Ngăn chặn mua bán dữ liệu cá nhân: Cần chế tài pháp luật mạnh hơn

Theo thống kê, Việt Nam hiện là một trong những quốc gia có tốc độ phát triển internet cao nhất trên thế giới. Tính đến tháng 1/2021, số lượng người dùng internet trong nước đã vượt con số 68 triệu người, chiếm 2/3 tổng dân số. Tuy nhiên, từ nhiều năm trở lại đây, lộ, lọt thông tin cá nhân luôn là vấn đề nan giải khi tình trạng này ngày càng gia tăng cả về quy mô lẫn độ tinh vi.

Hiện nay, chỉ với vài thao tác tìm kiếm đơn giản trên Google tìm kiếm các từ khóa như “danh sách chứng minh thư”, “dữ liệu khách hàng”, “danh bạ điện thoại doanh nghiệp” … người dùng có thể nhận về hàng chục nghìn kết quả có kết nối đến những website cung cấp những thông tin trên.

Khối dữ liệu về khách hàng cho lĩnh vực bất động sản như thế này được rao bán với giá 500.000 đồng

Nếu như người mua sẵn sàng trả tiền cho dữ liệu mình cần, họ có thể nhận được những file lưu trữ thông tin cực kỳ chi tiết về tập khách hàng mà mình mong muốn. Không chỉ dừng lại ở tên, tuổi, số điện thoại mà còn có cả địa chỉ nhà, tình trạng hôn nhân, con cái … Đặc biệt, có những nguồn dữ liệu người mua chỉ cần trả tiền 1 lần nhưng thông tin sẽ liên tục được cập nhất miễn phí trong vòng từ 1-2 tháng. Tùy mức độ chi tiết, các gói này được rao bán trong khoảng 1 triệu để cả trăm triệu đồng.

Đáng chú ý, tình trạng mua bán này diễn ra rất công khai, không chỉ trên website mà còn tràn lan trên mạng xã hội như Facebook, Zalo … nơi người mua và bán rất dễ dàng tìm đến nhau. Chỉ cần một vài thao tác đơn giản là chuyển tiền qua tài khoản ngân hàng hoặc các ví điện tử là người mua có thể nhận được link dữ liệu mà mình cần để tải xuống tức thì.

Không chỉ dừng lại ở những vụ mua bán dữ liệu có quy mô nhỏ như trên, trong khoảng 2 năm trở lại đây đã xuất hiện những thương vụ lớn với hàng chục nghìn người là nạn nhân cũng giá trị được giao bán lên tới hàng trăm triệu đồng.

Có thể kể đến như vào tháng 5/2021 vừa qua, thông tin về CMND/CCCD của khoảng 10.000 người dân Việt Nam đã bị rao bán công khai trên một diễn đàn tin tặc. Những thông tin này khá chi tiết, từ họ tên, ngày sinh, địa chỉ, số CMND/CCD, email, điện thoại, hình chụp chân dung … Giá của gói thông tin này được chào bán ở mức 9.000 USD tương đương với hơn 200 triệu đồng. Và cách thức thanh toán sẽ thông qua tiền điện tử Bitcoin nhằm che đậy dấu vết của người bán.

Hay cũng trong khoảng thời gian trên, Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao Bộ Công an (A05) đã triệt phá đường dây mua bán trái phép dữ liệu thông tin cá nhân cực lớn liên quan đến nhiều địa phương.

Theo đó, cơ quan Công an xác định được một số đối tượng đã thu thập, chiếm đoạt, mua và sử dụng trái phép gần 1.300 GB dữ liệu, chứa hàng tỉ thông tin về các cá nhân, tổ chức trên toàn quốc. Các dữ liệu này bao gồm thông tin khách hàng điện lực; phụ huynh, học sinh tại các địa phương trên cả nước; người gửi tiền tại các ngân hàng; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng…

Những dữ liệu trên được các đối tượng thu thập từ nhiều nguồn và bằng nhiều phương thức khác nhau, đáng chú ý là lợi dụng quyền quản trị hệ thống thông tin tại một số cơ quan, doanh nghiệp để trích xuất dữ liệu. 

Quá trình điều tra, các đơn vị nghiệp vụ đồng thời đã phát hiện nhiều cá nhân, doanh nghiệp (bảo hiểm, trung tâm ngoại ngữ, bất động sản…) mua dữ liệu với số lượng lớn từ các đối tượng để sử dụng trái phép nhằm thu lợi bất chính. Có dấu hiệu về sự thiếu trách nhiệm, buông lỏng quản lý của một số cơ quan, tổ chức, doanh nghiệp đối với thông tin, dữ liệu cá nhân về khách hàng do mình quản lý. 

Ngoài ra, cơ quan chức năng cũng làm rõ một số đối tượng chiếm đoạt dữ liệu đã lợi dụng quyền quản trị, truy cập hệ thống được cấp để trích xuất dữ liệu trái phép. Sau khi chiếm đoạt, các đối tượng công khai rao bán trong thời gian dài nhưng chủ quản hệ thống không phát hiện, ngăn chặn và trình báo với cơ quan chức năng, cũng như thực hiện trách nhiệm với những khách hàng bị lộ thông tin. Có dấu hiệu một số doanh nghiệp khai thác, sử dụng trái phép dữ liệu khách hàng để cung cấp cho bên thứ ba nhằm thu lợi bất chính.

Nêu quan điểm của cơ quan Nhà nước về vấn đề lộ, lọt thông tin cá nhân người dùng, Phó Cục trưởng A05 Nguyễn Ngọc Cương cho rằng, đây không phải là vấn đề mới mà đã diễn ra rất phổ biến từ nhiều năm trở lại đây. Ngày càng xuất hiện nhiều cá nhân, tổ chức thu thập dữ liệu người dùng cho các mục đích khác nhau nhưng không thông báo cho họ hoặc để xảy ra tình trạng lộ, lọt dữ liệu.

Tình trạng mua bán những dữ liệu trên cũng diễn ra công khai nhưng ngày càng có tính phức tạp cao nhằm lợi dụng sơ hở của pháp luật để kinh doanh. Thậm chí nhiều doanh nghiệp còn cho phép đối tác tiếp cận với nguồn dữ liệu khách hàng của mình mà không có rằng buộc, quy định chặt chẽ, từ đó khiến những thông tin này bị đưa ra bên ngoài.

Không những thế, nhiều doanh nghiệp còn chủ động mua lại thông tin cá nhân của tập khách hàng mà mình quan tâm, bất chấp quy định của pháp luật. Những thông tin này sau khi được xử lý sẽ dùng để doanh nghiệp khai thác, kinh doanh. Do quá trình này mạng lại hiệu quả cao nên thường được doanh nghiệp ưa thích sử dụng.

Việc lộ, lọt thông tin cá nhân như trên không chỉ đơn thuần là ảnh hưởng đến quyền riêng tư, bí mật của mỗi người mà từ đây còn có thể dẫn đến hàng loạt các hành vi phạm pháp khác, điển hình là lừa đảo qua mạng, điện thoại, máy tính … Đại tá Nguyễn Ngọc Cương cảnh báo.

Để hạn chế tình trạng mua bán dữ liệu cá nhân đang diễn ra tràn lan hiện nay, Phó Cục trưởng Nguyễn Ngọc Cương khẳng định, cần phải hoàn thiện quy định của pháp luật về bảo vệ dữ liệu cá nhân. Theo đó hoạt động thu thập dữ liệu cá nhân phải được diễn ra công khai, minh bạch, có sự đồng ý của chủ thể cũng như nằm dưới sự quản lý của Nhà nước.

Vai trò của người dân phải được đảm bảo trong hoạt động thu thập dữ liệu cá nhân. Người dân có quyền được biết, đồng ý, rút lại sự đồng ý, hạn chế, từ chối, yêu cầu giải thích, yêu cầu bồi thường thiệt hại, khiếu nại và tố cáo, chỉnh sửa và truy cập cũng như xem thông tin về dữ liệu cá nhân của mình. Các quyền này cần được quy định cụ thể bằng văn bản pháp luật.

Không những thế, cần hình sự hóa những hành vi vi phạm về bảo vệ dữ liệu cá nhân đang phổ biến hiện nay như: Thiết lập hệ thống thu thập thông tin, dữ liệu cá nhân trên quy mô lớn, trái pháp luật; Xây dựng các phần mềm gián điệp có chức năng thu thập thông tin, dữ liệu cá nhân; Buôn bán dữ liệu cá nhân quy mô lớn; Tiết lộ dữ liệu cá nhân trái pháp luật gây thiệt hại về tính mạng, tài sản …

Ngoài ra, mức xử phạt hành chính với những hành vi dạng trên cũng cần tăng thêm để đủ sức răn đe. Nếu so sánh với quy định chung về bảo vệ dữ liệu do Ủy ban Châu Âu xây dựng đang áp dụng có thể thấy, mức phạt trong luật pháp Việt Nam còn khá nhẹ, trong khi hậu quả từ hành vi xâm phạm quyền riêng tư có thể rất nghiêm trọng, gây tổn hại tới danh dự, nhân phẩm, an toàn và cả tính mạng của không chỉ một mà có thể là nhiều nạn nhân, Đại tá Nguyễn Ngọc Cương chia sẻ.

Nói về vai trò của cơ quan quản lý Nhà nước, Thứ trưởng Bộ TT&TT Phạm Đức Long cho biết, ngay trong năm 2022, cơ quan này sẽ trình Chính phủ và Quốc hội để ban hành các hành lang pháp lý cho vấn đề về dữ liệu. Bộ TT&TT đã định hướng xây dựng và phát triển đồng bộ hạ tầng dữ liệu quốc gia, mục tiêu đưa dữ liệu của người Việt về lưu trữ ở Việt Nam, hình thành hệ thống trung tâm dữ liệu quốc tế, quốc gia, các trung tâm dữ liệu vùng và địa phương kết nối đồng bộ, thống nhất. 

Bên cạnh đó, Bộ TT&TT cũng đang chủ trì xây dựng Luật công nghiệp công nghệ số đề cập đến các vấn đề dữ liệu từ quản lý, khai thác dữ liệu… tạo ra việc chia sẻ, sử dụng dữ liệu được bảo vệ, Thứ trưởng Phạm Đức Long chia sẻ.