Dữ liệu cá nhân khu vực công: Chế tài nào bảo vệ ?

Cơ sở dữ liệu quốc gia về dân cư - xương sống của cơ sở hạ tầng dữ liệu - đã được hoàn thiện. Tuy nhiên, công tác xây dựng, kết nối, chia sẻ, khai thác các CSDLQG vẫn còn hạn chế, mà một trong những nút thắt là lỗ hổng quy định, chế tài đối với việc bảo vệ dữ liệu cá nhân.

Cơ sở dữ liệu dân cư đã sẵn sàng, nhưng khai thác thế nào?

Năm 2022, Việt Nam đã tiến được một bước dài trong chuyển đổi số: cơ sở dữ liệu quốc gia về dân cư và căn cước công dân (CCCD) – xương sống của hệ sinh thái dữ liệu toàn quốc – đã hoàn thiện. Theo báo cáo, Bộ Công an đã thu thập vào CSDLQG về dân cư khoảng 99 triệu nhân khẩu, đạt trên 99%. Đối với việc thu thập CCCD, Bộ Công an đã thu thập được hơn 50,2 triệu hồ sơ cấp CCCD.

Sau thành công này, Bộ Công An đã nhanh chóng cho ra mắt ứng dụng VNEID là nơi tập trung hóa dữ liệu và tích hợp nhiều dịch vụ công – tư trên đó. Nói cách khác, chỉ cần có tài khoản VNEID là một người có thể thực hiện đa số các thủ tục thiết yếu trong đời sống hằng ngày, tương tự như mô hình SingPass của Singapore. UBND các tỉnh đã nhanh chóng hưởng ứng, ban hành các văn bản tích hợp tích hợp hệ thống định danh và xác thực điện tử với các ứng dụng cốt lõi như ví điện tử, thanh toán không dùng tiền mặt, chứng khoán, điện, nước,… lên ứng dụng VNEID, bảo đảm từng bước dùng thẻ Căn cước công dân để thay thế các giấy tờ cá nhân như bảo hiểm y tế, bằng lái xe, giấy phép lái xe, mã số chứng chỉ, hoặc giấy phép hành nghề, tiêm chủng, y tế, giáo dục, thẻ cán bộ, …

Định hướng này hứa hẹn cắt giảm nhiều thủ tục hành chính, mang lại tiện ích cho người dân. Hơn nữa, nó còn có tiềm năng đem lại nguồn thu cho ngân sách nhà nước khi các đơn vị tư nhân muốn tích hợp dịch vụ vào VNEID và khai thác dữ liệu trên đó. Bộ Tài chính đã ban hành Thông tư 48/2022/TT-BTC ngày 03/08/2022 quy định về mức thu, chế độ thu, nộp, quản lý, và sử dụng phí được khai thác từ Cơ sở dữ liệu quốc gia về dân cư. Mục tiêu ban hành Thông tư là để mở cơ chế cho phép cơ quan quản lý cung cấp dịch vụ dữ liệu dân cư cho cá nhân, tổ chức có tính phí, tạo nguồn thu để xây dựng, duy trì, quản trị, và khai thác dữ liệu, bảo đảm minh bạch, an toàn, và đúng pháp luật.

Tuy nhiên, dữ liệu nào của người dân được chia sẻ cho bên thứ ba và dữ liệu nào thì không, có thể chia sẻ trong những trường hợp nào, với các điều kiện cụ thể gì? Trường hợp có hành vi lạm dụng khả năng tiếp cận dữ liệu để truy cập trái quy định pháp luật, nằm ngoài chức năng nhiệm vụ, sẽ được xử lý như thế nào? Câu trả lời vẫn còn đang bỏ ngỏ. Thực tế rằng Bộ Công an chưa hoàn thiện Thông tư quy định về danh mục, sản phẩm được khai thác từ Cơ sở dữ liệu quốc gia về dân cư, và đặc biệt là chưa ban hành Nghị định bảo vệ dữ liệu cá nhân (tương lai sẽ là Luật bảo vệ dữ liệu cá nhân) là điểm nghẽn đối với khai thác giá trị dữ liệu, đặc biệt trong bối cảnh 2023 được định hướng là “Năm dữ liệu số Việt Nam”.

Các tiện ích của ứng dụng VNEID.

Chế tài chưa đủ mạnh

Vấn đề không chỉ dừng lại ở việc khai thác dữ liệu dân cư đó như thế nào mà còn ở việc xử lí những trường hợp vi phạm dữ liệu cá nhân ra sao.

Pháp luật Việt Nam đến thời điểm hiện tại đang thiên về hướng để chủ thể dữ liệu tự thực hiện các biện pháp bảo vệ dữ liệu của mình. Nếu chẳng may có sự cố xảy ra, các biện pháp xử phạt chủ yếu sẽ là quy định chế tài hành chính. Tuy nhiên, hiện nay Việt Nam chưa có quy định về xử phạt vi phạm hành chính do “đích danh” lí do xâm phạm dữ liệu cá nhân. Nếu muốn khiếu nại, các chủ thể dữ liệu phải gián tiếp dựa vào các quy định xử phạt đối với một số hành vi vi phạm liên quan lĩnh vực bưu chính, viễn thông, công nghệ thông tin, tần số vô tuyến điện, thương mại, bảo vệ quyền lợi người tiêu dùng trong Luật Xử lý vi phạm hành chính 2015 sửa đổi, bổ sung năm 2020 và Luật An toàn thông tin mạng năm 2015, Luật An ninh mạng năm 2018 và các Nghị định hướng dẫn liên quan như Nghị định số 49/2017/NĐ – CP.

Gần đây, quy định chế tài xử lý vi phạm hành chính được áp dụng cho hành vi xâm phạm dữ liệu cá nhân mới được đưa vào Dự thảo Nghị định bảo vệ dữ liệu cá nhân và Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng. Trong đó, mức xử lí vi phạm hành chính đối với hành vi vi phạm quy định về xử lý dữ liệu cá nhân tối đa là 100 triệu đồng và với hành vi tái phạm thì mức phạt cao nhất là 5% tổng doanh thu của bên xử lý vi phạm dữ liệu cá nhân tại Việt Nam.

Tuy nhiên, so với mức phạt của Liên minh châu Âu – có thể tối đa là 20 triệu euro hoặc 4% doanh thu toàn cầu (tùy theo mức nào cao hơn), cộng với việc các chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại1, thì các mức phạt này được nhận định là “chưa đủ sức răn đe”, chưa tương xứng với hậu quả mà những hành vi xâm phạm này gây ra2.

Bên cạnh đó, các quy định về xử lý vi phạm dữ liệu cá nhân không nên chỉ nằm trong hai dự thảo nói trên. Do đặc thù của dữ liệu được thu thập từ khu vực công, các văn bản quy phạm pháp luật điều chỉnh lĩnh vực quản lý hành chính, hoạt động tố tụng cần chú trọng bổ sung các quy định liên quan đến xử lý dữ liệu cá nhân, ví dụ như Luật Xử lý vi phạm hành chính, Bộ Luật tố tụng dân sự, Luật khiếu nại, … Cụ thể, cần bổ sung quy định về bồi thường thiệt hại do dữ liệu cá nhân bị xâm phạm trong Luật Trách nhiệm bồi thường nhà nước năm 2017 đối với hành vi thu thập, xử lý dữ liệu cá nhân trái quy định pháp luật, gây thiệt hại cho chủ thể dữ liệu và các chủ thể có liên quan. Các quy định về vi phạm trong xử lý dữ liệu cá nhân và mức phạt đi kèm cần rõ ràng, cụ thể, ví dụ với từng vi phạm như thiếu cơ sở pháp lý khi xử lý dữ liệu, sử dụng dữ liệu không đúng mục đích hợp pháp, làm dụng dữ liệu cá nhân thì cần có mức phạt khác nhau như thế nào.

Thiếu cơ chế khiếu nại tập thể đối với các vi phạm về dữ liệu cá nhân

Ngoài ra, cần quy định cơ chế khiếu nại và khiếu kiện khi có sự vi phạm quyền của chủ thể dữ liệu và quyền riêng tư trên quy mô lớn, bao gồm vấn đề khởi kiện tập thể. Đồng thời, cần ghi nhận quyền của các tổ chức xã hội được đại diện cho nạn nhân khởi kiện hoặc tự khởi kiện vì lợi ích công cộng. Mỗi cá nhân là quá nhỏ bé để đấu tranh cho quyền riêng tư dữ liệu cá nhân và cần cơ chế tập thể để đòi quyền lợi trước các doanh nghiệp công nghệ số đa quốc gia như Facebook, Google, TikTok, … Ví dụ, khi Tòa án Mỹ phạt Equifax 505 triệu đô la (2020) vì truy cập trái phép dữ liệu cá nhân và tài chính của 147 triệu công dân Mỹ, thì tổn thất của mỗi người dùng chỉ là 3,43 đô la.

Nếu cơ chế khiếu nại tập thể được ghi nhận trong Luật bảo vệ dữ liệu cá nhân (dự kiến ban hành vào 2024), và được thúc đẩy và khuyến khích thực hiện, thì đối với những vụ việc như hơn 400.000 tài khoản người dùng Facebook tại Việt Nam bị rò rỉ trong vụ bê bối liên quan đến Cambridge Analytica vào 2016-2017, hay thông tin của 41 triệu người dùng3 tại Việt Nam (bao gồm tên tài khoản, sở thích, việc làm, số điện thoại, …) bị lộ lọt vào 2020 sẽ có thể được giải quyết hiệu quả theo cơ chế này. Khi đó, những công dân Việt Nam có dữ liệu cá nhân bị rò rỉ có thể cùng khiếu nại tập thể, hoặc có một tổ chức xã hội (ví dụ như Hiệp hội bảo vệ người tiêu dùng, Mặt trận Tổ quốc Việt Nam, hay các tổ chức tương tự hoạt động vì cộng đồng) đứng ra đại diện cho các nạn nhân thu thập bằng chứng và khởi kiện lên Ủy ban bảo vệ dữ liệu cá nhân quốc gia. Từ đó, Ủy ban này sẽ có cơ sở và bằng chứng thiết thực để làm việc với các doanh nghiệp công nghệ lớn, đòi hỏi quyền được bồi thường cho các công dân Việt Nam. Đồng thời thúc đẩy tinh thần dân chủ, như chủ trương của Đảng và Nhà nước thông qua việc ban hành Luật thực hiện dân chủ ở cơ sở ngày 10 tháng 11 năm 2022, có hiệu lực thi hành từ ngày 01 tháng 7 năm 2023.4

Đối với dữ liệu cá nhân trong khu vực công, người dân buộc phải trao gửi dữ liệu, thông tin cá nhân cho cơ quan nhà nước để thực hiện những thủ tục quan trọng trong cuộc sống của mình như kết hôn, khai sinh, thừa kế, hay phản ánh những bức xúc ảnh hưởng đến quyền lợi thiết thân của họ, thì việc có chế tài để khiếu nại tập thể đối với các cơ quan nhà nước có hành vi vi phạm tính “riêng tư” của dữ liệu là vô cùng cần thiết.

Hiện tại, theo phiên bản dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân, được công khai vào tháng 02.2021, quyền được khiếu nại mới chỉ được ghi nhận chung chung tại khoản 5 điều 5 của Dự thảo Nghị định. Theo đó, chủ thể dữ liệu có quyền “khiếu nại theo quy định của pháp luật.” Trong khi khoản này đã làm rõ 3 trường hợp được khiếu nại, thì cơ chế khiếu nại chưa được cụ thể hóa, và quyền được khiếu nại tập thể chưa được ghi nhận. Ban soạn thảo có thể nghiên cứu để bổ sung làm rõ hình thức và cơ chế thực hiện quyền khiếu nại tập thể, theo mô hình của Quy định Chung về Bảo vệ Dữ liệu (GDPR) của Liên minh Châu Âu, hoặc ở khu vực Châu Á, Hàn Quốc là quốc gia có bộ luật bảo vệ dữ liệu cá nhân ghi nhận rõ ràng cơ chế khiếu kiện tập thể này tại chương số VIII (Điều 51-57).5

Gương mẫu thực thi thì chế tài mới hiệu quả

Bên cạnh sự cần thiết hoàn thiện các chế tài, để bảo đảm chế tài được thực thi hiệu quả chính phủ Việt Nam cần gương mẫu trong công tác thu thập, quản lý, vận hành, và lưu trữ dữ liệu đối với cơ sở dữ liệu cá nhân lớn nhất quốc gia – Cơ sở dữ liệu quốc gia về dân cư.

VNeID là ứng dụng quan trọng, được phát triển dựa trên nền tảng ứng dụng dữ liệu về dân cư. Dù chỉ mới ban hành trong 2022, VNeID đã thu được trên 5.000.000 lượt tải xuống từ Google Play. Chính sách về quyền riêng tư của VNeID là một thỏa thuận điện tử mẫu vô cùng quan trọng, ghi nhận quyền của người dân đối với dữ liệu cá nhân, và thể hiện cam kết của cơ quan nhà nước đối với việc bảo vệ dữ liệu của người dân.

VNEID là nơi tập trung hóa dữ liệu và tích hợp nhiều dịch vụ công tư trên đó, tương tự như mô hình Singpass của Singapore.

VNeID đã thực hiện rất tốt nguyên tắc bảo đảm có sự đồng ý của chủ thể dữ liệu, khi có hộp kiểm để người dùng lựa chọn, đính kèm với thông báo về điều khoản sử dụng và chính sách quyền riêng tư. Tuy nhiên, chính sách về quyền riêng tư vẫn cần cải thiện một số điểm để bám sát với tinh thần Nghị định bảo vệ dữ liệu cá nhân mà Bộ Công an đang soạn thảo. Thứ nhất là cần làm rõ cơ quan kiểm soát dữ liệu và chịu trách nhiệm với việc thu thập, xử lý, lưu trữ, và truyền tải dữ liệu là Bộ Công an, hoặc một đơn vị cụ thể của Bộ Công an. Kèm với đó, chính sách này cũng cần cung cấp thông tin đầu mối phụ trách bảo vệ dữ liệu cá nhân, để người dân dễ dàng liên hệ khi muốn thực hiện các quyền của mình. Thứ hai, đối với mục “Quyền, trách nhiệm của người dùng,” Bộ Công an cần xem xét điều chỉnh để cụ thể hóa các quyền của chủ thể dữ liệu như định hướng được ghi nhận trong Điều 5 Dự thảo Nghị định bảo vệ dữ liệu cá nhân. Hiện tại, mục này mới chỉ tập trung vào việc yêu cầu người dùng “tuân thủ các quy định về bảo đảm an toàn thông tin, an ninh thông tin, nhập liệu các thông tin chính xác, có độ xác thực cao.” Thứ ba, mục đích xử lý dữ liệu, cũng như thời hạn lưu trữ đối với từng loại dữ liệu khác nhau cần được làm rõ. Thứ tư, các nguyên tắc đối với thu thập, xử lý dữ liệu cá nhân của trẻ em cũng cần được cụ thể hóa, đặc biệt xét trong bối cảnh Bộ Công an đã tổ chức kết nối, chia sẻ thành công để đồng bộ dữ liệu từ CSDLQG về dân cư với Bộ Giáo dục và Đào tạo (dữ liệu học sinh); Bộ Lao động – Thương binh và Xã hội (dữ liệu trẻ em).

Về mặt thể chế, ngoài việc tham khảo các tiêu chí đánh giá đối với chính sách về quyền riêng tư (Tham khảo báo cáo chuyên đề “Đánh giá việc bảo vệ dữ liệu cá nhân trên các nền tảng tương tác với người dân của chính quyền địa phương năm 2022”),6 Ban soạn thảo Nghị định quy định về bảo vệ dữ liệu cá nhân (tiến tới là Luật bảo vệ dữ liệu cá nhân vào 2024) cần nghiên cứu kinh nghiệm từ các quốc gia đi trước trong lĩnh vực này như Anh Quốc,7 Hoa Kỳ,8 xem xét xây dựng Thông tư hướng dẫn cụ thể, đưa ra các tiêu chí đánh giá, và phiên bản chính sách về quyền riêng tư mẫu cho cơ quan, tổ chức, cá nhân có thể dễ dàng hiểu và tuân thủ.

Riêng với quản trị dữ liệu cá nhân khu vực công, Bộ Thông tin và Truyền thông cần xem xét sửa đổi, bổ sung Thông tư số 25/2010/TT-BTTTT,9 mở rộng phạm vi điều chỉnh, để không chỉ dừng lại ở việc “quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước”, mà mở rộng đối với phạm vi hoạt động của cơ quan nhà nước trên môi trường mạng. Việc điều chỉnh như vậy cũng phù hợp với xu hướng mở rộng hoạt động chính phủ số Việt Nam, thống nhất với tinh thần từ việc cập nhật sửa đổi Nghị định 43/2011/NĐ-CP thành Nghị định 42/2022/NĐ-CP.10 Bên cạnh đó, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), trực thuộc Cục An toàn thông tin, Bộ TTTT, vốn đã có sẵn chức năng “đầu mối kỹ thuật về giám sát, hỗ trợ bảo đảm an toàn thông tin cho người dân, doanh nghiệp và các hệ thống thông tin của Đảng, Nhà nước theo quy định của pháp luật,” cần xem xét triển khai sáng kiến đánh giá bảo mật dữ liệu khu vực công định kỳ, và công khai báo cáo đánh giá lên website để bảo đảm công chúng được thông tin và giám sát, tham khảo mô hình của Ủy ban thương mại liên bang Hoa Kỳ (FTC), hoặc Ủy ban đánh giá bảo mật dữ liệu khu vực công (Public Sector Data Security Review Committee) của Singapore.

Bảo đảm nguồn lực triển khai

Bên cạnh đó, cần xác định lại quy mô hoạt động và nhân sự của Ủy ban bảo vệ dữ liệu cá nhân quốc gia, để tương xứng với tầm quan trọng của dữ liệu cá nhân gần 100 triệu công dân Việt Nam.

Dữ liệu về dân cư là kho dữ liệu quan trọng xuyên suốt tất cả các bộ ban ngành. Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phủ về việc “Phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh, và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022-2025, tầm nhìn đến năm 2030” đã ghi rõ hai quan điểm: 1) Dữ liệu dân cư là tài nguyên quan trọng, được quản lý tập trung, thống nhất và chia sẻ trong toàn bộ hệ thống chính trị; và 2) Dữ liệu dân cư là dữ liệu gốc, các cơ sở dữ liệu khác liên quan đến công dân đã, đang, và sẽ xây dựng phải căn cứ vào dữ liệu gốc và có sự kết nối, chia sẻ.

Tuy nhiên, hiện tại thì mô hình hoạt động của Ủy ban bảo vệ dữ liệu cá nhân mang tính chất ứng phó tạm thời, chứ chưa bền vững. Theo quy định của điều 23 dự thảo nghị định, Uỷ ban bảo vệ dữ liệu cá nhân có chức năng (i) triển khai các hoạt động nâng cao nhận thức về bảo vệ dữ liệu cá nhân; (ii) cung cấp dịch vụ tư vấn kỹ thuật quản lý hoặc các dịch vụ chuyên biệt khác liên quan đến bảo vệ dữ liệu cá nhân; (iii) tư vấn cho Chính phủ về vấn đề liên quan đến bảo vệ DLCN…Mặc dù đảm nhiệm rất nhiều chức năng nhưng theo quy định tại dự thảo thì thành viên của cơ quan này chỉ bao gồm “không quá 6 đồng chí” và hoạt động theo phương thức “kiêm nhiệm”. Quy định này chưa thực sự phù hợp vì không đảm bảo tính khả thi khi nhân lực của chủ thể này quá mỏng mà đảm nhiệm quá nhiều nhiệm vụ. Thêm vào đó, còn là nguy cơ tiềm ẩn của hiệu ứng domino, khi tư duy kiêm nhiệm đối với quản trị dữ liệu cá nhân là tư duy được áp dụng từ trung ương đến địa phương, thể hiện sự quan tâm chưa đủ đối với việc quản trị dữ liệu cá nhân.

Bảo vệ dữ liệu cá nhân thành công hay không, không thể chỉ dựa vào quy định, chế tài trên văn bản, mà phải có nguồn lực tương xứng để triển khai. Tại Hàn Quốc, Bộ luật về bảo vệ dữ liệu cá nhân được sửa đổi vào ngày 5 tháng 8 năm 2020. Trước khi được sửa đổi, Bộ Nội an (Ministry of the Interior and Safety) quản lý dữ liệu cá nhân được thu thập offline, và Ủy ban truyền thông Hàn Quốc (Korea Communications Commission) quản lý dữ liệu cá nhân được thu thập online. Ban đầu, Bộ Nội an chịu trách nhiệm giám sát triển khai Bộ luật bảo vệ dữ liệu cá nhân. Tuy nhiên, sau đó Ủy ban bảo vệ dữ liệu cá nhân đã được thành lập, hợp nhất việc bảo vệ dữ liệu cá nhân thu thập trực tiếp và trực tuyến. Ủy ban này được nâng cấp thành một cơ quan độc lập, trực thuộc Văn phòng Thủ tướng. Lý do là bởi, chính quyền Hàn Quốc muốn đầu tư nguồn lực để có hẳn một cơ quan độc lập đủ thẩm quyền giám sát việc bảo vệ dữ liệu cá nhân xuyên suốt các bộ ngành.

Quan chức của Singapore trong buổi họp báo về vụ rò rỉ dữ liệu 1.5 triệu bệnh nhân của ứng dụng SingHealth. Ảnh: Mark Cheong/businesstimes.com.sg

***

Tại phiên chất vấn của Quốc hội đối với lĩnh vực thông tin và truyền thông vào sáng 4/11/2022, các đại biểu quốc hội chất vấn nhiều lần 02 nhóm vấn đề nổi bật: 1) Công tác xây dựng, kết nối, chia sẻ, khai thác các cơ sở dữ liệu quốc gia; và 2) việc mua bán dữ liệu cá nhân. Trong phần trả lời của mình, dù Bộ trưởng Bộ Thông tin và Truyền thông một lần nữa khẳng định dữ liệu cá nhân “là tài sản cá nhân được nhắc đến trong Luật An toàn thông tin”, trách nhiệm một lần nữa lại được đặt lên vai người dân “mỗi người dân đều cần ý thức rõ và bảo vệ quyền lợi của cá nhân mình.”

Thứ nhất, trong khi Nghị định bảo vệ dữ liệu cá nhân, và Luật bảo vệ dữ liệu cá nhân, chưa được ban hành, chưa có cơ sở rõ ràng để người dân – các chủ thể dữ liệu nhận biết đâu là quyền của mình, thì vai trò của cơ quan nhà nước là hoàn thiện khung pháp lý, và các chế tài đủ sức răn đe. Từ đó ngay cả trong bản thân cơ quan nhà nước phải có trách nhiệm đối với khai thác dữ liệu của người dân, thì mới làm gương được cho doanh nghiệp.

Thứ hai, kể cả khi khung pháp lý đối với việc bảo vệ dữ liệu cá nhân đã được hoàn thiện, thì nhà nước vẫn phải có nghĩa vụ song hành cùng người dân, và làm tốt hết mức có thể để bảo đảm dữ liệu cá nhân được bảo vệ an toàn, bảo đảm khung pháp lý được thực thi hiệu quả. Với xu thế chuyển đổi số và tập trung hóa dữ liệu, các sự cố dữ liệu sẽ trở thành nguy cơ thường trực, và các cơ quan quản lý nhà nước phải chuẩn bị tâm lý “sống chung với lũ,” luôn sẵn sàng để phản ứng nhanh chóng. Là một quốc gia bắt đầu chuyển đổi số muộn hơn, Việt Nam có lợi thế được học hỏi kinh nghiệm từ những quốc gia đi trước, như Singapore. Vụ lộ lọt dữ liệu lớn nhất trong lịch sử của 1,5 triệu bệnh nhân Trung tâm y tế SingHealth là hồi chuông cảnh tỉnh để chính quyền Singapore nhận thức được thực tế rằng khối lượng thông tin mà các cơ quan nhà nước nắm giữ rất lớn nên khi có những sự cố về lộ, lọt dữ liệu xảy ra, cần thiết phải có những quy định chung để các cơ quan nhà nước hành động một cách kịp thời,  đồng thời phải có chế tài đủ sức răn đe để giảm thiểu tối đa những rủi ro có thể xảy ra. Từ đó, Thủ tướng Singapore thành lập Ủy ban đánh giá bảo mật dữ liệu khu vực công (Public Sector Data Security Review Committee) vào 31.03.2019. PSDSRC có trách nhiệm rà soát, thanh tra toàn diện 336 hệ thống CNTT thuộc 94 cơ quan nhà nước Singapore, và công khai kết quả đánh giá hằng năm trên website để công chúng cùng được biết.11 Đây là một mô hình từ nước bạn láng giềng ASEAN, mà Việt Nam hoàn toàn có thể tiếp thu phù hợp với bối cảnh của Việt Nam.

Ủy ban bảo vệ dữ liệu cá nhân của Singapore đã phạt Hệ thống liên thông dữ liệu y tế (IHiS) $750,000 và Trung tâm y tế (SingHealth) $250,000 vì đã không triển khai được đầy đủ các biện pháp bảo vệ dữ liệu cá nhân, dẫn đến tin tặc đánh cắp thông tin cá nhân của 1,5 triệu bệnh nhân Trung tâm y tế SingHealth. Đây là vụ lộ lọt dữ liệu khu vực công lớn nhất trong lịch sử Singapore, và cũng là mức án phạt cao nhất từng được ấn định đối với 1 sự cố lộ lọt thông tin tại nước này. Ví dụ về xử phạt hành chính đối với vi phạm về dữ liệu cá nhân ở Cộng hòa Liên Bang Đức (tính tới tháng 05/2022) – Kênh theo dõi thực thi GDPR (GDPR Enforcement Tracker) ghi nhận 20 trường hợp xử phạt cảnh sát vì vi phạm Điều 5 và 6 của GDPR về Thiếu cơ sở pháp lý để xử lý dữ liệu. – Mức phạt cao nhất: 1,800 euros – Lý do: Một cảnh sát liên tục tiếp cận dữ liệu cá nhân từ kho dữ liệu cảnh sát cho mục đích nghiên cứu cá nhân. – Mức phạt 1,400 euros – Cảnh sát sử dụng hệ thống giao thông trung tâm để tra cứu thông tin đăng ký của nạn nhân tai nạn giao thông, và liên hệ với nạn nhân qua số điện thoại riêng và điện thoại nhà. – Mức phạt: 800 euros – Cảnh sát sử dụng dữ liệu của nhân chứng để liên hệ vì mục đích cá nhân. – Mức phạt: 400 euros – Cảnh sát lạm dùng dữ liệu cá nhân từ cơ sở dữ liệu cảnh sát để ép buộc người bán sách thanh toán online theo phương thức mong muốn. Nguồn: https://www.enforcementtracker.com/ETid-1205

1 Điều 83, GDPR năm 2016.

2 Nguyễn Hưởng, “Tiết lộ dữ liệu cá nhân trái phép: Phạt nhẹ sao đủ sức răn đe!”. Link: https://nld.com.vn/thoi-su/tiet-lo-du-lieu-ca-nhan-trai-phep-phat-nhe-sao-du-suc-ran-de-20210222220640251.htm. Ngày truy cập: 06/05/2021.

3 https://vtv.vn/cong-nghe/thong-tin-ca-nhan-cua-41-trieu-nguoi-dung-facebook-tai-viet-nam-bi-lo-20200325134702843.htm

4 https://thuvienphapluat.vn/van-ban/Quyen-dan-su/Luat-Thuc-hien-dan-chu-o-co-so-nam-2022-546085.aspx

5 https://www.privacy.go.kr/eng/laws_view.do?nttId=8186&imgNo=33

6 https://papi.org.vn/danh-gia-viec-bao-ve-du-lieu-ca-nhan-tren-cac-nen-tang-tuong-tac-voi-nguoi-dan-cua-chinh-quyen-dia-phuong-nam-2022/

7 https://www.gov.uk/help/privacy-notice

8 https://www.ftc.gov/policy-notices/privacy-policy

9 https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Thong-tu-25-2010-TT-BTTTT-thu-thap-su-dung-chia-se-dam-bao-an-toan-114735.aspx#

10 https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-42-2022-ND-CP-cung-cap-thong-tin-dich-vu-cong-truc-tuyen-tren-moi-truong-mang-518831.aspx

11 https://www.smartnation.gov.sg/about-smart-nation/secure-smart-nation/personal-data-protection-initiatives

Tác giả