Công khai mua bán dữ liệu
Tình trạng mua bán trái phép dữ liệu cá nhân đã xuất hiện trong Báo cáo của Chính phủ tại phiên khai mạc Kỳ họp thứ bảy, Quốc hội khóa XV ngày 20/5: “Hoạt động thu thập, mua bán trái phép thông tin, dữ liệu cá nhân diễn ra công khai trên một số diễn đàn, hội nhóm không gian mạng”.
Báo cáo của Bộ Công an đánh giá, tình trạng mua bán dữ liệu cá nhân đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu đã qua xử lý, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Bên cạnh đó, các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân, nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác.
Thậm chí, các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng.
Bộ Công an đã chủ động phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên không gian mạng trong năm 2023. Qua công tác đấu tranh, Bộ phát hiện số lượng lớn dữ liệu bị lộ được tin tặc rao bán công khai trên các nền tảng, diễn đàn (Breach Forums, Telegram, Facebook).
Các đối tượng rao bán hoạt động với độ ẩn danh cao, thủ đoạn hoạt động và phương thức thanh toán hoàn toàn bằng tiền mã hóa nên khó truy vết. Nổi lên là nhóm “Data Pro 298” (4.685 thành viên) trên Telegram cung cấp dịch vụ tra cứu thông tin dữ liệu viễn thông, Facebook, điện lực, ví điện tử Momo, thông tin biển kiểm soát phương tiện giao thông; nhóm “Tra cứu thông tin toàn quốc” (2.700 thành viên) trên Telegram cung cấp dịch vụ tra “nóng” dữ liệu cá nhân công dân Việt Nam; diễn đàn tin tặc “Nohide.space” (nguồn gốc Nga) rao bán số lượng lớn thông tin đăng nhập nhiều hệ thống trọng yếu của Việt Nam…
Bộ Công an cũng nêu rõ một số vụ việc điển hình các doanh nghiệp để lộ thông tin, dữ liệu của khách hàng…
Ông Triệu Mạnh Tùng, Phó cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05, Bộ Công an) cho rằng, tình trạng lộ dữ liệu cá nhân vẫn diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng, dẫn tới bị chiếm đoạt và đăng tải công khai.
Trám lỗ hổng pháp luật
Việc mua bán dữ liệu cá nhân đang diễn ra phổ biến, công khai, nhưng nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật hoặc chế tài xử lý không đủ mạnh, không đủ sức răn đe. Vì vậy, việc xây dựng Luật Bảo vệ dữ liệu cá nhân và Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng đưa ra các hành vi, chế tài xử phạt mua bán dữ liệu cá nhân được cho là một giải pháp hữu hiệu để ngăn chặn tình trạng này.
Theo ông Vũ Ngọc Sơn, Giám đốc kỹ thuật Công ty Công nghệ an ninh mạng Việt Nam (NCS), từ trước đến nay, do thiếu quy định chi tiết về bảo vệ dữ liệu cá nhân, nên các doanh nghiệp, tổ chức vi phạm chỉ bị xử phạt hành chính. Vì thế, mức đề xuất xử phạt cao nhất đến 5% tổng doanh thu trong Dự thảo Nghị định là phù hợp với Việt Nam và mang tính răn đe để các đơn vị có trách nhiệm cao hơn trong việc bảo vệ dữ liệu của khách hàng.
Ông Sơn cho biết, số tiền phạt này không phải là cao so với thế giới. Tại nhiều nước, mức xử phạt được đánh giá dựa trên quy mô tác động của từng vụ vi phạm, những vụ vi phạm có mức độ ảnh hưởng nghiêm trọng đến lượng lớn người dùng thì số tiền phạt sẽ rất lớn.
Đồng quan điểm, ông Võ Đỗ Thắng, Trung tâm An ninh mạng Athena cho rằng, việc có thêm quy định chi tiết về mức xử phạt hành chính cụ thể, công khai với hành vi mua bán trái phép dữ liệu cá nhân của khách hàng sẽ buộc các doanh nghiệp phải xem xét lại hệ thống an toàn an ninh mạng; có quy trình đánh giá, giám sát thường xuyên về cả kỹ thuật lẫn nhân sự để đảm bảo bí mật thông tin của khách hàng. Bên cạnh đó, cơ quan quản lý nhà nước cũng cần tăng cường kiểm tra, giám sát và xử phạt nghiêm các doanh nghiệp vi phạm.
Phạt đến 500 triệu đồng đối với hành vi để lộ thông tin cá nhân của 1 - 5 triệu người. Mức phạt tiền 70 - 100 triệu đồng được áp dụng với các hành vi: chuyển giao dữ liệu cá nhân trái pháp luật hoặc trái với nguyên tắc bảo vệ dữ liệu cá nhân; mua, bán trái phép dữ liệu cá nhân nhưng chưa đến mức xử lý hình sự.
Phạt tiền 70 - 100 triệu đồng nếu có hành vi sử dụng dữ liệu cá nhân của khách hàng không được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo; cung cấp thông tin của khách hàng trái với nguyên tắc xử lý dữ liệu cá nhân; không chứng minh được việc sử dụng dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ.
Phạt tiền bằng 3 - 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi để lộ, mất dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân của trên 5 triệu công dân Việt Nam ra nước ngoài trở lên…
(Dự thảo Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng)