Mặc dù Bộ Công an và các đơn vị chức năng nhiều lần cảnh báo về các giải pháp nhằm tránh việc bị đánh cắp dữ liệu cá nhân, tuy nhiên, nhiều người dân vẫn để lộ lọt thông tin qua nhiều hình thức.
Mới đây, Sở Tài nguyên và Môi trường TP Hà Nội phát đi cảnh báo về việc đơn vị này không thực hiện tích hợp thông tin giấy chứng nhận quyền sử dụng đất vào ứng dụng VNeID. Thông tin này được đưa ra sau khi có nhiều công dân nhận được các cuộc gọi mạo danh cán bộ nhà nước yêu cầu tích hợp thông tin sổ đỏ vào ứng dụng VNeID.
Hiện nay việc dữ liệu cá nhân bị lộ lọt thông qua các hình thức tương tự đang diễn ra khá phổ biến đã tạo nên lỗ hổng về bảo mật dữ liệu, từ đó tạo cơ hội cho đối tượng lừa đảo khai thác thông qua các thủ đoạn tinh vi.
Thống kê của Bộ Công an cho thấy, thời gian qua, tình trạng mua, bán dữ liệu cá nhân trên không gian mạng diễn ra rất phổ biến và công khai trên các ứng dụng, mạng xã hội (Telegram, Facebook...).
Các thông tin thường được rao bán gồm: Thông tin về người, thuê bao di động, công ty nơi làm việc (thông qua mã số bảo hiểm xã hội), thông tin ngân hàng (thông qua số tài khoản ngân hàng), thông tin IP Internet, thông tin phương tiện giao thông (thông qua biển số xe), thông tin tài khoản mạng xã hội, thông tin nợ xấu, tín dụng.
Việc mua bán dữ liệu được thông qua các ứng dụng OTT (Telegram, Zalo, Viber...) với mức giá dao động từ vài trăm nghìn đến vài triệu đồng mỗi lần tra cứu tùy yêu cầu của khách hàng.
Thực trạng lộ, mất thông tin cá nhân đã xảy ra trong nhiều năm qua và ngày càng diễn biến phức tạp. Việc này có thể thấy qua tình trạng tin nhắn, cuộc gọi có nội dung quảng cáo, quấy rối, tín dụng đen, lừa đảo xuất hiện ngày càng nhiều gây bức xúc cho xã hội.
Ý thức người dân trong việc bảo vệ dữ liệu chưa cao
Tại phiên họp Quốc hội ngày 7/11 vừa qua, Đại tướng Tô Lâm - Ủy viên Bộ Chính trị, Bộ trưởng Bộ Công an đặc biệt nhấn mạnh về tình trạng lộ, lọt, mua bán dữ liệu cá nhân hiện nay ở nước ta rất nghiêm trọng.
Trong năm 2023, riêng Bộ Công an đã phải cảnh báo, xử lý hàng chục triệu vụ việc có liên quan đến việc xâm phạm các cơ sở dữ liệu, trong đó liên quan đến việc ăn cắp dữ liệu cá nhân, xâm nhập vào các cơ sở dữ liệu cá nhân.
Theo Đại tướng Tô Lâm, ý thức của người dân trong vấn đề bảo vệ dữ liệu chưa cao. Cụ thể, người dân có thể sẵn sàng cung cấp các thông tin cá nhân cho người khác, cho các doanh nghiệp khi thực hiện các giao dịch dân sự.
Từ thực trạng trên, Bộ trưởng Tô Lâm đã nêu lên những giải pháp lớn trong bảo vệ dữ liệu cá nhân, trong đó nhấn mạnh cần khẩn trương hoàn thiện hành lang pháp lý.
Bộ trưởng cho biết, Bộ Công an tham mưu với Chính phủ ban hành Nghị định số 13 có hiệu lực từ ngày 1/7/2023 về bảo vệ dữ liệu cá nhân. Đồng thời, Bộ cũng đề xuất bổ sung, sửa đổi Bộ luật Hình sự 2015 thêm tội danh làm lộ, lọt, mua, bán dữ liệu cá nhân để xử lý nghiêm các hành vi này.
Bộ Công an đã đưa ra 6 giải pháp nhằm tăng cường bảo vệ dữ liệu cá nhân, đề nghị các bộ, ngành, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các tỉnh, thành phố trực thuộc Trung ương, các tổ chức chính trị, xã hội ở Trung ương; các tổ chức, doanh nghiệp nhà nước thuộc Trung ương áp dụng.
Đầu tiên, nghiên cứu, tổ chức triển khai và thực hiện nghiêm các quy định về bảo vệ dữ liệu cá nhân qua nhiều hình thức khác nhau, trong đó chú trọng tổ chức phổ biến, quán triệt tới toàn bộ cán bộ, công nhân viên về quyền và nghĩa vụ, xác định trách nhiệm cần triển khai thực hiện, bảo đảm về tiến độ thời gian theo quy định của pháp luật.
Hai là chỉ đạo các đơn vị có hoạt động thu thập, xử lý dữ liệu cá nhân tiến hành rà soát tổng thể, phân loại dữ liệu cá nhân đã thu thập, đang xử lý, từ đó xác định trách nhiệm bảo vệ tương ứng với từng loại dữ liệu cá nhân theo quy định của Nghị định số 13.
Ba là rà soát, đánh giá quy trình thu thập, xử lý dữ liệu cá nhân, đề xuất ban hành các biện pháp quản lý phù hợp với quy mô, mức độ xử lý dữ liệu cá nhân của cơ quan, đơn vị mình; xử lý nghiêm các hành vi chuyển giao dữ liệu cá nhân trái phép, mua bán dữ liệu cá nhân nếu phát hiện.
Bốn là chỉ định (bằng văn bản có hiệu lực pháp lý) bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân nếu cơ quan, tổ chức, cá nhân xử lý dữ liệu cá nhân nhạy cảm và trao đổi 1 bản chính văn bản nêu trên về cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an).
Năm là thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân trong trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân về cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định số 13.
Sáu là lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và gửi cơ quan chuyên trách bảo vệ dữ liệu cá nhân theo 3 hình thức: Trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân; trực tiếp tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an hoặc theo đường bưu chính sau 60 ngày kể từ ngày xử lý dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân ra nước ngoài.
Những nguyên nhân lộ lọt dữ liệu cá nhân
Trước thực trạng dữ liệu cá nhân bị đánh cắp, Bộ Công an từng nhiều lần cảnh báo về những nguyên nhân khiến dữ liệu bị lộ lọt.
Cụ thể, việc lộ, mất dữ liệu cá nhân có thể xuất phát từ nguồn thông tin khách hàng chủ động cung cấp thông qua các hoạt động đăng ký/giao dịch trên mạng Internet, viễn thông, các sàn giao dịch bất động sản, tổ chức tài chính, chương trình khuyến mại của các siêu thị, nhà hàng, giáo dục, y tế... các tổ chức sẽ lưu trữ, phân tích dữ liệu phục vụ hoạt động sản xuất kinh doanh.
Có một số tổ chức cố ý bán, trao đổi dữ liệu thông tin khách hàng cho bên thứ ba hoặc do hệ thống thông tin không đảm bảo nên bị đánh cắp (hack) dữ liệu.
Ngoài ra, việc lộ, mất dữ liệu từ nhà cung cấp dịch vụ thường do lỗ hổng trên hệ thống, ứng dụng hoặc do hành vi cố ý của các cá nhân được giao quyền quản trị, khai thác hệ thống.
Đáng chú ý, các đối tượng thường sử dụng các ứng dụng, mạng xã hội của nước ngoài không đặt máy chủ ở Việt Nam để thực hiện việc mua, bán dữ liệu. Các giao dịch thực hiện qua việc sử dụng các loại tiền điện tử, tiền ảo, các ví tiền ảo ở nước ngoài nên cơ quan chức năng gặp khó khăn trong việc xác minh thông tin về tài khoản, lịch sử hoạt động của đối tượng.
Ngoài ra, các số điện thoại, tài khoản ngân hàng mà đối tượng sử dụng đều không chính chủ. Đây là thủ đoạn ẩn danh của đối tượng, gây khó khăn cho công tác truy vết đối tượng.
Cách thức tổ chức mua, bán dữ liệu chủ yếu thực hiện trên không gian mạng, mọi giao dịch, người mua, người bán đều ẩn danh, không trực tiếp nên rất khó thu thập chứng cứ, chứng minh hành vi vi phạm của các đối tượng.