Những vụ lộ lọt và mua bán dữ liệu cá nhân ở Việt Nam

Thời gian vừa qua, thực trạng lộ, lọt thông tin, dữ liệu cá nhân đang là vấn đề đáng báo động không chỉ trên thế giới mà cả ở Việt Nam. Việc để lộ thông tin cá nhân không chỉ xuất phát từ nguyên nhân chủ quan đến từ việc quản lý của người dân mà cón xuất phát từ các đối tượng mua bán, lấy cắp thông tin cá nhân của người dân. Rất nhiều vụ việc mua bán dữ liệu cá nhân, lộ lọt thông tin đã được đưa ra ánh sáng.

Tháng 5/2021, Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao Bộ Công an (A05) thông tin về kết quả đấu tranh với nhóm đối tượng có hoạt động mua bán, sử dụng, trái phép dữ liệu cá nhân.

Theo đó các gói dữ liệu bị rao bán công khai thông qua nhiều trang web, tài khoản, trang, nhóm trên mạng xã hội Facebook, Zalo, Telegram, diễn đàn tin tặc (raidforums.com…) chứa thông tin rất chi tiết về các cá nhân, tổ chức, doanh nghiệp. Các thông tin cá nhân gồm họ tên, ngày sinh, số chứng minh nhân dân, địa chỉ, số điện thoại, thông tin tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác…

Ngoài ra, cơ quan điều tra cũng phát hiện nhiều cá nhân, doanh nghiệp (bảo hiểm, trung tâm ngoại ngữ, bất động sản…) mua dữ liệu với số lượng lớn từ các đối tượng để sử dụng trái phép nhằm thu lợi bất chính. Có dấu hiệu về sự thiếu trách nhiệm, buông lỏng quản lý của một số cơ quan, tổ chức, doanh nghiệp đối với thông tin, dữ liệu cá nhân về khách hàng do mình quản lý.

Ngày 23/82022, TAND TP Hà Nội đã tiến hành xét xử bị cáo Dư Anh Quý (SN 1988, ở xã Đông Hội, huyện Đông Anh) và Lại Thị Phương (SN 1992, vợ Qúy). Cả 2 bị xét xử về tội Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn theo theo quy định tại Điều 288 Bộ luật Hình sự.

Được biết, Quý là nhân viên hợp đồng làm lập trình viên phòng giải pháp quản lý kinh doanh điện (nay là Trung tâm phát triển phần mềm) của Công ty Viễn thông điện lực và công nghệ thông tin thuộc Tập đoàn Điện lực Việt Nam – EVN.

Trong quá trình làm việc tại đây, do tính chất công việc nên Quý thường xuyên được tiếp cận với kho dữ liệu chứa các thông tin cá nhân của khách hàng của công ty điện lực ở các địa phương.

Mặc dù đã có quy định rõ ràng từ EVN, bất cứ cá nhân, tổ chức nào cũng không được xâm nhập, lấy cắp, sao chép, trích xuất, trao đổi, mua bán dữ liệu là các thông tin khách hàng mà không được sự đồng ý của tập đoàn.

Tuy nhiên, tháng 7/2017, vợ chồng Quý đã thành lập Công ty giải pháp năng lượng VinitTech, do Phương đứng tên giám đốc. Công ty này chuyên viết phần mềm theo đơn đặt hàng của các khách hàng trong lĩnh vực công nghẹ thông tin.

Trong quá trình làm việc, Quý biết có người muốn mua dữ liệu thông tin khách hàng của EVN nên đã tự ý sao chép dữ liệu thông tin cá nhân được lưu trữ của EVN và lưu giữ tại ổ cứng cá nhân.

Theo kết quả điều tra, từ ngày 13/12/2018 đến ngày 24/11/2018, vợ chồng Qúy đã bán dữ liệu cho hơn 100 khách hàng. Với số dữ liệu trên, vợ chồng Quý đã thu lợi bất chính hơn 279,2 triệu đồng.

Mới nhất là vụ 30.000 dữ liệu cá nhân là giáo viên hiện công tác tại nhiều cơ sở giáo dục khác nhau, từ các trường tiểu học, THCS và có cả các trường THPT tại các tỉnh thành, địa phương trên cả nước đang bị chia sẻ và rao bán trên mạng. Hoạt động rao bán này diễn ra trên một diễn đàn ngầm của giới hacker, noi đây các hacker thực hiện những phi vụ giao dịch dữ liệu mà chúng lấy cắp được. Theo đó, dữ liệu này thuộc về một website trường học phổ biến tại Việt Nam và mới thu thập được từ 7/2022.

Bên cạnh đó, một số vụ việc khác như Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng, Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng...

Đối với vấn đề này, Bộ Trưởng Bộ Công an - Tô Lâm cho biết, tình trạng lộ, lọt thông tin cá nhân hiện nay đáng báo động, trong khi hành lang pháp lý chưa hoàn chỉnh, ý thức người dân chưa cao. Việc bảo vệ dữ liệu cá nhân được Bộ Công an đang tích cực thực hiện. Tình trạng lộ, lọt thông tin cá nhân hiện nay "đáng báo động", trong khi hành lang pháp lý chưa hoàn chỉnh, ý thức người dân chưa cao.

Theo ông Lâm, Bộ đang xây dựng hành lang pháp lý bảo vệ dữ liệu cá nhân nhưng gặp nhiều khó khăn. Bộ đã trình Chính phủ dự thảo nghị quyết về bảo vệ dữ liệu cá nhân, sắp tới ban hành. Dự kiến năm 2024, Bộ sẽ nghiên cứu, tham mưu Chính phủ trình Quốc hội ban hành Luật Bảo vệ dữ liệu cá nhân. Trên thế giới, nhiều nước có bộ luật tương tự.

Về giải pháp, Bộ trưởng Công an cho biết sẽ đẩy mạnh tuyên truyền, nâng cao nhận thức của người dân khi tham gia môi trường mạng; tích cực điều tra, xử lý trường hợp làm lộ, lọt, mua bán dữ liệu cá nhân. "Chúng tôi đang điều tra vụ đối tượng rao bán 30 triệu dữ liệu cá nhân", ông Tô Lâm thông tin.

Về cơ sở dữ liệu quốc gia dân cư, ông Lâm nói đây là tài nguyên của quốc gia, phải được bảo đảm và quản lý rất nghiêm ngặt. Bộ Công an sẽ thực hiện đúng điều kiện đảm bảo an ninh, an toàn mức độ 4 quốc gia; thực hiện nghiêm việc thu thập dữ liệu, phân cấp, phân quyền từ trung ương đến địa phương. Bộ cũng thường xuyên giám sát kỹ thuật chuyên biệt 24/24h để phòng chống tấn công, đánh cắp dữ liệu hàng ngày, đối phó với hàng nghìn cuộc tấn công dữ liệu quốc gia về dân cư. "Nguy cơ là rất lớn, nhiều cuộc tấn công từ nước ngoài", ông cho hay.

Trước thực trạng đó, ngày 17/4, Chính phủ ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân; trong đó, nêu rõ biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân.

Theo đó, các biện pháp bảo vệ dữ liệu cá nhân bao gồm: Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; biện pháp do cơ quan quản lý Nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; biện pháp điều tra, tố tụng do cơ quan Nhà nước có thẩm quyền thực hiện; các biện pháp khác theo quy định của pháp luật.