Cần biện pháp mạnh để bảo vệ thông tin, dữ liệu cá nhân

Chiếm đoạt tiền tỷ từ thông tin cá nhân của người khác

Ngày 24-12-2020, Công an quận Nam Từ Liêm (Hà Nội) khởi tố bị can, bắt tạm giam 8 đối tượng: Trần Đạo Nghĩa (21 tuổi), Bùi Ngọc Hải (20 tuổi), Nguyễn Ngọc Hải (19 tuổi), Dương Viết Hưng (17 tuổi), Nguyễn Thanh Phúc (22 tuổi), Nguyễn Chung Tú (21 tuổi), Lê Doãn Dương (21 tuổi) và Nguyễn Minh Luật Phú (19 tuổi, cùng quê Quảng Trị), để làm rõ hành vi lừa đảo chiếm đoạt tài sản.

8 bị can trên gồm ba nhóm phạm tội riêng biệt nhưng đều chung thủ đoạn là chiếm tài khoản ngân hàng, Facebook để lừa đảo chiếm đoạt tài sản. Chỉ trong khoảng thời gian 1 tháng, các bị can đã chiếm đoạt được khoảng 4.000 tài khoản ngân hàng, Facebook để thực hiện hành vi chiếm đoạt tài sản với số tiền khoảng 2 tỉ đồng.

Mới đây, Viện KSND TP. Hà Nội đã hoàn tất cáo trạng truy tố 3 bị can: Đặng Thị Lệ Hằng (SN 1990, ở quận Gò Vấp, TP.HCM), Đặng Thị Tiểu Kiều (SN 1989, là chị ruột bị can Hằng), Trịnh Ngọc Tuấn (SN 1992, ở phường Kiến Hưng, quận Hà Đông, Hà Nội) về tội "Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác". Trong khoảng thời gian từ tháng 6-2016 đến tháng 12-2019, Hằng, Kiều và Tuấn lập tài khoản hội viên ảo trên website "VietnamAirlines.com" lấy thông tin khách hàng không phải là hội viên của Vietnam Airlines nhưng đã bay trên các chuyến bay của hãng. Sau khi lấy được thông tin khách hàng, các bị can đã lập các tài khoản ảo trên website "VietnamAirlines.com" và tích điểm "dặm bay" của các khách hàng đã lấy được, sau đó các bị can đổi lấy vé máy bay đem bán để thu lời bất chính. Các bị can còn lấy điểm thưởng từ hội viên thật từ tài khoản trên website "VietnamAirlines.com" bằng thủ đoạn truy cập vào tài khoản có nhiều "dặm" thưởng đã được tích lũy qua nhiều lần bay của Vietnam Airlines, thay đổi số điện thoại, email nhận mã OTP và đổi lấy vé máy bay, sau đó đem bán lấy tiền. Hành vi của các bị can đã gây thiệt hại cho Vietnam Airlines tổng số tiền hơn 16,6 tỷ đồng…

Nhưng đó chỉ là 2 trong số nhiều vụ án tội phạm đã dùng thông tin cá nhân của người khác để trục lợi, lừa đảo xảy ra trong thời gian gần đây. Trong nhiều vụ án, các đối tượng phạm tội có trình độ tin học cao đã tiến hành thu thập thông tin cá nhân trái phép bằng cách sử dụng mã độc, phần mềm có tính năng gián điệp để thu thập dữ liệu cá nhân trong môi trường mạng qua máy tính và điện thoại di động; tấn công, xâm nhập hệ thống máy tính, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và sẵn sàng của máy tính người sử dụng để chiếm đoạt thông tin, dữ liệu cá nhân. Các hoạt động thanh toán trực tuyến, thương mại điện tử, trò chơi trực tuyến, kinh doanh tiền ảo, kinh doanh đa cấp qua mạng... đã đặt ra nhiều vấn đề liên quan tới an ninh quốc gia, trật tự an toàn xã hội, gây nguy cơ mất an ninh mạng.

Cần giải pháp đồng bộ để phòng ngừa tội phạm

Trên thế giới hiện có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Tháng 5-2017, Nhật Bản ban hành Luật Bảo vệ thông tin cá nhân, điều chỉnh đối với tất cả các công ty kinh doanh có trụ sở trong nước hay ở nước ngoài khi kinh doanh tại Nhật Bản. Năm 2017, Israel cũng đã ban hành Quy định bảo mật dữ liệu, tiến hành quy trình kiểm toán đối với hơn 150 công ty thuộc các lĩnh vực khác nhau để đánh giá mức độ tuân thủ bảo mật dữ liệu.

Cơ quan Công an triệt phá một đường dây mua bán dữ liệu trái phép.

Tháng 5-2018, Liên minh châu Âu đã ban hành Luật Bảo vệ dữ liệu chung châu Âu, yêu cầu các doanh nghiệp phải tuân thủ các quy định cụ thể, rõ ràng về cách thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, loại hình dữ liệu được phép chia sẻ, các công ty nằm ngoài lãnh thổ châu Âu cũng phải chấp hành các quy định này. Tại Mỹ, ngoài đạo luật của chính quyền các tiểu bang như Đạo luật Bảo vệ Quyền riêng tư Trực tuyến của California, các đạo luật của liên bang gần đây được ban hành với một số quy định mới về bảo vệ dữ liệu cá nhân trong các luật chuyên ngành nhằm đảm bảo cho vấn đề an ninh được an toàn và chặt chẽ hơn.

Tại Việt Nam, hiện đã có khung pháp lý cơ bản về bảo vệ thông tin, dữ liệu cá nhân. Hiến pháp năm 2013 cùng các hệ thống pháp luật của Việt Nam nói chung đã tạo ra nền tảng cần thiết để bảo vệ các quyền đối với thông tin, dữ liệu của cá nhân.

Hàng nghìn CMTND được cho là của công dân Việt Nam được rao bán trên mạng.

Ngày 10-4-2007, Chính phủ đã ban hành Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước. Nghị định này lần đầu tiên có quy định tại khoản 5 Điều 3 giải thích: "Thông tin cá nhân" là "thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác".

Tuy nhiên, có nhiều trường hợp người dân bắt buộc phải kê khai các thông tin cá nhân như khi mở tài khoản ngân hàng, làm thủ tục đăng ký nhập học cho con, đưa giấy tờ cá nhân như căn cước công dân, hộ chiếu cho các cơ sở lưu trú sao lưu nhằm quản lý. Các thủ tục này là hợp pháp. Khi thu thập thông tin cá nhân của khách hàng, doanh nghiệp phải đảm bảo an toàn, an ninh cho thông tin cá nhân mà họ thu thập và lưu trữ, ngăn ngừa các hành vi: đánh cắp hoặc tiếp cận, sử dụng, thay đổi thông tin trái phép. Nhưng một số cơ quan, tổ chức, cá nhân đã bán các thông tin cá nhân cho các doanh nghiệp, cá nhân kinh doanh bất động sản, bảo hiểm, đào tạo kiếm lời.

Pháp luật về xử lý vi phạm hành chính hiện nay đã có các quy định xử phạt đối với một số hành vi vi phạm liên quan đến bảo vệ dữ liệu cá nhân với mức phạt cao nhất là 70 triệu đồng. Nhưng việc xử lý hành vi mua bán thông tin cá nhân còn gặp khó khăn do nhiều nguyên nhân như khó truy ra đầu mối ai là người tiết lộ, đánh cắp, sử dụng thông tin cá nhân. Cụ thể, trường hợp doanh nghiệp và cá nhân, tổ chức khác mua bán hoặc trao đổi trái phép thông tin người sử dụng dịch vụ viễn thông thì có thể bị xử phạt 50-70 triệu đồng theo khoản 5 điều 102 Nghị định 15/2020/NĐ-CP ngày 3-2-2020 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử.

Điều 159 BLHS 2015 quy định, việc "Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác" có thể bị phạt tù tới 3 năm. Về xử lý hình sự: doanh nghiệp, đơn vị, cá nhân có hành vi mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin riêng hợp pháp của cơ quan, tổ chức, cá nhân trên mạng máy tính, mạng viễn thông mà không được phép của chủ sở hữu thông tin đó thì bị phạt tù mức cao nhất đến 7 năm về tội danh "đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông" (điều 288 BLHS 2015). Tuy nhiên, 2 tội danh này chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới thông tin, dữ liệu cá nhân đang diễn ra hiện nay.

Để giảm nguy cơ bị ảnh hưởng bởi hành vi trộm cắp danh tính, phòng ngừa các hoạt động tấn công mạng, tội phạm mạng, khủng bố mạng, gián điệp mạng, tăng cường công tác bảo vệ thông tin, dữ liệu cá nhân của công dân, lực lượng Công an nhân dân cần tiến hành đồng bộ nhiều giải pháp:

Thứ nhất, lực lượng An ninh kinh tế, Cảnh sát kinh tế, Cảnh sát hình sự, An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao tham mưu, hướng dẫn các bộ, ngành và địa phương quán triệt Nghị định 15/2020/NĐ-CP ngày 3-2-2020 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử. Đồng thời phối hợp với các đơn vị chức năng của Bộ Công an, Bộ Ngoại giao, Bộ Tư pháp, Ngân hàng Nhà nước, Bộ Y tế, Bộ Tài chính, các doanh nghiệp về các biện pháp tăng cường quản lý nhà nước các hoạt động quản lý căn cước công dân, hộ tịch, lý lịch tư pháp, hộ chiếu, ngân hàng, bảo hiểm y tế… nhằm kịp thời ngăn chặn các hoạt động lợi dụng việc quản lý các thông tin, dữ liệu cá nhân của công dân để mua bán, trao đổi, sử dụng các thông tin, dữ liệu cá nhân trái pháp luật.

Thứ hai, hoàn chỉnh hệ thống pháp luật về quản lý thông tin, dữ liệu cá nhân. Ngày 7-3-2019, Chính phủ đã ban hành Nghị quyết số 17/NQ-CP về một số nhiệm vụ, giải pháp trọng tâm phát triển Chính phủ điện tử giai đoạn 2019-2020, định hướng đến năm 2025, trong đó giao Bộ Công an chủ trì xây dựng và trình Chính phủ dự thảo Nghị định về bảo vệ dữ liệu cá nhân. Đây là nhiệm vụ trọng tâm, bảo đảm yếu tố pháp lý cho triển khai công tác bảo vệ thông tin, dữ liệu cá nhân ở nước ta và bảo đảm hoạt động cho Chính phủ điện tử.

Thứ ba, Công an các cấp, trong đó lực lượng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao làm nòng cốt chủ động tuyên truyền, nâng cao nhận thức của nhân dân trong phòng ngừa tội phạm liên quan tới thông tin, dữ liệu cá nhân. Đồng thời, tăng cường cảnh báo về những rủi ro, nguy cơ và hệ lụy của việc tổ chức, người dân tham gia mua bán, giao dịch liên quan tới thông tin, dữ liệu cá nhân. Các vụ việc an ninh, trật tự liên quan tới thông tin, dữ liệu cá nhân cần được tổng kết, tuyên truyền rộng rãi trên báo chí để nhân dân cảnh giác, phòng ngừa.