Bộ Công an: Phát hiện, xử lý một số đường dây lớn mua bán dữ liệu cá nhân

Nhận thức về bảo vệ thông tin cá nhân trên mạng ở Việt Nam còn hạn chế

Sáng nay (5/6), tại Hà Nội, Bộ Công an phối hợp với Hiệp hội an ninh mạng quốc gia tổ chức Hội thảo “Xây dựng chính sách bảo vệ dữ liệu cá nhân”. Hội thảo thu hút sự tham gia của nhiều diễn giả trong nước và quốc tế.

Phát biểu khai mạc hội thảo, Thượng tướng Lương Tam Quang, Thứ trưởng Bộ Công an, Chủ tịch Hiệp hội An ninh mạng quốc gia cho biết, trong bối cảnh cuộc cách mạng công nghiệp lần thứ 4 phát triển với quy mô và tốc độ chưa từng có, dữ liệu trở thành nguồn tài nguyên mới, là nguồn lực, động lực phát triển mới của các quốc gia, của kỷ nguyên số; đồng thời cũng là đối tượng mà nhiều loại tội phạm hướng đến để thực hiện hành vi phạm tội, xâm phạm quyền con người, quyền công dân, vi phạm pháp luật, xâm hại an ninh, trật tự. Nhiều vụ lộ, lọt dữ liệu quy mô lớn đã xảy ra trên phạm vi toàn cầu và để lại nhiều hậu quả nghiêm trọng; số lượng phạm tội liên quan đến dữ liệu có xu hướng gia tăng. 

Tại Việt Nam, xử lý số hóa đang diễn ra trên mọi lĩnh vực và tiếp tục được đẩy mạnh nhằm thực hiện chủ trương phát triển kinh tế số, xã hội số, xây dựng Chính phủ điện tử mà Nghị quyết Đại hội XIII của Đảng đã đề ra. Cụ thể, Việt Nam hiện có gần 80 triệu người dùng internet, chiếm hơn 2/3 dân số, đứng thứ 7 thế giới, là một trong những quốc gia có tốc độ phát triển và ứng dụng internet cao nhất thế giới. Thheo đó, dữ liệu cá nhân người dùng internet được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ khác nhau. Trong khi đó, Thứ trưởng Lương Tam Quang khẳng định, nhận thức về bảo vệ thông tin cá nhân trên mạng ở Việt Nam còn hạn chế. Nhiều thông tin cá nhân (như sinh trắc học, lý lịch cá nhân, mỗi quan hệ, tình trạng sức khỏe, tài chính...) được đăng tải công khai, trở thành nguồn dữ liệu cho các chương trình thu thập thông tin tự động; tình trạng lộ, lọt, đánh cắp, buôn bán thông tin cá nhân trên không gian mạng...

“Ngày càng nhiều chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân cho các mục đích khác nhau nhưng không thông báo với khách hàng hoặc để xảy ra hành vi vi phạm về bảo vệ dữ liệu cá nhân; nhiều dịch vụ trên không gian mạng mới xuất hiện, có hoạt động thu thập, khai thác, phân tích thông tin, dữ liệu cá nhân (như mạng xã hội, thanh toán trực tuyến, thương mại điện tử, trò chơi trực tuyến...) chưa có cơ chế quản lý dữ liệu người dùng, đặt ra nhiều vấn đề liên quan tới an ninh quốc gia, trật tự an toàn xã hội, xâm hại đến quyền và lợi ích hợp pháp của tổ chức, cá nhân” - Thứ trưởng Bộ Công an Lương Tam Quang nói.

Tham luận tại Hội thảo, Trung tướng Nguyễn Minh Chính, Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an, Phó Chủ tịch Thường trực Hiệp hội An ninh mạng quốc gia khẳng định, tình trạng mua bán dữ liệu cá nhân ở Việt Nam hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. 

Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết "bảo hành" và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua.

Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.

Hàng trăm công ty tham gia mua bán dữ liệu cá nhân

Trung tướng Chính khẳng định, việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp. Một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cả nhân có giá trị; tán phát mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng (máy tỉnh và thiết bị di động); tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân. 

Thời gian gần đây, Bộ Công an phất hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.

“Trong năm 2023, hoạt động mua bán dữ liệu cá nhân, dữ liệu nhạy cảm tiếp tục diễn biến phức tạp với nhiều phương thức, thủ đoạn tinh vi. Bộ Công an đã chủ động phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên không gian mạng” - Trung tướng Nguyễn Minh Chính nói.

Theo Trung tướng Nguyễn Minh Chính, để xảy ra thực trạng trên xuất phát từ nhiều nguyên nhân, trong đó có cả nguyên nhân khách quan và chủ quan.

Về khách quan, Trung tướng Chính khẳng định, sự phát triển nhanh của khoa học công nghệ dẫn tới nhiều phương thức thủ đoạn mới trong tấn công mạng, các lỗ hổng và thiếu hụt biện pháp phòng thủ mạng; dữ liệu cá nhân trở thành nguồn nguyên liệu quý giá cho các hoạt động kinh tế, có giá trị lợi nhuận cao, hấp dẫn tin tặc và các đổi tượng phạm tội thực hiện hành vi đánh cắp, mua bán dữ liệu cá nhân.

Về chủ quan, do nhận thức về bảo vệ dữ liệu cá nhân của công dân còn hạn chế, sẵn sàng cung cấp thông tin đời tư để lấy sự tiện ích về công nghệ; việc chấp hành các quy định của pháp luật về bảo vệ dữ liệu cá nhân còn hạn chế, việc xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, thông báo vi phạm về bảo vệ dữ liệu cá nhân vẫn còn nhiều lúng túng, chậm trễ;…Từ tình hình trên, ông Nguyễn Minh Chính khẳng định, việc xây dựng Luật Bảo vệ dữ liệu cá nhân đang trở nên cấp bách và cần thiết. 

“Việc xây dựng Luật Bảo vệ dữ liệu cá nhân nhằm hoàn thiện hệ thống pháp luật về  bảo vệ dữ liệu cá nhân của nước, tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, nâng cao năng lực  bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân trong nước tiếp cận trình độ quốc tế, khu vực; đẩy mạnh sử dụng dữ liệu cá nhân đúng pháp luật phục vụ mục đích phát triển kinh tế, xã hội” - ông Chính nói.

Góp ý với Việt Nam về bảo vệ dữ liệu cá nhân, chia sẻ tại hội thảo, ông Adam Kotkin, viên chức kinh tế, phòng Chính sách Thông tin và Truyền thông quốc tế/An ninh công nghệ, Cục Chính sách Không gian mạng và Kỹ thuật số, Bộ Ngoại giao Mỹ cho biết, Mỹ áp dụng các cách tiếp cận dựa trên các đánh giá rủi ro khi xây dựng một mệnh lệnh hành chính về chống truy cập hàng loạt dữ liệu cá nhân nhạy cảm của công dân Mỹ và dữ liệu liên quan đến Chính phủ Mỹ. Đồng thời Mỹ cũng xây dựng phương pháp quản trị rủi ro để xây dựng các tiêu chuẩn an toàn thông tin cho các hệ thống thông tin của chính mình và Chính phủ liên bang.

“Tôi hiểu rằng các luật của Việt Nam sẽ bao hàm rất nhiều vấn đề. Tôi cũng khuyến nghị Bộ Công an Việt Nam xem xét để áp dụng các cách tiếp cận dựa trên rủi ro để đảm bảo rằng các nhà quản lý, các đơn vị xử lý dữ liệu sẽ ưu tiên trú trọng cũng như huy động các nguồn lực bảo vệ hợp lý. Việc yêu cầu các doanh nghiệp nộp báo cáo đánh giá tác động cũng có thể là một công cụ pháp lý nhưng tôi cũng khuyến nghị rằng, phương pháp cân đối giữa các lợi ích về quyền riêng tư của các doanh nghiệp đó với các biện pháp đảm bảo an toàn thông tin khác. Tôi cũng nhấn mạnh sự tham vấn của các bên liên quan trong quá trình xây dựng Luật bảo vệ dữ liệu cá nhân cũng như là dữ liệu. Chúng ta cần đảm bảo rằng các doanh nghiệp và các bên liên quan khác cần phải có đầy đủ về quy định mới để chúng ta có thể học hỏi lẫn nhau” - ông Adam Kotkin khuyến nghị.