Lộ dữ liệu cá nhân hàng ngàn nhân viên Con Cưng trên mạng?

Lưu ở đâu không quan trọng bằng xin phép người dùng

Dự thảo nghị định quy định chi tiết một số điều của Luật An ninh mạng, đang được đưa ra lấy ý kiến góp ý, đã đặt ra bốn điều kiện khá chặt chẽ, hạn chế số doanh nghiệp phải lưu trữ dữ liệu và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam (điều 25 của dự thảo).

Hai điều kiện đầu như quy định trong Luật An ninh mạng (một số loại hình doanh nghiệp cung cấp dịch vụ trên mạng Internet, mạng viễn thông; có thu thập, khai thác, phân tích, xử lý dữ liệu cá nhân). Hai điều kiện sau do dự thảo nghị định bổ sung, ràng buộc doanh nghiệp nào để người dùng vi phạm một số điều của Luật An ninh mạng và đồng thời chính doanh nghiệp cũng vi phạm một số điều khác của luật này lúc đó mới bị yêu cầu lưu trữ dữ liệu và mở văn phòng tại trong nước.

Tuy nhiên, trong tinh thần bảo vệ người dùng trước các vụ rò rỉ thông tin của nhiều dịch vụ như Facebook, thậm chí lộ cả thông tin thẻ tín dụng ở nhiều trang thương mại điện tử, dự thảo nghị định cần xác lập thêm một nguyên tắc mà nay EU và nhiều nước khác đã luật hóa: doanh nghiệp phải xin phép người dùng trước khi thu thập dữ liệu người dùng, được sự đồng ý rõ ràng mới tiến hành, đồng thời cần nói rõ dữ liệu thu thập nhằm mục đích gì, có trao cho bên thứ ba để kinh doanh, đổi chác hay không. Luật An ninh mạng có nói "Chính phủ quy định chi tiết" việc doanh nghiệp thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân nên nghị định hoàn toàn có thể thêm nội dung này.

Quy định bảo vệ dữ liệu chung (GDPR) của EU cấm doanh nghiệp cung cấp dịch vụ thu thập nhiều loại dữ liệu như dữ liệu sinh trắc học nhằm mục đích nhận dạng một người nào đó, giới tính hay xu hướng dục, gốc gác chủng tộc... Các dữ liệu cá nhân khác chỉ được thu thập và xử lý khi có sự đồng ý của người dùng, phải cung cấp thông tin như bên thu thập là ai, thu thập nhằm đáp ứng yêu cầu gì, cơ sở pháp lý của yêu cầu đó là gì, ai sẽ nhận dữ liệu, dữ liệu lưu trong bao lâu... Đáng chú ý, quan điểm của EU là chỉ cho phép doanh nghiệp dịch vụ lưu dữ liệu khi cần xử lý, xử lý xong hay nhu cầu chấm dứt thì phải xóa ngay dữ liệu đó đi. GDPR đặc biệt nghiêm khắc với dữ liệu của trẻ em, khi bên thu thập phải có sự đồng ý của ba mẹ hay người giám hộ trẻ.

Một điểm khác cần nhấn mạnh trong các văn bản liên quan đến an ninh mạng: đó là quyền của người dùng được truy cập dễ dàng thông tin doanh nghiệp đã thu thập về mình và quyền yêu cầu doanh nghiệp xóa thông tin đó đi. Người dùng cũng có quyền yêu cầu nơi thu thập dữ liệu chỉnh sửa thông tin nếu phát hiện không chính xác, chưa hoàn chỉnh. Và một khi doanh nghiệp cung ứng dịch vụ bị tấn công mạng, bị rò rỉ thông tin thì trách nhiệm của họ là thông báo ngay, đầy đủ đến người dùng, kèm theo là biện pháp khắc phục.

Quay trở lại dự thảo nghị định, điều 24 về dữ liệu phải lưu trữ tại Việt Nam có bao gồm "Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra, gồm: thông tin chọn tải lên, đồng bộ hoặc nhập từ thiết bị". Điều này với một số dịch vụ là không khả thi; ví dụ Viber không lưu nội dung nhắn tin của người dùng; chỉ có máy đọc e-mail bên trong Gmail chứ người không được đọc; Skype không lưu cuộc trò chuyện bằng video...

Thời gian lưu trữ các loại dữ liệu thông tin cá nhân, dữ liệu người dùng tải lên như nêu trong dự thảo (theo thời gian hoạt động của doanh nghiệp hoặc đến khi không còn cung cấp dịch vụ đối với thông tin cá nhân; tối thiểu là 36 tháng đối với thông tin do người dùng tạo ra) là quá lâu không cần thiết. Doanh nghiệp cung cấp dịch vụ thu thập thông tin cá nhân do một nhu cầu nào đó nhưng khi không còn nhu cầu này nữa thì phải buộc doanh nghiệp xóa đi. Tương tự, nội dung do người dùng đưa lên họ có quyền xóa bất kỳ khi nào họ muốn và doanh nghiệp cung cấp dịch vụ không được lưu bản sao dưới bất kỳ hình thức nào. Đây cũng là thông lệ quốc tế; ví dụ, người dùng tải lên dịch vụ lưu trữ Dropbox một file nào đó, đến khi không cần nữa, họ xóa đi thì Dropbox không có quyền lưu file này chứ nói gì tối thiểu 36 tháng!

Thật ra, rất khó ràng buộc doanh nghiệp bằng cả bốn điều kiện như nói ở trên. Họ chỉ cần khăng khăng, chúng tôi không thu thập, khai thác, phân tích, xử lý dữ liệu cá nhân người dùng; tức dữ liệu cá nhân người dùng họ khai để đăng ký dịch vụ như nó nằm đó, không ai khai thác cả thì cũng đành chịu. Nhưng đã có quy định thì phải khả thi. Chắc chắn không doanh nghiệp cung cấp dịch vụ thư điện tử nào lưu thông tin người dùng chọn tải lên hay nhập từ máy tính tối thiểu 36 tháng nếu người dùng này chọn xóa các thư không còn muốn lưu nữa.

Theo báo mới