Trục lợi lớn từ bán dữ liệu trái phép

Bộ Công an đang điều tra đối tượng rao bán 30 triệu thông tin cá nhân được cho là từ Bộ Giáo dục và Đào tạo. Trước đó, cuối tháng 7/2022, trên một diễn đàn tin tặc rao bán danh sách khoảng 30 triệu người Việt Nam với giá 3.500 USD. Người bán cho biết, đây là dữ liệu được khai thác từ một trang web phổ biến về giao dịch. Thông tin bao gồm tên người dùng, địa chỉ email, số điện thoại, điểm số, trường học, quận/huyện, tỉnh/thành phố, ngày khởi tạo...

Đến đầu tháng 8/2022, lại xuất hiện thông tin rao bán dữ liệu của 100.000 tài khoản cá nhân, bao gồm họ tên, ngày sinh, số điện thoại, địa chỉ nhà riêng, số thẻ ngân hàng… trên một diễn đàn.

Trước đó, Công an tỉnh Thừa Thiên Huế đã triệt phá một đường dây mua bán dữ liệu cá nhân trái phép quy mô lớn. Theo đó, từ tháng 8/2020 đến đầu năm 2022, nhóm đối tượng do Lê Đất (trú ở Thừa Thiên Huế) cầm đầu đã thu thập, mua bán hàng chục thông tin dữ liệu cá nhân trên cả nước với tổng số tiền giao dịch hơn 3 tỷ đồng, số tiền thu lợi bất chính từ hoạt động mua bán dữ liệu thông tin cá nhân là trên 2,3 tỷ đồng.

Bộ Công an cho biết, trong 2 năm qua, số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới gần 1.300 GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm như thông tin về các cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ của một số đơn vị, ngân hàng; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán…

“Tình trạng mua bán dữ liệu cá nhân đang là vấn đề nhức nhối, diễn ra phổ biến, công khai, với dữ liệu thô và dữ liệu cá nhân đã qua xử lý. Xuất hiện một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân…”, ông Tô Lâm, Bộ trưởng Bộ Công an cho biết.

Theo Bộ Thông tin và Truyền thông, năm 2022, đã có 11 đoàn liên ngành kiểm tra dữ liệu cá nhân, chuyển 2 vụ việc sang Bộ Công an để xử lý hình sự. Bộ đang đề xuất Thủ tướng Chính phủ lấy năm 2023 là năm dữ liệu số Việt Nam để nâng cao nhận thức, bảo vệ dữ liệu cá nhân.

“Dữ liệu cá nhân là tài sản cá nhân được nhắc đến trong Luật An toàn thông tin, mỗi người cần ý thức rõ và bảo vệ quyền lợi của mình. Nhưng ý thức bảo vệ của người dân cho cao, ví như khi đến cửa hàng kính để đo kính, họ hỏi số điện thoại thì cũng đưa. Về nguyên tắc, doanh nghiệp thu thập thông tin cá nhân cần thực hiện đúng pháp luật, cụ thể là cần có hợp đồng quy định rõ mục đích, cách thức sử dụng thông tin này”, Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng cho hay.

Cần hành lang pháp lý và chế tài đủ mạnh

Theo Bộ trưởng Tô Lâm, Bộ Công an đang trình Chính phủ Dự thảo Nghị định về bảo vệ dữ liệu cá nhân. Sắp tới, Bộ sẽ tham mưu Chính phủ trình Quốc hội Luật Bảo vệ dữ liệu cá nhân. Các giải pháp tiếp theo bao gồm tăng cường tuyên truyền nâng cao nhận thức của người dân khi tham gia môi trường mạng; điều tra xử lý nghiêm các đối tượng có hành vi làm lộ lọt, rao bán dữ liệu cá nhân.

Bên cạnh đó, các bộ, ngành, địa phương cần chủ động đầu tư trang thiết bị, hạ tầng hiện đại bảo vệ nền tảng dữ liệu, an ninh thông tin quan trọng, lưu trữ thông tin, dữ liệu cá nhân; xây dựng chiến lược chất lượng cao trong đảm bảo an ninh mạng. Không chỉ riêng Bộ Công an mà các cơ quan liên quan đến bảo vệ dữ liệu cần tích cực phối hợp quốc tế trong lĩnh vực này.

Bộ trưởng Nguyễn Mạnh Hùng cho hay, Bộ Thông tin và Truyền thông cũng đã hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân, tăng mức phạt gấp 2 lần với các trường hợp vi phạm, nhưng vẫn còn thấp. Trong năm 2022, Bộ sẽ thanh tra toàn diện các nhà mạng viễn thông trong việc đảm bảo an toàn dữ liệu thông tin và tiến tới thanh tra các doanh nghiệp bưu chính, các nhà mạng về vấn đề này. Đồng thời, kiến nghị xem xét quy định phạt trên phần trăm doanh thu của các doanh nghiệp vi phạm, thay vì phạt theo giá trị tuyệt đối.

Đồng quan điểm, ông Trần Minh Quân, đại diện Công ty Dịch vụ An toàn thông tin PwC Việt Nam cho biết, đối với những tổ chức lớn, mức phạt hiện nay “không đáng là bao”, nên có thể họ sẽ chấp nhận mức phạt và tiếp tục vi phạm. Vấn đề mà họ quan tâm nhất là khi các sai phạm xảy ra, họ có tiếp tục được cung cấp dịch vụ hay không, liệu có bị tước giấy phép hoạt động và phải đóng cửa không.

“Do đó, Nghị định về bảo vệ dữ liệu cá nhân và Luật Bảo vệ dữ liệu cá nhân cần quy định mức phạt tiền tối đa 5% tổng doanh thu, cơ quan quản lý có thể đồng thời áp dụng các hình phạt bổ sung như đình chỉ xử lý dữ liệu cá nhân từ 1 đến 3 tháng, thậm chí tước quyền sử dụng văn bản đồng ý xử lý dữ liệu cá nhân”, ông Quân đề xuất.