Thông tin được nêu trong dự thảo Nghị định quy định chi tiết một số điều Luật Bảo vệ dữ liệu cá nhân do Bộ Công an chủ trì soạn thảo, đang lấy ý kiến người dân.
Nghị định dành 2 điều để định nghĩa chi tiết về dữ liệu cá nhân cơ bản và nhạy cảm. Do đó, danh mục dữ liệu nhạy cảm được mở rộng và cụ thể hơn so với quy định hiện hành, bao gồm thông tin về nguồn gốc chủng tộc, quan điểm chính trị, đời tư, sức khỏe, hành vi trên mạng xã hội... Bộ Công an cho rằng việc phân loại rõ ràng giúp minh bạch hơn trách nhiệm xử lý, đồng thời bảo vệ quyền riêng tư tốt hơn.
Theo đó, dữ liệu cá nhân cơ bản là dữ liệu phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội.
Dữ liệu cá nhân nhạy cảm là dữ liệu gắn liền với quyền riêng tư của cá nhân. Dữ liệu này khi bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân. Bởi thế phải yêu cầu phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật chặt chẽ.
Có 13 dữ liệu cá nhân nhạy cảm được quy định chi tiết trong dự thảo nghị định. Đó là nguồn gốc chủng tộc, dân tộc; quan điểm chính trị, tôn giáo, tín ngưỡng; đời tư; tình trạng sức khỏe; sinh trắc học, đặc điểm di truyền; dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân; vị trí của cá nhân được xác định qua dịch vụ định vị; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng...
Dự thảo đề xuất bên kiểm soát, xử lý dữ liệu cá nhân nhạy cảm cần thông báo cho "người có dữ liệu nhạy cảm". Việc chuyển giao dữ liệu cá nhân nhạy cảm phải có biện pháp "bảo mật vật lý" với thiết bị lưu trữ và truyền tải, biện pháp mã hóa, ẩn danh hóa và các biện pháp bảo mật khác trong quá trình chuyển giao.
Bộ Công an yêu cầu các đơn vị xử lý dữ liệu cần phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật chặt chẽ với riêng dữ liệu cá nhân nhạy cảm.
Các diễn đàn tin tặc mua bán dữ liệu cá nhân ngày càng công khai. Ảnh: Phạm Dự
Siết chặt hơn về bảo vệ dữ liệu cá nhân trong lĩnh vực tài chính - ngân hàng
Điều 8 dự thảo Nghị định hướng dẫn đặt ra khung pháp lý chặt chẽ hơn cho lĩnh vực tài chính, ngân hàng và thông tin tín dụng - nơi thường xuyên xử lý dữ liệu nhạy cảm của người dân.
Bộ Công an đề xuất, chậm nhất 72 giờ sau khi phát hiện lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thì tổ chức, cá nhân lưu trữ, khai thác dữ liệu phải thông báo "cho chủ dữ liệu cá nhân". Đây là điểm mới khi mà quy định hiện hành tại Nghị định 13/2023 không có mốc thời gian cụ thể nên việc thông báo có thể bị chậm trễ, gây rủi ro cho khách hàng.
Dự thảo cũng đề xuất tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, tín dụng có trách nhiệm "bảo vệ dữ liệu cá nhân theo các tiêu chuẩn bảo vệ dữ liệu quốc tế". Đồng thời, đánh giá tuân thủ quy định về bảo vệ dữ liệu cá nhân định kỳ một năm/lần và phải ghi lại nhật ký toàn bộ hoạt động xử lý dữ liệu cá nhân.
Đây cũng là điểm mới khi Nghị định 13/2023 hiện nay chỉ yêu cầu áp dụng "biện pháp kỹ thuật, quản lý phù hợp" mà chưa gắn với tiêu chuẩn cụ thể hay thời hạn kiểm tra.
Ngoài ra, dự thảo còn quy định rõ hơn về cơ chế xin đồng ý của khách hàng. Khi thu thập và xử lý dữ liệu cá nhân, tổ chức phải liệt kê mục đích cụ thể như chấm điểm, xếp hạng tín dụng, nêu rõ nguồn dữ liệu, bên chia sẻ, thời gian lưu trữ, đồng thời công khai cách rút lại sự đồng ý và chính sách xóa dữ liệu.
Gần đây, nhiều người lo lắng khi thông tin về tín dụng cá nhân bị đánh cắp khi Trung tâm VNCERT thuộc A05, Bộ Công an, phát ra thông báo cho biết có dấu hiệu hoạt động tấn công, xâm nhập của tội phạm để đánh cắp dữ liệu cá nhân tại Trung tâm Thông tin tín dụng quốc gia CIC hôm 10/9. Vì thế, nhiều người kỳ vọng khi quy định về bảo vệ dữ liệu cá nhân trong lĩnh vực tài chính - ngân hàng được siết chặt sẽ giúp thông tin cá nhân được đảm bảo hơn.
Số dư tài khoản ngân hàng mua bán công khai trên "chợ đen"
Luật Bảo vệ dữ liệu cá nhân được Quốc hội thông qua ngày 26/6, hiệu lực từ 1/1/2026 là văn bản luật đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân. Trước đó, lĩnh vực này chỉ được quy định trong Nghị định 13/2023.
So với quy định cũ, luật bổ sung 3 hành vi bị nghiêm cấm: Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái pháp luật; Mua, bán dữ liệu cá nhân; Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Các nhóm mua bán dữ liệu, tài khoản ngân hàng trên Telegram. Ảnh: Trọng Đạt
Trong tờ trình gửi Chính phủ, Bộ Công an cho rằng dữ liệu cá nhân là một trong những "nguyên liệu chính" để thực hiện chuyển đổi số, phát triển kinh tế số, xây dựng xã hội số. Thế nhưng dữ liệu cá nhân vẫn bị lộ lọt thường xuyên trên không gian mạng.
Các doanh nghiệp kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng sau đó lại cho phép đối tác thứ ba tiếp cận thông tin mà không quy định chặt chẽ, để rồi dữ liệu bị buôn bán cho bên khác. Nhiều doanh nghiệp thì chủ động thu thập thông tin cá nhân của khách hành nhằm hình thành "kho dữ liệu" và phân tích, xử lý để buôn bán. Họ bán cả dữ liệu thô và dữ liệu đã qua xử lý.
Bộ Công an thấy rằng, nhiều thông tin "rất chi tiết" của cá nhân, tổ chức bị mua bán. Cụ thể như họ tên, ngày sinh, số Căn cước công dân, địa chỉ, số điện thoại, tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác. Nhóm mua bán còn cam kết "bảo hành" và có khả năng cập nhật, trích xuất dữ liệu theo nhu cầu người mua.
Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên mạng xã hội Facebook, Zalo, Telegram, diễn đàn tin tặc (raidforums.com...). Công khai hơn, tội phạm còn dùng tài khoản ngân hàng để giao dịch, ghi rõ nội dung là "mua bán dữ liệu".
Qua thực tiễn triển khai bảo vệ còn thấy rằng "quyền cơ bản của công dân với dữ liệu cá nhân chưa được đảm bảo". Công dân chưa biết cách tự bảo vệ, khiếu kiện, yêu cầu bồi thường thiệt hại khi quyền và lợi ích của mình bị xâm hại. Quy trình xử lý dữ liệu cá nhân cũng bộc lộ nhiều bất cập.
Ngoài ra, nhiều thông tin sinh trắc học, lý lịch cá nhân, mối quan hệ, tình trạng sức khỏe, tài chính được đăng tải công khai. Trong khi đó, nhận thức của một số cán bộ, công chức, viên chức về cung cấp, quản lý hồ sơ cá nhân, dữ liệu cá nhân chưa đầy đủ. Tâm lý sẵn sàng đánh đổi thông tin đời tư, thông tin cá nhân để đổi lấy sự tiện ích về mặt công nghệ cũng là một bất cập.
Theo dự thảo, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05 Bộ Công an) được giao là cơ quan chuyên trách bảo vệ dữ liệu cá nhân.