Để lộ thông tin cá nhân khiến gia tăng lừa đảo, doanh nghiệp chịu trách nhiệm gì?

Thời gian qua, tình trạng để lộ dữ liệu cá nhân diễn ra phổ biến, công khai và có hệ thống, thậm chí, nhiều dữ liệu về thông tin cá nhân bị rao bán bất hợp pháp trong thời gian dài, lặp đi lặp lại. Trong đó, thông tin khách hàng của nhiều doanh nghiệp lớn cũng bị lộ lọt mà chưa thể xử lý.

Câu chuyện lộ, lọt, thậm chí mua bán thông tin cá nhân đang khiến cho tình trạng lừa đảo trực tuyến gia tăng nhanh chóng trong thời gian qua. Kiểm soát vấn đề này, và chế tài xử lý các doanh nghiệp vi phạm hiện vẫn còn là câu hỏi lớn? 

Gần 1.300 GB dữ liệu cá nhân bị thu thập mua bán trái phép

Mới đây, trong "Chương trình đào tạo nhận thức, tuân thủ bảo vệ dữ liệu cá nhân theo nghị định 13/2023/NĐ-CP", Tổng giám đốc Công ty An ninh mạng SCS, ông Ngô Tuấn Anh, cho biết theo một số liệu thống kê, trong vòng 2 năm số lượng dữ liệu cá nhân bị thu thập mua bán trái phép phát hiện được lên tới gần 1.300 GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.

Liên quan đến vấn đề này, ông Ngô Tuấn Anh, cho rằng đây chỉ là "bề nổi của tảng băng" bởi thực tế còn rất nhiều vụ việc chưa được phát hiện.

Năm ngoái, thống kê từ Bộ Công an, cho thấy Việt Nam đang có 77,93 triệu người sử dụng Internet (chiếm hơn 79% dân số), xếp thứ 12 trên thế giới. Tuy nhiên, dữ liệu cá nhân của hơn 2/3 dân số Việt Nam đang bị thu thập, chia sẻ trên mạng với với nhiều hình thức và mức độ khác nhau.

Trong 2 năm qua, lực lượng chức năng đã khởi tố 5 vụ án hình sự, với hàng nghìn GB dữ liệu và chứa hàng tỷ thông tin cá nhân bị mua bán. Theo cơ quan chức năng, những đối tượng đầu tiên dễ bị ảnh hưởng bởi việc lộ lọt dữ liệu thường là các cơ quan hành chính công hoặc các doanh nghiệp, tập đoàn có lượng dữ liệu lớn và đặc biệt nhạy cảm. Thứ hai là nhóm người dùng yếu thế, có độ "trưởng thành số" thấp như người già, trẻ em hay người ít kiến thức về an toàn thông tin.

Một trong những hậu quả là sự phổ biến của tình trạng lừa đảo trên mạng hiện nay. Và tất cả đều xuất phát từ việc tội phạm đã biết trước thông tin cá nhân của nạn nhân.

Đơn cử như vụ việc của ông Trần Văn Ba (Tp Hồ Chí Minh), ông Ba thường mua hàng qua một kênh TV Home Shoping. Nhóm lừa đảo bằng cách nào đó đã có được số điện thoại, địa chỉ và thông tin mua hàng của ông rồi mạo danh kênh mua sắm gọi điện tới thông báo ông trúng thưởng xe hơi. Nhóm này lừa ông chuyển 5 triệu đồng chi phí tiền vận chuyển,hòng chiếm đoạt số tiền này.

Ông Trần Văn Ba (TP Hồ Chí Minh) chia sẻ: "Mình già cả còn bị lừa như vậy. Tìm đến thì chẳng có văn phòng nào nào cả".

Trong khi đó, kênh HomeShoping xác nhận bị nhóm lừa đảo mạo danh và đã phát đi các cảnh báo với khách hàng. Tuy nhiên, ít nhất đã có 20 người trình báo bị lừa với tổng số tiền hơn 400 triệu đồng.

Tháng 3/2023, dư luận dậy sóng vì vụ hàng chục phụ huynh ở Thành phố Hồ Chí Minh bị kẻ xấu mạo danh giáo viên và bác sĩ gọi điện thoại lừa con họ bị tai nạn để yêu cầu chuyển tiền cấp cứu.

Các vụ lừa đảo qua điện thoại hoặc qua mạng Internet thường có một điểm chung là kẻ xấu luôn biết rõ tên tuổi và thông tin cá nhân của nạn nhân. Chỉ trong năm ngoái, Cổng cảnh báo an toàn thông tin Việt Nam đã ghi nhận hơn 12.900 trường hợp lừa đảo qua mạng, tăng gần gấp đôi so với năm 2021.

Nhiều doanh nghiệp để lộ, lọt thông tin cá nhân

Bộ Công an mới đây nêu rõ một loạt doanh nghiệp về công nghệ để lộ thông tin khách hàng hay các công ty môi giới dịch vụ taxi sử dụng thông tin của hành khách bị lộ để mời chào dịch vụ qua tin nhắn SMS…

Cũng theo Bộ Công an, tình trạng lộ, mua bán dữ liệu cá nhân hiện nay diễn ra phổ biến, công khai và ngày càng phức tạp. Nghiêm trọng hơn, nhiều dữ liệu bị rao bán công khai trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp.

Phân tích nguyên nhân từ các vụ lộ lọt dữ liệu, ông Ngô Tuấn Anh cho hay nguyên nhân chính liên quan tới các vụ lộ lọt dữ liệu là từ các cuộc tấn công mạng – khi dữ liệu là nguồn tài sản có giá trị lớn và kẻ xấu muốn tấn công để khai thác. Ngoài ra, một nguyên nhân khác đó là rò rỉ, lộ lọt dữ liệu xuất phát từ nội bộ những người có quyền truy cập vào hệ thống.

Năm 2018 thông tin về việc Thegioididong.com bị rò rỉ thông tin và tin tặc đã lấy được thông tin quan trọng như: địa chỉ email, lịch sử giao dịch và thậm chí là cả số thẻ đã được các diễn đàn công nghệ đưa ra, khiến hàng triệu khách hàng đứng ngồi không yên. Phía Thế Giới Di Động ngay sau đó phát đi thông cáo báo chí khẳng định đây là thông tin giả, hệ thống vẫn an toàn, hoạt động bình thường và không hề bị ảnh hưởng. Sau đó, mọi việc cũng dần dần im lặng.

VNG vào tháng 4.2018 ghi nhận có 160 triệu tài khoản Zing ID nguy cơ bị rò rỉ và có thể ảnh hưởng tới một bộ phận tệp khách hàng chơi game của công ty. Công ty này cho biết đã kịp thời có các biện pháp xử lý, ngăn chặn xâm nhập, giới hạn số lượng người dùng bị ảnh hưởng bởi sự cố thông qua các biện pháp kỹ thuật.

Mặc dù vậy, VNG thừa nhận đã có một số lượng người dùng bị lộ thông tin nhưng "phạm vi người dùng bị tác động thực sự bởi sự cố này không lớn, tập trung ở các khách hàng chơi game và không ảnh hưởng tới các sản phẩm khác của VNG", đồng thời cam kết sẽ luôn đảm bảo quyền lợi và sự an toàn cho khách hàng, đồng thời sẽ giải quyết triệt để cho khách hàng nếu như có bất cứ vấn đề nào phát sinh…

Theo ông Võ Đỗ Thắng, Trung tâm An ninh mạng Athena, đối với những vụ việc cụ thể như Bộ Công an đã nêu ra thì phải có điều tra mới biết hệ thống của doanh nghiệp bị tấn công hay do nhân viên công ty lấy cắp dữ liệu đưa ra ngoài. Nhưng dù với lý do gì thì khi dữ liệu bị rò rỉ ra ngoài có nghĩa là hệ thống của doanh nghiệp có lỗ hổng. Lỗ hổng ở đây có thể là về kỹ thuật hoặc là con người. Do đó, việc đảm bảo an ninh, an toàn mạng nói chung hay bảo vệ dữ liệu cá nhân khách hàng phải được giám sát, thực hiện thường xuyên 24/24 trong suốt 365 ngày mà không thể lơ là.

Bởi, theo ông Thắng không ai có thể dám khẳng định hệ thống của mình luôn an toàn vì tin tặc có thể tấn công bất kỳ lúc nào. Đó là chưa kể tình trạng chính nhân viên của công ty là những người lấy cắp dữ liệu khách hàng để bán ra bên ngoài…

Cần chế tài “mạnh tay” hơn với các doanh nghiệp để lộ, lọt thông tin

Thời gian qua, xảy ra hàng loạt vụ để lộ thông tin khách hàng nhưng hầu như chưa thấy có đơn vị nào bị xử phạt, và dường như các chế tài xử phạt cũng chưa đủ sức răn đe khiến câu chuyện trở nên “khổ lắm nói mãi”.

Trong khi các nước trên thế giới đều có những chế tài nghiêm túc và mức xử phạt cũng rất nặng về các hành vi này. Đơn cử, tháng 7.2019, Ủy ban Thương mại Liên bang Hoa ỳ đã ra quyết định phạt Facebook 5 tỉ USD sau khi dữ liệu cá nhân của 87 triệu người dùng mạng xã hội này bị Công ty Cambridge Analytica tiếp cận và sử dụng trái phép.

Theo điều tra, Facebook đã để Công ty truyền thông Cambridge Analytica tiếp cận trái phép dữ liệu của 50 triệu người dùng Mỹ trong chiến dịch bầu cử tổng thống năm 2016 cũng như cuộc trưng cầu dân ý Brexit ở Anh vào năm 2016… Đây là khoản phạt lớn nhất thế giới từ trước tới nay đối với một vụ bê bối làm rò rỉ dữ liệu người dùng.

Tại Việt Nam, đã có nhiều quy định liên quan đến việc xử phạt về việc để lộ, lọt thông tin và bảo vệ dự liệu thông tin cá nhân. Tuy nhiên, câu chuyện vẫn dường như muối bỏ bễ, rất nhiều vụ việc nổi cộm đang diễn ra trong đời sống, đặc biệt là gia tăng tình trạng lừa đảo khi có rất nhiều cá nhận bị thiệt hại cả vật chất lẫn tinh thần mà không hiểu vì sao “thông tin cá nhân của mình lại được các đối tượng hiểu đến vậy?”.

Hiện tại, Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (đang lấy ý kiến và chờ Chính phủ ban hành), dự thảo này có đưa ra quy định với mức xử phạt tối đa dành cho các tổ chức vi phạm quy định về bảo vệ dữ liệu cá nhân là phạt tiền tới 5% tổng doanh thu năm tài chính liền trước đối với hành vi vi phạm từ lần hai trở lên. Đồng thời có thể xử phạt bổ sung là tước giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 1 - 3 tháng.

Theo ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty công nghệ an ninh mạng Việt Nam, ở Việt Nam, việc đánh giá mức độ ảnh hưởng của từng vụ lộ, lọt thông tin cá nhân vẫn chưa có thang đo nào nên chỉ có thể đề xuất mức phạt theo doanh thu cũng là hợp lý. “Tôi nghĩ rằng đây sẽ là một bước tiến mới trong quá trình kiểm soát, bảo vệ dữ liệu cá nhân của người dân”, ông Sơn chia sẻ.

Cũng theo ông Sơn, từ trước đến nay do thiếu quy định chi tiết về bảo vệ dữ liệu cá nhân nên các doanh nghiệp, tổ chức bị vi phạm cũng sẽ chỉ bị xử phạt hành chính. Vì thế, mức đề xuất xử phạt cao nhất đến 5% tổng doanh thu của dự thảo sắp ra đời là phù hợp với Việt Nam và mang tính răn đe để các đơn vị có trách nhiệm cao hơn trong việc bảo vệ dữ liệu của khách hàng.

Tuy nhiên, theo ông Sơn, số tiền phạt này vẫn không phải là cao so với thế giới. Bởi với nhiều nước, đa số mức xử phạt sẽ được đánh giá dựa trên quy mô tác động của từng vụ vi phạm. Ví dụ như có vụ vi phạm dù là xuất phát từ doanh nghiệp nhỏ nhưng mức độ ảnh hưởng nghiêm trọng đến lượng lớn người dùng thì số tiền phạt vẫn rất nhiều.

Cùng quan điểm trên, ông Võ Đỗ Thắng nhận định, rằng việc có thêm quy định chi tiết về mức xử phạt hành chính cụ thể, công khai với hành vi bảo vệ dữ liệu cá nhân của khách hàng sẽ buộc các doanh nghiệp phải xem xét lại hệ thống an toàn an ninh mạng. Có quy trình đánh giá, giám sát thường xuyên về cả kỹ thuật lẫn nhân sự để đảm bảo bí mật thông tin của khách hàng.

Không chỉ vậy, theo ông Thắng, các cơ quan quản lý nhà nước cũng cần tăng cường kiểm tra, giám sát và xử phạt nghiêm các doanh nghiệp vi phạm. Có thể lần 1 là công khai trên phương tiện thông tin đại chúng; vi phạm lần 2 sẽ bị các mức phạt hành chính tương ứng và sau đó có thể tạm ngưng dịch vụ một thời gian để doanh nghiệp củng cố hệ thống an toàn an ninh mạng.

“Không kể doanh nghiệp lớn hay nhỏ, khi bắt đầu đi vào hoạt động thì phải tuân thủ quy định về đảm bảo an toàn an ninh mạng. Điều này không chỉ bảo vệ dữ liệu cá nhân cho người dùng mà từ đó sẽ góp phần làm tăng hệ số tín nhiệm của Việt Nam trong môi trường kinh tế số”, ông Thắng nhấn mạnh.

Minh Đức