Tình trạng mua bán dữ liệu cá nhân trên internet đang diễn biến phức tạp, gây ảnh hưởng nghiêm trọng đến đời sống người dân. Mới đây nhất, Công an TP Huế vừa triệt phá một đường dây mua bán trái phép thông tin cá nhân quy mô lớn, với gần 56 triệu dữ liệu bị rao bán trên mạng. Theo điều tra, từ năm 2019, L.C.Đ. (SN 1997, trú Hà Nội) cùng đồng phạm đã thu thập, giao dịch dữ liệu cá nhân trên cả nước, trong đó có nhiều cán bộ, công chức, nhân viên doanh nghiệp và người dân tại TP Huế. Đối tượng sử dụng SIM “rác”, tài khoản ngân hàng không chính chủ và các tài khoản ảo trên mạng xã hội để che giấu hành vi.

Để làm rõ những lỗ hổng trong việc bảo mật thông tin cá nhân, PV đã có buổi trao đổi với chuyên gia an ninh mạng Vũ Ngọc Sơn, Giám đốc Công nghệ, Công ty Công nghệ An ninh mạng Quốc gia Việt Nam (NCS) và Luật sư Diệp Năng Bình - Trưởng Văn phòng Luật sư Tinh Thông Luật (Đoàn Luật sư TP HCM).

- Thưa chuyên gia Vũ Ngọc Sơn, với tình trạng lộ lọt dữ liệu cá nhân ngày càng nghiêm trọng, đâu là lỗ hổng bảo mật lớn nhất mà các tổ chức và cá nhân thường gặp phải?

Chuyên gia Vũ Ngọc Sơn: Tình trạng lộ lọt dữ liệu cá nhân tại Việt Nam lại tiếp tục diễn biến phức tạp, nghiêm trọng. Theo thống kê của Hiệp hội An ninh mạng quốc gia, năm 2024, có tới 66,24% người dùng xác nhận rằng thông tin của họ từng bị sử dụng trái phép.

Có nhiều nguyên nhân dẫn tới tình trạng này, trong đó theo kết quả khảo sát thì 73,99% người dùng nhận định bị lộ lọt do họ cung cấp thông tin khi mua hàng trực tuyến. Bên cạnh đó 62,13% cho rằng nguyên nhân tới từ chia sẻ thông tin trên mạng xã hội và 67,00% cho rằng lộ lọt trong quá trình sử dụng dịch vụ thiết yếu như nhà hàng, khách sạn, siêu thị.

Theo tôi, đây cũng là những nguyên nhân phổ biến trên thế giới. Một người dùng hiện nay thường có từ 2,3 tài khoản và sử dụng mạng xã hội, truy cập hàng chục trang web thương mại điện tử, cung cấp thông tin cho hàng trăm cửa hàng, khách sạn, siêu thị trong các hoạt động thường ngày. Điều này khiến cho thông tin cá nhân được thu thập, lưu trữ ở hàng trăm hệ thống khác nhau. Trong khi việc đảm bảo an ninh dữ liệu cho các hệ thống này không đồng nhất, có những nguy cơ bị tấn công, rò rỉ dữ liệu từ quy trình vận hành, con người hay lỗ hổng an ninh mạng.

Bên cạnh đó, nhiều người dùng cũng thiếu ý thức trong bảo vệ thông tin cá nhân, sẵn sàng cung cấp cho người khác mà không cần kiểm tra lại xem thông tin của mình được dùng để làm gì. Thông tin dữ liệu cá nhân bị lộ lọt không chỉ gây phiền toái cho người dùng mà còn tạo điều kiện cho các hành vi lừa đảo tinh vi hơn. Tin tặc thường kết hợp dữ liệu cá nhân với các công nghệ như AI để tạo ra các kịch bản lừa đảo đánh trúng tâm lý, dễ thuyết phục nạn nhân.

-Thưa luật sư Diệp Năng Bình, theo quy định pháp luật hiện hành, hành vi mua bán dữ liệu cá nhân trái phép bị xử lý như thế nào? Mức xử phạt có đủ sức răn đe không?

Luật sư Diệp Năng Bình: Theo Luật An toàn thông tin mạng 2015, hành vi thu thập, sử dụng, phát tán, kinh doanh trái phép dữ liệu cá nhân bị nghiêm cấm. Tùy theo mức độ vi phạm, cá nhân và tổ chức vi phạm có thể bị xử lý hành chính hoặc truy cứu trách nhiệm hình sự.

Theo Nghị định 15/2020/NĐ-CP (sửa đổi bởi Nghị định 14/2022/NĐ-CP), tổ chức vi phạm có thể bị phạt từ 40 - 60 triệu đồng, cá nhân vi phạm bị phạt tối đa 30 triệu đồng. Ngoài ra, tổ chức vi phạm buộc phải hủy bỏ dữ liệu thu thập trái phép.

Nếu vi phạm có dấu hiệu tội phạm, có thể bị truy tố theo Điều 159 và Điều 288 Bộ luật Hình sự 2015 (sửa đổi 2017): Tội xâm phạm bí mật thư tín, thông tin cá nhân (Điều 159): Hình phạt từ cảnh cáo đến 3 năm tù, phạt tiền từ 5 - 20 triệu đồng.

Tội sử dụng trái phép thông tin mạng (Điều 288): Hình phạt từ 30 triệu đồng đến 7 năm tù, kèm theo phạt tiền lên đến 200 triệu đồng, có thể bị cấm hành nghề từ 1 - 5 năm.

So với tình trạng bị hack, lừa đảo, để lộ dữ liệu cá nhân phổ biến như hiện nay, có thể thấy mức xử phạt mà Nhà nước đang áp dụng vẫn còn khá thấp, chưa đủ sức răn đe và có thể khiến các đối tượng tái diễn hành vi vi phạm.

Trong bối cảnh chuyển đổi công nghệ số mạnh mẽ như hiện nay, vấn đề bảo vệ dữ liệu cá nhân là điều hết sức trọng yếu và là tiền đề cho công cuộc chuyển đổi số. Chính vì vậy, Nhà nước cần thiết phải có các biện pháp xử lý mang tính răn đe, quyết liệt hơn để hạn chế cũng như tiến đến ngăn chặn hoàn toàn các vi phạm liên quan đến bảo vệ dữ liệu cá nhân.

-Trong bối cảnh tội phạm mạng ngày càng tinh vi, người dùng có thể áp dụng những biện pháp nào để bảo vệ thông tin cá nhân một cách hiệu quả nhất, thưa chuyên gia Vũ Ngọc Sơn?

Chuyên gia Vũ Ngọc Sơn: Người dùng nên hạn chế chia sẻ thông tin cá nhân nhạy cảm trên mạng xã hội. Trước khi cung cấp thông tin, cần kiểm tra kỹ lưỡng uy tín của các website và doanh nghiệp. Sử dụng mật khẩu mạnh, khác biệt cho mỗi tài khoản và kích hoạt xác thực hai yếu tố (2FA) để bảo vệ các tài khoản cá nhân.

Khi bị mắc “bẫy” lừa đảo, người dùng cần ngay lập tức báo cáo với cơ quan chức năng điều tra, thu thập bằng chứng và truy bắt tội phạm. Điều này có thể giúp nạn nhân lấy lại tài sản, đồng thời xây dựng cơ sở dữ liệu về các phương thức lừa đảo để cảnh báo cộng đồng.

Năm 2025 sẽ chứng kiến sự bùng nổ của AI, Deepfake và các công nghệ mới, làm gia tăng nguy cơ tấn công mạng. Hacker sẽ lợi dụng AI để tự động hóa các cuộc tấn công, khai thác lỗ hổng bảo mật trên các thiết bị IoT như camera, đồng hồ thông minh.

Để tự bảo vệ, người dùng cần nâng cao cảnh giác, xác minh kỹ thông tin trước khi giao dịch tài chính, sử dụng ứng dụng chống lừa đảo và hạn chế chia sẻ dữ liệu cá nhân.

-Vậy theo luật sư, cần bổ sung những quy định nào trong luật để bảo vệ dữ liệu cá nhân tốt hơn và ngăn chặn tình trạng mua bán thông tin trái phép?

Luật sư Diệp Năng Bình: Để ngăn chặn tình trạng mua bán thông tin trái phép cũng như bảo vệ dữ liệu cá nhân có hiệu quả, các cơ quan chủ trì soạn thảo văn bản quy phạm pháp luật cần nghiên cứu thêm các quy định mang tính ràng buộc về biện pháp bảo đảm hệ thống bảo mật an toàn, an ninh thông tin của doanh nghiệp, tổ chức thu thập, sử dụng dữ liệu cá nhân; cùng với đó làm rõ cơ quan nào có thẩm quyền cấp phép, kiểm tra kỹ thuật các hệ thống dữ liệu.

Ngoài ra, các cơ quan chủ trì soạn thảo văn bản quy phạm pháp luật cũng cần nghiên cứu giải pháp đồng bộ để bảo vệ dữ liệu không chỉ của cá nhân mà còn của cơ quan, tổ chức; cách thức liên thông, kết nối hệ thống dữ liệu giữa các đơn vị của Bộ Công an, các cơ quan nhà nước...

Xin cảm ơn chuyên gia an ninh mạng Vũ Ngọc Sơn và Luật sư Diệp Năng Bình!

Dữ liệu cá nhân trở thành "món hàng" trên chợ đen
Một thời gian dài, điện thoại của anh Hoàng Giang (Phường Ba Đình, TP Thanh Hóa, tỉnh Thanh Hóa) tràn ngập cuộc gọi từ những số lạ. Hết tư vấn bảo hiểm, mời vay tiền, đến chào mời mua đất nền, thậm chí có người còn gọi để chúc mừng anh "trúng thưởng" một món quà anh chưa từng đăng ký.
Ban đầu, anh chỉ đơn giản từ chối, nhưng rồi tần suất ngày càng dày đặc. Có hôm đang họp, một số lạ gọi đến báo có gói vay ưu đãi dành riêng cho anh. Chưa kịp dứt lời, người gọi đã nhắc rõ tên, địa chỉ, thậm chí cả nơi làm việc của anh. "Sao họ có thể biết chính xác về tôi đến vậy?" - câu hỏi đó cứ ám ảnh anh suốt nhiều ngày sau.
Không chỉ là những cuộc gọi làm phiền, anh Tuấn Bảo, chủ một doanh nghiệp kinh doanh nội thất tại Hà Nội, còn rơi vào tình huống oái oăm hơn. Một ngày, anh liên tục nhận được điện thoại từ một số lạ yêu cầu thanh toán khoản nợ mà anh chưa từng vay. Nghĩ rằng đây chỉ là trò lừa đảo thông thường, anh phớt lờ. Nhưng rồi, những tin nhắn đe dọa xuất hiện, kèm theo một bản hợp đồng có ảnh chụp căn cước công dân của chính anh.
Anh Bảo chết lặng. Giấy tờ tùy thân của anh đã bị lộ lọt từ lúc nào? Ai đã sử dụng thông tin cá nhân của anh để ký hợp đồng vay tiền? Những câu hỏi ấy khiến anh mất ngủ suốt nhiều đêm.
Anh Giang và anh Bảo chỉ là hai trong vô số nạn nhân của nạn buôn bán dữ liệu cá nhân. Hiện nay, trên các diễn đàn ngầm, chỉ với vài trăm nghìn đồng, bất cứ ai cũng có thể mua được danh sách hàng ngàn người với đầy đủ thông tin: Họ tên, số điện thoại, địa chỉ, thậm chí cả lịch sử mua sắm. Đáng nói hơn, nhiều kẻ xấu còn sử dụng dữ liệu này để mạo danh, thực hiện các hành vi lừa đảo tinh vi hơn.

×