Đó là câu hỏi mà đại biểu Quốc hội Nguyễn Minh Đức (đoàn TP.HCM), Phó chủ nhiệm Ủy ban Quốc phòng, an ninh và đối ngoại của Quốc hội, đặt ra khi thảo luận tại tổ về luật Bảo vệ dữ liệu cá nhân. Thực tế, câu hỏi trên cũng là điều mà người dân, dư luận đã đặt ra trong nhiều năm qua khi cuộc gọi rác, tin nhắn rác, tin nhắn quảng cáo hoành hành, rồi những kẻ tội phạm sử dụng để lừa đảo nhiều nạn nhân, gây thiệt hại lớn.
Đơn giản như, không ít người đã phải ngạc nhiên sau khi mua vé máy bay chưa được bao lâu thì nhận được tin nhắn quảng cáo dịch vụ cho thuê xe ở sân bay đến. Rồi những đối tượng lừa đảo thì nói đúng tên và nhiều thông tin của nạn nhân khi tiếp cận để giăng bẫy lừa đảo.
Rõ ràng, song hành quá trình bùng nổ của kỷ nguyên số thì dữ liệu người dân cũng được lưu trữ nhiều hơn bởi nhiều dịch vụ phát sinh gắn liền trực tiếp với dữ liệu người dùng qua các ứng dụng trực tuyến và di động… Vì thế, việc kiểm soát đảm bảo dữ liệu cá nhân cũng sẽ bao gồm nhiều đối tượng hơn. Điều đó khiến nhiều đại biểu Quốc hội phân vân chi phí sẽ rất tốn kém nếu mở rộng nghĩa vụ về đảm bảo dữ liệu cá nhân đối với cả các doanh nghiệp nhỏ, hộ kinh doanh gia đình…
Thực tế, các vụ mua bán dữ liệu người dùng bị phanh phui hay các vụ tấn công đánh cắp dữ liệu hầu hết đều tập trung vào nguồn dữ liệu lớn, mang tính dữ liệu nguồn như các nhà mạng điện thoại di động hay hệ thống kinh doanh có số lượng khách hàng quy mô lớn. Bởi đây chính là các nguồn dữ liệu mà các nhóm tin tặc, mua bán dữ liệu thường xuyên nhắm đến.
Ví dụ, một nhà cung cấp nội dung trực tuyến tại VN từng thừa nhận có 164 triệu hồ sơ trong vụ rò rỉ hồ sơ lớn trên thế giới. Hay hệ thống bán lẻ quy mô lớn hoạt động trong cả ngành hàng điện tử lẫn tiêu dùng từng có đến hơn 30.000 giao dịch thẻ ngân hàng và khoảng 5,4 triệu email khách hàng xuất hiện trong một tệp tin chứa dữ liệu bị xuất hiện công khai trên mạng.
Chính vì thế, luật Bảo vệ dữ liệu cá nhân cần tập trung hướng đến những nguồn dữ liệu thông tin lớn như các nhà mạng, nhà cung cấp dịch vụ trực tuyến hoặc hệ thống kinh doanh quy mô lớn, các hãng hàng không, ngân hàng…
Bên cạnh đó, một thực tế mà chúng ta đã có trong thời gian qua là có luật định cùng những biện pháp của cơ quan chức năng nhưng hiệu quả thực thi sau cùng không cao. Điển hình, dù ngành chức năng đã nhiều lần rà soát yêu cầu người dân tuân thủ đăng ký SIM chính chủ, đồng thời tuyên bố siết chặt quản lý nhà mạng, nhưng thực tế đến nay thì các cuộc gọi rác vẫn hoành hành.
Cho nên, song hành việc tăng cường các biện pháp kiểm soát để đảm bảo dữ liệu mà luật Bảo vệ dữ liệu cá nhân hướng đến, thì sự đảm bảo thực thi hiệu quả các quy định đề ra cũng quan trọng không kém. Có như vậy, vấn đề lỗ hổng dữ liệu cá nhân mới có thể khắc phục hiệu quả hơn.