Hoạt động mua bán thông tin cá nhân diễn ra rất sôi động trên không gian mạng. Ảnh: MINH HÀ
Mua bán công khai
Theo Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) thời gian qua, Cục đã phát hiện nhiều đường dây, tổ chức, cá nhân có hoạt động thu thập, mua bán dữ liệu cá nhân trái phép. Hoạt động này diễn ra phổ biến, đặt ra thách thức đối với an ninh dữ liệu quốc gia, uy tín của doanh nghiệp, quyền và lợi ích hợp pháp của người dân... Cục đã phối hợp công an một số đơn vị, địa phương phá đường dây có hoạt động mua bán dữ liệu cá nhân với tính chất, mức độ và số lượng lớn. Trong các vụ việc liên quan đến tiết lộ thông tin cá nhân của khách hàng, có vụ án chiếm đoạt tài sản do Nguyễn Lê Thanh Tú (trú tại quận Phú Nhuận, TP Hồ Chí Minh) cầm đầu được Công an tỉnh Phú Thọ phá án vào tháng 12-2019. Cơ quan công an đã thực hiện biện pháp tố tụng đối với một số người công tác tại một số ngân hàng để điều tra hành vi bán thông tin khách hàng cho nhóm của Tú. Cán bộ ngân hàng được Tú thuê thu thập thông tin về số tài khoản, mẫu chữ ký, mẫu con dấu, sao kê tài khoản của một số công ty rồi mua với giá từ 10 triệu đến 13 triệu đồng/công ty.
Hiện nay, việc mua bán dữ liệu cá nhân trái phép đã và đang gây ra rất nhiều phiền toái cho người dân. Nhiều người tỏ ra bức xúc bởi thường xuyên phải nhận những cuộc gọi điện thoại tư vấn để bán bảo hiểm, bất động sản, chứng khoán... trong khi bản thân không có nhu cầu mua những sản phẩm này. Anh Lê Kim Ngân (quận Cầu Giấy, Hà Nội) cho biết: "Tôi thường xuyên nhận được các cuộc gọi, tin nhắn, thư điện tử chào mời mua hàng, nhiều khi cảm thấy rất phiền phức, nhất là những lúc bận rộn hoặc đang lái xe. Không hiểu vì sao nhân viên tư vấn tỏ ra biết rất rõ các thông tin cá nhân của tôi, thậm chí nói vanh vách công ty tôi đang làm việc, địa chỉ nơi cư trú... Điều này khiến tôi rất hoang mang và lo lắng, khi thông tin cá nhân, gia đình bị tiết lộ một cách cố ý".
Việc mua bán dữ liệu cá nhân đã và đang gây nên những hệ lụy cho xã hội, đời sống người dân, nhưng hoạt động này vẫn đang diễn ra rất công khai. Không ít người cho biết, họ từng nhận được các cuộc điện thoại rao bán data (dữ liệu) của hàng trăm, hàng nghìn khách hàng, nhất là những người có nhiều tiền, đời sống khá giả. Trên không gian mạng, hoạt động mua bán thông tin cá nhân cũng diễn ra rất sôi động. Trên các trang web có tên "Datakhachhang", "Danhsachkhachhang..." , những dòng quảng cáo như: "Đến với chúng tôi bạn sẽ sở hữu gói data khách có tổng thu nhập cao...", "Chuyên cung cấp chính xác, đầy đủ khách hàng các ngành, nghề..." xuất hiện ngay trên trang chủ. Trong vai một người làm nghề marketing muốn tìm danh sách khách hàng trong lĩnh vực chứng khoán, phóng viên gọi điện đến số điện thoại trên một website bán thông tin cá nhân thì được cho biết, trang web này có thể cung cấp dữ liệu cá nhân của khách hàng trên mọi miền đất nước. Dữ liệu cũng được lọc kỹ, muốn mua khách hàng tiềm năng ở ngành nghề nào thì sẽ có ngay ngành nghề đó. Thông tin được bán sẽ bao gồm số điện thoại, thư điện tử, nghề nghiệp, mức thu nhập... của khách hàng. Bỏ ra từ 500 nghìn đến một triệu đồng là có trong tay thông tin của 1.000 khách hàng tiềm năng. "Nếu anh cần, chúng em còn có cả danh sách khách hàng gửi tiết kiệm của một số ngân hàng. Đây là những dữ liệu không phải ai cũng có được", đầu dây bên kia quảng cáo.
Cần nhiều giải pháp
Theo một số chuyên gia an toàn thông tin, việc bán dữ liệu cá nhân trái phép trên mạng hiện nay được thực hiện theo các hình thức chính: Nhân viên quản trị hệ thống cơ sở dữ liệu thu thập trái phép dữ liệu trong hệ thống sau đó bán ra ngoài; các doanh nghiệp chủ động thu thập dữ liệu cá nhân của khách hàng phục vụ kinh doanh, nhưng không thực hiện biện pháp bảo vệ tương xứng, dẫn tới bị lộ, bị chiếm đoạt hoặc nhân viên quản trị hệ thống thu thập rồi bán ra ngoài... Với các đối tượng khi chiếm đoạt được dữ liệu thì công khai quảng cáo, tìm kiếm người mua thông qua các trang mạng xã hội, hoặc các diễn đàn mua bán dữ liệu cá nhân. Việc giao dịch có thể thực hiện bằng chuyển tiền qua hệ thống ngân hàng, cá biệt có những đối tượng giao dịch qua hệ thống tiền mã hóa (như bitcoin) để che giấu hành vi phạm tội.
Thời gian qua, dù cơ quan chức năng phát hiện và xử lý nhiều vụ việc, tuy nhiên, tình trạng này vẫn diễn ra bởi văn bản pháp luật quy định về bảo vệ dữ liệu cá nhân chưa đầy đủ; các trường hợp mua bán dữ liệu cá nhân thực hiện với phương thức, thủ đoạn tinh vi, áp dụng nhiều tiến bộ của khoa học - công nghệ; nhận thức, ý thức về bảo vệ dữ liệu cá nhân của người dân chưa cao. Có sự mất cân bằng trong sự nhận thức giữa tính hai mặt của công nghệ thông tin, tâm lý sẵn sàng đánh đổi thông tin đời tư, dữ liệu cá nhân để lấy sự tiện ích về mặt công nghệ. Nhận thức của một số cán bộ quản lý nhà nước chưa đầy đủ, dẫn đến việc chỉ đạo, hướng dẫn, thực hiện bảo vệ dữ liệu cá nhân chưa được quan tâm đúng mức...
Một cán bộ của Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao cho biết, để hạn chế tình trạng mua bán dữ liệu cá nhân trái phép, việc nâng cao nhận thức về bảo vệ dữ liệu cá nhân cho người dân là rất quan trọng. Theo đó, người dân không chia sẻ thông tin cá nhân chi tiết trên các phương tiện công cộng, trang mạng, mạng xã hội...; không mở các thư điện tử, tập tin đính kèm, liên kết không rõ nguồn gốc để tránh nguy cơ lây nhiễm mã độc có tính năng đánh cắp thông tin cá nhân; khi mở các liên kết mà yêu cầu cung cấp thông tin nhạy cảm như tài khoản đăng nhập, mật khẩu, mã xác thực, đặc biệt liên quan đến tài khoản ngân hàng... cần xem kỹ tên miền, đồng thời xác nhận lại với bên gửi; đề phòng các cuộc gọi giả mạo công an, các đơn vị, tổ chức yêu cầu cung cấp thông tin cá nhân, chuyển tiền...; thường xuyên cập nhật bản vá lỗ hổng bảo mật cho máy tính, điện thoại; không sử dụng các phần mềm, ứng dụng bẻ khóa, hoặc không còn được hỗ trợ kỹ thuật.
Hiện nay, Bộ Công an đang tổ chức lấy ý kiến nhân dân về dự thảo nghị định quy định về bảo vệ dữ liệu cá nhân. Theo dự thảo, dữ liệu cá nhân được chia làm hai loại. Loại dữ liệu cơ bản gồm họ và tên khai sinh; ngày, tháng, năm sinh; nhóm máu; giới tính; số điện thoại; nơi sinh; nơi thường trú; số chứng minh nhân dân, căn cước; số giấy phép lái xe; mã số thuế cá nhân, tình trạng hôn nhân... Loại dữ liệu cá nhân nhạy cảm gồm quan điểm chính trị, tôn giáo, tình trạng sức khỏe, dữ liệu về di truyền, tình trạng giới tính, xu hướng tình dục... Trong dự thảo, Bộ Công an đề xuất xử phạt từ 50 đến 80 triệu đồng với trường hợp cá nhân, tổ chức tiết lộ, chia sẻ các dữ liệu cá nhân trái phép, chưa được sự đồng ý của cá nhân, gây tổn hại đến nhân phẩm danh dự của người bị tiết lộ. Với các hành vi chuyển dữ liệu cá nhân trái phép qua biên giới, vi phạm đăng ký xử lý dữ liệu cá nhân nhạy cảm, Bộ đề xuất áp dụng mức phạt từ 80 đến 100 triệu đồng.
"Các thông tin cá nhân có thể bị một số đối tượng sử dụng vào việc lừa đảo, lừa vay tín dụng,... Vấn đề này ảnh hưởng trực tiếp đến tài sản, danh dự hoặc các vấn đề pháp lý khác có thể nảy sinh. Hiện nay đang tồn tại những lỗ hổng khiến nhiều dữ liệu cá nhân của khách hàng bị tiết lộ. Vì vậy, rất cần có luật, nghị định, tạo hành lang pháp lý xử lý các hành vi tiết lộ, chia sẻ các dữ liệu cá nhân trái phép. Người bán bị xử phạt đã đành, cũng cần xử lý cả người mua, bởi họ sẽ dùng những dữ liệu mình mua được để thu lợi".
Luật sư PHẠM VIỆT HƯNG Trưởng Văn phòng luật sư Thiên Hưng và Cộng sự
"Để ngăn ngừa các hoạt động mua bán trái phép thông tin cá nhân, các cơ quan chức năng cần tăng cường quản lý các hệ thống, công ty có sử dụng, thu thập thông tin cá nhân của người dân, thêm các quy định về bảo mật; các hệ thống vận hành cần được kiểm tra về khả năng bảo đảm an toàn thông tin, được các cơ quan chức năng chứng nhận. Đối với các hệ thống doanh nghiệp lớn như Facebook, Gmail... thì cần buộc họ lưu trữ thông tin ở Việt Nam...".
HÀ VĂN CƯỜNG (Chuyên gia an toàn thông tin)
.jpg "Chìa khóa giải quyết thách thức trong bảo vệ trẻ em trên không gian mạng")
