Cấm mua bán dữ liệu cá nhân, chặn lừa đảo.
(TN) – Dự án luật Bảo vệ dữ liệu cá nhân đang chờ Quốc hội xem xét để thông qua, trong đó có quy định cấm mua bán dữ liệu cá nhân.
Lọt lộ thông tin cá nhân, nguồn của lừa đảo nở rộ
Dự án luật Bảo vệ dữ liệu cá nhân (DLCN) liệt kê một số hành vi bị nghiêm cấm, bao gồm xử lý DLCN trái luật; lợi dụng bảo vệ dữ liệu để vi phạm pháp luật; thu thập, xử lý, chuyển giao dữ liệu trái quy định; mua, bán DLCN… Thực tế, Bộ Công an đã phát hiện, đấu tranh, xử lý một số đường dây chiếm đoạt, mua bán DLCN quy mô lớn tại VN lên tới hàng nghìn GB dữ liệu, trong đó có nhiều DLCN nội bộ, nhạy cảm. Đơn cử năm 2024, vụ tấn công mã hóa dữ liệu kết hợp đánh cắp thông tin cá nhân lên đến 10 terabyte, gây tổng thiệt hại ước tính đến 11 triệu USD; 14,5 triệu tài khoản ở VN bị rò rỉ, chiếm 12% toàn cầu.
Tình trạng mua bán dữ liệu cá nhân trên mạng vẫn diễn ra công khai
ẢNH: NGỌC DƯƠNG – ĐÔNG XUÂN
Luật sư Trương Thanh Đức, Giám đốc Công ty Luật ANVI, cho rằng DLCN được xem là “nguồn” của việc lừa đảo nở rộ thời gian qua nên cần phải cấm và xử lý mạnh tay. Trước đây Chính phủ đã có Nghị định số 13/2023 quy định “DLCN không được mua, bán dưới mọi hình thức”, nhưng việc mua bán vẫn diễn ra công khai, tràn lan trên mạng internet, các mạng xã hội. Giờ đưa vào luật chính thức sẽ mang lại hành lang pháp lý cao hơn, tạo điều kiện để xử lý mạnh mẽ hơn các hành vi vi phạm. Tuy nhiên, để hạn chế được tình trạng mua bán dữ liệu tràn lan, ngoài quy định trong luật thì cơ chế quản lý, giám sát, phát hiện như thế nào? Song song đó, việc phát hiện và xử lý cần kịp thời, nhanh chóng. Đồng thời cũng phải xem xét có quy định quản lý chặt các nguồn có thể thu thập dữ liệu như mạng xã hội, các đơn vị định danh thông tin như ngân hàng (NH)…
“DLCN bị mua bán, trao đổi, phát tán công khai là rất nguy hiểm, không chỉ liên quan đến lừa đảo mà có thể tiềm ẩn nguy cơ khủng bố, đe dọa đến tính mạng con người nên phải bị cấm trong luật. Nhưng khi đã có luật thì việc thực thi như thế nào để đạt hiệu quả là một quá trình. Các cơ quan nhà nước phải giám sát, xử lý kịp thời cũng như có cơ chế đơn giản để người dân phản ánh khi phát hiện hành vi liên quan. Tương tự như việc phát hiện, bị lừa đảo thì phản ánh qua tổng đài hiện nay nhưng không biết xử lý thế nào khiến người phản ánh bị nản lòng. Trong việc bảo vệ DLCN thì cơ chế giám sát, xử lý càng quan trọng để tạo lòng tin cho người dân cùng phối hợp”, Luật sư Trương Thanh Đức đặt vấn đề.
Đồng quan điểm, ông Nguyễn Văn Thứ, Tổng giám đốc An ninh mạng, Tập đoàn Bkav, cho rằng việc cấm mua bán DLCN được quy định trong luật cùng với các hình thức chế tài, xử phạt là cơ sở pháp lý cao nhất để VN ngăn chặn các hành vi trục lợi, lừa đảo. Nhưng thực trạng vẫn còn nhiều người chưa xem DLCN là tài sản quan trọng như các tài sản vật chất khác, như nhà cửa, đất đai… Nhiều cá nhân bị lừa đảo nhưng không nghĩ là do thông tin của mình bị lọt ra ngoài, bị chia sẻ phát tán khắp nơi. Vì vậy vẫn cần các cơ quan quản lý thường xuyên tuyên truyền, nâng cao nhận thức của người dân lẫn doanh nghiệp (DN) trong việc bảo vệ DLCN. Khi mọi người đều có ý thức bảo vệ thì sẽ góp phần hạn chế được tình trạng chia sẻ thông tin công khai trên mạng cũng như kịp thời phát hiện các hành vi đánh cắp, mua bán DLCN để báo cáo cơ quan quản lý nhà nước xử lý kịp thời.
Cần nghiêm cấm và có kiểm tra giám sát chặt chẽ việc mua bán dữ liệu cá nhân
ẢNH: ĐÀO NGỌC THẠCH
Có ảnh hưởng đến khai thác hiệu quả dữ liệu cá nhân?
Thực tế hiện nay, các DN ở nhiều lĩnh vực đang khai thác cơ sở dữ liệu khi áp dụng các công nghệ mới như trí tuệ nhân tạo (AI), dữ liệu lớn (BigData)… để nâng cao trải nghiệm của người dùng. Vì thế, nhiều ý kiến lo ngại việc cấm mua bán DLCN có thể làm hạn chế hoạt động khai thác nguồn DLCN.
Ông Nguyễn Văn Thứ chia sẻ mục đích sử dụng DLCN như thế nào có thể kiểm soát được và sẽ phân biệt với hành vi trục lợi, lừa đảo. Ví dụ, các NH có thể sử dụng danh sách khách hàng sẵn có để giới thiệu, quảng bá các dịch vụ của mình hay gia tăng thêm tiện ích thì không phải là hành vi bị cấm; nhưng nếu trao đổi, mua bán danh sách khách hàng thì vi phạm quy định và cần phải bị xử lý. Hay trong các hoạt động yêu cầu xác thực thông tin người dùng như số điện thoại, tài khoản NH có liên kết với cơ sở dữ liệu quốc gia thì sẽ kiểm soát được thông tin này. Bên cạnh đó, các quy định về việc thu thập thông tin, quản lý và bảo vệ thông tin khách hàng của DN cũng đã được công bố. Thậm chí DN vẫn được đăng ký hoạt động trong việc khai thác, thăm dò thị trường và sử dụng nguồn DLCN từ các cơ quan nhà nước…
“Các DN vẫn được phép khai thác, sử dụng DLCN khách hàng đã thu thập. Thực tế việc phát tán, đánh cắp dữ liệu khách hàng trong các công ty, DN ra bên ngoài chủ yếu do một số cá nhân thực hiện. Nếu các DN nâng cao hơn quy trình quản lý, phân chia quyền tiếp cận dữ liệu khách hàng thì sẽ giảm bớt việc lộ, lọt thông tin; từ đó vẫn khai thác được cơ sở DLCN mà không bị vi phạm các quy định liên quan của nhà nước”, ông Thứ cho hay.
Cần nghiêm cấm và có kiểm tra giám sát chặt chẽ việc mua bán dữ liệu cá nhân
ẢNH: ĐÀO NGỌC THẠCH
Chuyên gia an ninh mạng Ngô Minh Hiếu nhấn mạnh việc cấm mua bán DLCN là hoàn toàn đúng và trên thế giới đa số cũng thực hiện trong các luật liên quan. Việc này không làm hạn chế hoạt động khai thác, sử dụng DLCN cho các mục đích kinh doanh lành mạnh như quảng cáo, ứng dụng… Các DN đều có thể sử dụng DLCN khách hàng hiện có của mình để gia tăng giá trị dịch vụ, kết nối khách hàng. Nhưng quan trọng nhất là việc khai thác phải đảm bảo tính bảo mật, lưu trữ thông tin tại máy chủ ở VN và có mã hóa các thông tin nhạy cảm như danh tính khách hàng, tình trạng tài chính… Thậm chí, sắp tới nhà nước sẽ tiến đến cung cấp chia sẻ dữ liệu người dân trong một số lĩnh vực và khi đó việc cấp phép, chia sẻ theo quy định như quyền truy cập, khai thác tới đâu…
Ông Hiếu khẳng định: Việc mua bán DLCN hay trao đổi thông tin cá nhân cho bên thứ ba là hoàn toàn bị cấm. Điều này khác với việc DN có thể khai thác nguồn dữ liệu nội bộ của mình cho các dịch vụ, sản phẩm. Những quy định khai thác, sử dụng thông tin cá nhân cũng đã được quy định rõ tại Nghị định số 13/2023 của Chính phủ và thời gian qua các DN cũng nắm rõ và không có vấn đề gì.
Lộ thông tin do “nội gián” chiếm đa số
Trong khi việc mua bán DLCN đang được bàn thảo tại Quốc hội thì trên thị trường, việc mua bán vẫn công khai. Cách đây mấy ngày, anh T.M.K, ngụ Q.Bình Thạnh (TP.HCM), ra NH để mở thẻ tín dụng. Ngay sau đó, anh K. liên tục nhận được các cuộc điện thoại của nhiều NH khác gọi tới chào mời cho vay. “Tại sao thông tin cá nhân của tôi và nhu cầu tín dụng cá nhân của tôi lại được nhiều NH khác biết? Chắc chắn ở đây có sự liên kết hoặc rò rỉ thông tin của khách hàng”, anh K. thắc mắc.
Anh Phạm Tuấn Đức, trưởng phòng kinh doanh một công ty phụ kiện ô tô, ngụ tại TP.Thủ Đức (TP.HCM), cũng có chung bức xúc: “Tôi có đăng ký tài khoản ở một công ty chứng khoán để tham gia đầu tư thêm. Từ đó tôi thường xuyên nhận được những cuộc gọi chào mời chứng khoán của các số điện thoại lạ, trong đó có những sàn tiền ảo ở nước ngoài. Như vậy vấn đề bảo mật thông tin của các DN đang có những lỗ hổng để tin tặc hoặc nhân viên nội bộ truyền ra ngoài”.
PV Thanh Niên đã tìm hiểu và ghi nhận nhiều trang mạng xã hội mua bán data khách hàng hết sức công khai. Những giao dịch data có giá chỉ vài trăm ngàn đồng, nhưng thiệt hại đối với những nạn nhân khi bị lộ thông tin là rất nghiêm trọng.
Với từ khóa “data khách hàng”, chúng tôi dễ dàng tìm thấy hàng chục nhóm mua bán thông tin khách hàng. Đơn cử, một người đăng tin cần mua data khách hàng có nhu cầu vay tiêu dùng, mua nhà, bất động sản, mua xe tại Lâm Đồng, lập tức có 5 – 6 người chào bán, cam kết đáp ứng đúng yêu cầu. Tiếp cận một nhân vật tên T.V.N đang rao bán tập tin data khách hàng, PV được chào mời: “Mình thanh lý tất tần tật chỉ 200.000 đồng với gần 700.000 số, trong files hiển thị đầy đủ thông tin khách hàng như họ tên, địa chỉ, số điện thoại, email… bao gồm nhiều ngành nghề và lĩnh vực khác nhau như: mua vàng, mua xe, NH, điện máy, bất động sản, DN, quan chức, Việt kiều, xe sang… Bảo đảm data chuẩn, tiềm năng…”. Khi chúng tôi nhắn tin yêu cầu gửi một vài thông tin trước để kiểm tra, người bán lập tức gửi danh sách hàng trăm khách hàng để “test thoải mái”.
Tương tự, liên hệ với một tài khoản khác tên L.P qua ứng dụng Telegram, chúng tôi được gửi một danh sách khách hàng VIP chứng khoán đầy đủ email và năm sinh, số điện thoại để “kiểm tra” trước khi thanh toán. PV gọi ngẫu nhiên số điện thoại 090922xxxx trong danh sách và quả nhiên người có tên N.T.Q.N bắt máy, thừa nhận đúng tên tuổi nhưng không hề biết thông tin cá nhân của mình đang bị rao bán trên mạng.
Một cán bộ điều tra từng tham gia triệt phá vụ mua bán DLCN tại TP.HCM cho biết: Nhu cầu mua bán DLCN ngày càng nở rộ và hình thành nên chợ mạng để mua bán trao đổi. Các đối tượng thực hiện hoạt động trên các trang, nhóm mạng kín với hàng chục nghìn đến hàng vạn thành viên. Việc mua, bán DLCN như: CCCD, địa chỉ, số điện thoại, vị trí công tác, nơi làm việc, nơi ở… được các đối tượng thực hiện với tần suất, số lượng càng gia tăng. Đây chính là nguyên nhân mà mỗi người dùng điện thoại, mạng xã hội liên tiếp nhận các cuộc gọi, tin nhắn… của người lạ. Thậm chí, có cả data của cán bộ, công chức nhà nước. Những dữ liệu này bị rò rỉ do hacker xâm nhập và đánh cắp, nhưng cũng có nhiều trường hợp do chính nội bộ DN lén lút đưa ra.
Bà Đào Thu Thảo, Giám đốc điều hành Công ty Weed Vina, chuyên cung cấp giải pháp bảo mật DN, chia sẻ: Số vụ tấn công, đánh cắp dữ liệu từ nhân viên nội bộ trên thế giới đã tăng rất nhanh trong 5 năm qua, khi người dân đã quen với công nghệ và chuyển đổi số thì những rủi ro lộ thông tin, DLCN từ nguyên nhân “nội gián” cũng tăng lên, trở thành vấn nạn trên toàn cầu. Tại VN cũng đã có nhiều trường hợp rò rỉ, lộ lọt thông tin từ nội bộ. Như vậy, có nhiều nguyên nhân dẫn đến lộ lọt thông tin, nhưng xuất phát từ nội bộ đang chiếm tỷ lệ khá lớn. Các quy định pháp luật hiện nay cũng đã thể hiện nỗ lực tăng cường bảo vệ dữ liệu của Chính phủ. Tuy nhiên, các DN vẫn chưa thực sự đầu tư và quyết tâm bảo vệ dữ liệu khách hàng, nhiều biện pháp chỉ mang tính hình thức. Phía cơ quan quản lý cũng chưa có tổ chức giám sát để kiểm soát nghiêm túc việc thực thi của DN. Vì vậy, cần phải có cơ quan chuyên trách bảo vệ dữ liệu cấp quốc gia.
Chia sẻ tại phiên thảo luận ở hội trường về dự án luật Bảo vệ DLCN sáng 24.5, đại tướng Lương Tam Quang, Bộ trưởng Bộ Công an, cho biết DLCN với đặc tính gắn liền với con người, gắn liền với quyền con người, quyền nhân thân, quyền riêng tư. Do vậy, không thể coi đây là hàng hóa, tài sản thông thường, mà đây là loại tài nguyên đặc biệt, yêu cầu khai thác, sử dụng phải đi đôi bảo vệ ở mức cao nhất. Nếu không quy định việc cấm mua bán DLCN như hàng hóa thông thường và có chế tài xử lý nghiêm minh thì thực tiễn sẽ phát sinh rất nhiều phương thức, thủ đoạn để hình thành “chợ đen” về DLCN, gây hậu quả thiệt hại rất lớn và bất an cho người dân.
Hoàn toàn có thể thực hiện cấm mua bán DLCN
Khi khung pháp lý được hoàn thiện và thực thi nghiêm việc kiểm soát thì sẽ hạn chế được tình trạng mua bán DLCN đang diễn ra công khai hiện nay. Để làm được điều này cần tăng cường năng lực an ninh mạng, đầu tư vào hạ tầng an ninh mạng và đào tạo nhân sự chuyên trách để nâng cao khả năng phòng ngừa và ứng phó các cuộc tấn công mạng, cũng như đủ nhân sự để ngăn chặn các hành vi vi phạm của các đối tượng xấu. Ngoài ra, nâng cao nhận thức của người dân về tầm quan trọng của việc bảo vệ DLCN và cách thức phòng tránh rủi ro; tham gia các hiệp định và tổ chức quốc tế về bảo vệ dữ liệu để học hỏi kinh nghiệm và phối hợp trong việc xử lý các vụ việc xuyên biên giới. Bên cạnh đó cần phối hợp chặt chẽ với các nền tảng như Facebook… để gỡ bỏ và triệt phá những hội nhóm mua bán thông tin dữ liệu.
Chuyên gia an ninh mạng Ngô Minh Hiếu
Mai Phương – Quang Thuần
—————
Thanh niên (Kinh tế) 27-5-2025:
https://thanhnien.vn/cam-mua-ban-du-lieu-ca-nhan-chan-lua-dao-185250527000732461.htm
(331/2.650)