Trong khi đó, các quy định pháp luật về bảo vệ dữ liệu cá nhân vẫn đang nằm rải rác trong các văn bản quy phạm pháp luật, nhiều quy định còn chung chung, chưa chi tiết, cụ thể, dẫn đến thiếu tính khả thi trên thực tế; Bên cạnh đó, các biện pháp chế tài đối với hành vi vi phạm chưa đủ mạnh để răn đe. Điều này đặt ra cho các cơ quan chức năng bài toán phải quản lý sao cho hiệu quả, bảo đảm phòng ngừa, xử lý được các hành vi vi phạm pháp luật về thông tin cá nhân.
Liên tục phát hiện các vụ mua bán dữ liệu cá nhân với những con số “khủng”
Dữ liệu, thông tin cá nhân là quyền riêng tư cần sự bảo mật. Tuy nhiên, chưa bao giờ, việc mua bán dữ liệu, thông tin cá nhân trên internet lại diễn ra phức tạp như hiện nay.
Mới đây, trên một diễn đàn chuyên mua bán dữ liệu của hacker, có 17 GB dữ liệu chứa ảnh chụp chứng minh nhân dân của hàng nghìn người Việt Nam bị rao bán với giá 9.000 USD. Những thông tin này được đăng tải từ thành viên có tên “Ox1337xO” vào ngày 13/5.
Cụ thể, 17 GB dữ liệu gồm ảnh chụp chứng minh nhân dân kèm địa chỉ, số điện thoại và email. Trong đó, riêng một tệp tin dung lượng 1,4 GB chứa thông tin của 3,6 nghìn người. Những dữ liệu trên được rao bán với giá 9.000 USD (khoảng 207 triệu đồng) và thanh toán bằng tiền mã hóa Bitcoin hoặc Litecoin. Liên quan quan đến vụ việc này, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) đã vào cuộc xác minh.
Đáng nói, đây chỉ là một trong những vụ chiếm đoạt, mua bán, sử dụng trái phép dữ liệu cá nhân được phát hiện. Theo đó, hôm 18/5, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an) thông báo vừa triệt phá đường dây thu thập, chiếm đoạt, mua bán trái phép dữ liệu quy mô lớn xảy ra tại TP. Hà Nội, TPHCM và một số địa phương khác.
Theo thông tin từ cơ quan chức năng cho biết, cuối tháng 1/2021, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao và Văn phòng Cơ quan Cảnh sát điều tra, Bộ Công an đã phối hợp với Công an Hà Nội, TP. Hồ Chí Minh, Thanh Hóa, Long An, Đồng Nai thực hiện khám xét khẩn cấp 7 địa điểm, áp dụng biện pháp tố tụng đối với 15 đối tượng có liên quan đến đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn.
Ngày 26/2/2021, Văn phòng Cơ quan Cảnh sát điều tra, Bộ Công an đã ra quyết định khởi tố vụ án “Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông”.
Theo cơ quan điều tra, 2 bị can là Dư Anh Quý (SN 1988) và vợ là Lại Thị Phương (SN 1992, Giám đốc Công ty VNIT TECH) đã thu thập, chiếm đoạt, mua bán, sử dụng trái phép gần 1.300GB dữ liệu, chứa hàng tỷ thông tin về các cá nhân, tổ chức trên toàn quốc là khách hàng điện lực; phụ huynh, học sinh tại các trường trên cả nước; khách hàng của nhiều ngân hàng, trong đó có các ngân hàng lớn nhất Việt Nam; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng viễn thông lớn nhất Việt Nam; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy trên toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành SPA, nha khoa, thời trang, thẩm mỹ viện…
Trước đó, vào tháng 4/2019, đã xảy ra vụ lộ dữ liệu của khoảng 160 triệu người dùng Zing ID, bao gồm: mật khẩu (được mã hóa ở dạng đơn giản, có thể dễ dàng “bẻ khóa”), câu trả lời cho câu hỏi bí mật, tên đăng nhập, mã game (gamecode), email, số điện thoại, tên đầy đủ, ngày sinh, địa chỉ, IP, thành phố, quốc gia sinh sống… (dung lượng của gói dữ liệu này lên đến 7.55Gb). Trong đó, khoảng 75 triệu thông tin “thật” (PII) của người dùng: tên, ngày sinh, email, số điện thoại, số chứng minh thư hoặc địa chỉ. Công ty VNG không chính thức thừa nhận đã bị lộ thông tin của hơn 163 triệu người dùng mà chỉ cho biết họ “đã ghi nhận việc 160 triệu Zing ID có nguy cơ bị rò rỉ” từ năm 2015.
Tháng 11/2018, dữ liệu được cho là của hơn 2.000 nhân viên Công ty Con cưng, bao gồm: tên tuổi, địa chỉ, số điện thoại, email, chức vụ của nhân viên, vị trí cửa hàng làm việc… được tung lên mạng.
Trong lĩnh vực ngân hàng, vào tháng 11/2019, dữ liệu được cho là của khoảng 2 triệu khách hàng của một ngân hàng đã bị lộ, thông tin bao gồm: tên, số CMND, số điện thoại, địa chỉ, ngày sinh, giới tính, email, nghề nghiệp. Trong vụ bị tấn công, chiếm quyền điều khiển một số máy tính của Vietnam Airlines tháng 7/2016, dữ liệu của hơn 400.000 khách hàng bị lộ, thông tin bao gồm: thông tin cá nhân, ngày gia nhập, điểm tích lũy, ngày hết hạn thành viên…
Đủ chiêu trò thu thập, chiếm đoạt, sử dụng trái phép… dữ liệu cá nhân
Theo một số chuyên gia cho rằng, hành vi thu thập, mua bán, sử dụng trái phép dữ liệu cá nhân đang diễn ra dễ dàng, phổ biến theo 2 hình thức chính sau:
Một là, các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác.
Hai là, các cá nhân, doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán…
Thực tế trong vụ án mua bán, sử dụng trái phép gần 1.300Gb dữ liệu thông tin cá nhân, tổ chức vừa bị khởi tố vừa qua cho thấy, các đối tượng đã lợi dụng quyền quản trị hệ thống thông tin tại một số cơ quan, doanh nghiệp, tổ chức để trích xuất dữ liệu.
Cơ quan điều tra phát hiện nhiều cá nhân, doanh nghiệp liên quan bảo hiểm, trung tâm ngoại ngữ, bất động sản đã mua dữ liệu với số lượng lớn từ các bị can để sử dụng trái phép nhằm thu lợi bất chính. Một số doanh nghiệp khai thác dữ liệu để cung cấp cho bên thứ ba nhằm thu lợi bất chính.
Cơ quan điều tra cho rằng có dấu hiệu thiếu trách nhiệm, buông lỏng quản lý của một số cơ quan, tổ chức, doanh nghiệp đối với thông tin, dữ liệu cá nhân về khách hàng do họ quản lý.
Ngoài ra, dữ liệu thông tin có thể bị lộ, lọt do bị do hacker tấn công vào máy tính chứa dữ liệu để chiếm đoạt. Minh chứng điển hình nhất là vụ hacker tấn công một số máy tính của Vietnam Airlines tháng 7/2016, khiến dữ liệu của hơn 400.000 khách hàng bị lộ, thông tin bao gồm: thông tin cá nhân, ngày gia nhập, điểm tích lũy, ngày hết hạn thành viên…
Đáng nói là việc mua bán dữ liệu cá nhân đã và đang gây nên nhiều hệ lụy cho xã hội, đời sống người dân, nhưng hoạt động này vẫn đang diễn ra rất công khai. Từ thực tế điều tra các vụ án cho thấy, các đối tượng không chỉ sử dụng thông tin cá nhân của người khác để nhằm quảng cáo, chào mời mua sản phẩm, hàng hóa, dịch vụ… mà nguy hiểm hơn các đối tượng còn nhằm mục đích lừa đảo, chiếm đoạt tài sản. Cảnh sát từng phá nhiều vụ án lừa đảo, làm giả giấy tờ, mạo danh nhân thân để lừa đảo qua điện thoại, vay tiền trực tuyến qua app hay vu khống…
Quy định pháp luật chưa đồng bộ, chế tài chưa đủ sức răn đe
Nghiên cứu các qui định pháp luật về vấn đề này, mặc dù hệ thống pháp luật của nước ta đã ghi nhận từ lâu. Tuy nhiên, hiện nay, các quy định pháp luật về bảo vệ dữ liệu cá nhân vẫn đang nằm rải rác trong các văn bản quy phạm pháp luật với mức độ khác nhau ở Hiến pháp, Luật, Nghị định… Đồng thời, các quy định này mới chỉ quy định ở mức chung chung, chưa chi tiết, cụ thể dẫn đến thiếu tính khả thi trên thực tế. Cùng với đó, chế tài đủ mạnh, chưa đủ sức răn đe để xử lý vi phạm trong lĩnh vực này.
Cụ thể, Hiến pháp năm 2013 quy định: “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn”.
Điều 38 Bộ luật Dân sự 2015 quy định: “Quyền bí mật đời tư của cá nhân được tôn trọng và được pháp luật bảo vệ” hay “Thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân được bảo đảm an toàn và bí mật”.
Ngoài ra, các quy định điều chỉnh quyền và nghĩa vụ của chủ thể liên quan đến dữ liệu cá nhân còn nằm ở nhiều văn bản pháp luật chuyên ngành khác như Luật Công nghệ thông tin, Luật Khám và chữa bệnh 2008, Luật Bảo vệ người tiêu dùng 2010, Luật An toàn thông tin mạng 2015, Luật An ninh mạng 2018…
Việc xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự, tùy thuộc vào tính chất, mức độ nguy hiểm và hậu quả do hành vi vi phạm gây ra. Điều 159 Bộ Luật Hình sự quy định, việc “Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt từ tới 3 năm. Điều 288 quy định “Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” với mức hình phạt cao nhất là 7 năm tù giam. Tuy nhiên, 2 tội danh này chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới dữ liệu cá nhân đang diễn ra hiện nay.
Đối với xử phạt hành chính, Nghị định 15/2020/NĐ-CP, Nghị định 117/2020/NĐ-CP, Nghị định 98/2020/NĐ-CP, có quy định về xử phạt vi phạm hành chính đối với hành vi xâm phạm dữ liệu cá nhân trong từng lĩnh vực riêng với mức phạt cao nhất là 70 triệu đồng. Đây là mức phạt quá thấp so với khoản thu lợi bất chính hàng tỷ đồng từ việc mua bán thông tin dữ liệu.
Hiện nay, Bộ Công an đang tổ chức lấy ý kiến nhân dân về dự thảo nghị định quy định về bảo vệ dữ liệu cá nhân. Theo dự thảo, dữ liệu cá nhân được chia làm hai loại. Loại dữ liệu cơ bản gồm họ và tên khai sinh; ngày, tháng, năm sinh; nhóm máu; giới tính; số điện thoại; nơi sinh; nơi thường trú; số chứng minh nhân dân, căn cước; số giấy phép lái xe; mã số thuế cá nhân, tình trạng hôn nhân… Loại dữ liệu cá nhân nhạy cảm gồm quan điểm chính trị, tôn giáo, tình trạng sức khỏe, dữ liệu về di truyền, tình trạng giới tính, xu hướng tình dục…
Đáng chú ý, trong dự thảo, Bộ Công an đề xuất xử phạt từ 50 đến 80 triệu đồng với trường hợp cá nhân, tổ chức tiết lộ, chia sẻ các dữ liệu cá nhân trái phép, chưa được sự đồng ý của cá nhân, gây tổn hại đến nhân phẩm danh dự của người bị tiết lộ. Với các hành vi chuyển dữ liệu cá nhân trái phép qua biên giới, vi phạm đăng ký xử lý dữ liệu cá nhân nhạy cảm, Bộ đề xuất áp dụng mức phạt từ 80 đến 100 triệu đồng.
Tuy nhiên, so với nhiều nước trên thế giới, mức phạt theo như đề xuất vẫn còn khá thấp. Điển hình như, Liên minh châu Âu, theo quy định Luật Bảo vệ dữ liệu chung châu Âu (GDPR), yêu cầu các doanh nghiệp phải tuân thủ các quy định cụ thể, rõ ràng về cách thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, loại hình dữ liệu được phép chia sẻ, các công ty nằm ngoài lãnh thổ châu Âu cũng phải chấp hành các quy định này. Bất kỳ doanh nghiệp nào vi phạm sẽ có nguy cơ đối mặt với mức phạt lên tới 20 triệu Euro hoặc 4% doanh thu toàn cầu hàng năm.
Tuy nhiên, so với nhiều nước trên thế giới, mức phạt theo như đề xuất vẫn còn khá thấp. Điển hình như, Liên minh châu Âu, theo quy định Luật Bảo vệ dữ liệu chung châu Âu (GDPR), yêu cầu các doanh nghiệp phải tuân thủ các quy định cụ thể, rõ ràng về cách thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, loại hình dữ liệu được phép chia sẻ, các công ty nằm ngoài lãnh thổ châu Âu cũng phải chấp hành các quy định này. Bất kỳ doanh nghiệp nào vi phạm sẽ có nguy cơ đối mặt với mức phạt lên tới 20 triệu Euro hoặc 4% doanh thu toàn cầu hàng năm.
Thay lời kết
Thiết nghĩ, để ngăn ngừa các hoạt động mua bán trái phép thông tin cá nhân, các cơ quan chức năng cần tăng cường quản lý các hệ thống, tổ chức, doanh nghiệp có chức năng sử dụng, thu thập thông tin cá nhân của người dân. Bổ sung thêm các quy định về bảo mật; các hệ thống vận hành cần được kiểm tra về khả năng bảo đảm an toàn thông tin, được các cơ quan chức năng chứng nhận. Đồng thời, cơ quan chức năng cần phải xử lý mạnh tay hơn với vấn nạn này; tăng mạnh các chế tài xử lý vi phạm, đặc biệt là chế tài hình sự, thì mới có tác dụng răn đe.
Xuân Trường
