Nóng bỏng việc mua bán dữ liệu cá nhân

Tháng 4/2023, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân với các quy định cứng rắn nghiêm cấm việc mua bán dữ liệu này dưới mọi hình thức. Đồng thời, nghiêm cấm xử lý dữ liệu cá nhân tạo thông tin chống phá Nhà nước; gây ảnh hưởng tới an ninh quốc gia, trật tự xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc lợi dụng bảo vệ dữ liệu cá nhân để phạm pháp. Thế nhưng, việc thu thập, mua bán dữ liệu cá nhân vẫn diễn ra khá nhiều, gây bức xúc cho tổ chức, doanh nghiệp và cá nhân.

Mới đây, Phòng An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (Công an Hà Tĩnh) khởi tố nhóm đối tượng công khai “Data chất lượng toàn quốc” với gần 1.000 thành viên trên mạng xã hội. Cơ quan điều tra xác định, từ tháng 10/2022 đến tháng 3/2023, nhóm đối tượng này đã thực hiện hành vi lừa đảo chiếm đoạt tiền của nhiều bị hại trên khắp cả nước với số tiền hơn 10 tỷ đồng.

Trước đó, thời gian cuối tháng 8/2023, Phòng An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (Công an TP. Đà Nẵng) cũng  đã triệt phá 2 đường dây gồm 11 đối tượng chuyên mua bán dữ liệu cá nhân, sim rác, tạo tài khoản ngân hàng số lượng lượng lớn. Nhóm này đã đăng ký được hơn 33.000 tài khoản ngân hàng, ví điện tử rồi đem bán kiếm lợi.

Trước đó nữa, Công an TP. Lào Cai vừa triệt phá thành công Chuyên án 122K và bắt giữ đối tượng Ninh Ngọc Khánh về hành vi “Mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng”. Kết quả điều tra ban đầu cho thấy, các đối tượng trong vụ việc đã thu mua tài khoản ngân hàngđể bán cho nhóm đối tượng bên Campuchia, tổng số tiền mà các đối tượng đã lừa đảo chiếm đoạt tài sản trên không gian mạng hơn 81 tỷ đồng…

Số liệu của Bộ Công an báo cáo trước Quốc hội ngày 21/11 cho thấy, tội phạm và vi phạm pháp luật trên không gian mạng tiếp tục tăng cao, nhất là hành vi đánh bạc qua mạng, mua bán, lấy cắp thông tin, dữ liệu cá nhân. Số vụ được phát hiện, xử lý là hơn 1.600 vụ và 478 đối tượng, với tỷ lệ tăng lần lượt là 203,61% và 48,91% so với năm 2022.

“Tình trạng mua bán dữ liệu cá nhân ở Việt Nam rất nghiêm trọng. Trong đó, có 2 yếu tố là tội phạm đột nhập, đánh cắp dữ liệu cá nhân rất lớn. Năm 2023, Bộ Công an đã phải cảnh báo, xử lý hàng chục triệu vụ việc có liên quan đến xâm phạm cơ sở dữ liệu cá nhân. Ý thức của người dân trong việc bảo vệ dữ liệu cá nhân hiện nay cũng chưa cao, có thể sẵn sàng cung cấp các thông tin cá nhân cho người khác, doanh nghiệp khi thực hiện các giao dịch dân sự”, ông Tô Lâm, Bộ trưởng Bộ Công an cho biết.

Phòng chống từ gốc

Lý giải nguyên nhân các vụ rao bán, lộ lọt dữ liệu tại doanh nghiệp, ông Nguyễn Sơn Hải, Giám đốc Công ty An ninh mạng Viettel cho biết, nguyên nhân là do tài khoản quản trị của các hệ thống lưu trữ dữ liệu bị ăn cắp (do quản trị viên đăng nhập hệ thống trên các máy tính nhiễm mã độc đánh cắp thông tin). Sau đó, tin tặc mua bán tài khoản quản trị này và sử dụng truy cập trực tiếp vào hệ thống trích xuất dữ liệu. Bên cạnh đó, một số trường hợp hacker lợi dụng lỗ hổng trên các hệ thống doanh nghiệp, trích xuất dữ liệu trái phép và rao bán dữ liệu với số tiền chuộc khá lớn.

Ông Vũ Ngọc Sơn, Giám đốc kỹ thuật Công ty Công nghệ an ninh mạng quốc gia NCS nhận định, nguyên nhân gây lộ lọt thông tin đầu tiên là do người dùng thiếu cảnh giác như tự chia sẻ thông tin trên mạng xã hội hay tham gia vào các nhóm mua bán. Thứ hai, do các công ty, tổ chức thu thập, xử lý thông tin không đảm bảo an ninh mạng, hacker có thể xâm nhập cơ sở dữ liệu và đánh cắp dữ liệu cá nhân của người dùng. Thứ ba, nhân viên của công ty, tổ chức thu thập và xử lý thông tin lấy trộm dữ liệu bán ra ngoài. Ngoài ra cũng có thể do máy tính, điện thoại của người dùng bị nhiễm mã độc, từ đó mã độc thu thập, lấy cắp thông tin gửi ra ngoài.

Bà Đỗ Hải Anh, Phó trưởng phòng Quy hoạch và Phát triển (Cục An toàn thông tin - Bộ Thông tin và Truyền thông) cho biết, việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ giữa các cá nhân, mà có sự tham gia có tổ chức của các doanh nghiệp. Bên cạnh đó, việc buôn bán thông tin cá nhân, dữ liệu cá nhân được tổ chức có hệ thống, thậm chí có bảo hành và khả năng cập nhật dữ liệu.

Muốn khắc phục tình trạng này, doanh nghiệp cần rà soát, đổi mật khẩu mạnh cho các tài khoản nội bộ bị lộ lọt, rao bán đã được cảnh báo; rà soát nhật ký truy cập các hệ thống có tài khoản lộ lọt; liên tục cập nhật thông tin về các bản vá cho hệ thống để tránh nguy cơ bị tấn công, xâm nhập trái phép. 

Để xử lý hiệu quả vấn đề trên, Bộ Công an cho rằng, giải pháp gốc rễ là hoàn thiện hành lang pháp lý. Hiện nay, để xử lý các tội danh liên quan đến lộ lọt dữ liệu cá nhân, Việt Nam mới chỉ áp dụng Điều 288, Bộ luật Hình sự về tội đưa và sử dụng trái phép thông tin mạng máy tính, mạng viễn thông để xử lý. Vì vậy, Bộ Công an đề xuất bổ sung sửa đổi Bộ luật Hình sự 2015, thêm tội danh làm lộ lọt, mua bán dữ liệu cá nhân để xử lý nghiêm hành vi này. Đồng thời, theo lộ trình của Đề án 06, trong kế hoạch năm 2024, đề xuất xây dựng Luật Bảo vệ dữ liệu cá nhân để trình Quốc hội xin cho ý kiến.