Vì sao chưa có vụ việc nào bị xử lý?

Lộ lọt từ nhiều nguồn…

Những đợt phát tán thông tin cá nhân của khách hàng hiện cứ đến hẹn lại lên, được cập nhật mới. Còn nhớ vào đầu tháng 6, một đợt phát tán thông tin cá nhân và dữ liệu người dùng cũng đã diễn ra khá “rầm rộ” trên các website danhsachkhachhang.com, danhsachmoi.com…

Các thông tin cá nhân của khách hàng bị phát tán có đầy đủ các chi tiết như họ tên, giới tính, địa chỉ, sở hữu căn hộ/biệt thự số mấy tại dự án nào, địa chỉ email, số điện thoại, ngành nghề, vị trí công việc, chức danh... Thậm chí, những danh sách này còn được phân loại cụ thể, đơn cử như danh sách khách hàng VIP sở hữu xe hơi trên toàn quốc, danh sách khách hàng sử dụng thuê bao di động trả sau tại Hà Nội và TPHCM, danh sách 1.300 nữ doanh nhân hàng đầu tại TPHCM…

Tình trạng lộ lọt, phát tán, rao bán thông tin cá nhân của khách hàng hiện đang diễn ra tràn lan và vô tội vạ. Một trong những điển hình là cách đây khoảng hai năm, hành khách đáp chuyến bay từ TPHCM đi Hà Nội đã bị lộ thông tin hành trình để cho các đơn vị kinh doanh taxi biết được và nhắn tin mời chào cuốc xe từ sân bay Nội Bài về Hà Nội. Vì dư luận bức xúc, tình trạng này sau đó lắng lại.  Nhưng hiện nay, tình trạng này đã tái diễn.

Theo chuyên gia bảo mật Đào Minh Tuấn (Trưởng phòng công nghệ bảo mật thuộc Công ty an ninh mạng VSEC), thông tin bị lộ lọt, phát tán và đưa lên mạng để mua bán, trao đổi có thể xuất phát từ nhiều nguồn. Một vài trường hợp từng xảy ra là các đối tượng sửa chữa điện thoại đã lấy cắp thông tin, dữ liệu từ khách hàng mang máy để sửa.

Một nguồn phổ biến khác là tin tặc xâm nhập vào các hệ thống máy tính của doanh nghiệp để lấy dữ liệu khách hàng mang đi rao bán. Tuy nhiên theo chuyên gia Võ Đỗ Thắng (Giám đốc Trung tâm an ninh mạng Athena), tình trạng khá phổ biến hiện nay là thông tin cá nhân của khách hàng bị lộ ra ngoài là do các cá nhân trong doanh nghiệp hoặc cũng không loại trừ do chính doanh nghiệp (thường là doanh nghiệp nhỏ, siêu nhỏ) chủ động mang thông tin cá nhân khách hàng vào các thương vụ hợp tác.

“Tình trạng thu thập rồi chia sẻ thông tin cá nhân khách hàng một cách vô tội vạ hiện nay diễn ra phổ biến nhất ở khối doanh nghiệp và gần như rất khó kiểm soát” - ông Thắng nhận định.

Chưa có vụ nào bị xử lý

Một trong những lĩnh vực mà thông tin cá nhân của khách hàng bị “quăng quật” khủng khiếp nhất hiện nay chính là địa ốc và bảo hiểm nhân thọ.

Sau nhiều cuộc điện thoại từ nhiều nhân viên bán hàng thuộc công ty bất động sản H.Th (TPHCM) gọi đến, người viết bài này tìm hiểu và được biết rằng, danh sách khách hàng được người phụ trách trao cho nhiều nhân viên hoặc nhóm nhân viên, các nhân viên cứ lần lượt gọi cho khách hàng, hoặc có thể mang danh sách này đi liên kết bán hàng với nhân viên của công ty khác. Chính vì thế mới xảy ra tình trạng, một khách hàng có thể trong vòng 10-15 phút phải hứng chịu liền vài cuộc gọi từ các nhân viên bán hàng của một công ty môi giới địa ốc.

Luật An toàn thông tin mạng 2015, tại Điều 7, Khoản 5 quy định nghiêm cấm hành vi “Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân”. Tuy nhiên theo ông Võ Đỗ Thắng, quy định là thế song   tình trạng rao bán thông tin cá nhân và các dữ liệu của người dùng Internet vẫn diễn ra sôi động trên mạng nhiều năm trở lại đây. Thậm chí theo chuyên gia này, hiện không ít doanh nghiệp cũng sẵn sàng chi ra một khoản tiền để mua dữ liệu cá nhân bán bất hợp pháp trên mạng, sau đó sàng lọc lại để sử dụng vào việc kinh doanh.

“Chế tài đã có, song vì dường như chưa có vụ nào được đưa ra xử lý nghiêm, cũng chưa từng xảy ra vụ kiện nào về vấn đề này, cho nên các đối tượng phát tán, rao bán thông tin cá nhân trên mạng và các doanh nghiệp để lộ lọt thông tin cá nhân khách hàng chưa biết sợ”, ông Thắng nhận định. Cùng quan điểm, chuyên gia bảo mật Nguyễn Minh Đức (Giám đốc Công ty an ninh mạng CyRadar) cho rằng: “Cần xử nghiêm và nặng các đối tượng, đặc biệt là các doanh nghiệp để lộ lọt thông tin khách hàng. Muốn thế, các cơ quan chức năng cần làm điểm một vài vụ, điều tra tới nơi để xử lý tới chốn, đúng người đúng tội thì mới có sức răn đe”.

Một dẫn chứng được ông Đức đưa ra là Quy định bảo vệ dữ liệu chung (GDPR) đã được Liên minh Châu Âu ban hành và có hiệu lực từ năm 2018. Theo đó, các doanh nghiệp để mất quyền kiểm soát dữ liệu khách hàng cho dù do sự cố hay do sự quản lý hệ thống yếu kém, hoặc bị hacker xâm nhập, đều bị xem là vi phạm, mức phạt tối đa lên đến  4% doanh thu thường niên trên toàn cầu. Một trường hợp điển hình nữa là việc Facebook bị phạt đến 5 tỉ USD tại Mỹ vào năm 2019 do để lộ lọt dữ liệu của 87 triệu người dùng cho bên thứ ba Cambridge Analytica. Mức phạt này vẫn được xem là “may mắn” đối với Facebook vì… được nộp phạt để tránh khả năng bị tách đôi doanh nghiệp.