Nguy cơ lộ, lọt dữ liệu cá nhân khi sử dụng ô tô điện
Một sản phẩm công nghệ cao như ô tô điện có thể trở thành thiết bị thu, phát tín hiệu hình ảnh, âm thanh và nhiều dữ liệu riêng tư của người dùng. Sau vụ việc chủ xe Tesla bị phát tán hình ảnh nhạy cảm gần đây, nhiều người sở hữu ô tô điện mới giật mình khi chưa hề được khuyến cáo hay có thỏa thuận cụ thể nào về vấn đề bảo vệ dữ liệu cá nhân.
Nguy cơ bị lộ dữ liệu “nhạy cảm”
Khi mua một sản phẩm thông thường, người tiêu dùng có thể sẽ được người bán hàng đề nghị cung cấp một số thông tin cơ bản như: họ và tên; ngày, tháng, năm sinh; số điện thoại; email... Nếu việc này chỉ nhằm mục đích chăm sóc khách hàng tốt hơn, giới thiệu các sản phẩm mới nhất của hãng hay để phục vụ chính sách bảo hành sản phẩm thì sẽ không có vấn đề gì. Tuy nhiên, người tiêu dùng sẽ chỉ cảm thấy khó chịu khi số điện thoại, email của mình bị chia sẻ cho các nhãn hàng, dịch vụ khác.
Hậu quả của việc này là người tiêu dùng thường xuyên bị làm phiền bởi các cuộc gọi, tin nhắn, email quảng cáo sản phẩm, dịch vụ. Ví dụ, mua vé máy bay thì nhận được quảng cáo dịch vụ taxi đưa đón, đặt chỗ nhà hàng, khách sạn; vay vốn ngân hàng thì nhận được quảng cáo bảo hiểm nhân thọ, mời đi du lịch, tham gia sự kiện của công ty bất động sản; tạo tài khoản chứng khoán thì nhận được lời mời tham gia hội nhóm chứng khoán, dịch vụ tư vấn chứng khoán, giao dịch bitcoin v.v... Ngay cả khi người tiêu dùng nhiều lần phản ánh tin nhắn rác, cuộc gọi quảng cáo với hệ thống viễn thông và Tổng đài 5656 của Bộ Thông tin và Truyền thông thì tình trạng này vẫn tiếp diễn.
Tương tự, đối với một chiếc ô tô điện, người dùng thậm chí còn đối mặt với những nguy cơ lộ, lọt dữ liệu cá nhân lớn hơn nhiều. Một sự việc xảy ra gần đây, nếu được xác thực, có thể sẽ trở thành một vụ bê bối của hãng xe Tesla. Cụ thể, theo điều tra của hãng tin Reuters, 9 nhân viên cũ (giấu tên) của Tesla tiết lộ rằng, trong khoảng thời gian từ năm 2019 đến 2022, họ đã nhìn thấy các hình ảnh riêng tư của khách hàng do camera trên xe ghi lại và truyền dữ liệu về hệ thống. “Đó có thể là hình ảnh một người khỏa thân lái xe, cảnh “thân mật” bên trong xe, hay một vụ tai nạn giao thông nghiêm trọng”, một cựu nhân viên Tesla chia sẻ.
Những hình ảnh này được lan truyền, chia sẻ trong nhóm nội bộ của nhân viên huấn luyện trí tuệ nhân tạo của Tesla. Ban đầu, việc chia sẻ chỉ mang tính chất “giải trí” và các hình ảnh đều được lưu dưới dạng ẩn danh. Tuy nhiên, sự việc bắt đầu quá đà khi một số nhân viên chỉnh sửa photoshop các bức ảnh thành dạng “meme” để trêu đùa nhau, bàn luận về thân thể của người khác như một trò tiêu khiển. Thậm chí, trong một số ảnh, video còn vô tình để lộ địa chỉ nơi chiếc xe đang đỗ.
Được biết, chỉ những chiếc xe Tesla kích hoạt chế độ lái tự động Autopilot, được chủ xe đồng ý chia sẻ dữ liệu trên phần mềm điều khiển mới có thể tự động ghi lại hình ảnh. Để giúp hệ thống Autopilot hoạt động, Tesla lắp đặt các cảm biến, radar và một camera ở kính chắn gió. Phiên bản nâng cấp năm 2016 gồm 8 camera quanh xe để thu thập nhiều dữ liệu hơn. Hệ thống camera này không chỉ giúp xe có khả năng tự động chuyển làn, đỗ xe, lùi xe ra khỏi gara mà còn giúp tăng khả năng học máy của AI để có thể xử lý các tình huống không có trong “kịch bản”.
Mặc dù chưa ghi nhận hình ảnh rò rỉ ra bên ngoài nhưng việc đưa hình ảnh, dữ liệu nhạy cảm của khách hàng ra làm trò đùa đã gây nên sự phẫn nộ và hoài nghi đối với nhiều người dùng Tesla. Mới đây, ngày 7/4, chủ sở hữu Tesla Model Y, Henry Yeh đã lên Tòa án quận Bắc California (Mỹ) để yêu cầu Tesla chịu trách nhiệm giải trình đối với chủ sở hữu những chiếc ô tô được trang bị hệ thống Autopilot.
Jack Fitzgerald, luật sư của ông Yeh cho biết: “Giống như tâm trạng của nhiều người lúc này, ông Yeh đã rất tức giận với việc camera của Tesla có thể được sử dụng để vi phạm quyền riêng tư của gia đình ông, điều mà Hiến pháp California đang bảo vệ nghiêm ngặt”. Ông ấy cảm thấy bị xúc phạm bởi hành động chia sẻ dữ liệu nhạy cảm lấy từ xe của khách hàng với mục đích giải trí và là sự sỉ nhục đối với các nạn nhân".
Các nước xử lý vi phạm về dữ liệu cá nhân thế nào?
Một nghiên cứu của Viện nghiên cứu chính sách và phát triển truyền thông (IPS) cho thấy, nhà sản xuất ô tô điện có thể thu thập nhiều loại dữ liệu khác nhau, bao gồm cả dữ liệu cá nhân nhằm cung cấp dịch vụ một cách tốt nhất cho khách hàng. Dữ liệu cá nhân là những thông tin cho phép nhận dạng một cá nhân cụ thể. Các loại dữ liệu cá nhân mà doanh nghiệp cung cấp ô tô điện thu thập bắt đầu từ khi khách hàng tiến hành mua sản phẩm nhằm phục vụ quá trình hoàn thiện hợp đồng mua bán, chăm sóc khách hàng trong quá trình sử dụng phương tiện.
Các loại dữ liệu khác được thu thập là dữ liệu về ô tô điện của khách hàng như: năm sản xuất, mẫu xe, kiểu dáng, số VIN, cấu hình, hiệu suất, tần suất sử dụng, tình trạng xe hiện tại, nhật ký sạc pin...
“Bảo vệ dữ liệu cá nhân đang trở thành một vấn đề chính sách xuyên suốt các ngành, lĩnh vực, trong đó có lĩnh vực giao thông vận tải và đặc biệt là những phương tiện công nghệ cao như ô tô điện. Vì vậy, hầu hết quốc gia, khu vực trên thế giới đang có xu hướng không xây dựng quy định riêng lẻ về bảo vệ dữ liệu cá nhân trong từng lĩnh vực mà sẽ xây dựng một đạo luật chung để điều chỉnh vấn đề bảo vệ dữ liệu cá nhân”, chị Nguyễn Lan Phương, cán bộ nghiên cứu Viện IPS cho biết.
Tại Mỹ, Ủy ban Thương mại Liên bang (FTC) là cơ quan dân sự cao nhất ở cấp độ liên bang có thẩm quyền về các chính sách và thực thi pháp luật về quyền riêng tư từ những năm 1970. Theo đó, mỗi bang của Mỹ có một đạo luật riêng về bảo vệ dữ liệu cá nhân và nhà sản xuất ô tô điện có trụ sở tại bang nào sẽ tuân thủ pháp luật về bảo vệ dữ liệu của bang đó. Chẳng hạn, Tesla có trụ sở tại California cần tuân thủ các quy định trong đạo luật về quyền riêng tư của khách hàng của bang California. Cụ thể, một doanh nghiệp vi phạm về bảo vệ quyền riêng tư của khách hàng có thời hạn 30 ngày để khắc phục vi phạm trước khi phải nộp phạt khoản tiền 7.500 USD đối với vi phạm cố ý và 2.500 USD đối với vi phạm vô ý.
Tại Liên minh châu Âu (EU), văn bản quy định về bảo vệ dữ liệu cá nhân xuyên biên giới là Quy định số 2016/679 về bảo vệ dữ liệu cá nhân (General Data Protection Regulation, viết tắt GDPR). Nếu doanh nghiệp vi phạm nghĩa vụ bảo vệ dữ liệu cá nhân của người dùng sẽ có khả năng phải chịu hình thức xử phạt bao gồm khiển trách, cấm hoạt động xử lý dữ liệu tạm thời hoặc vĩnh viễn; đồng thời, phạt tiền lên tới 20 triệu Euro hoặc 4% tổng doanh thu hàng năm trên toàn thế giới của doanh nghiệp đó.
Tại Trung Quốc, các văn bản quy định về bảo vệ dữ liệu cá nhân gồm Luật An ninh mạng năm 2016, Luật An ninh dữ liệu năm 2021 và Luật Bảo vệ thông tin cá nhân 2021. Trong đó, Luật Bảo vệ thông tin cá nhân năm 2021 là luật chuyên ngành về bảo vệ thông tin cá nhân, quy định về quyền và nghĩa vụ của chủ thể thông tin cá nhân, chủ thể thu thập, xử lý thông tin cá nhân. Nếu doanh nghiệp vi phạm quy định về bảo vệ thông tin của khách hàng, sẽ phải thực hiện các biện pháp khắc phục hậu quả. Nếu từ chối khắc phục, doanh nghiệp có thể bị phạt 1 triệu Nhân dân tệ và nhân viên chịu trách nhiệm có thể bị phạt từ 10.000 - 100.000 Nhân dân tệ. Trong trường hợp vi phạm nghiêm trọng, các tổ chức và cá nhân chịu trách nhiệm có thể bị phạt tới 50 triệu Nhân dân tệ hoặc 5% doanh thu hàng năm.
Hoàn thiện chính sách pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam
Để bảo vệ an toàn dữ liệu cá nhân của người dùng nói chung và dữ liệu cá nhân khi sử dụng ô tô điện nói riêng trong xu thế bùng nổ điện khí hoá hiện nay, đại diện Viện IPS cho rằng, trách nhiệm đầu tiên thuộc về phía doanh nghiệp. Cụ thể, các nhà sản xuất ô tô điện cần phải có trách nhiệm thực hiện các biện pháp hành chính nội bộ như xây dựng chính sách bảo vệ dữ liệu cá nhân trong doanh nghiệp, có nhân sự chuyên môn phụ trách bảo vệ dữ liệu cá nhân, phân quyền tiếp cận dữ liệu đối với nhân viên, xây dựng quy trình thu thập, xử lý dữ liệu cá nhân của khách hàng và ứng phó với sự cố về dữ liệu.
Các biện pháp này cần được thiết kế dựa trên hai tiêu chí: một là, tuân thủ quy định pháp luật hiện hành; hai là, phù hợp với tiêu chuẩn quốc tế nhưng không trái với các quy định pháp luật hiện hành.
Bên cạnh đó, các nhà sản xuất phải thực hiện các biện pháp kỹ thuật nội bộ như áp dụng tiêu chuẩn kỹ thuật bảo mật được chứng nhận bởi các tổ chức quốc tế uy tín như ISO, sử dụng dịch vụ bảo mật của những nhà cung cấp có uy tín trong và ngoài nước, thường xuyên kiểm tra mức độ bảo mật của hệ thống thông tin.
Về phía cơ quan Nhà nước, cần sớm hoàn thiện quy định pháp luật về bảo vệ dữ liệu cá nhân. Theo đó, cần có Nghị định bảo vệ dữ liệu cá nhân, quy định về quyền và nghĩa vụ của các chủ thể liên quan đến bảo vệ dữ liệu cá nhân; Nghị định xử phạt vi phạm hành chính đối với xâm phạm dữ liệu cá nhân để có đầy đủ cơ sở pháp lý trong bảo vệ dữ liệu cá nhân.
Về lâu dài, cần ban hành Luật về bảo vệ dữ liệu cá nhân, bởi quy định bảo vệ dữ liệu cá nhân là quy định về quyền, giới hạn quyền của công dân, quyền và giới hạn quyền tự do kinh doanh của tổ chức kinh doanh hàng hóa, dịch vụ có thu thập dữ liệu cá nhân, nên phải nằm trong luật do cơ quan dân cử là Quốc hội thông qua.
“Việc có một luật về bảo vệ dữ liệu cá nhân là cơ sở để Việt Nam có thể tham gia vào các khuôn khổ đa phương về bảo vệ dữ liệu cá nhân xuyên biên giới, nhằm bảo vệ dữ liệu cá nhân của người dùng tại Việt Nam ngay cả khi dữ liệu đó được chuyển sang quốc gia khác để xử lý, lưu trữ”, chị Nguyễn Lan Phương, cán bộ nghiên cứu Viện IPS nhận định.