Cuộc khảo sát mua bán dữ liệu cá nhân trên mạng của chúng tôi không gặp bất cứ trở ngại nào và thông tin thì đủ loại.
Số điện thoại, số dư tài khoản… bán rẻ như rau
Trò chuyện với tôi qua ứng dụng mạng xã hội Facebook, người sử dụng nickname Cang Thanh giới thiệu: "Em trước đây làm sale bất động sản (BĐS), bây giờ giải nghệ nên cần bán lại toàn bộ thông tin data (dữ liệu) khách hàng. Trong files hiển thị đầy đủ thông tin như họ tên, địa chỉ, số điện thoại, email... Data bao gồm rất nhiều ngành nghề và lĩnh vực như BĐS, condotel, villa, ngân hàng (NH), doanh nghiệp (DN), quan chức, Việt kiều, mua vàng, xe sang, các khách hàng có BĐS cao cấp cho thuê tại các khu vực Hà Nội và TP.HCM... Thanh lý tất tần tật chỉ có 250.000 đồng".
Thấy chúng tôi tỏ ý nghi ngờ tính chính xác của các data này, Cang Thanh trấn an: "Em chuyển qua email cho anh trước một số dữ liệu khách hàng, anh cứ test (kiểm tra) thử, nếu thấy đúng thì anh cọc cho em 100.000 đồng, sau đó em gửi toàn bộ file cho anh và anh chỉ cần thanh toán 150.000 đồng còn lại".
Khi chúng tôi đồng ý với giao dịch trên, lập tức người bán hàng bí ẩn gửi vào email của chúng tôi cung cấp 3 tập tin với hàng ngàn số điện thoại cá nhân. Khi PV chuyển tiền cho người bán trên (chủ tài khoản NH tên T.V.N), Cang Thanh còn tỏ ra là người bán uy tín khi dặn dò: "Những thông tin này từ khoảng 2 - 3 năm trở lại đây nên có những khách đổi số điện thoại khác, nhưng 80% là chính xác. Những đoạn chat (trò chuyện) này khá nhạy cảm nên em xin phép xóa đi, nhưng email của anh đã được em lưu vào danh sách được phép chia sẻ dữ liệu, anh vào lấy data khách hàng lúc nào cũng được".
Đa số những người mua bán data cá nhân đều có cách đề phòng riêng, nhưng cách thức trò chuyện, trao đổi thông tin đều thông qua ứng dụng Telegram bởi đây là công cụ được hỗ trợ nhiều tính năng để xóa dấu vết, tránh bị theo dõi, được các đối tượng phi pháp sử dụng phổ biến. Từ lời chào mời trên Facebook, chúng tôi tiếp cận với nickname LongLong, chủ tài khoản NH tên Nguyen Dinh Vu để giao dịch mua bán data cá nhân.
Với LongLong, chúng tôi yêu cầu dữ liệu khách hàng có tiền gửi NH, lập tức LongLong gửi cho chúng tôi danh sách khoảng hơn một chục khách hàng để test độ chính xác. Danh sách này có đầy đủ số điện thoại, số dư tài khoản của khách gửi tiền vào NH M. Trong danh sách này, người gửi tiền nhiều nhất có số dư 200 triệu đồng và đa phần còn lại có số dư vài chục triệu. Sau khi kiểm tra theo danh sách này thực sự có người nghe máy, PV trực tiếp gọi điện cho LongLong qua ứng dụng Telegram.
Đầu dây bên kia là một thanh niên có giọng nói còn khá trẻ: "Tất cả thông tin điện thoại, số dư tài khoản này đều mới cập nhật gần đây, chính NH cung cấp cho em nên không thể nào sai được. Em bán mỗi số 3.000 đồng, anh cần bao nhiêu cũng có, số nào không liên hệ được em bù cho số khác", người có tên LongLong cam kết. Sau khi chúng tôi nói cần mua 5.000 dữ liệu cá nhân, LongLong đã gửi số tài khoản NH để chuyển khoản thanh toán.
Chúng tôi liên hệ với một người rao bán khác có nick Pearl68 yêu cầu hú họa mua thông tin dữ liệu của Việt kiều Mỹ, cũng ngay lập tức được xác nhận. "Tôi có dữ liệu của 3 - 4 triệu Việt kiều Mỹ, giá 7.000 đồng/số. Nếu lấy từ 5.000 số trở lên thì giảm giá còn 6.000 đồng/số. Tôi sẽ gửi trước cho bạn kiểm tra một ít, nếu chính xác thì chúng ta thương lượng tiếp", Pearl68 rao.
Khi chúng tôi nói rằng việc chuyển tiền cọc trước quá rủi ro, nếu như người giấu mặt này chặn số thì coi như mất tiền, Pearl68 tỏ ra tự ái, đồng thời cam kết: "Bạn lên tất cả các group mua bán data xem tôi rao bán lâu rồi có bị phốt gì không? Tên trên Telegram 2 năm nay tôi cũng chưa đổi thì bạn biết tôi làm ăn thế nào. Nếu bạn sợ thì chia nhỏ tập tin ra, cứ 100 số 1 lần". Thấy đối phương có vẻ rất cương quyết giao dịch, chúng tôi lấy lý do đã quyết định mua bán dữ liệu của người khác và rút lui.
Các nước quản lý dữ liệu cá nhân như thế nào?
Quản lý dữ liệu cá nhân là một vấn đề phức tạp và quan trọng đối với các quốc gia trên thế giới. Tại châu Âu (EU), Quy định GDPR (General Data Protection Regulation) của EU là một trong những bộ luật nghiêm ngặt nhất về bảo vệ dữ liệu cá nhân. Nó yêu cầu các tổ chức phải minh bạch trong việc thu thập và sử dụng dữ liệu cá nhân, đồng thời phải có sự đồng ý rõ ràng của người dùng. Người dùng có quyền truy cập, chỉnh sửa, và yêu cầu xóa dữ liệu của mình. Các tổ chức vi phạm có thể bị phạt lên đến 20 triệu euro hoặc 4% doanh thu toàn cầu.
Tại Mỹ, một số tiểu bang như California cho phép người tiêu dùng biết thông tin cá nhân của họ được thu thập và yêu cầu các công ty xóa dữ liệu đó nếu muốn. Pháp luật cũng quy định nghiêm ngặt về bảo mật thông tin sức khỏe cá nhân, yêu cầu các tổ chức y tế phải bảo vệ thông tin sức khỏe của bệnh nhân. Tại Nhật Bản, luật APPI yêu cầu các DN phải có sự đồng ý của người dùng khi thu thập và sử dụng dữ liệu cá nhân, đồng thời phải bảo vệ dữ liệu khỏi việc bị lạm dụng hoặc xâm nhập.
LS Nguyễn Văn Hậu, Ủy viên thường vụ, Chủ nhiệm cơ quan truyền thông Liên đoàn LS VN
Hậu quả nặng nề
Trao đổi với Thanh Niên, ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo an ninh mạng Athena, thừa nhận: "Tình hình mua bán dữ liệu, thông tin cá nhân hiện nay ở trên mạng diễn ra rầm rộ, công khai, thậm chí có sự bắt tay, móc ngoặc giữa một số nhân viên đang quản lý data khách hàng của các hãng máy bay, BĐS, nhà mạng viễn thông…để đưa thông tin cá nhân ra ngoài. Việc mua bán này đương nhiên sẽ mang lại lợi ích, lợi nhuận cho những kẻ làm ăn phi pháp, tuy nhiên hậu quả mà khách hàng gánh chịu sẽ rất nặng nề.
Đơn cử như câu chuyện lộ thông tin lịch trình bay của hành khách mà Báo Thanh Niên đã phản ảnh. Chỉ cần khách vừa đặt mua vé xong là lập tức đã có nhiều nhà xe nhắn tin để chào dịch vụ đưa đón. Rõ ràng đây là hình thức làm ăn sai trái, gây ảnh hưởng đến người dân, nhưng việc quản lý, xử phạt dường như rất hiếm. Chính việc buông lỏng quản lý nên tình trạng mua bán dữ liệu, thông tin cá nhân mới diễn ra nhiều năm một cách công khai, rầm rộ như vậy".
Phân tích rõ hơn hệ quả của việc mua bán data, ông Ngô Minh Hiếu, chuyên gia bảo mật thuộc dự án Chongluadao.vn, khẳng định: "Vấn nạn mua bán dữ liệu cá nhân tràn lan hiện nay là một trong những nguyên nhân chính dẫn đến tình trạng lừa đảo trực tuyến và gây hậu quả nặng nề. Khi dữ liệu cá nhân bị bán và rơi vào tay kẻ xấu, chúng có thể sử dụng để thực hiện các cuộc lừa đảo có tính cá nhân hóa cao. Ví dụ như kẻ xấu sẽ gửi email, tin nhắn giả mạo để lừa người nhận cung cấp thêm thông tin nhạy cảm như mật khẩu, số thẻ tín dụng. Hoặc các đối tượng sử dụng data này để gọi điện giả danh các tổ chức uy tín như NH, cơ quan chính phủ, giả danh người quen để lừa lấy thông tin hoặc tiền bạc…".
"Việc có trong tay nhiều dữ liệu cá nhân giúp kẻ xấu thực hiện các cuộc tấn công có độ chính xác và thành công cao hơn. Bởi vì khi chúng có thể biết rõ tên, địa chỉ, số điện thoại…thì sẽ dễ dàng tạo sự tin tưởng từ phía nạn nhân. Dữ liệu cá nhân bị lộ có thể dẫn đến những hành vi lừa đảo tài chính nghiêm trọng, như sử dụng thông tin cá nhân để mở tài khoản NH giả mạo, sử dụng thông tin của nạn nhân để thực hiện các giao dịch trái phép…", ông Hiếu chia sẻ.
Theo các chuyên gia công nghệ bảo mật, dữ liệu cá nhân là một nguồn tài nguyên quý giá cho các DN, giúp họ phân tích thị trường và nhắm mục tiêu quảng cáo chính xác hơn. Chính vì nhu cầu rất lớn như vậy đã tạo nên thị trường mua bán trái phép. Tại cuộc hội thảo mới đây, Bộ Công an cho biết đã ghi nhận tình trạng dữ liệu cá nhân được buôn bán có tổ chức, thậm chí cam kết bảo hành và có khả năng cập nhật.
Lãnh đạo Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05, Bộ Công an) nhận định: Việc mua bán dữ liệu cá nhân hiện nay có thể được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc... Đặc biệt việc mua bán dữ liệu cá nhân đang được tiến hành có hệ thống, có tổ chức, bên bán thậm chí cam kết bảo hành, có khả năng cập nhật và trích xuất dữ liệu theo yêu cầu người mua.
Trong một số trường hợp, giao dịch được thanh toán trực tiếp qua tài khoản NH, ghi rõ nội dung mua bán dữ liệu. Ngoài ra, A05 cũng ghi nhận tình trạng không chỉ diễn ra đơn lẻ giữa các cá nhân, mà còn có sự tham gia của các công ty, tổ chức, DN. Một số công ty được thành lập mới, đầu tư xây dựng, vận hành hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận.
Cần tăng cường kiểm soát
Ở góc độ pháp lý, luật sư (LS) Nguyễn Văn Hậu, Ủy viên thường vụ, Chủ nhiệm cơ quan truyền thông Liên đoàn LS VN, cho biết: Hành vi sử dụng và truyền thông tin dữ liệu cá nhân trái phép trên mạng máy tính và mạng viễn thông là hành vi bị pháp luật nghiêm cấm, có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự tùy vào hành vi cụ thể và mức độ nghiêm trọng trên thực tế.
Về biện pháp xử phạt hành chính, cá nhân, tổ chức mua bán dữ liệu thông tin cá nhân của người khác sẽ bị xử phạt từ 50 - 70 triệu đồng và buộc nộp lại số lợi bất hợp pháp có được, mức phạt tiền đối với cá nhân sẽ bằng 1/2 mức quy định. Trong trường hợp hành vi mua bán dữ liệu thông tin cá nhân đủ yếu tố cấu thành tội phạm thì chủ thể thực hiện hành vi sẽ bị truy cứu về "Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông" tại điều 288 bộ luật Hình sự 2015, sửa đổi 2017. Người phạm tội sẽ bị phạt tiền từ 30 - 200 triệu đồng, phạt cải tạo không giam giữ đến 3 năm hoặc bị phạt tù nhẹ nhất 6 tháng, nặng nhất 7 năm tùy theo hành vi thực hiện và mức độ nghiêm trọng. Ngoài ra, người phạm tội còn có thể bị phạt tiền từ 20 - 200 triệu đồng, cấm đảm nhiệm chức vụ, cấm hành nghề hoặc làm công việc nhất định từ 1 - 5 năm.
Mặc dù pháp luật đã có các quy định xử phạt, các chuyên gia bảo mật thừa nhận việc thực thi đang có dấu hiệu buông lỏng khiến cho tình hình mua bán dữ liệu ngày càng nghiêm trọng hơn. Ông Võ Đỗ Thắng nhận xét: Lâu nay rất nhiều báo đài phản ánh thực trạng và hậu quả nặng nề của việc mua bán thông tin cá nhân, nhưng các vụ việc được xử lý khá ít ỏi, hiếm hoi lắm mới thấy xử lý một vụ. Do đó, để chấn chỉnh tình trạng này, cần sự vào cuộc quyết liệt, nghiêm túc của các cơ quan quản lý, chứ chờ đợi người tiêu dùng gửi đơn thưa thì rất thụ động và không thể răn đe.
Cùng nhận định trên, ông Ngô Minh Hiếu chỉ ra ngay cả khi có luật, việc giám sát và thực thi xử phạt các vi phạm thường gặp hiện nay vẫn còn nhiều khó khăn và hình thức phạt chưa đủ răn đe. Bên cạnh đó, nhận thức của người dùng còn hạn chế như thiếu kiến thức bảo vệ dữ liệu, dễ dãi trong việc cung cấp thông tin. Đối với những cá nhân làm lộ data của khách hàng, họ có thể nhận được lợi ích nhưng nếu so với hậu quả mà người dùng phải gánh chịu thì rất chênh lệch, không thể nào tương xứng.
"Các quốc gia hiện nay đều có xu hướng chung là cần phải có một bộ quy tắc quy phạm pháp luật riêng về bảo vệ dữ liệu cá nhân. Do đó, yêu cầu sửa đổi, bổ sung các quy phạm pháp luật về công nghệ thông tin hiện nay cần phải được thực hiện nhanh chóng, nhằm cập nhật kịp với tiến độ phát triển của công nghệ thông tin và bao quát được toàn bộ các trường hợp đang xảy ra trên thực tế", LS Nguyễn Văn Hậu kiến nghị.
Trong năm 2023, Bộ Công an đã phát hiện, điều tra, xác minh 16 vụ lộ, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên không gian mạng. Hàng trăm cá nhân, tổ chức liên quan cùng một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại VN đã bị xử lý, với dung lượng hàng nghìn GB, trong đó có nhiều thông tin cá nhân, nội bộ, nhạy cảm. Theo lãnh đạo A05, việc lộ lọt thông tin, dữ liệu cá nhân xuất phát từ việc quản trị dữ liệu nói chung còn nhiều hạn chế. Đơn cử, trung tâm dữ liệu không được thường xuyên kiểm tra, bảo trì, nâng cấp dẫn đến nguy cơ không bảo đảm an ninh, an toàn hệ thống. Nhân lực vận hành, quản trị hệ thống thông tin vừa thiếu vừa yếu. Nhiều đơn vị thuê hạ tầng công nghệ thông tin tiềm ẩn rủi ro về an toàn do chưa thực sự quản lý, kiểm soát được dữ liệu trên hạ tầng của DN. Vấn đề bảo vệ dữ liệu cá nhân trước thực trạng mua bán, sử dụng, trái phép như hiện nay đã được coi là vấn đề chủ quyền, an ninh dữ liệu.
Để chấn chỉnh tình trạng mua bán dữ liệu cá nhân hiện nay, cần xây dựng luật riêng biệt bảo vệ dữ liệu cá nhân, trong đó có các quy định cụ thể về việc thu thập, lưu trữ, xử lý và bảo vệ dữ liệu; yêu cầu sự đồng ý rõ ràng và minh bạch từ người dùng trước khi thu thập và sử dụng dữ liệu của họ. Bên cạnh đó cần tăng cường trách nhiệm và xử phạt nghiêm minh, áp dụng các hình phạt nặng đối với các tổ chức và cá nhân vi phạm luật bảo vệ dữ liệu cá nhân. Ngoài ra cần phải tăng cường hợp tác quốc tế, tham gia vào các tổ chức quốc tế và hợp tác với các quốc gia khác để chia sẻ kinh nghiệm và giải pháp về bảo vệ dữ liệu cá nhân; áp dụng các công nghệ tiên tiến và biện pháp bảo mật từ các quốc gia khác vào hệ thống quản lý dữ liệu trong nước.
Ông Ngô Minh Hiếu, chuyên gia bảo mật (Dự án Chongluadao.vn)