Bảo mật dữ liệu cá nhân ở mức cao hơn

Kinh tế Sài Gòn

(KTSG) - Bộ Công an đang lấy ý kiến đóng góp cho dự thảo nghị định quy định về bảo vệ dữ liệu cá nhân cho đến ngày 9-4. Điều có thể góp ý ngay là dự thảo nên tách bạch hai đối tượng liên quan đến dữ liệu cá nhân: các cơ quan nhà nước có thẩm quyền và các doanh nghiệp, nhất là doanh nghiệp công nghệ, bởi quy định cho mỗi đối tượng là hoàn toàn khác nhau.

Lấy ví dụ với cơ quan quản lý nhà nước chuyên trách cơ sở dữ liệu quốc gia về dân cư thì thu thập dữ liệu cá nhân là chuyện đương nhiên, nhưng với các doanh nghiệp thì không có chuyện đương nhiên như thế.

Thời gian vừa qua, nhận thức của xã hội đối với các công ty công nghệ có những thay đổi rất căn bản. Người dùng nhận ra họ không phải đang được dùng miễn phí nhiều dịch vụ hay sản phẩm của các công ty công nghệ cung cấp - thật ra người dùng đang trở thành sản phẩm, thông tin của họ đang trở thành món hàng cho các công ty này kinh doanh kiếm lãi. Chính vì thế người dùng, nhà quản lý, giới làm chính sách ở các nước ngày càng nghiêm khắc hơn, hạn chế việc các công ty công nghệ thu thập dữ liệu người dùng.

Nhìn lại ở nước ta, những vụ lừa đảo theo kiểu các cú gọi điện giả danh công an, kiểm sát, tòa án đe dọa để lấy tiền trong tài khoản cũng bởi thông tin cá nhân bị tiết lộ ở một khâu nào đó. Các cuộc gọi quảng cáo mua địa ốc, mời đi nghỉ dưỡng, mua bảo hiểm... cũng do bên gọi bằng cách nào đó lấy được thông tin khách hàng. Thông tin có thể do chính cá nhân làm lộ ra trên mạng xã hội nhưng đa phần do rò rỉ từ một nguồn bảo mật kém.

Chính vì thế, dự thảo nghị định cần quy định chặt chẽ hơn, hạn chế đến mức thấp nhất các loại hình doanh nghiệp thu thập dữ liệu cá nhân mà không nhằm mục đích cung cấp dịch vụ; mức cài đặt mặc định luôn phải là khách hàng từ chối. Dự thảo cũng cần tính đến các tình huống có những nơi thu thập dữ liệu cá nhân mà không cần xin phép và người dùng khó làm gì để ngăn lại.

Ở đây chỉ xin nêu một ví dụ mà dự thảo chưa đề cập: hình ảnh gương mặt của người dùng. Giả thử có một doanh nghiệp rà quét mọi mạng xã hội, tải về hình ảnh của hàng triệu cá nhân gắn với tên tuổi hay các dữ liệu nhận dạng khác thành một cơ sở dữ liệu. Giả thử họ dùng công nghệ máy học để dạy cho máy khả năng nhận dạng chính xác qua hình ảnh rồi cung cấp dịch vụ tìm người trong ảnh. Sẽ là một sự vi phạm quyền riêng tư ở mức độ cao nhất khi một cá nhân tới một địa điểm công cộng, dùng điện thoại quét ảnh một người và biết ngay người đó tên gì, ở đâu, làm nghề gì... Những quy định hiện tại trên dự thảo chưa ngăn được một ứng dụng hay một dịch vụ kinh doanh như thế.

Điểm cuối cùng là sự kết nối giữa cơ quan quản lý nhà nước có thẩm quyền và doanh nghiệp liên quan đến dữ liệu cá nhân. Đây cũng là một khâu có thể dẫn tới rò rỉ dữ liệu thông tin cần bảo mật nếu không quy định rõ những giới hạn cùng điều kiện của việc hợp tác như thế. Doanh nghiệp như ngân hàng sau này có thể được trang bị máy đọc chip gắn trên căn cước công dân nhưng họ sẽ phải chịu những ràng buộc gắt gao được quy định ngay từ bây giờ trên dự thảo nghị định này.