Doanh nghiệp chịu trách nhiệm gì khi để lộ thông tin khách hàng?

Hàng triệu khách hàng bị lộ thông tin

Bộ Công an đã nêu rõ một loạt doanh nghiệp (DN) về công nghệ để lộ thông tin khách hàng hay các công ty môi giới dịch vụ taxi sử dụng thông tin của hành khách bị lộ để mời chào dịch vụ qua tin nhắn SMS… Bộ Công an cũng cho biết tình trạng lộ, mua bán dữ liệu cá nhân hiện nay diễn ra phổ biến, công khai và ngày càng phức tạp. Nghiêm trọng hơn, nhiều dữ liệu bị rao bán công khai trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, DN.

Năm 2018 thông tin về việc Thegioididong.com bị rò rỉ thông tin và tin tặc đã lấy được thông tin quan trọng như: địa chỉ email, lịch sử giao dịch và thậm chí là cả số thẻ đã được các diễn đàn công nghệ đưa ra, khiến hàng triệu khách hàng đứng ngồi không yên. Phía Thế Giới Di Động ngay sau đó phát đi thông cáo báo chí khẳng định đây là thông tin giả, hệ thống vẫn an toàn, hoạt động bình thường và không hề bị ảnh hưởng. Sau đó, mọi việc cũng dần dần im lặng.

VNG vào tháng 4.2018 ghi nhận có 160 triệu tài khoản Zing ID nguy cơ bị rò rỉ và có thể ảnh hưởng tới một bộ phận tệp khách hàng chơi game của công ty. Công ty này cho biết đã kịp thời có các biện pháp xử lý, ngăn chặn xâm nhập, giới hạn số lượng người dùng bị ảnh hưởng bởi sự cố thông qua các biện pháp kỹ thuật. Mặc dù vậy, VNG thừa nhận đã có một số lượng người dùng bị lộ thông tin nhưng “phạm vi người dùng bị tác động thực sự bởi sự cố này không lớn, tập trung ở các khách hàng chơi game và không ảnh hưởng tới các sản phẩm khác của VNG”, đồng thời cam kết sẽ luôn đảm bảo quyền lợi và sự an toàn cho khách hàng, đồng thời sẽ giải quyết triệt để cho khách hàng nếu như có bất cứ vấn đề nào phát sinh…

Theo ông Võ Đỗ Thắng, Trung tâm An ninh mạng Athena, đối với những vụ việc cụ thể như Bộ Công an đã nêu ra thì phải có điều tra mới biết hệ thống của DN bị tấn công hay do nhân viên công ty lấy cắp dữ liệu đưa ra ngoài. Nhưng dù với lý do gì thì khi dữ liệu bị rò rỉ ra ngoài có nghĩa là hệ thống của DN có lỗ hổng. Lỗ hổng ở đây có thể là về kỹ thuật hoặc là con người. Do đó, việc đảm bảo an ninh, an toàn mạng nói chung hay bảo vệ dữ liệu cá nhân khách hàng phải được giám sát, thực hiện thường xuyên 24/24 trong suốt 365 ngày mà không thể lơ là. Bởi không ai có thể dám khẳng định hệ thống của mình luôn an toàn vì tin tặc có thể tấn công bất kỳ lúc nào. Đó là chưa kể tình trạng chính nhân viên của công ty là những người lấy cắp dữ liệu khách hàng để bán ra bên ngoài…

Thế giới phạt nặng, VN ít chế tài

Thời gian qua, xảy ra hàng loạt vụ để lộ thông tin khách hàng nhưng hầu như chưa thấy có đơn vị nào bị xử phạt, chế tài. Trong khi đó, các nước trên thế giới phạt rất nặng về hành vi này. Đơn cử, tháng 7.2019, Ủy ban Thương mại Liên bang Mỹ đã ra quyết định phạt Facebook 5 tỉ USD sau khi dữ liệu cá nhân của 87 triệu người dùng mạng xã hội này bị Công ty Cambridge Analytica tiếp cận và sử dụng trái phép. Theo điều tra, Facebook đã để Công ty truyền thông Cambridge Analytica tiếp cận trái phép dữ liệu của 50 triệu người dùng Mỹ trong chiến dịch bầu cử tổng thống năm 2016 cũng như cuộc trưng cầu dân ý Brexit ở Anh vào năm 2016… Đây là khoản phạt lớn nhất thế giới từ trước tới nay đối với một vụ bê bối làm rò rỉ dữ liệu người dùng.

Tại VN, đã có nhiều quy định liên quan đến việc xử phạt lọt, lộ thông tin. Hiện tại, Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (đang lấy ý kiến và chờ Chính phủ ban hành) có đưa ra quy định với mức xử phạt tối đa dành cho các tổ chức vi phạm quy định về bảo vệ dữ liệu cá nhân là phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại VN đối với hành vi vi phạm từ lần hai trở lên. Đồng thời có thể xử phạt bổ sung là tước giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 1 – 3 tháng.

Ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty Công nghệ an ninh mạng VN, cho rằng từ trước đến nay do thiếu quy định chi tiết về bảo vệ dữ liệu cá nhân nên các DN, tổ chức bị vi phạm cũng sẽ chỉ bị xử phạt hành chính. Vì thế, mức đề xuất xử phạt cao nhất đến 5% tổng doanh thu của dự thảo sắp ra đời là phù hợp với VN và mang tính răn đe để các đơn vị có trách nhiệm cao hơn trong việc bảo vệ dữ liệu của khách hàng. Tuy nhiên, theo ông Sơn, số tiền phạt này vẫn không phải là cao so với thế giới. Bởi với nhiều nước, đa số mức xử phạt sẽ được đánh giá dựa trên quy mô tác động của từng vụ vi phạm. Ví dụ như có vụ vi phạm dù là xuất phát từ DN nhỏ nhưng mức độ ảnh hưởng nghiêm trọng đến lượng lớn người dùng thì số tiền phạt vẫn rất nhiều. “Ở VN, việc đánh giá mức độ ảnh hưởng của từng vụ lộ, lọt thông tin cá nhân vẫn chưa có thang đo nào nên chỉ có thể đề xuất mức phạt theo doanh thu cũng là hợp lý. Tôi nghĩ rằng đây sẽ là một bước tiến mới trong quá trình kiểm soát, bảo vệ dữ liệu cá nhân của người dân”, ông Vũ Ngọc Sơn nói.

Đồng tình, ông Võ Đỗ Thắng nhận định việc có thêm quy định chi tiết về mức xử phạt hành chính cụ thể, công khai với hành vi bảo vệ dữ liệu cá nhân của khách hàng sẽ buộc các DN phải xem xét lại hệ thống an toàn an ninh mạng. Có quy trình đánh giá, giám sát thường xuyên về cả kỹ thuật lẫn nhân sự để đảm bảo bí mật thông tin của khách hàng. Điều này giống như quy định về đảm bảo an toàn phòng cháy chữa cháy ở các tòa nhà văn phòng, nơi đông người. Các cơ quan quản lý nhà nước cũng cần tăng cường kiểm tra, giám sát và xử phạt nghiêm các DN vi phạm. Có thể lần 1 là công khai trên phương tiện thông tin đại chúng; vi phạm lần 2 sẽ bị các mức phạt hành chính tương ứng và sau đó có thể tạm ngưng dịch vụ một thời gian để DN củng cố hệ thống an toàn an ninh mạng.