Bộ Công an chỉ ra nhiều ‘lỗ hổng’ liên quan dữ liệu cá nhân

Bộ Công an cho biết không chỉ thiếu chế tài xử lý mà các thuật ngữ liên quan đến bảo vệ dữ liệu cá nhân chưa thống nhất, gây khó cho công tác quản lý.

Bộ Công an vừa hoàn thành dự thảo hồ sơ đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân để lấy ý kiến đóng góp trong 2 tháng, từ 1/3. Dự thảo nêu, có 69 văn bản quy phạm pháp luật liên quan đến bảo vệ dữ liệu cá nhân tại Việt Nam nhưng đều chưa thống nhất về khái niệm dữ liệu và bảo vệ dữ liệu cá nhân.

Các diễn đàn tin tặc mua bán dữ liệu cá nhân ngày càng công khai. Ảnh: Phạm Dự

Hiện có hơn 10 khái niệm thuật ngữ liên quan tới thông tin cá nhân được diễn giải theo các cách như “dữ liệu cá nhân”, “thông tin cá nhân”, “thông tin riêng”, “thông tin riêng tư”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”, “thông tin bí mật đời tư”, “thông tin về đời sống riêng tư”, “bí mật gia đình”, “quyền bất khả xâm phạm về đời sống riêng tư”… Riêng cụm từ “thông tin cá nhân” xuất hiện ở hơn 300 văn bản quy phạm pháp luật, nhưng chỉ có 7 văn bản diễn giải hiểu là thế nào.

Để giải quyết vấn đề này, Bộ Công an đề xuất hai giải pháp. Đó là giữ nguyên để không phát sinh chi phí sửa đổi, bổ sung hoặc ban hành mới các văn bản, không làm thay đổi chính sách hiện này. Tuy nhiên, việc này sẽ không khắc phục được các hạn chế hiện nay và gây khó khăn cho công tác phòng ngừa, đấu tranh với tội phạm về bảo vệ dữ liệu.

Cách khác, Bộ Công an đề xuất sửa đổi theo hướng áp dụng thống nhất quy định pháp luật về các thuật ngữ pháp lý liên quan dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Phương án này sẽ góp phần tạo hành lang pháp lý cho việc sử dụng dữ liệu cá nhân để phát triển kinh tế và tạo hành lang pháp lý phục vụ công tác quản lý nhà nước.

Cho rằng cần thống nhất, Bộ Công an đánh giá việc ban hành Luật Bảo vệ dữ liệu cá nhân là cần thiết; sẽ đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân. “Qua đó mọi người hiểu rằng dữ liệu cá nhân đã trở thành tài sản và là mục tiêu của các tổ chức tội phạm công nghệ cao”, cơ quan này khuyến cáo.

Dữ liệu nhiều khách hàng điện lực, ngân hàng, chứng khoán bị lộ

Theo Bộ Công an, dữ liệu cá nhân đang bị mua bán, lộ, mất tràn lan song lại thiếu chế tài xử lý các hành vi sai phạm. Việc lộ lọt dữ liệu chủ yếu trên không gian mạng, một phần do người dân chưa có ý thức tự bảo vệ. Một nguyên nhân khác là lộ “vô tình” khi chuyển giao, lưu trữ, trao đổi dữ liệu phục vụ kinh doanh.

Nhiều doanh nghiệp thu thập dữ liệu cá nhân của khách hàng đã cho phép các đối tác thứ ba tiếp cận thông tin nhưng không quy định chặt chẽ để họ chuyển giao, buôn bán cho đối tác khác. Từ đó, đây là nguồn tài nguyên béo bở cho tội phạm, chúng mua bán ngày càng công khai, cả dữ liệu thô và dữ liệu đã qua xử lý.

Dữ liệu thô là danh sách cán bộ, danh bạ nội bộ của các bộ, ngành, tập đoàn kinh tế; danh sách kháng hàng điện lực, thuê bao di động, gửi tiết kiệm, đầu tư chứng khoán, mua bảo hiểm… Dữ liệu qua xử lý sẽ là thông tin chi tiết về cá nhân, tổ chức, như họ tên, ngày sinh, số căn cước, địa chỉ, số điện thoại, số tài khoản ngân hàng, thân nhân, chức vụ, vị trí công tác.

Việc buôn bán dữ liệu còn ngày càng có hệ thống, chuyên nghiệp, đáp ứng mọi nhu cầu của người mua. Chúng rao bán công khai trên các website, diễn đàn, trang mạng xã hội.

Qua thực tế, Bộ Công an nhận thấy nhiều hành vi chưa xử lý được do thiếu chế tài. Pháp luật hiện có hai tội danh liên quan dữ liệu cá nhân song lại chưa quy định cụ thể về các yếu tố cấu thành trong hoạt động mua bán dữ liệu cá nhân, nhất là hoạt động có sự trung gian qua nhiều cá nhân, tổ chức. Từ đó, nhà chức trách khó chứng minh tội phạm.

Thủ đoạn chung là kẻ xấu cài ẩn ứng dụng trong các trang mạng để tự động thu thập dữ liệu cá nhân sau đó phân tích, tổng hợp thành các tệp thông tin có giá trị. Một số trường hợp, chúng phát tán mã độc, tấn công xâm nhập hệ thống để ngang nhiên chiếm đoạt dữ liệu.

Bộ Công an thông báo năm 2019-2020 đã phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Quá đó, hơn 1.300 GB dữ liệu cá nhân bị thu thập, mua bán trái phép, trong đó có nhiều dữ liệu “nội bộ, nhạy cảm”. Ví dụ, thông tin về cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ điện lực của EVN; thông tin phụ huynh, học sinh tại các trường học; thông tin khách hàng của nhiều nhà băng; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng; thông tin khách hàng tại các dự án bất động sản, cửa hàng điện máy trên toàn quốc… Thậm chí, thông tin của khách hàng VIP, đầu tư tài chính, chứng khoán, nha khoa, thời trang, thẩm mỹ viện, cũng đều bị thu thập trái phép.