Dữ liệu cá nhân thành... món hàng
Ngày 7-7, Công an tỉnh Nghệ An phát hiện một nhóm đối tượng mua bán thông tin cá nhân trên Facebook và nhóm kín Telegram. Tang vật thu giữ gồm hơn 72,4GB dữ liệu chứa trên 50 triệu thông tin cá nhân.
Theo cơ quan điều tra, từ tháng 6-2025 đến nay, các đối tượng đã thu thập, tổng hợp, chỉnh sửa rồi bán dữ liệu cá nhân của cán bộ, công chức, viên chức, học sinh, sinh viên và lãnh đạo doanh nghiệp ở nhiều địa phương để thu lợi bất chính hơn 1 tỷ đồng.
Trước đó, Công an tỉnh Đồng Nai cũng triệt phá một đường dây lợi dụng không gian mạng để mua bán trái phép dữ liệu thông tin cá nhân do ngành công an quản lý.
Trong bối cảnh dữ liệu cá nhân đang trở thành món hàng bị mua bán, trao đổi trái phép với quy mô ngày càng lớn, Bộ Tư pháp đã công bố hồ sơ thẩm định dự thảo Bộ luật Hình sự (sửa đổi) do Bộ Công an chủ trì soạn thảo.
Điểm mới của dự thảo là đề xuất bổ sung 3 tội danh hoàn toàn mới liên quan đến dữ liệu cá nhân, gồm: tội xâm phạm dữ liệu cá nhân (Điều 159a); tội mua, bán trái phép dữ liệu cá nhân (Điều 159b); và tội cản trở hoạt động bảo vệ dữ liệu cá nhân (Điều 159c).
Trong đó, Điều 159a đề xuất xử lý hình sự đối với các hành vi thu thập, xử lý, trao đổi, tặng cho, công khai hóa, chiếm đoạt, sử dụng trái phép hoặc cố ý làm lộ, làm mất dữ liệu cá nhân của người khác khi đạt các ngưỡng luật định. Người phạm tội có thể bị phạt tiền từ 200-500 triệu đồng, phạt cải tạo không giam giữ đến 3 năm hoặc phạt tù từ 6 tháng đến 3 năm.
Trường hợp phạm tội có tổ chức, có tính chất chuyên nghiệp, lợi dụng chức vụ, quyền hạn, thu lợi bất chính từ 400 triệu đồng trở lên, gây thiệt hại từ 1 tỷ đồng trở lên, hoặc xâm phạm dữ liệu của số lượng lớn chủ thể…, mức hình phạt có thể lên đến 7 năm tù. Đối với hành vi mua, bán trái phép dữ liệu cá nhân, dự thảo quy định mức xử lý nghiêm khắc hơn.
Tùy theo số lượng dữ liệu bị mua bán và số tiền thu lợi bất chính, người phạm tội có thể bị phạt từ 1 năm đến 10 năm tù, trong đó mức cao nhất áp dụng khi mua bán dữ liệu cá nhân của từ 25.000 người trở lên hoặc thu lợi bất chính từ 1 tỷ đồng trở lên.
Dự thảo cũng bổ sung tội cản trở hoạt động bảo vệ dữ liệu cá nhân, xử lý các hành vi như cố ý che giấu hoặc cung cấp thông tin sai lệch về sự cố vi phạm dữ liệu, thiết lập rào cản kỹ thuật trái phép nhằm cản trở hoạt động kiểm tra, thu thập chứng cứ.
Khép kín hành lang pháp lý
Theo TS Trần Thanh Thảo, giảng viên Trường Đại học Luật TPHCM, việc bổ sung 3 tội danh mới là bước tiếp theo cần thiết sau khi Luật Bảo vệ dữ liệu cá nhân năm 2025 được ban hành. Nếu đạo luật này đã quy định khá đầy đủ quyền của chủ thể dữ liệu cũng như trách nhiệm của các bên thu thập, kiểm soát và xử lý dữ liệu, thì Bộ luật Hình sự cần có cơ sở pháp lý để xử lý những hành vi vi phạm có tính chất nguy hiểm, xâm phạm quyền con người, quyền nhân thân và quyền riêng tư.
TS Trần Thanh Thảo đánh giá 3 tội danh được đề xuất có phạm vi điều chỉnh tương đối toàn diện: Điều 159a điều chỉnh các hành vi trực tiếp xâm phạm dữ liệu cá nhân; Điều 159b tập trung xử lý hành vi mua, bán trái phép dữ liệu cá nhân, hướng đến thị trường mua bán dữ liệu bất hợp pháp; Điều 159c điều chỉnh các hành vi chống đối, cản trở hoạt động bảo vệ dữ liệu cá nhân.
TS Trần Thanh Thảo đề xuất nghiên cứu mở rộng phạm vi truy cứu trách nhiệm hình sự đối với pháp nhân thương mại, bởi trên thực tế, nhiều hành vi thu thập, mua bán trái phép dữ liệu cá nhân được thực hiện thông qua pháp nhân và mang lại lợi ích trực tiếp cho chính pháp nhân đó.
Trong khi đó, ông Võ Đỗ Thắng, Giám đốc Trung tâm Tư vấn và đào tạo an ninh mạng Athena, nhận định, tội phạm công nghệ cao hiện có thể cùng lúc nhắm tới nạn nhân ở nhiều địa phương, thậm chí nhiều quốc gia.
Việc bổ sung các tội danh mới sẽ tạo cơ sở pháp lý rõ ràng hơn để điều tra, xử lý vi phạm, bảo vệ người dân trước tình trạng phát tán thông tin sai sự thật, làm lộ dữ liệu cá nhân hay các hình thức lừa đảo trực tuyến ngày càng tinh vi.
Luật Bảo vệ dữ liệu cá nhân được Quốc hội thông qua vào tháng 6-2025, gồm 5 chương, 39 điều và có hiệu lực từ ngày 1-1-2026. Luật quy định các nguyên tắc bảo vệ dữ liệu cá nhân; quyền, nghĩa vụ của chủ thể dữ liệu; trách nhiệm của cơ quan, tổ chức, cá nhân trong hoạt động thu thập, xử lý và sử dụng dữ liệu cá nhân.
Cùng với Luật An ninh mạng, Luật An toàn thông tin mạng và các văn bản hướng dẫn, việc bổ sung 3 tội danh mới trong dự thảo Bộ luật Hình sự (sửa đổi) sẽ góp phần hoàn thiện hành lang pháp luật bảo vệ dữ liệu cá nhân, bảo vệ người dân thiết thực trong xã hội số.