Bộ Công an: Dữ liệu cá nhân đang bị mua bán, lộ, mất tràn lan

Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức

Báo cáo mới đây của Bộ Công an cho thấy, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng bị cho là chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.

Có thể kể tới một số vụ việc điển hình như: Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airline, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng; tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS; dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng.

Cũng theo Bộ này, tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý, hành vi chưa được xử lý vì thiếu quy định của pháp luật như: danh sách cán bộ, danh bạ nội bộ của các Bộ, tập đoàn kinh tế; khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh; trường học; thông tin hộ khẩu; thông tin khách hàng thuộc các lĩnh vực bất động sản, siêu thị, mua ô tô, xe máy; thông tin chi tiết về các cá nhân, tổ chức, doanh nghiệp, như: họ tên, ngày sinh, số CMND, địa chỉ, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác.

Ngoài ra, báo cáo còn cho thấy, các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng bị cho là đã cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.

"Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu", theo Bộ Công an.

Kết quả kiểm tra của Bộ này còn cho thấy, việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp.

Theo đó, một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; tán phát mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng (máy tính và thiết bị di động); tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân.

Nguyên nhân do đâu?

Đáng chú ý, thời gian gần đây, Bộ Công an đã phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý.

Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm như: thông tin về các cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ điện lực của EVN; thông tin phụ huynh, học sinh tại các trường trên cả nước; thông tin khách hàng của các ngân hàng BIDV, Techcombank, VPBank, AgriBank...; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng Viettel, Mobiphone, Vinaphone; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy tại 63 tỉnh, thành toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành SPA, Nha khoa, thời trang, thẩm mỹ viện.

Bộ Công an cho rằng, thực trạng trên xuất phát từ nhiều nguyên nhân, trong đó có cả nguyên nhân khách quan và chủ quan.

Về khách quan, sự phát triển nhanh của khoa học công nghệ dẫn tới nhiều phương thức thủ đoạn mới trong tấn công mạng, các lỗ hổng và thiếu hụt biện pháp phòng thủ mạng; dữ liệu cá nhân trở thành nguồn nguyên liệu quý giá cho các hoạt động kinh tế, có giá trị lợi nhuận cao, hấp dẫn tin tặc và các đối tượng phạm tội thực hiện hành vi đánh cắp, mua bán dữ liệu cá nhân.

Về chủ quan, nhận thức về bảo vệ dữ liệu cá nhân của công dân còn hạn chế, sẵn sàng cung cấp thông tin đời tư để lấy sự tiện ích về công nghệ; việc chấp hành các quy định của pháp luật (Nghị định số 13/2023/NĐ-CP) về bảo vệ dữ liệu cá nhân còn hạn chế, việc xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, thông báo vi phạm về bảo vệ dữ liệu cá nhân vẫn còn nhiều lúng túng, chậm trễ; công tác đào tạo, tập huấn, bồi dưỡng cán bộ, nhân viên về bảo vệ dữ liệu cá nhân chưa được tiến hành, thậm chí nhiều cán bộ, nhân viên còn chưa biết đến các quyền và nghĩa vụ của chủ thể dữ liệu;

Việc thay đổi quy trình làm việc, chính sách hiện hành của tổ chức, doanh nghiệp phù hợp với quy định về bảo vệ dữ liệu cá nhân đã được quan tâm nhưng chưa được triển khai đúng mức; việc cung cấp các giải pháp kỹ thuật bảo vệ dữ liệu cá nhân còn hạn chế, thiếu tiêu chí đánh giá các giải pháp kỹ thuật đáp ứng được yêu cầu bảo vệ dữ liệu cá nhân.

Trong khi đó, pháp luật bảo vệ dữ liệu cá nhân nước ta đã có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân nhưng chưa có quy định về bảo vệ dữ liệu cá nhân.

Về chế tài hình sự, hiện chưa có chế tài hình sự về dữ liệu cá nhân. Vi phạm các quy định về thông tin cá nhân có thể bị xử phạt hình sự theo 02 tội danh tại Điều 159 và Điều 288, với án tù giam cao nhất là 07 năm theo quy định của Bộ Luật Hình sự 2015 (sửa đổi, bổ sung năm 2017). Hầu hết các vụ việc buôn bán dữ liệu cá nhân đang được hoàn thiện theo hướng chứng minh 02 tội danh này. Tuy nhiên, do chưa quy định cụ thể về các yếu tố cấu thành trong hoạt động mua bán dữ liệu cá nhân, nhất là hoạt động có sự trung gian qua nhiều cá nhân, tổ chức nên khó chứng minh tội phạm.

Về chế tài dân sự, hiện chưa có chế tài dân sự về dữ liệu cá nhân. Quyền bảo vệ thông tin cá nhân là một quyền dân sự, được quy định trong Bộ luật Dân sự. Về chế tài hành chính: Chưa có chế tài hành chính về dữ liệu cá nhân. Các hành vi vi phạm, xâm hại đến thông tin cá nhân đã có nhưng nằm rải rác ở nhiều văn bản khác nhau.

Với thực trạng buôn bán, xử lý dữ liệu cá nhân tràn lan như hiện nay, việc không có chế tài xử lý hoặc chế tài xử lý không đủ mạnh, không đủ sức răn đe sẽ không giải quyết được tình hình. Luật Bảo vệ dữ liệu cá nhân sẽ quy phạm đầy đủ các nội dung bảo vệ dữ liệu cá nhân, các hành vi vi phạm quy định sẽ được căn cứ vào Luật để đề xuất các hình thức, biện pháp xử lý phù hợp.

Để hiện thực hóa điều này, Bộ Công an cho biết đang trình Chính phủ xây dựng Luật Bảo vệ dữ liệu cá nhân, dự kiến dự thảo luật này sẽ được trình Quốc hội tại kỳ họp thứ 9 (tháng 5/2025) và thông qua tại kỳ họp thứ 10 (tháng 10/2025).