Phóng viên trao đổi với Trung tá Phan Hoàng Long - Phó trưởng Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao
Phóng viên: Thưa đồng chí, xin đồng chí cho biết, sự cần thiết ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân?
Trung tá Phan Hoàng Long:
Như chúng ta đã biết, không gian mạng đang ngày càng được sử dụng phổ biến, và tham gia vào tất cả các hoạt động kinh tế xã hội. Cơ sở hạ tầng không gian mạng phát triển nhanh và ngày càng được hoàn thiện, tạo điều kiện thuận lợi cho các ngành nghề, dịch vụ kinh doanh có liên quan đến dữ liệu cá nhân phát triển. Bên cạnh những yếu tố thuận lợi, khoa học công nghệ cũng bị các đối tượng xấu lợi dụng vào thực hiện các hành vi thu thập trái phép thông tin cá nhân đã và đang đặt ra nhiều khó khăn, thách thức trong công tác bảo vệ dữ liệu cá nhân. Đây là lĩnh vực mới, công nghệ thì ngày càng phát triển, nhưng người sử dụng không gian mạng chưa có ý thức bảo bệ dữ liệu cá nhân, thường xuyên đăng tải công khai các thông tin cá nhân lên các trang mạng xã hội, từ đó là nguyên nhân lộ, mất hoặc bị chiếm đoạt trong quá trình chuyển giao, lưu trữ, trao đổi, sử dụng các thông tin cá nhân. Thời gian qua, tình trạng mua bán trái phép dữ liệu cá nhân diễn ra phổ biến, công khai với các dữ liệu thô và dữ liệu đã qua xử lý. Nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Hiến pháp nước ta ghi nhận về quyền bảo vệ bí mật cá nhân, quyền con người nhưng chưa có văn bản quy phạm pháp luật để bảo vệ dữ liệu cá nhân. Do đó việc xây dựng hành lang pháp lý để bảo vệ dữ liệu cá nhân trở thành yêu cầu cấp thiết và là giải pháp căn bản để giải quyết thực trạng dữ liệu cá nhân bị mua bán, lộ, mất tràn lan như thời gian qua.
Phóng viên: Vậy Dữ liệu cá nhân được quy định như thế nào trong Nghị định số 13/2023/NĐ-CP này?
Trung tá Phan Hoàng Long:
Nghị định số 13/2023/NĐ-CP của Chính phủ quy định: “Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.”
- “Dữ liệu cá nhân cơ bản gồm: Họ và tên; Ngày, tháng, năm sinh; ngày, tháng, năm chết; Quốc tịch; Giới tính; Quê quán, nơi thường trú, tạm trú; Hình ảnh của cá nhân; số định danh cá nhân, số hộ chiếu, giấy phép lái xe, biển số xe, mã số thuế cá nhân, số BHXH, BHYT, số điện thoại; Thông tin về mối quan hệ gia đình (cha mẹ, con cái, tình trạng hôn nhân); Thông tin về số tài khoản của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; Các thông tin khác gắn liền với một con người cụ”
- “Dữ liệu cá nhân nhạy cảm gồm: Quan điểm chính trị; Tình trạng sức khỏe; Đặc điểm sinh học riêng của cá nhân, nguồn gốc chủng tộc; Thông tin về đời sống, xu hướng tình dục, đặc điểm di truyền; Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng, dịch vụ thanh toán trung gian…
Phóng viên: Vậy thì công dân có quyền và nghĩa vụ như thế nào đối với dữ liệu cá nhân của mình?
Trung tá Phan Hoàng Long:
Nghị định số 13/2023/NĐ-CP của Chính phủ quy định công dân có 11 quyền và 5 nghĩa vụ trong hoạt động bảo vệ dữ liệu cá nhân của bản thân. Trong đó có các quyền như: quyền được biết, quyền đồng ý, quyền truy cập, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu, quyền cung cấp dữ liệu, quyền phản đối xử lý dữ liệu, quyền khiếu nại, tố cáo, khởi kiện, quyền yêu cầu bồi thường thiệt hại và quyền tự bảo vệ. Đây là 11 quyền cơ bản và quan trọng nhất của mỗi người dân trong hoạt động bảo vệ dữ liệu cá nhân của mình mà bất kỳ cơ quan, tổ chức, cá nhân kiểm soát hoặc xử lý dữ liệu đều phải tuân theo. Do đó trong các hoạt động xã hội, nếu cá nhân thấy nghi ngờ về mức độ bảo mật thông tin người dân có quyền yêu cầu cơ quan, tổ chức, cá nhân đáp ứng các yêu cầu của mình theo qui định. Do là người sở hữu quyền cao nhất nên người dân cũng là chủ thể chịu trách nhiệm cao nhất đối với hoạt động bảo vệ dữ liệu cá nhân của mình, mỗi cá nhân có nghĩa vụ sau “Tự bảo vệ dữ liệu cá nhân của mình, yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình; Tôn trọng, bảo vệ dữ liệu cá nhân của người khác; Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân; Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân”. Riêng đối với trẻ em, chỉ xử lý dữ liệu cá nhân của trẻ khi có sự đồng ý của trẻ em (đối với trẻ từ đủ 7 tuổi) và phải có sự đồng ý của cha, mẹ hoặc người giám hộ. Nói cách khác, cha, mẹ hoặc người giám hộ theo quy định của pháp luật sẽ có quyền và nghĩa vụ đối với hoạt động bảo vệ dữ liệu cá nhân của con mình.
Trung tá Phan Hoàng Long - Phó trưởng Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao
Phóng viên: Vậy thì bảo vệ dữ liệu cá nhân được quy định như thế nào và trách nhiệm bảo vệ dữ liệu cá nhân thuộc về ai?
Trung tá Phan Hoàng Long:
Nghị định số 13/2023/NĐ-CP của Chính phủ quy định: “Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật”. “Nguyên tắc bảo vệ dữ liệu cá nhân là: Dữ liệu cá nhân được xử lý theo quy định của pháp luật. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích được cho phép, khi thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý, và không được mua, bán dưới mọi hình thức và được áp dụng các biện pháp bảo vệ, bảo mật, lưu trữ phù hợp trong suốt quá trình xử lý. Về trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong hoạt động bảo vệ dữ liệu cá nhân, gồm Bộ Công an, Bộ TT&TT, Bộ Quốc Phòng, Bộ KH&CN, các Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Bên Kiểm soát và xử lý dữ liệu cá nhân có liên quan. Mỗi cơ quan tùy theo vị trí, chức năng của mình sẽ có nhiệm vụ thực hiện các hoạt động nhằm bảo vệ dữ liệu cá nhân theo quy định của pháp luật. Tuy nhiên nguồn cung cấp dữ liệu cá nhân đầu tiên đến từ chủ thể dữ liệu và cũng chính chủ thể dữ liệu là người có quyền cao nhất trong hoạt động bảo vệ dữ liệu cá nhân của bản thân, cho nên mỗi người chúng ta trước hết phải tự bảo vệ dữ liệu cá nhân của bản thân mình là trên hết và trước hết.
Phóng viên: Vậy cá nhân phải làm gì để bảo vệ dữ liệu cá nhân của mình một cách hiệu quả nhất?
Trung tá Phan Hoàng Long:
Ngoài việc sử dụng các yếu tố kỷ thuật như: xác thực 2 yếu tố và đặt mật khẩu đủ mạnh; luôn cập nhật hệ thống, ứng dụng, kiểm tra cài đặt và quyền riêng tư … thì người sử dụng không gian mạng cần thực hiện tốt một số vấn đề sau:
Thứ nhất, người dùng không nên chia sẽ thông tin, hình ảnh, giọng nói (video, audio) của mình trên không gian mạng một cách không kiểm soát. Các đối tượng xấu có thể lợi dụng những thông tin này để tạo ra các video clip giả mạo -deepfake (Công nghệ sử dụng trí tuệ nhân tạo để lấy hình ảnh, giọng nói của một người ghép vào video của một người khác.)
Thứ hai, người dùng nên hạn chế chia sẻ thông tin cá nhân của mình với những người lạ. Nếu có ai đó chủ động tiếp cận thì nên cẩn trọng. Các đối tượng lừa đảo thường có chiêu trò tiếp cận người dùng qua các mạng xội như Zalo, Facebook rồi dẫn dụ nạn nhân vào các hội nhóm trên Telegram để thực hiện các hành vi lừa đảo.
Thứ ba, người dùng nên chọn những nền tảng uy tín để sử dụng. Cần cẩn trọng với các nền tảng người mua hàng trực tuyến yêu cầu cung cấp thông tin nhạy cảm như là họ và tên và mật khẩu hoặc mã OT P (One Time Password - mật khẩu dùng 1 lần). Đặc biệt, với các tin nhắn lạ có chứa các đường link độc hại, đánh vào tâm lý sợ hãi, lòng tham hoặc hiếu kỳ của người tham gia vậy nên người dùng nên chậm lại và phải kiểm chứng.
Thứ tư, thay vì bị lừa rồi mới đi kiểm chứng, chúng ta phải kiểm chứng trước. Cách kiểm chứng cũng rất đơn giản: Nếu tin nhắn hoặc người gọi điện đó tự xưng là nhân viên của cơ quan nào thì người dùng nên gọi vào đường dây nóng của cơ quan đó để hỏi kiểm chứng trước khi thực hiện các giao dịch trên không gian mạng. Nếu người dùng đã lớn tuổi không kiểm chứng được thì có thể gọi điện cho người thân để được nhận những lời khuyên trước khi thực hiện.
Phóng viên: Xin cảm ơn đồng chí!
Hy vọng rằng, thông qua cuộc trao đổi với lãnh đạo Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Công an tỉnh Sóc Trăng sẽ giúp cho mỗi người nâng cao nhận thức hơn về dữ liệu cá nhân và sẽ trang bị cho mình những kiến thức cơ bản để bảo vệ dữ liệu cá nhân, nhất là việc tham gia các nền tảng mạng xã hội hiện nay.