Dự thảo Luật An toàn Thông tin nêu rõ, các doanh nghiệp, tổ chức không được phép cung cấp, chia sẻ, phát tán thông tin cá nhân mà họ thu thập, tiếp cận hay kiểm soát được cho bên thứ ba, trừ trường hợp có sự đồng ý của chính cá nhân đó.
Có thể nói, việc bảo vệ thông tin cá nhân là một nội dung quan trọng, chủ chốt trong dự thảo Luật An toàn thông tin do Bộ TT&TT soạn thảo. Những văn bản pháp luật hiện hành đã bước đầu đưa ra một số quy định mang tính nguyên tắc đối với vấn đề này nhưng các khái niệm về thông tin cá nhân hiện vẫn chưa nhất quán (thông tin cá nhân, thông tin riêng, bí mật đời tư, thông tin của người tiêu dùng); các quy định mới chỉ dừng lại ở mức hết sức nguyên tắc, chưa rõ đối tượng và hành vi cần điều chỉnh nên khi áp dụng vào thực tế thì gặp khó.
Trong khi ấy, vấn đề thông tin cá nhân lại đang rất được chú ý, nhất là khi tình trạng phát tán, rao bán thông tin cá nhân một cách công khai trên mạng tại Việt Nam đang gây bức xúc dư luận. Chỉ cần bỏ ra vài trăm nghìn, người ta đã có thể mua được một danh sách hàng chục ngàn thuê bao di động kèm theo tên tuổi, nghề nghiệp, tuổi..... Các đối tượng phát tán tin nhắn rác dễ dàng tiếp cận những danh sách kiểu này để phục vụ cho việc "dội bom" quảng cáo, còn người nhận nhiều khi không hiểu nổi vì sao số điện thoại của mình lại lọt vào tay spammer.
Cần quản cả hành vi phát tán lẫn trách nhiệm của doanh nghiệp
Theo đại diện của Cục An toàn Thông tin, nhiều quy định pháp lý nhằm siết chặt việc phát tán, rao bán thông tin cá nhân sẽ được đưa vào dự luật. Để xử lý tương đối triệt để tình trạng này, cần áp dụng song song 2 mảng hành lang pháp lý cho 2 nhóm đối tượng khác nhau: gồm hành lang pháp lý để xử lý hành vi phát tán thông tin cá nhân bất hợp pháp (Với Luật Dân sự và các Luật chuyên ngành như Luật Viễn thông, CNTT, Bảo vệ người tiêu dùng v.v, hành lang này đã có nhưng còn rời rạc, chưa đầy đủ. Quy định cũng còn chung chung, gây khó khăn cho áp dụng vào thực tiễn) và Hành lang pháp lý quy định về trách nhiệm tối thiểu của các doanh nghiệp cung cấp dịch vụ qua mạng có thu thập thông tin cá nhân (còn rất sơ sài, chưa nhất quán. Điều này dẫn đến các doanh nghiệp thực hiện thu thập thông tin cá nhân nhưng lại không thực hiện đủ trách nhiệm pháp lý tối thiểu về bảo vệ thông tin cá nhân, là một trong những nguyên nhân chủ yếu gây ra hiện tượng bức xúc nêu trên).
Chính vì thế, dự Luật đã dành hẳn một chương riêng (chương 3) để quy định về bảo vệ thông tin cá nhân trên mạng.
Dự luật nêu rõ, trừ trường hợp để tính giá cước, lập hóa đơn, chứng từ, cung cấp sản phẩm, dịch vụ theo hợp đồng, ngăn chặn hành vi trốn tránh thực hiện nghĩa vụ hợp đồng hoặc pháp luật có quy định khác, tổ chức xử lý thông tin cá nhân có trách nhiệm xây dựng và công bố nguyên tắc, chính sách, quy chế xử lý, bảo vệ thông tin cá nhân của tổ chức mình.
Khi thu thập thông tin cá nhân của khách hàng, tổ chức đó có nghĩa vụ thông báo cho chủ thể thông tin biết về hình thức, phạm vi và mục đích của việc thu thập và sử dụng thông tin cá nhân, xin ý kiến chủ thể trước khi tiến hành thu thập thông tin; Các tổ chức, doanh nghiệp tuyệt đối không được thiết lập cơ chế chọn đồng ý mặc định cho chủ thể thông tin cá nhân;
Sau khi thu thập, họ chỉ được phép sử dụng thông tin cá nhân cho những mục đích đã được nêu rõ trước đó với khách hàng và được khách hàng đồng ý. Doanh nghiệp, tổ chức không được cung cấp, chia sẻ, phát tán thông tin cá nhân thu thập, tiếp cận hoặc kiểm soát được cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân.
Khi nhận được yêu cầu hợp lệ từ phía người dùng về việc cập nhật, sửa đổi, thậm chí là hủy bỏ thông tin, ngừng cung cấp thông tin cá nhân của chủ thể cho bên thứ ba, các tổ chức phải tuân thủ và thông báo lại cho người dùng trong thời gian sớm nhất có thể. Nếu tạm thời chưa thực hiện được yêu cầu do yêu cầu từ phía cơ quan có thẩm quyền, hoặc do yếu tố kỹ thuật, do phát sinh chi phí lớn, tổ chức đó sẽ phải áp dụng các biện pháp phù hợp để bảo vệ thông tin cá nhân người dùng, đồng thời thông báo để họ nắm tình hình.
Người dùng có quyền gì?
Đáng chú ý, các tổ chức, doanh nghiệp phải hủy bỏ vĩnh viễn thông tin cá nhân đã lưu trữ khi hết mục đích sử dụng hoặc đã hết thời hạn lưu trữ đặt ra khi tiến hành thu thập thông tin cá nhân. Sau khi hủy bỏ, họ phải thông báo cho chủ thể biết, trừ trường hợp pháp luật có quy định khác. Đối với những thông tin đang lưu trữ, tổ chức, doanh nghiệp cần áp dụng biện pháp quản lý, kỹ thuật cần thiết để bảo vệ. Khi xảy ra hoặc có nguy cơ xảy ra sự cố kỹ thuật, cần áp dụng các biện pháp khắc phục trong thời gian sớm nhất có thể.
Một điểm mới của dự luật là việc chỉ rõ quyền và trách nhiệm của chính người dùng trong việc bảo vệ thông tin cá nhân của mình, trên nguyên tắc chung là mỗi người phải có trách nhiệm "tự bảo vệ thông tin cá nhân và tự chịu trách nhiệm khi cung cấp những thông tin đó trên mạng". Cụ thể, các cá nhân được quyền yêu cầu tổ chức, doanh nghiệp xử lý thông tin cá nhân mà mình đã cung cấp, cập nhật, sửa đổi, hủy bỏ thông tin hoặc ngừng cung cấp thông tin cá nhân cho bên thứ ba dù trước đó đã đồng ý.
Đối với cơ quan quản lý nhà nước, cần định kỳ tổ chức thanh tra, kiểm tra các tổ chức, doanh nghiệp xử lý thông tin cá nhân; Thiết lập kênh thông tin trực tuyến để tiếp nhận phản ánh của người dân về các vấn đề liên quan đến bảo vệ thông tin cá nhân và Ban hành quy định, hướng dẫn cụ thể về bảo vệ thông tin cá nhân trên mạng.
Tính đến thời điểm hiện tại, đã có khoảng 40 nước trên thế giới ban hành văn bản pháp luật về quyền riêng tư cá nhân. Xuất phát từ tình hình thực tế, việc đưa nội dung bảo vệ thông tin cá nhân vào Luật An toàn thông tin là hết sức cần thiết, nhằm hệ thống hóa lại các quy định đang tồn tại riêng rẽ trong những văn bản khác, nhằm tạo một hành lang pháp lý rõ ràng cho việc bảo vệ thông tin cá nhân tại Việt Nam, Cục An toàn thông tin nhấn mạnh.