Tình trạng lộ, mất dữ liệu và nguy cơ mất an toàn, an ninh mạng vẫn ở mức cao

Theo thống kê của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) - Bộ Công an, Việt Nam hiện là quốc gia có tốc độ phát triển và ứng dụng internet cao nhất thế giới. Số lượng người sử dụng internet của Việt Nam đã đạt hơn 77,93 triệu người, tương đương với khoảng 79% dân số.

Dữ liệu cá nhân của 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ chi tiết khác nhau.

Việc thu thập, xử lý dữ liệu cá nhân được tích hợp sâu trong từng sản phẩm, dịch vụ và khó có thể nhận biết xác thực đúng hay sai, bảo đảm mục đích sử dụng như thông báo, yêu cầu được bảo vệ được nâng cao từ góc độ cá nhân tới vấn đề chủ quyền và an ninh quốc gia.

Cơ sở hạ tầng, không gian mạng phát triển nhanh và ngày càng hoàn thiện, tạo điều kiện thuận lợi cho các ngành, nghề dịch vụ kinh doanh có liên quan đến dữ liệu cá nhân phát triển. Nước ta đang đẩy mạnh xây dựng chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số với sự tham gia ngày càng sâu rộng của các lĩnh vực hành chính, y tế, hình sự, hộ tịch, quốc tịch…

Công nghệ thông tin, truyền thông, trí tuệ nhân tạo (AI), internet vạn vật (IoT), điện toán đám mây, dữ liệu lớn (big data) được ứng dụng sâu rộng, tạo ra những giá trị to lớn cho xã hội. Dữ liệu cá nhân từ vị trí chưa thực sự quan trọng, trở thành nguyên liệu chính cho hoạt động của các ngành, nghề dịch vụ nêu trên và ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực, tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân. Điều này đặt ra cho chính phủ bài toán phải quản lý hiệu quả tương đồng giữa sử dụng và bảo vệ dữ liệu cá nhân, ứng phó, hạn chế và xử lý các vi phạm để giữ vững sự phát triển và giá trị do dữ liệu cá nhân tạo ra.

Việc ứng dụng ngày càng nhiều các nền tảng số, hệ sinh thái số làm gia tăng những thách thức đe dọa

Trình bày về thực trạng của việc mua bán, lộ, mất thông tin, dữ liệu cá nhân và bí mật nhà nước trên không gian mạng trong thời gian qua tại Tọa đàm “Triển khai Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân” ngày 29/6, Trung tá Triệu Mạnh Tùng - Phó Cục trưởng, A05, Bộ Công an - cho biết: Việc ứng dụng ngày càng nhiều các nền tảng số, hệ sinh thái số làm gia tăng những thách thức đe dọa như: Tấn công mạng, gián điệp mạng, tội phạm mạng, tội phạm sử dụng công nghệ cao, đặc biệt là tình trạng mua bán, lộ, mất thông tin, dữ liệu cá nhân...

Trung tá Triệu Mạnh Tùng thông tin, trong 3 năm vừa qua, A05 đã phát hiện, phân tích gần 14,4 triệu cảnh báo tấn công mạng trên diện rộng nhằm vào nhiều cơ quan, bộ, ngành và các địa phương với 15 biến thể mã độc nguy hiểm, trong đó có 8.955 trang cổng thông tin điện tử của Việt Nam có tên miền ".vn" bị tin tặc tấn công, dẫn đến nguy cơ mất an toàn, an ninh mạng vẫn ở mức cao.

Chiến thuật tấn công của các nhóm tin tặc hết sức bài bản, có kế hoạch phối hợp chặt chẽ trong hành động, sử dụng lặp lại các biện pháp kỹ thuật, đánh lạc hướng cơ quan chuyên trách, bảo đảm an ninh mạng. Ngoài tấn công, câu nhử, tấn công trên diện rộng, khai thác lỗ hổng bảo mật, các đối tượng còn nghiên cứu, phát triển các dòng mã độc, các loại vũ khí mạng có khả năng vượt qua các giải pháp bảo mật, chống truy vết được và tự động sao gửi tài liệu ra bên ngoài.

Cũng theo Trung tá Triệu Mạnh Tùng, tình trạng mua bán, lộ, mất thông tin, dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Nhiều vụ việc có tính chất nghiêm trọng và đáng báo động.

Trong hơn 3 năm qua, Bộ Công an đã phát hiện hàng trăm cá nhân, tổ chức liên quan đến hoạt động mua bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu cá nhân lớn tại Việt Nam đã bị phát hiện và xử lý.

Số lượng doanh nghiệp, cá nhân bị thu thập, mua bán trái phép phát hiện lên đến gần 1.300 gigabyte, trong đó có nhiều dữ liệu cá nhân, nội bộ nhạy cảm. Đặc biệt nguy hiểm, khi thông tin dữ liệu cá nhân rơi vào tay tin tặc hay tội phạm, các đối tượng sử dụng thông tin cá nhân có thể tiến hành hoạt động phạm tội.

Trong hơn 30 loại hình tội phạm sử dụng công nghệ cao thì có đến gần 2/3 loại tội phạm này sử dụng thông tin dữ liệu cá nhân để thực hiện các hành vi phạm tội, điển hình như: Giả danh cơ quan thực thi pháp luật để lừa đảo chiếm đoạt tài sản; truy cập trái phép vào những tài khoản số, chiếm quyền quản trị email tới các thông tin tài khoản ngân hàng; làm giả tín dụng, giả danh nhân viên ngân hàng, nhân viên nhà mạng, nhân viên điện lực và các loại hình khác để lừa đảo chiếm đoạt tài sản.

4 nguyên nhân chính

Về nguyên nhân gây lộ, mất thông tin dữ liệu cá nhân, đại diện A05 cho biết có 4 nguyên nhân chính:

Một là, về nhận thức và ý thức bảo vệ dữ liệu cá nhân hiện nay chưa cao. Thực tế, việc nhận thức và ý thức bảo vệ thông tin, dữ liệu cá nhân của người dân hiện nay còn thấp, thậm chí nhiều người dân có tâm lý chủ quan, chưa coi trọng bảo vệ thông tin cá nhân của mình khi tham gia môi trường mạng. Đây cũng là những nguyên nhân dẫn tới tình trạng lộ lọt, chiếm đoạt thông tin cá nhân, buôn bán dữ liệu cá nhân. Nhiều dữ liệu cá nhân nhạy cảm, quan trọng như sinh trắc học, tình trạng sức khỏe, tài chính, gia đình... được đăng tải công khai, trở thành nguồn để các phần mềm thu thập dữ liệu.

Trung tá Triệu Mạnh Tùng cho biết, nhận thức, ý thức bảo vệ dữ liệu cá nhân thấp không chỉ ảnh hưởng tới quyền và lợi ích của chủ thể dữ liệu mà còn tác động trực tiếp tới an ninh chủ quyền quốc gia. Về lâu dài, không thể lường trước khi dữ liệu cá nhân được công khai sẽ tác động, ảnh hưởng thế nào đến chủ thể dữ liệu khi khả năng khai thác, phân tích, xử lý dữ liệu cá nhân ngày càng phát triển.

Hai là, các tổ chức, doanh nghiệp sở hữu thông tin dữ liệu cá nhân của khách hàng nhưng chưa có biện pháp bảo vệ chặt chẽ trong quá trình thu thập, khai thác, xử lý, lưu trữ và chuyển giao. Thậm chí, việc quản lý thông tin dữ liệu cá nhân có nơi còn lỏng lẻo, thiếu kiểm soát, tạo kẽ hở trong việc mua bán, sử dụng trái phép thông tin cá nhân của khách hàng. Điển hình đã xảy ra các vụ việc nhân viên của một số tổ chức, doanh nghiệp lợi dụng vị trí công việc được tiếp cận với các tập dữ liệu khách hàng đã tự ý mua bán dữ liệu của khách hàng để trục lợi.

Ba là, hiện nay, nhiều công ty công nghệ trong và ngoài nước âm thầm thu thập, khai thác trái phép thông tin, dữ liệu cá nhân của người dùng Việt Nam. Những đối tượng này sử dụng các phần mềm chuyên dụng, tự ý thu thập thông tin, dữ liệu của người sử dụng khi  truy cập vào các trang web hay sử dụng dịch vụ của các công ty công nghệ. Thường thì, hoạt động này sẽ diễn ra âm thầm, người sử dụng không biết hoặc biết nhưng bỏ qua.

Bốn là, thiếu hành lang pháp lý về bảo vệ dữ liệu cá nhân và chế tài xử phạt. Pháp luật về bảo vệ dữ liệu cá nhân ở nước ta đã có một số quy định về chế tài xử phạt đối với những hành vi vi phạm về bảo vệ thông tin cá nhân, nhưng chưa có quy định về bảo vệ dữ liệu cá nhân. Về chế tài hình sự, chưa có chế tài hình sự về dữ liệu cá nhân. Đối với những hành vi mua bán, trao đổi, công khai hóa trái phép thông tin cá nhân mà không có sự đồng ý của chủ thể, trong Bộ Luật hình sự chưa đề cập đến khái niệm dữ liệu cá nhân.

Do chưa có quy định cụ thể về các yếu tố cấu thành trong hoạt động mua bán dữ liệu cá nhân, nhất là hoạt động có sự trung gian qua nhiều cá nhân, tổ chức nên khó chứng minh tội phạm.

Về chế tài dân sự, chưa có chế tài dân sự về dữ liệu cá nhân. Quyền bảo vệ thông tin cá nhân là một quyền dân sự được quy định trong bộ luật dân sự. Về chế tài hành chính, hiện nay chưa có chế tài hành chính về dữ liệu cá nhân. Các hành vi vi phạm, xâm hại đến thông tin cá nhân đã có nhưng nằm rải rác ở nhiều văn bản khác nhau.

Với thực trạng mua bán, xử lý dữ liệu cá nhân tràn lan hiện nay, Trung tá Triệu Mạnh Hùng cho rằng, nếu không có chế tài xử lý hoặc chế tài xử lý không đủ mạnh, sẽ không đủ sức răn đe, cũng như không giải quyết được thực trạng này.

Như vậy, việc ban hành Nghị định 13, quy định về bảo vệ dữ liệu cá nhân là hết sức cần thiết nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân, ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; đồng thời nâng cao trách nhiệm của cơ quan, tổ chức, cá nhân trong vấn đề bảo vệ và xử lý dữ liệu cá nhân. Đây cũng là tiền đề quan trọng để triển khai nước rút và nghiên cứu xây dựng thành Luật bảo vệ dữ liệu cá nhân.