Ngăn chặn lộ, lọt dữ liệu cá nhân

Đặc biệt trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, yêu cầu về an toàn thông tin càng được đặt lên hàng đầu, đòi hỏi sự vào cuộc quyết liệt của cơ quan chức năng cũng như ý thức của cá nhân, đơn vị trong việc tuân thủ quy trình bảo mật.

Hiểm họa từ các cuộc gọi

Lợi dụng thông tin liên quan đến xử lý phạt nguội và cấp đổi bằng lái xe, các đối tượng lừa đảo đã áp dụng chiêu thức mới để chiếm đoạt tài sản của nạn nhân. Mới đây, anh Đ.V.N (Hà Nam) bất ngờ nhận được cuộc gọi từ một đối tượng tự xưng là cán bộ Đội CSGT thuộc Phòng CSGT Công an TP Hà Nam. Người gọi thông báo rằng lực lượng chức năng đã ghi nhận anh N điều khiển xe máy vi phạm tốc độ từ 10 km/h đến 20 km/h, với mức phạt từ 800.000 đồng - 1 triệu đồng.

Để tăng thêm độ tin cậy, đối tượng này còn trích dẫn các điều khoản trong Nghị định 100/2019 và Nghị định 123/2021, đồng thời yêu cầu anh N cầm theo giấy tờ xe, đăng ký xe và căn cước công dân đến Đội CSGT để xử lý. Đặc biệt, đối tượng còn răn đe anh N rằng: "Nếu có hành vi chống đối lực lượng CSGT thi hành công vụ, có thể bị xử phạt lên tới 5 năm tù."

Nghi ngờ về tính xác thực của cuộc gọi, anh N đã đến trực tiếp Phòng CSGT Công an TP Hà Nam để kiểm tra. Tại đây, cán bộ công an đã xác nhận cuộc gọi hoàn toàn là giả mạo và khẳng định đây là hành vi lừa đảo nhằm chiếm đoạt tài sản của người dân.

Thời gian gần đây, Công ty Điện lực Hà Nội (EVNHANOI) liên tục nhận được phản ánh từ khách hàng về các vụ lừa đảo tinh vi giả danh nhân viên điện lực. Theo thông tin từ các nạn nhân, các đối tượng lừa đảo thường liên hệ với khách hàng, thông báo rằng họ đang thiếu nợ tiền điện hoặc chưa thanh toán, đồng thời đe dọa sẽ cắt điện nếu không thanh toán ngay lập tức. Ngoài ra, các đối tượng này còn gửi tin nhắn qua SMS hoặc Zalo với nội dung giả mạo từ phía công ty điện lực, yêu cầu người dân thanh toán tiền điện, đồng thời cung cấp các thông tin như số tài khoản ngân hàng hoặc đường link giả để người dân truy cập vào và thực hiện thanh toán..

Chị N.H.H (Long Biên) chia sẻ về một vụ lừa đảo qua điện thoại mà chị gặp phải, trong khi đang làm việc. Người gọi tự xưng là nhân viên của Điện lực Long Biên và thông báo rằng gia đình chị chưa thanh toán tiền điện tháng 2 và đọc rõ địa chỉ nhà. Dù chị H khẳng định đã thanh toán đầy đủ và vẫn giữ hóa đơn chứng minh, đối tượng vẫn tiếp tục khẳng định trên hệ thống là chưa thanh toán và yêu cầu chị truy cập vào một đường link lạ để giải quyết vấn đề.

Nghi ngờ về mục đích thực sự của cuộc gọi, chị H đã từ chối và không làm theo hướng dẫn. Đây không phải là lần đầu tiên chị gặp phải tình huống này. Trước đó, vào ngày 28/2, chị tiếp tục nhận được cuộc gọi từ một đối tượng khác tự xưng là nhân viên điện lực, thông báo sẽ cắt điện vì còn nợ tiền. Đây là lần thứ ba chị bị quấy rối bởi thủ đoạn lừa đảo này. Ngay lập tức, chị đã tắt điện thoại và thông báo sự việc đến Điện lực Long Biên, nhờ được tuyên truyền về các chiêu trò lừa đảo, chị đã cảnh giác và không để bản thân bị lừa.

Gia tăng tình trạng lộ lọt dữ liệu cá nhân

Theo báo cáo nghiên cứu, khảo sát an ninh mạng 2024 do Hiệp hội An ninh mạng quốc gia thực hiện, có tới 66,24% người dùng xác nhận rằng thông tin của họ từng bị sử dụng trái phép; 73,99% người dùng nhận định bị lộ lọt do họ cung cấp thông tin khi mua hàng trực tuyến; 62,13% cho rằng nguyên nhân tới từ chia sẻ thông tin trên mạng xã hội và 67% cho rằng lộ lọt trong quá trình sử dụng dịch vụ thiết yếu như nhà hàng, khách sạn, siêu thị.

Nguyên nhân phổ biến trên thế giới dẫn đến tình trạng lộ lọt dữ liệu cá nhân là do người dùng cài đặt ứng dụng từ các nguồn không rõ ràng. Có đến 31,36% người dùng thừa nhận từng tải phần mềm từ các đường link gửi qua email, chat hoặc mạng xã hội. Những đường dẫn này thường được kẻ xấu ngụy trang dưới dạng các nội dung hấp dẫn như “phần mềm miễn phí” hay “phần mềm bẻ khóa”, người dùng không cảnh giác nên vô tình tự cài đặt mã độc.

Cũng theo báo cáo, năm 2025, các xu hướng tấn công mạng sẽ phát triển do sự bùng nổ của các công nghệ như AI, blockchain hay điện toán lượng tử. Tội phạm trên không gian mạng sẽ tăng cường khai thác AI để tạo mã độc khó phát hiện hơn, sử dụng công nghệ deepfake với các hình thức giả mạo giọng nói, hình ảnh hoặc video tinh vi hơn. Sự phát triển của các công nghệ như 5G và IoT sẽ tạo ra nguy cơ tiềm ẩn trong việc lợi dụng các lỗ hổng bảo mật từ các thiết bị như camera an ninh, smartwatch và các thiết bị gia dụng. Sự phát triển mạnh mẽ của mô hình Ransomware-as-a-Service đã tạo điều kiện cho những đối tượng thiếu chuyên môn kỹ thuật. Bên cạnh đó, các cuộc tấn công không dùng file (Fileless Malware) đang gia tăng, khai thác bộ nhớ RAM và công cụ quản trị như PowerShell để né tránh sự phát hiện của các phần mềm bảo mật truyền thống.

Bên cạnh đó, hoạt động mua bán, trao đổi dữ liệu người dùng ở Việt Nam đang diễn ra một cách tràn lan, công khai trên các website, mạng xã hội. Chỉ với thao tác search từ khoá "danh sách khách hàng” đơn giản trên Google cũng cho ra nhiều kết quả tìm kiếm với một loạt các trang web cung cấp, chia sẻ data khách hàng: Fbnumber, Fplus, Uhchat, IscanPro,… Website Fbnumber.com là một công cụ lấy data khách hàng được nhiều người dùng sử dụng. Thông qua website, có thể quét số điện thoại, Email, UID và các thông tin khác của khách hàng qua số điện thoại và URL Facebook tại bất cứ đâu: trang cá nhân, bài đăng, lượt comment, lượt like, thậm chí là cả danh sách thành viên trong 1 nhóm. Trên website: filedatafree, blogspot.com cũng giới thiệu cung cấp dịch vụ dữ liệu như: Dữ liệu 8153 cá nhân mua đất nền ở thành phố Nha Trang, 4139 doanh nghiệp đang hoạt động tại huyện Bố Trạch; cung cấp thông tin 4495 cửa hàng mới mở tại quận Bình Tân...

Chung tay bảo vệ thông tin cá nhân

Trước tình trạng mua bán dữ liệu cá nhân ngày càng công khai, Bộ Công an khẳng định rằng việc xây dựng Luật Bảo vệ dữ liệu cá nhân là cần thiết nhằm đảm bảo quyền lợi của cá nhân và tổ chức, đồng thời ngăn chặn các hành vi xâm phạm thông tin cá nhân. Luật sẽ tạo ra khung pháp lý rõ ràng, giúp nâng cao năng lực bảo vệ dữ liệu cá nhân và tạo điều kiện việc sử dụng thông tin cá nhân một cách hợp pháp, phục vụ cho sự phát triển kinh tế - xã hội.

Dự thảo luật cũng đề xuất các nguyên tắc quan trọng trong việc bảo vệ dữ liệu cá nhân. Cụ thể, quá trình xử lý dữ liệu phải minh bạch, công khai, đảm bảo người sở hữu dữ liệu có quyền biết về việc thông tin cá nhân của họ được xử lý ra sao, trừ trường hợp có quy định khác của pháp luật.

Dữ liệu cá nhân chỉ được sử dụng đúng với mục đích mà bên kiểm soát và xử lý dữ liệu đã đăng ký hoặc công bố. Việc thu thập thông tin phải phù hợp với phạm vi và mục đích đã xác định. Đồng thời, dữ liệu cá nhân cần được áp dụng các biện pháp bảo mật chặt chẽ trong suốt quá trình xử lý, nhằm ngăn chặn các vi phạm, thất thoát hoặc thiệt hại do sự cố gây ra.

Việc triển khai Luật Bảo vệ dữ liệu cá nhân sẽ giúp tăng cường an toàn thông tin trên môi trường mạng, bảo vệ quyền riêng tư của cá nhân và tạo nền tảng pháp lý vững chắc cho việc quản lý dữ liệu trong tương lai.

Bên cạnh đó, để bảo đảm an toàn dữ liệu của người sử dụng dịch vụ bưu chính, nâng cao chất lượng dịch vụ bưu chính, Bộ Khoa học và Công nghệ vừa có Công văn số 509/BKHCN-BC yêu cầu các do-anh nghiệp được cấp phép, xác nhận thông báo hoạt động bưu chính tăng cường công tác bảo đảm an toàn dữ liệu người dùng dịch vụ bưu chính. Cụ thể, nghiêm cấm doanh nghiệp bưu chính tiết lộ thông tin sử dụng dịch vụ bưu chính (quy định tại khoản 6 Điều 7 Luật Bưu chính năm 2015). Doanh nghiệp thực hiện phổ biến, quán triệt cho toàn bộ nhân viên giao hàng về trách nhiệm bảo mật thông tin về dịch vụ bưu chính và hình thức xử lý nếu để xảy ra lộ lọt thông tin dịch vụ bưu chính.

Trường hợp doanh nghiệp có hành vi “Tiết lộ thông tin về sử dụng dịch vụ bưu chính trái pháp luật” sẽ bị xử lý vi phạm hành chính theo quy định tại khoản 3 Điều 10 Nghị định số 15/2020/NĐ-CP ngày 3/02/2020 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử. Mức phạt hành chính với hành vi này là từ 10 - 20 triệu đồng.

Các doanh nghiệp rà soát hoạt động của hệ thống thông tin trong cung ứng dịch vụ bưu chính để đảm bảo an toàn, bảo mật dữ liệu; thực hiện nghiêm các quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ tại Nghị định số 85/2016/NĐ-CP ngày 1/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Ngoài ra, doanh nghiệp chủ động xây dựng các giải pháp để bảo vệ thông tin người sử dụng dịch vụ bưu chính như: hệ thống thông tin định danh cuộc gọi của nhân viên bưu chính, mã hóa thông tin trên các bưu gửi (họ tên, số điện thoại, địa chỉ, nội dung hàng hóa…).

Luật sư Nguyễn Đức Biên – Giám đốc Công ty Luật TNHH Đại La: Cần đảm bảo luật khả thi, hiệu quả trong thực tiễn

Tình trạng lộ lọt dữ liệu cá nhân tại Việt Nam ngày càng nghiêm trọng, gây thiệt hại lớn cả về vật chất lẫn tinh thần cho người dân. Hiện nay, dù đã có Nghị định 13/2023/NĐ-CP, nhưng Việt Nam vẫn chưa có luật chuyên biệt đủ mạnh để ngăn chặn vi phạm việc để lộ lọt và mua bán trái phép dữ liệu cá nhân. Việc ban hành Luật Bảo vệ dữ liệu cá nhân là cấp thiết nhằm bảo vệ quyền riêng tư, tài sản của công dân, đáp ứng các chuẩn mực quốc tế và đảm bảo an toàn trong kỷ nguyên công nghệ số. Hiện Việt Nam cần một bộ luật không chỉ mang tính hình thức, mà phải thực sự có tác động đến thực tế. Cần có cơ chế giám sát, xử phạt nghiêm minh để đảm bảo rằng các tổ chức, doanh nghiệp tuân thủ nghiêm túc quy định về bảo vệ dữ liệu cá nhân. Đã đến lúc Việt Nam cần nhanh chóng thông qua luật này để tạo một môi trường số an toàn, minh bạch và phát triển bền vững.

Trong quá trình xây dựng luật cần lưu ý: Luật cần quán triệt rõ các nguyên tắc cơ bản như minh bạch, đồng thuận, giới hạn mục đích, bảo mật dữ liệu và trách nhiệm giải trình; xây dựng cơ chế giám sát hiệu quả, thiết lập hệ thống xử phạt nghiêm minh để tăng tính răn đe và bảo đảm thực thi luật một cách hiệu quả; tham khảo kinh nghiệm quốc tế, đặc biệt là Quy định bảo vệ dữ liệu chung (GDPR) (EU) 2016/679 là quy định của luật EU về bảo vệ dữ liệu và quyền riêng tư cho tất cả các cá nhân trong Liên minh châu Âu và Khu vực kinh tế châu Âu và luật tương tự của Singapore, kết hợp điều chỉnh phù hợp với bối cảnh Việt Nam để đảm bảo luật được khả thi, hiệu quả trong thực tiễn.

Chuyên gia Ngô Minh Hiếu – đồng sáng lập doanh nghiệp xã hội Chống lừa đảo, cựu chuyên gia Trung tâm Giám sát và An toàn không gian mạng quốc gia:

Cụ thể hóa hơn nữa các chế tài

Để khắc phục tình trạng lộ lọt dữ liệu cá nhân khi xây dựng Luật Bảo vệ Dữ liệu cá nhân, cần tập trung vào các điểm: Thống nhất các khái niệm và thuật ngữ pháp lý: Xây dựng định nghĩa rõ ràng về "dữ liệu cá nhân", "dữ liệu cá nhân nhạy cảm", "xử lý dữ liệu cá nhân" để tránh sự mơ hồ và đảm bảo tính nhất quán trong việc áp dụng luật; quy định rõ quyền và nghĩa vụ của chủ thể dữ liệu: Xác định cụ thể quyền của cá nhân đối với dữ liệu của mình, như quyền được biết, quyền đồng ý, quyền truy cập, chỉnh sửa và xóa dữ liệu. Đồng thời, nêu rõ trách nhiệm của các tổ chức, cá nhân trong việc bảo vệ dữ liệu cá nhân; thiết lập các biện pháp bảo vệ dữ liệu trong quá trình xử lý: Yêu cầu các tổ chức, doanh nghiệp áp dụng các biện pháp kỹ thuật và quản lý phù hợp để bảo vệ dữ liệu cá nhân khỏi truy cập trái phép, mất mát hoặc lạm dụng; xây dựng chế tài xử phạt nghiêm khắc: Áp dụng mức phạt hành chính nghiêm khắc đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, nhằm tăng tính răn đe và đảm bảo tuân thủ luật pháp; tăng cường quản lý nhà nước và phối hợp liên ngành: Thành lập cơ quan chuyên trách về bảo vệ dữ liệu cá nhân, đảm bảo sự phối hợp hiệu quả giữa các bộ, ngành và địa phương trong việc thực thi luật…

Hiện Dự thảo của Luật Bảo vệ dữ liệu cá nhân đã đề xuất các chế tài xử phạt hành chính nhằm tăng tính răn đe đối với các hành vi vi phạm về bảo vệ dữ liệu cá nhân. Tuy nhiên, cần bổ sung và cụ thể hóa hơn nữa các chế tài, đặc biệt là trong lĩnh vực hình sự và dân sự, để đảm bảo tính khả thi và hiệu quả trong việc thực thi luật. Việc này sẽ giúp ngăn chặn kịp thời các hành vi xâm phạm dữ liệu cá nhân và bảo vệ quyền lợi của công dân một cách toàn diện hơn.

Thái Nhung (ghi)