Càng hiện đại, càng dễ khai thác
Trước đây, khi có sự cố, tai nạn xe hơi, cơ quan chức năng sẽ kiểm tra hộp đen của ô tô để có căn cứ về vị trí, hành trình di chuyển, tình trạng xe phụ vụ công tác điều tra. Ngoài ra, cơ quan chức năng còn phải thu thập thêm nhiều nguồn thông tin, chứng cứ khác tại hiện trường, lời khai của các bên trong vụ việc, người làm chứng... Nhưng với một chiếc xe thông minh, toàn bộ hành trình của xe đều có thể được ghi lại tự động, hoặc khi được cho phép. Dữ liệu được cung cấp cho cơ quan điều tra thậm chí đầy đủ hơn nhiều so với phương pháp xác minh đối với xe hơi truyền thống.
Các hãng xe, đại lý phải dùng nhiều cách để thu thập thông tin về thói quen sử dụng ô tô như tư thế ngồi, tư thế cầm vô lăng, thói quen thắt dây an toàn, thói quen của người ngồi hàng ghế sau... Nhưng ngày nay, hệ thống camera, cảm biến được trang bị trên xe có thể đảm nhận các công việc đó. Nghĩa là, thay vì phải hỏi từng khách hàng bằng bảng hỏi điều tra xã hội học, các hãng xe hơi đang âm thầm thu thập thông tin, thói quen sử dụng của người dùng hàng ngày, hàng giờ.
Sẽ thật tuyệt vời nếu việc thu thập thông tin kể trên được sử dụng đúng cách, đó là liên tục cải tiến sản phẩm để đem đến cho khách hàng trải nghiệm giao thông an toàn, thoải mái hơn, bảo vệ quyền lợi của khách hàng tốt hơn khi có sự cố, tai nạn xảy ra. Tuy nhiên, người dùng ô tô phải có “quyền được biết” hãng xe đang khai thác những thông tin gì của mình, sử dụng chúng vào việc gì, có quyền từ chối thu thập những thông tin nhạy cảm và có quyền xóa dữ liệu khi có yêu cầu.
Ông Albert Fox Cahn, chuyên gia tại Trung tâm Carr về Chính sách Nhân quyền (Đại học Harvard) chia sẻ: “Các thiết bị điện tử mà người lái xe lắp đặt ngày càng đắt đỏ, trong khi chúng đang thu thập ngày càng nhiều dữ liệu về những người ngồi trên xe. Có một sự xâm phạm đặc biệt ở đây khi các công ty đang biến sự riêng tư trên ô tô của một người thành không gian giám sát của họ”.
Một nghiên cứu mới đây của Mozilla trên 25 hãng xe nổi tiếng thế giới cho thấy, chỉ có Renault và Dacia là hai hãng xe cung cấp cho chủ xe tùy chọn xóa dữ liệu của họ khi có nhu cầu. Đa số hãng xe còn lại có thể bán thông tin cá nhân của người dùng cho các công ty môi giới, tiếp thị dữ liệu mà người dùng không hề hay biết. Một số hãng xe thừa nhận, họ sẵn sàng chia sẻ thông tin của người dùng ô tô cho chính phủ hoặc cơ quan thực thi pháp luật mà không cần có lệnh của tòa án. Đây là điều đáng báo động.
Hiện tại, Apple là một trong những tập đoàn công nghệ tiên phong trong bảo vệ quyền riêng tư và dữ liệu cá nhân. Các ứng dụng muốn được bày bán trên Appstore buộc phải thực hiện các cam kết về quyền riêng tư, dữ liệu cá nhân của người dùng. Trường hợp vi phạm, ứng dụng sẽ bị gỡ khỏi Appstore và nhà cung cấp sẽ chịu trách nhiệm trước pháp luật của nước sở tại. Những năm gần đây, Apple liên tục nâng cấp tính năng mới trong hệ điều hành iOS nhằm giúp người dùng phát hiện và ngăn chặn các ứng dụng chạy ngầm, ứng dụng lén khai thác dữ liệu người dùng qua camera, ghi âm, thư viện ảnh v.v... Năm 2020, Cục điều tra Liên bang Mỹ (FBI) đã gửi yêu cầu nhờ Apple mở khóa giúp hai chiếc iPhone thuộc về Mohammed Saeed Alshamrani, kẻ đã gây ra vụ xả súng tại căn cứ của Hải quân Mỹ ở Florida. Tuy nhiên, Apple đã từ chối lời đề nghị này với lý do nền tảng iOS an toàn đến nỗi ngay cả Apple cũng không thể can thiệp để truy cập được dữ liệu chứa trên iPhone của người dùng. Những hành động bảo vệ người dùng của Apple, dù mất lòng cơ quan chức năng nhưng lại được lòng hàng tỷ người dùng trên toàn cầu.
Mặc dù vậy, một số chuyên gia phân tích, sự phát triển của ngành ô tô có phần đặc biệt, không thể áp chung một nền tảng để quản lý như trên điện thoại thông minh. Mỗi hãng xe đều đã có nền tảng công nghệ riêng của mình, có hệ thống bán hàng và chăm sóc khách hàng riêng biệt nên rất khó để kiểm soát dữ liệu. Thay vào đó, các hãng xe buộc phải cam kết và chịu hoàn toàn trách nhiệm về hành vi vi phạm của mình trước luật pháp quốc gia. Tại Châu Âu, các quốc gia thành viên cùng thống nhất áp dụng Quy định chung về Bảo vệ Dữ liệu (General Data Protection Regulation, viết tắt GDPR). Nếu doanh nghiệp vi phạm nghĩa vụ bảo vệ dữ liệu cá nhân của người dùng sẽ có khả năng phải chịu hình thức xử phạt bao gồm khiển trách, cấm hoạt động xử lý dữ liệu tạm thời hoặc vĩnh viễn; đồng thời, phạt tiền lên tới 20 triệu Euro hoặc 4% tổng doanh thu hàng năm trên toàn thế giới của doanh nghiệp đó.
Bảo vệ dữ liệu cho người dùng ô tô tại Việt Nam
Ngày 17/4/2023, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân. Theo Viện Nghiên cứu chính sách và phát triển truyền thông (IPS), đây là văn bản pháp luật quan trọng, tạo hành lang pháp lý cho các Bộ, ngành thực hiện quản lý Nhà nước và bảo vệ dữ liệu cho người dân trên tất cả các lĩnh vực, bao gồm ngành ô tô.
Nghị định 13/2023/NĐ-CP quy định rõ trách nhiệm của Bộ Công an là giúp Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân. Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân, đề xuất ban hành Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng. Theo kế hoạch, Bộ Công an sẽ xây dựng Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân kể từ ngày 1/7/2023, thời điểm Nghị định 13 có hiệu lực, nhưng đến nay, hệ thống chưa được đưa vào hoạt động.
Theo Nghị định 13, dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Trong đó, với dữ liệu cá nhân cơ bản như được hiển thị trong căn cước công dân, ảnh chụp, số điện thoại, tình trạng hôn nhân, quan hệ gia đình..., các nhà sản xuất, đại lý xe có quyền thu thập để phục vụ quản lý, chăm sóc khách hàng, không được bán trái phép cho đơn vị thứ ba. Dữ liệu cá nhân nhạy cảm bao gồm: quan điểm chính trị, quan điểm tôn giáo, tình trạng sức khỏe, đặc điểm di truyền, đặc điểm sinh học, xu hướng tình dục, dữ liệu phạm tội, vị trí của cá nhân qua hệ thống định vị, thông tin ngân hàng, dịch vụ trung gian thanh toán... Với dữ liệu cá nhân nhạy cảm, trong hầu hết trường hợp, các hãng xe, đại lý xe không được khai thác, sử dụng vì đây là những dữ liệu gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân.
Tuy nhiên, trên thực tế, một số nghiên cứu đã phanh phui hành vi khai thác dữ liệu nhạy cảm mà không có sự đồng ý của người dùng tại Mỹ, trong đó bao gồm dữ liệu về vị trí của xe, xu hướng tình dục, thậm chí lén ghi lại hình ảnh riêng tư, thân mật của các hành khách trên xe. Hiện chưa rõ những mẫu xe này khi nhập về Việt Nam, hãng xe có thực hiện hành động tương tự hay không. Rõ ràng, điều này tiềm ẩn nhiều rủi ro bởi người dùng sẽ chỉ biết được thông tin khi vụ việc vỡ lở, thông tin, hình ảnh của mình bị lan truyền trên mạng, và khi đó thì đã quá muộn.
Để điều chỉnh hành vi này, Điều 9 Nghị định 13 nêu rõ, chủ thể dữ liệu là người dân có quyền bất khả xâm phạm với thông tin, dữ liệu cá nhân của mình, bao gồm quyền được biết, quyền đồng ý hoặc phản đối, quyền truy cập, xóa dữ liệu, quyền cung cấp hoặc hạn chế xử lý dữ liệu, quyền tự bảo vệ, khiếu nại, tố cáo và yêu cầu bồi thường thiệt hại. Điều 4 quy định, cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.
Mặc dù vậy, việc thực thi Nghị định 13/2023/NĐ-CP trên thực tiễn các ngành, lĩnh vực đã bắt đầu xuất hiện một số khó khăn. Ví dụ, với quy định chủ thể có quyền truy cập, phản đối hoặc xóa dữ liệu được cho là khó khả thi, do đang chồng chéo với những quy định riêng của ngành. Đồng thời, để thực hiện đầy đủ các điều khoản này, các doanh nghiệp sẽ phải dành một khoản chi phí khá lớn để điều chỉnh lại hệ thống, bổ sung nhân sự.
Đại diện IPS nhận định, về lâu dài, vẫn cần phải xây dựng hệ thống quy định về bảo vệ dữ liệu cá nhân ở cấp độ Luật, thay vì Nghị định như hiện nay. Bởi lẽ, việc ban hành một đạo luật riêng sẽ có tác động mạnh mẽ hơn và chi phối được từng ngành, lĩnh vực có liên quan, buộc các Bộ, ngành phải cập nhật, điều chỉnh hệ thống văn bản pháp luật của mình để phù hợp với thực tiễn.
“Đối với các ngành cụ thể, trong đó có ô tô, các Hội, Hiệp hội có vai trò quan trọng trong việc đề xuất các quy định chi tiết, những bộ quy tắc ứng xử hướng dẫn thực thi Nghị định về bảo vệ dữ liệu cá nhân cho ngành, lĩnh vực của mình. Bên cạnh đó, trong thực tiễn thi hành Nghị định 13, nếu phát sinh bất cập, chồng chéo với quy định hiện hành của ngành, cơ quan chủ quản hoặc doanh nghiệp có thể liên hệ với Bộ Công an để được hướng dẫn, giải đáp cụ thể”, bà Nguyễn Lan Phương, cán bộ nghiên cứu Viện IPS cho biết.
Theo thông tin từ Bộ Công an, trong năm 2023 và các năm tiếp theo, Công an các đơn vị, địa phương sẽ tăng cường triển khai đấu tranh với hoạt động chuyển giao trái phép, mua bán dữ liệu cá nhân, xử lý nghiêm các hành vi vi phạm theo quy định của pháp luật.
Google translate