Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) vừa phối hợp với Văn phòng Cơ quan CSĐT (C01) Bộ Công an triệt phá nhiều đường dây mua bán, sử dụng, trái phép gần 1.300GB dữ liệu, chứa hàng tỷ thông tin về các cá nhân, tổ chức trên toàn quốc, lớn nhất từ trước tới nay xảy ra tại Hà Nội, TP Hồ Chí Minh và một số địa phương.

Dữ liệu gồm những khách hàng làm trong ngành điện lực; phụ huynh, học sinh trên cả nước; khách hàng của nhiều ngân hàng, trong đó có các ngân hàng lớn nhất Việt Nam; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà cung cấp viễn thông lớn tại Việt Nam; thông tin khách hàng tại các dự án bất động sản...

Sau quyết định khởi tố vụ án “Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” theo Điều 288 Bộ luật Hình sự năm 2015, sửa đổi, bổ sung năm 2017, cơ quan điều tra cũng ra quyết định khởi tố bị can đối với Dư Anh Quý (SN 1988) và vợ là Lại Thị Phương (SN 1992), Giám đốc Công ty TNHH giải pháp năng lượng VNIT TECH. Riêng đối tượng Lại Thị Phương đã áp dụng biện pháp cấm đi khỏi nơi cư trú để phục vụ công tác điều tra.

Thành lập từ đầu tháng 7/2017, ban đầu trụ sở chính công ty nêu trên đặt tại ngõ 172, đường Phú Diễn, phường Phú Diễn, quận Bắc Từ Liêm, thành phố Hà Nội, hiện nay "đại bản doanh" chuyển về Phòng 202, Viện Nghiên cứu da giày, số 160 đường Hoàng Hoa Thám, phường Thụy Khuê, quận Tây Hồ, thành phố Hà Nội. 

leftcenterrightdel
 Đối tượng Lại Thị Phương tại cơ quan công an. Ảnh: VNF

Nhiều và dễ mua bán

Theo dự thảo nghị định về bảo vệ dữ liệu cá nhân mà Bộ Công an đang lấy ý kiến, dữ liệu cá nhân là "dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể". Trong đó, bao gồm dữ liệu cơ bản (họ tên, bí danh; ngày, tháng, năm sinh; nơi sinh, quê quán...) và dữ liệu cá nhân nhạy cảm (quan điểm chính trị, tôn giáo, tình trạng sức khỏe, xu hướng tình dục...).

Theo Điều 3, Nghị định 64/2007/NĐ-CP, thông tin cá nhân là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, chứng minh nhân dân, số hộ chiếu. Còn những thông tin thuộc bí mật cá nhân gồm hồ sơ y tế, hồ sơ thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng...

Gõ từ khóa "danh sách khách hàng" trên Google, sau 0,77 giây bạn đã có khoảng 174.000.000 kết quả với hàng loạt địa chỉ hiện ra ngay như: danhsachkhachhang, datakhachhang, danhsachmoi, fulldata..., cùng với đó là cam kết tính chính xác, cập nhật, trích xuất theo yêu cầu, rao bán công khai thông qua nhiều trang web, tài khoản, trang, nhóm trên mạng xã hội Facebook, Zalo, Telegram, diễn đàn tin tặc (raidforums.com…)

Theo A05, nhiều cá nhân, doanh nghiệp (bán hàng online, bảo hiểm, trung tâm ngoại ngữ, bất động sản…) “thỏa thuận ngầm” với nhân sự quản trị hệ thống thông tin tại một số cơ quan, doanh nghiệp trao đổi trái phép dữ liệu với số lượng lớn nhằm thu lợi bất chính.

Từ tiếp thị đến lừa đảo

Sự tỉnh táo, chủ động cảnh giác của khách hàng khi cung cấp thông tin đôi khi là chưa đủ, đơn giản vì doanh nghiệp/tổ chức đó có uy tín, nhập đủ các trường thông tin khai báo xong là mục đích của họ đạt được (mua được hàng, đăng ký, xác nhận thành công khóa đào tạo, chốt được một đơn hàng…), mấy ai quan tâm những thông tin chi tiết của mình được bố trí, sắp xếp trình tự khai báo khoa học, có chủ đích phân loại cụ thể sẽ được lưu trữ và sử dụng ra sao.

Thế nên, tùy theo chất lượng và độ chi tiết của gói dữ liệu, nó sẽ được “thương mại hóa” giữa thanh thiên bạch nhật trên môi trường không gian mạng xã hội, mạng internet bao la, nơi mà các bên liên quan không cần gặp nhau, đơn giản là chốt đơn mua bán trị giá vài trăm nghìn đến hàng triệu đồng, thậm chí hàng chục triệu đồng, qua tin nhắn, qua chuyển khoản và cú pháp xác nhận lần cuối trước khi tải xuống thứ hàng hóa là tập tin đính kèm.

Thực tế mà nói, thời gian qua, với gói dữ liệu “chủ đích, chấp nhận chi phí” có được trong tay, các doanh nghiệp, công ty có thể phân tích, tìm hiểu và quảng cáo, tiếp thị đến đúng đối tượng khách hàng của mình.

"Trăm bó đuốc cũng bắt được con ếch", nhưng xem ra số khách hàng vui vẻ lắng nghe, tiếp nhận thông tin, đúng lúc cần mua hàng chẳng nhiều, đa số lại thực sự thấy phiền phức, khó chịu. Ngay cả khi đăng ký số thuê bao, số tổng đài, địa chỉ thư điện tử đó dưới dạng quảng cáo, tiếp thị…, có lời nhắc hay tin nhắn trước cho “thượng đế” thì Bộ Thông tin và Truyền thông và các đơn vị cung cấp dịch vụ viễn thông hiện cũng chỉ “siết vòng kim cô quản lý” tới mức đó mà thôi.

Thực tế đã có không ít câu chuyện cười ra nước mắt với những chiêu trò lừa đảo, giăng bẫy dưới mác công ty điện lực, nhà mạng, ngân hàng, thậm chí cả lực lượng thực thi pháp luật… thiên biến vạn hóa như hiện nay. Chặn rồi lại đăng ký mới, có ai cấm đâu.

Có thể phạt tiền đến 1 tỷ đồng hoặc phạt tù đến 7 năm 

Theo luật sư Nguyễn Văn Kỹ, Đoàn Luật sư tỉnh Bắc Ninh, quan điểm bảo vệ quyền con người, cụ thể là quyền riêng tư, được pháp luật Việt Nam thừa nhận.

Cụ thể, xuyên suốt Bộ luật Dân sự 2005 và Bộ luật Dân sự hiện hành (số 91/2015/QH132015, có hiệu lực từ 01/01/2017) đều có quy định bảo vệ, bí mật và bất khả xâm phạm đối với "đời sống riêng tư, bí mật cá nhân, bí mật gia đình" và "thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân".

Luật sư Nguyễn Văn Kỹ cho rằng hành vi thu thập, mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa kể cả sử dụng trái phép thông tin cá nhân, dữ liệu cá nhân là hành vi vi phạm pháp luật.

Theo đó, tùy vào mức độ vi phạm và thiệt hại gây ra, hành vi trao đổi, mua bán thông tin về chứng minh nhân dân, căn cước công dân, sổ hộ khẩu… của cá nhân trên mạng máy tính mà không được chủ sở hữu cho phép có thể bị phạt tiền đến 1 tỷ đồng hoặc phạt tù đến 7 năm (Điều 288, Bộ luật Hình sự 2015, sửa đổi, bổ sung năm 2017).

Người phạm tội còn có thể bị áp dụng hình phạt bổ sung là phạt tiền từ 20 - 200 triệu đồng, cấm đảm nhiệm chức vụ, cấm hành nghề hoặc làm công việc nhất định từ 01 - 05 năm.

Ngoài ra, về dân sự, người bị thiệt hại do hành vi vi phạm gây ra có thể kiện đòi bồi thường theo Điều 46, Nghị định 98/2020/NĐ-CP hoặc Điều 102, Nghị định 15/2020/NĐ-CP.

"Nhu cầu sử dụng thông tin cá nhân, nhất là số điện thoại, thư điện tử, địa chỉ nhà... để phục vụ tiếp thị, mời chào sử dụng các loại hàng hóa, dịch vụ ngày càng phổ biến hiện nay. Điều này chính là “động lực chủ yếu” dẫn đến các hành vi thu thập, mua bán, trao đổi, sửa chữa, thay đổi hoặc công khai hóa... thông tin, dữ liệu cá nhân. Để bảo mật thông tin, dữ liệu cá nhân, chúng ta cần tăng chế tài nghiêm và có biện pháp xử lý mạnh”, luật sư Nguyễn Văn Kỹ nhấn mạnh./.

Anh Tuấn