin cá nhân như: Tên, ngày sinh, địa chỉ liên hệ, số điện thoại hay số chứng minh nhân dân. Những thông tin này gắn với việc xác định rõ ràng danh tính, nhân thân của một con người cụ thể, nhằm phân biệt người này với người khác. Ngày càng có nhiều thông tin cá nhân của người sử dụng được lưu trữ ở trên mạng. Nếu những thông tin này không được bảo vệ một cách thích hợp, kẻ xấu có thể thu thập, khai thác trái phép. Đây là một trong những nguyên nhân gây ra hiện tượng phát tán thông tin cá nhân trên mạng, gây bức xúc dư luận trong những năm gần đây.

Thông tin riêng của tổ chức, cá nhân được pháp luật bảo vệ

Việc bảo vệ thông tin riêng cũng như thông tin cá nhân là vấn đề thời sự không chỉ ở Việt Nam mà còn ở nhiều nước trên thế giới. Vì thế, nhiều quốc gia có các đạo luật riêng về vấn đề này. 

Hiện nay, trên thế giới, có khoảng 40 quốc gia đã ban hành các quy định pháp luật về bảo vệ thông tin cá nhân trên mạng. Những kinh nghiệm của Mỹ, châu Âu, Nhật Bản, Malaysia và Trung Quốc và nhiều tổ chức, doanh nghiệp nước ngoài... đã được phía Việt Nam nghiên cứu, tiếp thu và căn cứ vào tình hình thực tiễn Việt Nam để đưa ra các quy định về bảo vệ thông tin cá nhân trong Luật An toàn thông tin mạng.

Hiến pháp, Bộ Luật Dân sự, Luật Bảo vệ người tiêu dùng và nhiều văn bản pháp luật chuyên ngành như các luật về viễn thông, công nghệ thông tin, giao dịch điện tử đều đã có quy định về quyền cơ bản của công dân và bảo vệ thông tin cá nhân 

Chẳng hạn, Điều 38 của Bộ luật Dân sự quy định “Quyền bí mật đời tư của cá nhân được tôn trọng và được pháp luật bảo vệ” hay “Thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân được bảo đảm an toàn và bí mật”.

Phạm vi điều chỉnh của Luật An toàn thông tin mạng chỉ quy định các vấn đề liên quan đến kỹ thuật nhằm đảm bảo thông tin truyền đưa trên mạng được nguyên vẹn, không bị gián đoạn, sửa đổi hoặc phá hoại, được bảo đảm bí mật, nên không điều chỉnh vấn đề liên quan đến nội dung thông tin và thông tin riêng. 

Tuy nhiên, tại điều 18 “cập nhật, sửa đổi và hủy bỏ thông tin cá nhân” đã quy định rõ, chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ, hoặc ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba.

Ngay khi nhận được yêu cầu, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm thực hiện yêu cầu và thông báo lại cho chủ thể thông tin cá nhân hoặc cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận để tự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình do tổ chức, cá nhân xử lý thông tin cá nhân đang lưu trữ.

Tổ chức, cá nhân xử lý thông tin còn phải áp dụng các biện pháp phù hợp để bảo vệ thông tin cá nhân; thông báo lại cho chủ thể thông tin cá nhân đó trong trường hợp chưa thực hiện được yêu cầu do yếu tố kỹ thuật hoặc yếu tố khác.

Luật cũng quy định tổ chức, cá nhân xử lý thông tin cá nhân phải hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ và thông báo cho chủ thể thông tin cá nhân biết, trừ trường hợp pháp luật có quy định khác.
Luật cũng quy định thiết lập kênh thông tin trực tuyến, xử lý các phản ánh của người dân về các vấn đề bảo vệ thông tin cá nhân.

Từ góc độ pháp lý, để giải quyết vấn đề trên, cần có quy định cho 2 nhóm đối tượng khác nhau, bao gồm cá nhân, tổ chức có hành vi phát tán thông tin cá nhân bất hợp pháp và doanh nghiệp kinh doanh dịch vụ có lưu giữ thông tin cá nhân của người sử dụng.
Đối với cá nhân, tổ chức có hành vi phát tán thông tin cá nhân bất hợp pháp, hành lang pháp lý để xử lý hành vi này cơ bản được quy định trong Bộ Luật Dân sự, Luật Bảo vệ người tiêu dùng và các luật chuyên ngành như các Luật: Viễn thông, Công nghệ thông tin, Giao dịch điện tử. Tuy nhiên, các quy định này còn rời rạc, chưa đầy đủ, chưa đủ rõ ràng để có thể áp dụng vào một số trường hợp trong thực tiễn.

Ngoài ra, một điểm mới của Luật là chỉ rõ trách nhiệm của chính người dùng trong việc bảo vệ thông tin cá nhân của mình, trên nguyên tắc chung là mỗi người phải có trách nhiệm “tự bảo vệ thông tin cá nhân và tự chịu trách nhiệm khi cung cấp những thông tin đó trên mạng”.

Trước hết, người sử dụng phải tự ý thức bảo vệ thông tin cá nhân của mình, cũng như thận trọng khi cung cấp thông tin cá nhân của mình lên mạng Internet.

Về chế tài xử phạt đối với các hành vi phát tán, chia sẻ thông tin cá nhân, tùy theo mức độ, hành vi thì tổ chức, cá nhân vi phạm sẽ bị xử lý vi phạm hành chính hoặc xử lý trách nhiệm hình sự theo các quy định pháp luật hiện hành.

Luật ATTTM khi có hiệu lực, kết hợp cùng Bộ luật Dân sự, Luật Bảo vệ người tiêu dùng và các văn bản pháp luật chuyên ngành khác như Luật Viễn thông, Luật Giao dịch điện tử… sẽ tạo thành hệ thống pháp luật đồng bộ, đầy đủ cho công tác bảo vệ thông tin cá nhân của người sử dụng trong kỷ nguyên Internet hiện nay, góp phần thúc đẩy hơn nữa hoạt động giao dịch điện tử phục vụ phát triển kinh tế - xã hội của đất nước.

Điều 16. Nguyên tắc bảo vệ thông tin cá nhân trên mạng

Cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng.

Cơ quan, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý.

Tổ chức, cá nhân xử lý thông tin cá nhân phải xây dựng và công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của tổ chức, cá nhân mình.

Việc bảo vệ thông tin cá nhân thực hiện theo quy định của Luật này và quy định khác của pháp luật có liên quan.

Việc xử lý thông tin cá nhân phục vụ mục đích bảo đảm quốc phòng, an ninh, trật tự, an toàn xã hội hoặc không nhằm mục đích thương mại được thực hiện theo quy định khác của pháp luật có liên quan.

Điều 17. Thu thập và sử dụng thông tin cá nhân

1. Tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm sau đây:

a) Tiến hành thu thập thông tin cá nhân sau khi có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích cụ thể của việc thu thập và sử dụng thông tin đó;

b) Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân;

c) Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.

2. Cơ quan nhà nước chịu trách nhiệm bảo mật, lưu trữ đối với thông tin cá nhân do mình thu thập.

3. Chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cung cấp thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ.

Điều 18. Cập nhật, sửa đổi và hủy bỏ thông tin cá nhân

1. Chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ hoặc ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba.

2. Ngay khi nhận được yêu cầu của chủ thể thông tin cá nhân về việc cập nhật, sửa đổi, hủy bỏ thông tin cá nhân hoặc đề nghị ngừng cung cấp thông tin cá nhân cho bên thứ ba, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm sau đây:

a) Thực hiện yêu cầu và thông báo lại cho chủ thể thông tin cá nhân hoặc cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận để tự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình;

b) Áp dụng các biện pháp phù hợp để bảo vệ thông tin cá nhân; thông báo lại cho chủ thể thông tin cá nhân đó trong trường hợp chưa thực hiện được yêu cầu do yếu tố kỹ thuật hoặc yếu tố khác.

3. Tổ chức, cá nhân xử lý thông tin cá nhân phải hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ và thông báo cho chủ thể thông tin cá nhân biết, trừ trường hợp pháp luật có quy định khác.

Điều 19. Bảo đảm an toàn thông tin cá nhân trên mạng

Tổ chức, cá nhân xử lý thông tin cá nhân phải áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân do mình thu thập, lưu trữ; tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn thông tin mạng.

Khi xảy ra hoặc có nguy cơ xảy ra sự cố an toàn thông tin mạng, tổ chức, cá nhân xử lý thông tin cá nhân cần áp dụng các biện pháp khắc phục trong thời gian sớm nhất.

Điều 20. Trách nhiệm của cơ quan quản lý nhà nước trong bảo vệ thông tin cá nhân trên mạng

Thiết lập kênh thông tin trực tuyến để tiếp nhận kiến nghị, phản ánh của tổ chức, cá nhân liên quan đến bảo đảm an toàn thông tin cá nhân trên mạng.

Định kỳ hằng năm tổ chức thanh tra, kiểm tra đối với tổ chức, cá nhân xử lý thông tin cá nhân; tổ chức thanh tra, kiểm tra đột xuất trong trường hợp cần thiết.