Bộ Công an: VNG, Thế giới di động, Điện máy xanh để lộ thông tin hàng triệu khách hàng
Theo Báo cáo đánh giá tác động của chính sách trong đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân, Bộ Công an nêu rõ một số vụ doanh nghiệp để lộ thông tin khách hàng điển hình như: VNG để lộ hơn 163 triệu tài khoản khách hàng; Thế giới di động (MWG) và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán của khách hàng.
Bộ Công an vừa hoàn thành dự thảo hồ sơ đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân, gồm 2 dự thảo: Báo cáo đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân và Báo cáo đánh giá tác động của chính sách trong đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân.
Báo cáo đánh giá tác động của chính sách trong đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân chỉ ra rằng, dữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ chi tiết khác nhau.
Hiện, đã có nhiều doanh nghiệp sử dụng dữ liệu cá nhân vào mục đích kinh doanh, phát triển kinh tế, tạo giá trị cho xã hội. Bên cạnh đó cũng xuất hiện nhiều vụ lộ, mất dữ liệu cá nhân nghiêm trọng, liên quan tới hàng chục triệu người.
Báo cáo đánh giá tác động của chính sách trong đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân cũng cho thấy, tình trạng mua bán dữ liệu cá nhân đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý. Nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.
Việc buôn bán dữ liệu cá nhân thậm chí được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng.
Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp. Một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận.
Thời gian gần đây, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý.
Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.
Bộ Công an cũng nêu rõ một số vụ việc điển hình như Công ty VNG (VNZ) để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động (MWG) và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng.
Thậm chí, tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airline, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng.
Bên cạnh đó, tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS; dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng cũng được nhắc đến.
Theo Bộ Công an, tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô (thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh; thông tin khách hàng thuộc các lĩnh vực bất động sản, siêu thị, mua ô tô, xe máy…) và dữ liệu cá nhân đã qua xử lý (thông tin chi tiết về các cá nhân, tổ chức, doanh nghiệp, như họ tên, ngày sinh, số CMND, địa chỉ, số điện thoại, số tài khoản ngân hàng bao gồm cả số dư, thân nhân, chức vụ, vị trí công tác…), nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.
Bộ Công an đã chủ động phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên không gian mạng. Qua công tác đấu tranh, Bộ Công an phát hiện số lượng lớn dữ liệu bị lộ mất được tin tặc rao bán công khai trên các nền tảng, diễn đàn (BreachedForums, Telegram, Facebook). Các đối tượng rao bán hoạt động với độ ẩn danh cao, thủ đoạn hoạt động và phương thức thanh toán hoàn toàn bằng tiền mã hoá nên khó truy vết. Nổi lên là: nhóm Telegram “Data Pro 298” (4.685 thành viên) cung cấp dịch vụ tra cứu thông tin dữ liệu viễn thông, Facebook, điện lực, ví điện tử Momo, thông tin biển kiểm soát phương tiện giao thông; nhóm Telegram “Tra cứu thông tin toàn quốc” (2.700 thành viên) cung cấp dịch vụ tra “nóng” dữ liệu cá nhân công dân Việt Nam (dữ liệu thời gian thực); diễn đàn tin tặc “Nohide.space” (nguồn gốc Nga) rao bán số lượng lớn thông tin đăng nhập nhiều hệ thống trọng yếu của Việt Nam… Một số trường hợp còn lợi dụng các diễn đàn, hội nhóm chia sẻ phương thức tấn công mạng, cách thức phát triển, phát tán mã độc số lượng lớn, gây nguy cơ mất an toàn, an ninh mạng.
Thực trạng này cho thấy hệ thống cơ sở dữ liệu của cơ quan nhà nước và khu vực doanh nghiệp vẫn có những điểm yếu, lỗ hổng bảo mật để tin tặc lợi dụng xâm nhập, đánh cắp dữ liệu.
Theo Bộ Công an, với thực trạng buôn bán, xử lý dữ liệu cá nhân tràn lan như hiện nay, việc không có chế tài xử lý hoặc chế tài xử lý không đủ mạnh, không đủ sức răn đe sẽ không giải quyết được tình hình. Luật Bảo vệ dữ liệu cá nhân sẽ quy phạm đầy đủ các nội dung bảo vệ dữ liệu cá nhân, các hành vi vi phạm quy định sẽ được căn cứ vào Luật để đề xuất các hình thức, biện pháp xử lý phù hợp.
Việc ban hành Luật Bảo vệ dữ liệu cá nhân là hết sức cần thiết, nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân.