Bộ Công an: Nhiều doanh nghiệp để lộ hàng trăm triệu tài khoản của khách hàng

Ngày 1/3, Bộ Công an đã có báo cáo Đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân trong Dự thảo Hồ sơ đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân (DLCN).

Theo Bộ Công an, có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 04 Bộ luật; 39 Luật, 01 Pháp lệnh; 19 Nghị định; 04 Thông tư/Thông tư liên tịch; 01 Quyết định của Bộ trưởng. Tuy nhiên, dù có tới 69 văn bản nhưng tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân.

Ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Tuy nhiên, đây mới chỉ là văn bản Nghị định, chưa phải văn bản Luật nên cần thống nhất thực hiện trong thực tiễn.

Nhiều doanh nghiệp chưa nhận thức được trách nhiệm bảo vệ DLCN

Trong Dự thảo này, Bộ Công an đã nêu ra một số vụ việc điển hình về việc nhiều doanh nghiệp chưa nhận thức được trách nhiệm bảo vệ DLCN của khách hàng. Một số vụ việc phải kể đến như việc Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airline, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng; tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS; dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng.

Ngoài ra, thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh; trường học; thông tin hộ khẩu; thông tin khách hàng thuộc các lĩnh vực bất động sản, siêu thị, mua ô tô, xe máy… Tất cả những DLCN này từng bị để lộ.

Việc mua bán DLCN không diễn ra đơn lẻ

Cũng trong Dự thảo, Bộ Công an cho biết thực trạng dữ liệu cá nhân đang bị mua bán, lộ, mất tràn lan, nhiều hành vi vi phạm pháp luật thiếu quy định xử lý.

Tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.

Tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác.

Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội , diễn đàn tin tặc . Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.

Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp. Một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; tán phát mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng (máy tính và thiết bị di động); tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân.

Từ năm 2019 đến năm 2020, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới gần 1.300GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.