Sẽ xử phạt nặng hành vi mua bán dữ liệu cá nhân

Công khai mua bán dữ liệu cá nhân

Trong năm 2023, Bộ Công an đã phát hiện, điều tra, xác minh 16 vụ lộ, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên không gian mạng. Hàng trăm cá nhân, tổ chức liên quan cùng một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị xử lý, với dung lượng hàng nghìn GB, trong đó có nhiều thông tin cá nhân, nội bộ, nhạy cảm. Các đối tượng rao bán hoạt động với độ ẩn danh cao, thủ đoạn hoạt động và phương thức thanh toán hoàn toàn bằng tiền mã hóa nên khó truy vết.

Ông Triệu Mạnh Tùng, Phó cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05, Bộ Công an) cho rằng, tình trạng lộ dữ liệu cá nhân vẫn diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng, dẫn tới bị chiếm đoạt và đăng tải công khai.

Ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo an ninh mạng Athena, thừa nhận: "Tình hình mua bán dữ liệu, thông tin cá nhân hiện nay ở trên mạng diễn ra rầm rộ, công khai, thậm chí có sự bắt tay, móc ngoặc giữa một số nhân viên đang quản lý data khách hàng của các hãng máy bay, BĐS, nhà mạng viễn thông…để đưa thông tin cá nhân ra ngoài. Việc mua bán này đương nhiên sẽ mang lại lợi ích, lợi nhuận cho những kẻ làm ăn phi pháp, tuy nhiên hậu quả mà khách hàng gánh chịu sẽ rất nặng nề. 

Đơn cử như câu chuyện lộ thông tin lịch trình bay của hành khách. Chỉ cần khách vừa đặt mua vé xong là lập tức đã có nhiều nhà xe nhắn tin để chào dịch vụ đưa đón. Rõ ràng đây là hình thức làm ăn sai trái, gây ảnh hưởng đến người dân, nhưng việc quản lý, xử phạt dường như rất hiếm. Chính việc buông lỏng quản lý nên tình trạng mua bán dữ liệu, thông tin cá nhân mới diễn ra nhiều năm một cách công khai, rầm rộ như vậy".

Phân tích rõ hơn hệ quả của việc mua bán data, ông Ngô Minh Hiếu, chuyên gia bảo mật thuộc dự án Chongluadao.vn, khẳng định: "Vấn nạn mua bán dữ liệu cá nhân tràn lan hiện nay là một trong những nguyên nhân chính dẫn đến tình trạng lừa đảo trực tuyến và gây hậu quả nặng nề. Khi dữ liệu cá nhân bị bán và rơi vào tay kẻ xấu, chúng có thể sử dụng để thực hiện các cuộc lừa đảo có tính cá nhân hóa cao. Ví dụ như kẻ xấu sẽ gửi email, tin nhắn giả mạo để lừa người nhận cung cấp thêm thông tin nhạy cảm như mật khẩu, số thẻ tín dụng. Hoặc các đối tượng sử dụng data này để gọi điện giả danh các tổ chức uy tín như ngân hàng, cơ quan chính phủ, giả danh người quen để lừa lấy thông tin hoặc tiền bạc…".

"Việc có trong tay nhiều dữ liệu cá nhân giúp kẻ xấu thực hiện các cuộc tấn công có độ chính xác và thành công cao hơn. Bởi vì khi chúng có thể biết rõ tên, địa chỉ, số điện thoại…thì sẽ dễ dàng tạo sự tin tưởng từ phía nạn nhân. Dữ liệu cá nhân bị lộ có thể dẫn đến những hành vi lừa đảo tài chính nghiêm trọng, như sử dụng thông tin cá nhân để mở tài khoản ngân hàng giả mạo, sử dụng thông tin của nạn nhân để thực hiện các giao dịch trái phép…", ông Hiếu chia sẻ.

Việc mua bán dữ liệu cá nhân đang diễn ra khá phổ biến

Hành lang pháp lý

Ở góc độ pháp lý, luật sư Nguyễn Văn Hậu, Ủy viên thường vụ, Chủ nhiệm cơ quan truyền thông Liên đoàn Luật sư Việt Nam, cho biết: Hành vi sử dụng và truyền thông tin dữ liệu cá nhân trái phép trên mạng máy tính và mạng viễn thông là hành vi bị pháp luật nghiêm cấm, có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự tùy vào hành vi cụ thể và mức độ nghiêm trọng trên thực tế.

Việc xây dựng Luật Bảo vệ dữ liệu cá nhân và Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng đưa ra các hành vi, chế tài xử phạt mua bán dữ liệu cá nhân được cho là một giải pháp hữu hiệu để ngăn chặn tình trạng này.

Tại dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng, Bộ Công an đề xuất mức phạt tiền rất cao đối với nhiều hành vi vi phạm liên quan đến dữ liệu cá nhân. Trong đó, cơ quan soạn thảo đề xuất phạt 70 - 100 triệu đồng đối với một trong các hành vi: sử dụng dữ liệu cá nhân của khách hàng không được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo; cung cấp thông tin của khách hàng trái với nguyên tắc xử lý dữ liệu cá nhân…

Trường hợp vi phạm từ 2 lần trở lên, phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam. Mức phạt này cũng được đề xuất với các hành vi: mua, bán trái phép dữ liệu cá nhân nhưng chưa đến mức truy cứu trách nhiệm hình sự; chuyển giao dữ liệu cá nhân không thuộc các trường hợp được pháp luật quy định cho phép chuyển giao hoặc trái với nguyên tắc bảo vệ dữ liệu cá nhân…

Trong trường hợp hành vi mua bán dữ liệu thông tin cá nhân đủ yếu tố cấu thành tội phạm thì chủ thể thực hiện hành vi sẽ bị truy cứu về "Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông" tại điều 288 bộ luật Hình sự 2015, sửa đổi 2017. Người phạm tội sẽ bị phạt tiền từ 30 - 200 triệu đồng, phạt cải tạo không giam giữ đến 3 năm hoặc bị phạt tù nhẹ nhất 6 tháng, nặng nhất 7 năm tùy theo hành vi thực hiện và mức độ nghiêm trọng. Ngoài ra, người phạm tội còn có thể bị phạt tiền từ 20 - 200 triệu đồng, cấm đảm nhiệm chức vụ, cấm hành nghề hoặc làm công việc nhất định từ 1 - 5 năm.

Mặc dù pháp luật đã có các quy định xử phạt, các chuyên gia bảo mật thừa nhận việc thực thi đang có dấu hiệu buông lỏng khiến cho tình hình mua bán dữ liệu ngày càng nghiêm trọng hơn.  Do đó, để chấn chỉnh tình trạng này, cần có thêm các quy định chi tiết về mức xử phạt hành chính cụ thể, công khai với hành vi mua bán trái phép dữ liệu cá nhân của khách hàng sẽ buộc các doanh nghiệp phải xem xét lại hệ thống an toàn an ninh mạng; có quy trình đánh giá, giám sát thường xuyên về cả kỹ thuật lẫn nhân sự để đảm bảo bí mật thông tin của khách hàng. Bên cạnh đó, cơ quan quản lý nhà nước cũng cần tăng cường kiểm tra, giám sát và xử phạt nghiêm các doanh nghiệp vi phạm.