Tràn lan thu thập, mua bán trái phép dữ liệu cá nhân

Dự thảo Nghị định bảo vệ dữ liệu cá nhân đang được Bộ Công an xây dựng theo đúng quy định pháp luật và đề xuất ban hành. Việc ban hành Nghị định bảo vệ dữ liệu cá nhân sẽ đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân đối với việc xử lý dữ liệu cá nhân. Đồng thời, Nghị định là tiền đề quan trọng để triển khai, đúc rút và nghiên cứu, xây dựng thành Luật Bảo vệ dữ liệu cá nhân.

Dữ liệu cá nhân bị thu thập, mua bán trái phép lên tới gần 1.300 GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm... Tình trạng mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp. Đó là thực trạng đang diễn ra hiện nay đặt ra yêu cầu cần thiết phải có quy định cụ thể về bảo vệ dữ liệu cá nhân và các chế tài xử phạt đủ sức răn đe.

Mua bán dữ liệu cá nhân có tổ chức, hệ thống

Công an tỉnh Thừa Thiên - Huế triệt xóa một đường dây mua bán dữ liệu, thông tin cá nhân trái phép, năm 2022.

Theo Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an, thời gian vừa qua, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.

Một số vụ việc điển hình như việc Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airlines, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng; tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS;....

Tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô (như danh sách cán bộ, danh bạ nội bộ của các bộ, tập đoàn kinh tế; khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh; trường học; thông tin hộ khẩu; thông tin khách hàng thuộc các lĩnh vực bất động sản, siêu thị, mua ôtô, xe máy…) và dữ liệu cá nhân đã qua xử lý (gồm thông tin chi tiết về các cá nhân, tổ chức, doanh nghiệp, như họ tên, ngày sinh, số CMND, địa chỉ, số điện thoại, số tài khoản ngân hàng bao gồm cả số dư, thân nhân, chức vụ, vị trí công tác…).

Nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.

Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.

Dữ liệu cá nhân bị thu thập, mua bán trái phép lên tới gần 1.300 GB

Cũng theo Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, tình trạng mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp.

Một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; tán phát mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng (máy tính và thiết bị di động); tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân.

Chỉ trong 2 năm từ năm 2019 đến năm 2020, Bộ Công an đã phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý.

Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới gần 1.300 GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm như thông tin về các cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ điện lực của EVN; thông tin phụ huynh, học sinh tại các trường trên cả nước; thông tin khách hàng của các ngân hàng...; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy tại 63 tỉnh, thành toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành spa, nha khoa, thời trang, thẩm mỹ viện.

Pháp luật bảo vệ dữ liệu cá nhân nước ta đã có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân nhưng chưa có quy định về bảo vệ dữ liệu cá nhân. Với thực trạng buôn bán, xử lý dữ liệu cá nhân tràn lan như hiện nay, việc không có chế tài xử lý hoặc chế tài xử lý không đủ mạnh, không đủ sức răn đe sẽ không giải quyết được tình hình.

Dữ liệu cá nhân là nguyên liệu nền kinh tế số, xã hội số

Theo thống kê, số lượng người sử dụng internet của Việt Nam đã đạt hơn 68,72 triệu người, tương đương 70,3% tổng dân số. Dữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ chi tiết khác nhau. Việc thu thập dữ liệu cá nhân được tích hợp sâu trong từng sản phẩm, dịch vụ và khó có thể nhận biết, xác thực đúng sai và bảo đảm mục đích sử dụng như thông báo. Yêu cầu bảo vệ được nâng cao từ góc độ cá nhân tới vấn đề chủ quyền, an ninh quốc gia.

Dữ liệu cá nhân từ vị trí chưa thực sự quan trọng trở thành nguyên liệu nền kinh tế số, xã hội số và ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân. Điều này đặt ra cho Chính phủ bài toán phải quản lý hiệu quả, tương đồng giữa sử dụng và bảo vệ dữ liệu cá nhân, ứng phó, hạn chế nguy cơ, xử lý vi phạm để giữ vững sự phát triển và giá trị do dữ liệu cá nhân tạo ra.