Bộ Công an: Các công ty, tổ chức để lộ dữ liệu của hàng triệu khách hàng

Trong Dự thảo Hồ sơ đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân, Bộ Công an đã có báo cáo Đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân (DLCN).

Theo Bộ Công an, các tổ chức tội phạm công nghệ cao đã sử dụng nhiều thủ đoạn công nghệ tinh vi, phức tạp để tấn công mạng, chiếm đoạt DLCN để sử dụng với mục đích xấu. Trong một không gian mạng kết nối, việc bảo vệ DLCN cần phải được đồng bộ, có sự phối hợp của chủ thể là các tổ chức, doanh nghiệp, cá nhân với các đơn vị nghiệp vụ chuyên trách về an ninh mạng.

Đánh giá thực trạng quan hệ xã hội liên quan bảo vệ DLCN, Bộ Công an cho rằng có nhiều mối quan hệ xã hội có liên quan tới DLCN, như giữa tổ chức thu thập với chủ thể dữ liệu, giữa cơ quan quản lý nhà nước với chủ thể dữ liệu; giữa chủ thể dữ liệu với chủ thể dữ liệu (cá nhân với cá nhân), giữa tổ chức với chủ thể dữ liệu. 

Ngoài ra, chế tài xử lý các hành vi vi phạm liên quan tới DLCN hiện còn đang thiếu, yếu về hiệu lực, chưa đủ sức răn đe, xử lý thích đáng đối với hành vi vi phạm. 

Do đó, cần thiết bổ sung, sửa đổi, tập trung thống nhất các chế tài xử lý vi phạm để đáp ứng yêu cầu thực tế của công tác quản lý nhà nước về bảo vệ DLCN, cũng như công tác đấu tranh, phòng chống tội phạm và hành vi vi phạm pháp luật về bảo vệ DLCN. Vì vậy, việc ban hành Luật Bảo vệ dữ liệu cá nhân là hết sức cần thiết.

Theo đánh giá của Bộ Công an, việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết "bảo hành" và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội , diễn đàn tin tặc. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.

Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp. Một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị. Phát tán mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng (máy tính và thiết bị di động), tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân.

Theo Bộ Công an, việc mua bán thông tin tổ chức, cá nhân được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội như, Facebook, Zalo, Telegram raidforums.com, diễn đàn tin tặc…

Điển hình như, Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục ngàn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Vietnam Airlines, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng.

Tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS, dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng; Danh sách cán bộ, danh bạ nội bộ của các bộ, tập đoàn kinh tế (Công thương, Tài chính, Giao thông Vận tải, Khoa học và Công nghệ, Nông nghiệp và Phát triển nông thôn, Thương mại, Tổng cục Thuế, Tập đoàn Than…); khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh; trường học; thông tin hộ khẩu; thông tin khách hàng thuộc các lĩnh vực bất động sản, siêu thị, mua ôtô, xe máy…

Thông tin chi tiết về các cá nhân, tổ chức, doanh nghiệp, như, họ tên, ngày sinh, số CMND, địa chỉ, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác… thông tin về các cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ điện lực của EVN; thông tin phụ huynh, học sinh tại các trường trên cả nước; thông tin khách hàng của các ngân hàng BIDV, Techcombank, VPBank, AgriBank...

Một số thông tin khác, như đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng Viettel, Mobiphone, Vinaphone; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy tại 63 tỉnh, thành toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành SPA, Nha khoa, thời trang, thẩm mỹ viện cũng được rao bán tràn lan.