Lo giải pháp bảo mật có lỗ hổng

Trước thực trạng thông tin cá nhân bị lộ lọt, đánh cắp với các mục đích xấu, Chính phủ và các bộ, ngành đã ban hành một số giải pháp để ngăn chặn xử lý tình trạng này. Trong đó, Chính phủ ban hành Nghị định 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân đã nhấn mạnh đến việc phải có các giải pháp nhằm đảm bảo dữ liệu cá nhân của người dân, nhất là trong thực hiện các giao dịch điện tử hay trên các nền tảng mạng xã hội.

Ngoài ra, Ngân hàng Nhà nước Việt Nam cũng đã triển khai Quyết định số 2345/QĐ-NHNN về các biện pháp, giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng. Sau hơn 1 tháng triển khai, việc xác thực sinh trắc học đã dần được người dân ứng dụng trong đời sống sinh hoạt hàng ngày.

Mới đây, Cốc Cốc đã tiến hành cuộc khảo sát trực tuyến với hơn 3.000 người có tài khoản ngân hàng, 76% số người được khảo sát cho biết họ đã cài đặt xác thực sinh trắc học (bao gồm cả những người chưa thực hiện thành công). Với tỷ lệ 72% cho rằng, việc xác thực sinh trắc học tạo cho họ tâm lý an toàn hơn khi tiến hành các giao dịch trực tuyến thông qua các ứng dụng, app ngân hàng.

Tuy nhiên, có tới 41% người được khảo sát cũng lo lắng về việc bảo mật thông tin cá nhân. Khoảng 50% người dùng lo lắng về vấn đề lộ thông tin cá nhân với phía ngân hàng khi thực hiện cài đặt sinh trắc học.

Như vậy, dù đưa ra các giải pháp nhằm hạn chế tối đa các rủi ro liên quan đến bảo mật thông tin nhưng nhiều người vẫn còn lo ngại chính những giải pháp đó còn có những “lỗ hổng” để rò rỉ thông tin. Khi dữ liệu cá nhân, thông tin được người dùng có thể bị đánh cắp hay lộ lọt sẽ khiến cho thị trường mua bán dữ liệu trở nên sôi động.

Tìm hiểu của Báo Công Thương về hoạt động mua bán, trao đổi dữ liệu người dùng ở Việt Nam cho thấy, hoạt động này diễn ra một cách tràn lan, công khai trên các website, mạng xã hội. Chỉ với thao tác serch từ khoá "danh sách khách hàng” đơn giản trên Google cũng cho ra nhiều kết quả tìm kiếm với một loạt các trang web cung cấp, chia sẻ data khách hàng.

Trên website: data5s.net, đây được giới thiệu là cộng đồng Data đăng tải nhiều bài viết chia sẻ nhiều loại data như: Bất động sản, tài chính, nhóm những người có thu nhập cao trên 20 triệu/tháng. Trên website: filedatafree.blogspot.com cũng giới thiệu cung cấp dịch vụ dữ liệu như: Dữ liệu 8153 cá nhân mua đất nền ở thành phố Nha Trang, 4139 doanh nghiệp đang hoạt động tại huyện Bố Trạch; cung cấp thông tin 4495 cửa hàng mới mở tại quận Bình Tân;...

Hay liên hệ với group Facebook “Data khách hàng tiềm năng chất lượng” để tìm hiểu dịch vụ mua bán data, một thành viên trong nhóm đã tư vấn nhiệt tình, chào bán dữ liệu đưa ra mức giá từ 200 đồng/số (số điện thoại kèm tên người dùng), nếu số lượng lớn thì sẽ được tính theo mức giá khác. Chính sách cam kết được đưa ra là “cam kết số chuẩn”, “không trùng”, “1 đổi 1”,…

Nhiều webstie chia sẻ, cung cấp dữ liệu khách hàng. (Ảnh chụp màn hình)

Theo Báo cáo của Bộ Công an, với sự phát triển ngày càng nhanh, mạnh của khoa học công nghệ, dữ liệu cá nhân trở thành nguyên liệu chính cho các hoạt động của cơ quan nhà nước, tổ chức, doanh nghiệp, cá nhân. Thực tế thời gian vừa qua cho thấy, công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, doanh nghiệp, cá nhân có hoạt động thu thập dữ liệu cá nhân vẫn còn buông lỏng, chưa có các biện pháp quản lý và kỹ thuật phù hợp để bảo vệ các dữ liệu cá nhân thu thập được, đặc biệt là các tổ chức, doanh nghiệp thu thập thông tin ở quy mô vừa và nhỏ, khả năng ứng phó trước mối đe dọa vẫn còn rất yếu kém.

Nhiều tổ chức, doanh nghiệp cũng không nhận thức được trách nhiệm bảo vệ cũng như hậu quả có thể xảy ra nếu các thông tin đó bị lộ lọt hay cung cấp cho bên thứ 3. Các tổ chức, doanh nghiệp thực hiện các hoạt động thu thập, lưu trữ, xử lý dữ liệu cá nhân của người dùng chưa áp dụng giải pháp kỹ thuật đủ mức để chống lộ lọt thông tin, tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật bảo đảm an ninh mạng, chưa có quy trình quản lý an ninh mạng và thông báo, hướng dẫn, khuyến nghị xử lý khi xảy ra sự cố lộ, lọt dữ liệu cá nhân của người dùng.

Doanh nghiệp phải có trách nhiệm bảo mật thông tin khách hàng

Luật sư Nguyễn Hoài Sơn, Giám đốc Công ty TNHH Luật Châu Á (Asialaw) cho rằng, thời điểm hiện nay việc lộ lọt thông tin, dữ liệu cá nhân diễn ra khá phổ biến dưới nhiều hình thức. Có thể chính cá nhân làm lộ, lọt thông tin của mình thông qua giao dịch thương mại điện tử, thực hiện các giao dịch dân sự,... Nhưng mặt khác, nguy hiểm hơn là các cơ quan, tổ chức, doanh nghiệp sau khi lưu trữ thông tin cá nhân, khách hàng để phục vụ công tác quản lý, vận hành kinh doanh thì bằng cách nào đó làm lộ lọt dữ liệu này cho bên thứ 3, thậm chí với số lượng lớn.

Hoạt động rao bán data dữ liệu người dùng diễn ra khá phổ biến trên các nền tảng mạng xã hội (Ảnh chụp màn hình)

Theo Luật sư Nguyễn Hoài Sơn, thông thường các doanh nghiệp, ngân hàng khi thu thập dữ liệu người dùng phải có cam kết bảo mật thông tin khách hàng; nêu rõ mục đích, phạm vi, thời hạn sử dụng thông tin cá nhân của khách hàng. Vậy khi để lộ lọt thông tin khách hàng các đơn vị này phải chịu trách nhiệm bồi thường, tùy thuộc vào mức độ thiệt hại gây ra đối với khách hàng. Khách hàng và các đơn vị làm lộ lọt dữ liệu căn cứ vào các hợp đồng đã cam kết với nhau để thương thảo giải quyết.

Còn đối với trường hợp những đối tượng xấu đánh cắp dữ liệu cá nhân, sử dụng trái phép dữ liệu cá nhân, chia sẻ, mua bán, chiếm đoạt trái phép dữ liệu cá nhân đều là các hành vi vi phạm pháp luật, đối tượng thực hiện hành vi có thể bị xử phạt vi phạm hành chính hoặc bị truy cứu trách nhiệm hình sự.

Trường hợp hành vi thu thập trái phép thông tin cá nhân, mua bán, sử dụng trái phép thông tin cá nhân mà chưa gây ra hậu quả nghiêm trọng, chưa được xác định là nguy hiểm cho xã hội thì người vi phạm sẽ bị xử phạt vi phạm hành chính theo quy định tại Nghị định số 15/2020/NĐ-CP và Nghị định 14/2022/NĐ-CP về xử phạt hành chính trong lĩnh vực bưu chính viễn thông, tần số vô tuyến điện.

Trong đó, có thể phạt tiền từ 40 triệu đồng đến 60 triệu đồng đối với một trong các hành vi: Sử dụng không đúng mục đích thông tin cá nhân đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể thông tin cá nhân; cung cấp hoặc chia sẻ hoặc phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi chưa có sự đồng ý của chủ thông tin cá nhân; thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác.

Nếu việc thực hiện hành vi được xác định là đến mức nguy hiểm cho xã hội thì sẽ bị truy cứu trách nhiệm hình sự. Tùy thuộc vào tính chất, mức độ phạm tội hành vi của các đối tượng có thể cấu thành các tội danh như: Tội "Thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng" theo Điều 291 Bộ luật Hình sự; tội "Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông, phương tiện điện tử" theo Điều 288, Bộ luật Hình sự; tội "Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản" theo Điều 290.

Luật sư Nguyễn Hoài Sơn cho biết, nhìn chung các hình phạt của các tội danh này thường là đến 07 năm tù, có những tội danh đến 12 năm tù, nếu có yếu tố chiếm đoạt tài sản thì có thể tới 20 năm tù.

Chính vì vậy, theo Luật sư Nguyễn Hoài Sơn, đầu tiên chính cá nhân phải có ý thức sử dụng dữ liệu cá nhân của mình một cách thận trọng. Trong khi đó, các tổ chức, doanh nghiệp phải có nghĩa vụ bảo mật thông tin cá nhân khách hàng, người dùng theo đúng quy định cũng như cam kết; phải xây dựng chính sách bảo mật thông tin, ngăn ngừa các hành vi xâm phạm thông tin cá nhân khách hàng như bị đánh cắp, xâm phạm trái phép.