‘Mỏ vàng’ đang khai thác nhưng chưa được bảo vệ

Dữ liệu, thông tin người dân vốn được xem là “mỏ vàng” khi phát triển xã hội số, chính quyền số và Chính phủ số. Thế nhưng, nhận thức và sự quan tâm của chính quyền địa phương đối với vấn đề bảo vệ “mỏ vàng” này trên các nền tảng tương tác với người dân vẫn ở mức rất hạn chế.

Đây là thông tin chia sẻ tại cuộc tọa đàm chuyên đề: “Đánh giá việc bảo vệ dữ liệu cá nhân trên các nền tảng tương tác với người dân của chính quyền địa phương” do Chương trình Phát triển Liên Hợp Quốc (UNDP) tại Việt Nam và Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) phối hợp tổ chức ngày 28/6.

Thông tin về kết quả khảo sát, ông Nguyễn Quang Đồng, Viện trưởng Viện IPS nhấn mạnh, hiện 59/63 cổng thông tin điện tử và 60/63 cổng dịch vụ công trực tuyến chưa công bố Chính sách Về quyền riêng tư - một dạng thỏa thuận điện tử thiết lập trách nhiệm của các cơ quan nhà nước trước chủ thể dữ liệu là người dân, là căn cứ để người dân bảo vệ các quyền đối với dữ liệu của họ khi có sự cố hay tranh chấp xảy ra.

Phần lớn các địa phương chưa thực hiện đầy đủ các quy định pháp luật về bảo vệ dữ liệu cá nhân. Ví dụ, dù pháp luật quy định các tỉnh phải công khai thông tin về đầu mối liên hệ về bảo vệ dữ liệu cá nhân, kết quả rà soát cho thấy, chỉ có 17 trong 50 ứng dụng thông minh hỗ trợ tương tác chính quyền và người dân hiện có, 1 trong số 63 cổng dịch vụ công trực tuyến, và 3 trong số 63 cổng thông tin điện tử cấp tỉnh công bố thông tin này.

Khi nhóm nghiên cứu thực hiện kiểm tra ‘thử’ yêu cầu cập nhật thông tin tài khoản và tiếp cận các phương thức bảo vệ dữ liệu cá nhân đã được chính quyền địa phương phát triển, (dùng “tạm” đầu mối liên hệ hiển thị trên trang chủ các cổng dịch vụ công trực tuyến và cổng thông tin điện tử), trong số 130 thư điện tử được gửi, chỉ có 9 thư nhận được thông tin phản hồi.

Một trong những vấn đề đáng quan ngại nhất là việc hiểu sai, phân định sai trách nhiệm pháp lý của các chủ thể quản lý dữ liệu.

Cụ thể, trách nhiệm pháp lý đối với dữ liệu cá nhân bị lẫn lộn giữa “cơ quan chủ quản” (Ủy ban nhân dân tỉnh, thành phố), “cơ quan/đơn vị vận hành” (Sở Thông tin – Truyền thông) và doanh nghiệp cung cấp dịch vụ xây dựng nền tảng.

Nếu không phân định đúng vai trò, chức năng thì thiết kế và thực thi quy trình bảo vệ dữ liệu sẽ thiếu hiệu quả. Hơn thế nữa, khi có vấn đề, sự cố xảy ra, sẽ không có căn cứ để xác định chủ thể chịu trách nhiệm.

Không chỉ là mất tiền

Khi dữ liệu người dân thu thập nhưng không được bảo vệ, thì việc lộ lọt thông tin là rất dễ xảy ra, và ảnh hưởng trực tiếp đến nền kinh tế.

Báo cáo của IBM Security với nhan đề: “Thiệt hại kinh tế từ lộ lọt dữ liệu trong năm 2021” cho thấy, thiệt hại kinh tế từ lộ lọt dữ liệu trung bình tăng 10%/năm, từ 3,86 triệu USD đến 4,24 triệu USD.

Trong đó, khu vực công thiệt hại tăng 78,7%, từ mức 1,08 triệu USD năm 2020 lên 1,93 triệu USD năm 2021. Dữ liệu định danh cá nhân có thiệt hại cao nhất với 180 triệu USD/trường hợp.

Tuy nhiên, không chỉ là thiệt hại về kinh tế, nguy cơ lộ lọt thông tin cá nhân còn khiến người dân e ngại khi tiếp cận các dịch vụ công trực tuyến. Điều này có thể cản trở quá trình phát triển chính quyền số, Chính phủ số. 

“Dịch Covid-19 khiến người dân tương tác trên môi trường số nhiều hơn, tuy vậy, kết quả khảo sát hiệu quả quản trị và hành chính công cấp tỉnh tại Việt Nam (PAPI) trong hai năm 2020 và 2021 cho thấy mới chỉ có 3,5% số người được hỏi cho biết họ đã sử dụng Cổng dịch vụ công trực tuyến quốc gia. Vì vậy, thực hành tốt về bảo vệ dữ liệu cá nhân của công dân trong khu vực công là một trong những yếu tố then chốt để tạo dựng niềm tin của người dân và thúc đẩy họ tham gia dịch vụ công trực tuyến.”, ông Patrick Haverman, Phó trưởng đại diện thường trú của UNDP tại Việt Nam nhấn mạnh.

Từ thực tế địa phương, ông Nguyễn Dương Anh, Phó Giám đốc Sở Thông tin và Truyền thông tỉnh Thừa Thiên Huế cũng cho rằng bảo vệ dữ liệu cá nhân là yếu tố đặc biệt quan trọng trong việc tạo dựng niềm tin của người dân vào chính quyền điện tử.

“Ví dụ, ứng dụng phản ánh hiện trường - một thành phần của ứng dụng dịch vụ đô thị thông minh (Hue-S) – đã tiếp nhận hơn 50,000 phản ánh của người dân từ năm 2021 đến nay. Kết quả này là nhờ chúng tôi bảo mật tuyệt đối thông tin về người phản ánh theo quy chế vận hành, khai thác dữ liệu cá nhân tỉnh đã ban hành”, ông Dương Anh nhấn mạnh.

Hiện Chính phủ đã thông qua nội dung dự thảo Nghị định bảo vệ dữ liệu cá nhân, giao Bộ trưởng Bộ Công an thừa ủy quyền Chính phủ báo cáo, xin ý kiến Ủy ban Thường vụ Quốc hội về dự thảo Nghị định bảo vệ dữ liệu cá nhân theo quy định tại khoản 3 Điều 19 Luật Ban hành văn bản quy phạm pháp luật năm 2015 (sửa đổi, bổ sung năm 2020).

Bộ Công an chủ trì, phối hợp với Bộ Tư pháp nghiên cứu, đề xuất xây dựng Luật Bảo vệ dữ liệu cá nhân.

Theo bà Nguyễn Thị Kim Thoa, nguyên Vụ trưởng Vụ Pháp luật hình sự - hành chính, Bộ Tư pháp, trong Luật Bảo vệ dữ liệu cá nhân cần phải có 4 nội dung quan trọng:

Thứ nhất là làm rõ định nghĩa về dữ liệu cá nhân và dữ liệu riêng tư.

Thứ hai là trách nhiệm của cơ quan thu thập và sử dụng dữ liệu cá nhân; tức việc sử dụng phải đúng mục đích đưa ra và phải có thời hạn sử dụng thông tin, sau thời hạn đó phải xóa, không được phát tán qua bên thứ ba, phải rõ chủ thể để quy trách nhiệm rõ ràng.

Thứ ba, quy định quyền của cá nhân và tổ chức khiếu nại, khởi kiện đơn vị sử dụng dữ liệu không đúng mục đích.

Cuối cùng là chế tài xử lý, theo hành chính hay hình sự, trong trường hợp hành vi đến mức tội phạm phải được xử lý theo Bộ Luật Hình sự.