Buôn bán dữ liệu cá nhân tại Việt Nam: 'Mỏ vàng' đang bị thả nổi

Chiếm đoạt dữ liệu cá nhân để buôn bán

Theo ông Lương Lê Minh (Đại học Luật Hà Nội), trong thời đại trí tuệ nhân tạo, dữ liệu, đặc biệt là dữ liệu cá nhân, đã trở thành một loại “hàng hóa” có giá trị kinh tế. Bởi lẽ dữ liệu cá nhân là “nguyên liệu đầu vào” cần thiết cho công nghệ trí tuệ nhân tạo, giúp cho trí tuệ nhân tạo học được cách tư duy của con người, cho ra kết quả cao hơn tư duy con người.

Vì giá trị kinh tế của trí tuệ nhân tạo mà dữ liệu cá nhân trở thành loại “hàng hóa” có giá trị, được trao đổi một cách chính thức hoặc không chính thức trên thị trường.

Ngày nay, có những người sẵn sàng bất chấp không gian riêng tư của người khác để chiếm đoạt những dữ liệu cá nhân này nhằm mục đích phục vụ việc ra quyết định trong nền kinh tế.

Đi xa hơn, đã có những chính phủ - nắm trong tay bộ máy cưỡng chế và có tiềm lực tài chính, công nghệ hùng mạnh - tham vọng quản lý xã hội thông qua một hệ thống chấm điểm công dân (social credit system), chẳng hạn như Trung Quốc.

Đối với Việt Nam, dù hiện nay chưa có nhiều ứng dụng của trí tuệ nhân tạo gắn bó với đời sống con người, nhưng một thị trường buôn bán dữ liệu cá nhân cũng đã chớm hình thành.

Ở mức sơ khai nhất, việc mua bán thông tin cá nhân đã được ứng dụng vào quảng cáo. Đã có những công ty chuyên thu thập và mua bán những dữ liệu về địa chỉ, số điện thoại, email … của các nhóm khách hàng nhằm phục vụ cho quảng cáo. Chẳng hạn, những người sử dụng dịch vụ đặt vé máy bay trực tuyến có thể bị bán dữ liệu thông tin cá nhân cho các hãng xe taxi phục vụ tại sân bay.

Ở mức cao hơn, với sự trợ giúp của khoa học dữ liệu, thông tin về mỗi cá nhân sẽ được phân tích để chỉ ra xu hướng hành vi mua sắm, tiêu dùng … của cá nhân đó, từ đó ứng dụng vào thương mại.

Ví dụ những người thường xuyên đặt mua các báo, tạp chí về bất động sản, thường xuyên tìm kiếm trên công cụ tìm kiếm (search engine) về mua căn hộ chung cư tại Hà Nội sẽ bị bán dữ liệu cho các công ty bất động sản để nhận được quảng cáo về các dự án chung cư sắp được mở bán tại Hà Nội.

Bản thân các tập đoàn bất động sản cũng sẽ dựa trên những số liệu thu được để tối ưu hóa các sản phẩm của mình, như thiết kế diện tích nhà sao cho phù hợp với mong muốn của đa số người mua, bố trí nội thất để vừa túi tiền khách hàng…

Ở lĩnh vực tài chính, việc mua bán dữ liệu cá nhân thể hiện rõ nhất ở hoạt động cho vay ngang hàng. Điều kiện để vay ngang hàng rất đơn giản, chỉ cần cung cấp chứng minh thư/căn cước công dân, sổ hộ khẩu cùng một vài liên hệ cá nhân là người vay đã có thể vay được từ 1- 3 triệu đồng.

Để tính toán rủi ro mất vốn, xác định hạn mức cho vay, nhiều đơn vị cho vay ngang hàng ở Việt Nam đã sử dụng công nghệ trí tuệ nhân tạo theo hướng thu thập dữ liệu về người vay, từ nhân thân, nơi cư trú, lịch sử tín dụng ngân hàng, lịch sử mua sắm trực tuyến, định mức sử dụng điện nước, lịch sử bảo hiểm, vị trí công tác, trình độ học vấn… Tất cả những dữ liệu này sẽ được trí tuệ nhân tạo tính toán để trở thành một “phiên bản số hóa” thể hiện năng lực tài chính và độ tín nhiệm của khách hàng.

Điều đáng nói là tại Việt Nam hiện nay, hành lang pháp lý cho cả hoạt động cho vay ngang hàng lẫn cho việc bảo vệ quyền riêng tư đều đang rất mơ hồ.

“Ngân hàng Nhà nước Việt Nam hiện chỉ đang trong quá trình xây dựng hành lang pháp lý cho hoạt động cho vay ngang hàng. Trong khi đó, các quy định bảo vệ quyền riêng tư ở Việt Nam lại đang rất sơ khai, nằm rải rác ở một số văn bản pháp lý như Hiến pháp năm 2013 (điều 21), Bộ luật Dân sự năm 2015 (điều 38), và một số văn bản pháp luật chuyên ngành khác … Các quy định này nặng về nguyên tắc, thiếu cơ chế cụ thể cho việc ngăn cản việc thu thập trái phép dữ liệu cá nhân, xâm phạm quyền riêng tư”, ông Lương Lê Minh bình luận.

Theo ông Minh, đây là một thách thức to lớn cho pháp luật trong bảo vệ quyền riêng tư, nhất là trong bối cảnh nhận thức của người dân còn thấp như ở Việt Nam.

Trong một tương lai không xa, khi công nghệ trí tuệ nhân tạo phát triển mạnh tại nước ta, chắc chắn thị trường dữ liệu cá nhân này sẽ trở thành “mỏ vàng” cho các ứng dụng trí tuệ nhân tạo, bằng cả các cách thức hợp pháp và bất hợp pháp.

GDPR có thể là một hình mẫu?

Trên thế giới, việc bảo vệ dữ liệu cá nhân đã được đặt ra và có những biện pháp giải quyết. Chẳng hạn như tại châu Âu, EU đã ra Đạo luật bảo vệ dữ liệu (General Data Protection Regulation - GDPR) nổi tiếng, có hiệu lực từ ngày 25/5/2018. GDPR đã được 28 quốc gia EU, bao gồm cả Anh, phê chuẩn áp dụng.

GDPR được đánh giá là một đạo luật khá toàn diện, không chỉ bảo vệ quyền lợi của cư dân châu Âu nói riêng mà còn áp dụng cho bất kỳ người nào có sử dụng dịch vụ do một công ty đặt tại châu Âu cung cấp.

Điều quan trọng là GDPR làm rõ được các khái niệm căn bản liên quan đến dữ liệu cá nhân như: dữ liệu cá nhân, xử lý dữ liệu cá nhân là gì; người quản lý dữ liệu cá nhân là ai; hệ thống nguyên tắc cơ bản trong bảo vệ dữ liệu…

Nói riêng về nguyên tắc cơ bản trong bảo vệ dữ liệu, điều 5 của GDPR liệt kê 6 nguyên tắc cơ bản, bao gồm: nguyên tắc hợp pháp, công bằng và minh bạch; nguyên tắc giới hạn mục đích sử dụng; nguyên tắc tối thiểu hóa dữ liệu; nguyên tắc chính xác; nguyên tắc về thời gian lưu giữ dữ liệu; nguyên tắc toàn vẹn và bảo mật.

Về các quyền con người, GDPR ghi nhận các quyền cơ bản với dữ liệu cá nhân, kèm theo chi tiết cách thức đảm bảo quyền.

Ví dụ đối với quyền được biết, GDPR quy định mọi người có quyền được biết về cách thức thu thập dữ liệu, mục đích sử dụng các loại dữ liệu, lý do dữ liệu được thu thập và các phương pháp xử lý dữ liệu cá nhân sau đó.

Một nội dung quan trọng được GDPR luật hóa là quyền được lãng quên (right to be forgotten). Đây là nội dung được phát triển từ thực tiễn xét xử tại các tòa án quốc gia thành viên và Tòa án Công lý Liên minh châu Âu về quyền riêng tư. Sự phát triển của mạng internet và những công cụ tìm kiếm mạnh như Google đã đặt ra vấn đề về “quyền được lãng quên” trên mạng internet.

Ước tính đến nay đã có hàng triệu yêu cầu “quyền được lãng quên” như vậy được gửi đến Google và 43% đã được chấp thuận. Đây là dấu hiệu đáng mừng cho việc bảo vệ quyền riêng tư, song tiền lệ này cần được nhân rộng ở các quốc gia khác, bằng ràng buộc pháp lý với những nhà cung cấp dịch vụ trên internet.

Theo đánh giá của ông Lương Lê Minh, Việt Nam sẽ khó có thể áp dụng nguyên vẹn GDPR, nhưng các nguyên tắc mà GDPR vạch ra sẽ là nguồn tham khảo quan trọng cho hoạt động lập pháp ở Việt Nam, để hình thành hàng lang pháp lý về bảo vệ quyền riêng tư trong thời gian tới.