Cảnh báo nguy cơ về lỗ hổng bảo mật thông tin cá nhân trên mạng

15:14, 04/06/2015

Báo cáo thuyết minh tại kỳ họp thứ 9 Quốc hội khóa XIII về dự án Luật an toàn thông tin sáng 4/6, Bộ trưởng Bộ Thông tin Truyền thông Nguyễn Bắc Son khẳng định: Trong thời đại ngày nay, thông tin có thể được truyền lan nhanh chóng trên mạng, hệ thống thông tin tạo nền tảng cho hầu hết các hoạt động chính trị, kinh tế, xã hội.

Bất cứ thông tin sai lệch nào, bất kỳ sự cố nào đối với hệ thống thông tin cũng sẽ gây ra hậu quả nặng nề đối với nhà nước và xã hội. Luật an toàn thông tin được ban hành sẽ có vai trò quan trọng ảnh hưởng tới nhiều lĩnh vực phát triển đời sống - kinh tế - xã hội.

 

Đối với người dân, Luật an toàn thông tin sẽ góp phần bảo vệ quyền, lợi ích hợp pháp của người dân và cộng đồng trong việc sử dụng các ứng dụng và dịch vụ do công nghệ thông tin và truyền thông mang lại; bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân tham gia hoạt động an toàn thông tin; ngăn chặn những hành vi lợi dụng mạng gây ảnh hưởng đến an ninh quốc gia, vi phạm đạo đức, thuần phong mỹ tục, vi phạm các quy định của pháp luật.

 

Cá nhân phải tự bảo vệ thông tin của mình

 

Dự thảo Luật an toàn thông tin gồm 9 chương 55 Điều, trong đó Chương III quy định cụ thể về Bảo vệ thông tin cá nhân trên mạng; quy định về nguyên tắc bảo vệ thông tin cá nhân trên mạng; thu thập và sử dụng thông tin cá nhân; cập nhật sửa đổi và hủy bỏ thông tin cá nhân; đảm bảo an toàn thông tin cá nhân; trách nhiệm của cơ quan quản lý nhà nước trong việc bảo vệ thông tin cá nhân.

 

Theo đó, dự thảo Luật quy định, cá nhân phải có ý thức tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng; tổ chức cá, nhân xử lý thông tin cá nhân có trách nhiệm bảo vệ an toàn thông tin đối với thông tin cá nhân do mình xử lý; việc bảo vệ thông tin cá nhân thực hiện theo quy định của Luật này và quy định của pháp luật liên quan.

 

Ngoài ra việc xử lý thông tin cá nhân phục vụ mục đích bảo đảm quốc phòng, an ninh, trật tự an toàn xã hội và chỉ để phục vụ nhu cầu sử dụng cá nhân đơn thuần không thuộc phạm vi điều chỉnh của luật này.

 

Đối với việc thu thập và sử dụng thông tin cá nhân, trừ trường hợp pháp luật có quy định khác, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm: Thông báo cho chủ thể thông tin cá nhân biết để xin ý kiến chủ thể thông tin cá nhân về phạm vi, mục đích cụ thể của việc thu thập và sử dụng thông tin cá nhân trước khi tiến hành thu thập thông tin; thông báo cho chủ thể thông tin cá nhân biết để xin ý kiến trước khi sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu khi tiến hành thu thập thông tin; không được cung cấp, chia sẻ, phát tán thông tin cá nhân thu thập, tiếp cận hoặc kiểm soát được cho bên thứ ba trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc có yêu cầu của cơ quan có thẩm quyền.

 

Ngoài ra chủ thể thông tin cá nhân còn có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cung cấp thông tin cá nhân của mình do tổ chức, cá nhân xử lý thông tin cá nhân đó thu thập, lưu trữ.

 

Chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình do tổ chức, cá nhân xử lý thông tin đó thu thập, lưu trữ hoặc ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba trong trường hợp trước đó đã đồng ý; khi có yêu cầu hợp lệ về việc đề nghị cập nhật, sửa đổi hoặc hủy bỏ thông tin cá nhân của chủ thể thông tin cá nhân hoặc có yêu cầu ngừng cung cấp thông tin cá nhân của chủ thể cho bên thứ 3 hợp lệ.

 

Tổ chức cá nhân xử lý thông tin cá nhân phải hủy bỏ vĩnh viễn thông tin cá nhân đã lưu trữ khi hết mục đích sử dụng, hoặc đã hết thời hạn lưu trữ đặt ra khi tiến hành thu thập thông tin cá nhân và thông báo cho chủ thể thông tin cá nhân biết, trừ trường hợp có quy định khác của pháp luật.

 

Ngăn chặn tiết lộ thông tin cá nhân

 

Dự thảo Luật quy định tổ chức, cá nhân xử lý thông tin cá nhân phải áp dụng các biện pháp ngăn chặn tiết lộ, hủy, sửa đổi, mất thông tin cá nhân người dùng nhằm bảo đảm an toàn thông tin cá nhân: Xác định trách nhiệm quản lý an toàn thông tin cá nhân người dùng đối với các phòng ban khác nhau và với chi nhánh; xây dựng lưu trình công tác và chế độ quản lý an toàn đối với việc thu thập, sử dụng thông tin cá nhân người dùng và hoạt động liên quan; thực hiện quản lý quyền hạn đối với nhân viên và đại lý, thực hiện thẩm tra đối với việc xuất, sao chép, hủy thông tin, đồng thời áp dụng biện pháp ngăn chặn lộ mật; bảo quản riêng các phương tiện giấy, quang, từ ghi thông tin cá nhân người dùng, đồng thời áp dụng biện pháp lưu giữ an toàn tương ứng.

 

Bên cạnh đó, thực hiện thẩm tra truy nhập hệ thống thông tin lưu giữ thông tin cá nhân người dùng, đồng thời áp dụng biện pháp ngăn chặn thâm nhập, mã độc; ghi thông tin về nhân viên, thời gian, địa điểm tiến hành thao tác đối với thông tin cá nhân người dùng; căn cứ vào quy định của cơ quan quản lý an toàn thông tin triển khai công tác bảo vệ an toàn mạng thông tin.

 

Luật này cũng quy định trách nhiệm của cơ quan quản lý Nhà nước trong việc bảo vệ thông tin cá nhân trên mạng gồm: Định kỳ tổ chức thanh tra, kiểm tra các tổ chức, doanh nghiệp xử lý thông tin cá nhân; thiết lập kênh thông tin trực tuyến để tiếp nhận phản ánh của người dân về vấn đề liên quan đến bảo vệ thông tin cá nhân;  xây dựng và ban hành quy định, hướng dẫn cụ thể về bảo vệ thông tin cá nhân trên mạng.

 

Dự thảo Luật này cũng nêu rõ: Việc gửi thông tin trên mạng phải bảo đảm không được giả mạo, làm sai lệch nguồn gốc gửi thông tin; không được gửi thông tin mang tính thương mại vào địa chỉ điện tử của người tiếp nhận khi chưa có sự đồng ý, yêu cầu của người nhận.

 

Để đảm bảo cho người dùng dự thảo cũng đã quy định trách nhiệm của doanh nghiệp cung cấp dịch vụ viễn thông, doanh nghiệp cung cấp dịch vụ ứng dụng viễn thông và doanh nghiệp cung cấp dịch vụ công nghệ thông tin gửi thông tin phải tuân thủ pháp luật về lưu trữ, bảo vệ thông tin cá nhân, thông tin của khách hàng, áp dụng các biện pháp ngăn chặn thông tin quấy rối khách hàng vi phạm pháp luật và cung cấp điều kiện kỹ thuật và nghiệp vụ cần thiết khi có yêu cầu của cơ quan có thẩm quyền./.