Hoàn thiện khung pháp lý bảo vệ dữ liệu cá nhân trên không gian mạng
Thực tiễn an ninh mạng ở nước ta hiện nay cho thấy, các vụ việc xâm phạm an ninh mạng, bảo mật máy tính ngày càng gia tăng; đặc biệt là các vụ tấn công ứng dụng web. Nhiều trang mạng ở nước ta chưa chú trọng công tác bảo mật đã trở thành mục tiêu cho các đối tượng xâm nhập, chiếm đoạt dữ liệu…
Vừa qua, Chính phủ đã ban hành nghị quyết thông qua đề nghị xây dựng nghị định bảo vệ dữ liệu cá nhân của Bộ Công an. Đây là một nghị định quan trọng được xây dựng trên cơ sở yêu cầu cấp bách của tình hình thực tiễn, đáp ứng yêu cầu quản lý nhà nước, quản lý kinh tế, quản lý xã hội. Đặc biệt, trong thời đại công nghệ số hiện nay, với sự phát triển mạnh mẽ của các công nghệ mang tính đột phá trong cuộc cách mạng công nghiệp 4.0, vấn đề bảo vệ dữ liệu cá nhân ngày càng trở nên cấp thiết.
Bài 1: Đánh cắp dữ liệu cá nhân xảy ra phổ biến trên không gian mạng
Mua bán dữ liệu cá nhân diễn ra dễ dàng, phổ biến; xuất hiện các công ty cung cấp dịch vụ bán cho khách hàng phần mềm thu thập thông tin cá nhân trái phép; nhiều trang mạng chưa chú trọng công tác bảo mật là mục tiêu cho các đối tượng xâm nhập, chiếm đoạt dữ liệu… Đó là thực trạng đáng lo ngại liên quan đến hành vi vi phạm pháp luật về dữ liệu cá nhân.
Dữ liệu cá nhân được mua đi bán lại nhiều lần
Theo Bộ Công an, nước ta là một trong những quốc gia có tốc độ phát triển và ứng dụng internet cao nhất thế giới. Số lượng người sử dụng internet của Việt Nam đã đạt hơn 64 triệu người, chiếm hơn 2/3 dân số (66%), tăng hơn 19% so với năm 2018, xếp thứ 13 trên thế giới về số người dùng, trong đó có 58 triệu tài khoản Facebook, 62 triệu tài khoản Google. Cơ sở hạ tầng số phát triển nhanh và cơ sở hạ tầng dữ liệu đang được cải thiện.
Tuy nhiên, trên không gian mạng, tình trạng lộ, lọt, hoạt động đánh cắp, mua bán dữ liệu cá nhân lại đang diễn ra phổ biến. Ngày càng nhiều chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra các hành vi vi phạm pháp luật.
Theo Bộ Công an, việc mua bán dữ liệu cá nhân hiện đang được thực hiện theo 2 hình thức chính. Một là, các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Hai là, các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.
Việc buôn bán dữ liệu cá nhân hiện nay trên thị trường diễn ra dưới cả 2 dạng nêu trên, tiến hành kinh doanh dữ liệu cá nhân thô và dữ liệu cá nhân đã qua xử lý. Các dữ liệu này được mua đi, bán lại nhiều lần, cung cấp dưới dạng dịch vụ như: databox.vn, databoxviet.com, laydata.com, laydata.net, khodata.net, databox.biz, fff.com.vn, cokhach.com, vltoolkit.com. Các gói dữ liệu thô được rao bán liên quan tới nhiều lĩnh vực: Danh sách cán bộ, danh sách nội bộ (bao gồm cả các đơn vị Công an, quốc phòng, thuế…); điện lực; thuê bao internet; ngân hàng (chi tiết tới cả số dư tài khoản); bảo hiểm; hồ sơ đăng ký kinh doanh; giáo dục (phụ huynh, giáo viên, học sinh sinh viên); bất động sản (kèm theo khả năng tài chính); nhân sự có chọn lọc (mức thu nhập, chức vụ); danh sách khách hàng sử dụng các dịch vụ internet (danh sách thành viên đăng ký Facebook, fpt, vnn.com, yahoo.com, gmail.com, gov.vn, hopthu.com, hotmail.com, saigonnet.vn).
Các loại dữ liệu được mua bán trong thời gian dài, có cam kết về độ chính xác, cam kết cập nhật dữ liệu, hỗ trợ xuất dữ liệu theo yêu cầu người mua. Nhiều khả năng, nguồn của các dữ liệu thô xuất phát từ hệ thống nội bộ của cơ quan, nhà nước hoặc từ hệ thống hành chính điện tử.
Phát hiện 60 tổ chức, cá nhân mua bán, sử dụng trái phép thông tin dữ liệu cá nhân
Hiện nay, việc buôn bán dữ liệu cá nhân trên không gian mạng xảy ra tràn lan. Các dữ liệu này chi tiết, cụ thể, được mua đi, bán lại nhiều lần, cung cấp dưới dạng dịch vụ.
Qua rà soát sơ bộ, Bộ Công an phát hiện hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng, bao gồm: Các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện…
Bộ Công an cũng cho biết, xuất hiện các công ty cung cấp dịch vụ bán cho khách hàng phần mềm thu thập thông tin cá nhân trái phép, được cài ẩn trong các trang mạng bán hàng để thu thập thông tin. Khi người dùng truy cập vào các trang mạng này, doanh nghiệp sẽ thu thập được các thông tin cá nhân sâu hơn về phiên truy cập như địa chỉ IP, thời gian, số điện thoại, địa điểm.
Về nguyên lý, chỉ có nhà mạng viễn thông mới biết, tại một thời điểm bất kỳ, địa chỉ IP được cung cấp cho thuê bao di động (3G, 4G) nào. Các đối tượng phạm tội tiến hành thu thập thông tin cá nhân trái phép bằng cách sử dụng mã độc, phần mềm có tính năng gián điệp để thu thập dữ liệu cá nhân trong môi trường mạng qua máy tính và điện thoại di động; tấn công, xâm nhập hệ thống máy tính, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và sẵn sàng của máy tính người sử dụng để chiếm đoạt thông tin cá nhân, dữ liệu cá nhân. Hình thức này đang diễn ra phổ biến, ngày càng nguy hiểm.
Thực tiễn an ninh mạng ở nước ta hiện nay cũng cho thấy, các vụ việc xâm phạm an ninh mạng, bảo mật máy tính ngày càng gia tăng; đặc biệt là các vụ tấn công ứng dụng web. Nhiều trang mạng ở nước ta chưa chú trọng công tác bảo mật đã trở thành mục tiêu cho các đối tượng xâm nhập, chiếm đoạt dữ liệu.
Một số đối tượng còn thực hiện hành vi tấn công vào hệ thống lưu trữ dữ liệu cá nhân, thông tin khách hàng như hệ thống cước phí internet của các ISP để xóa cước phí, đánh cắp thông tin của các doanh nghiệp để bán cho đối thủ của họ, ăn cắp mật khẩu của các tài khoản nhằm mục đích biển thủ tiền…
Vụ việc hơn 14 nghìn điện thoại tại Việt Nam bị Công ty công nghệ Việt Hồng cài phần mềm nghe lén Ptracker, đã âm thầm thu thập nhiều thông tin từ các điện thoại bị cài đặt như tin nhắn, danh bạ, ghi âm cuộc gọi, định vị điện thoại, quay phim, chụp ảnh, bật tắt 3G/4G, từng gây chấn động dư luận.
Tình hình phạm tội liên quan tới lĩnh vực ngân hàng diễn ra nghiêm trọng. Nhiều thủ đoạn chiếm đoạt thông tin thẻ tín dụng, trộm cắp thông tin để làm giả thẻ ngân hàng, thanh toán hàng hóa khống diễn ra với các thủ đoạn tinh vi, nguy hiểm hơn. Nhiều thiết bị skimming bị phát hiện lắp tại các máy ATM để chiếm đoạt thông tin; hàng triệu thẻ tín dụng giả bị phát hiện, thu giữ; người nước ngoài vào Việt Nam sử dụng trái phép thông tin thẻ tín dụng để rút tiền, thanh toán khống hàng hóa dịch vụ.
Nguyễn Hương/CAND