Chợ đen dữ liệu: Cần là có

Quốc hội vừa thông qua luật Bảo vệ dữ liệu cá nhân, sẽ có hiệu lực từ đầu năm 2026. Trong đó có các hành vi bị nghiêm cấm như xử lý dữ liệu cá nhân nhằm chống lại Nhà nước CHXHCN VN; cản trở hoạt động bảo vệ dữ liệu cá nhân; lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; xử lý dữ liệu cá nhân trái quy định của pháp luật; mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác… Luật Bảo vệ dữ liệu cá nhân ra đời được kỳ vọng sẽ giúp ngăn chặn nạn mua bán, khai thác dữ liệu cá nhân để phục vụ các hành vi gian lận, lừa đảo. Dù vậy, trên thực tế hiện vấn đề này vẫn đang diễn ra công khai trên internet, nhất là trong nhiều diễn đàn mạng xã hội.

ẢNH: PHÁT TIẾN THỰC HIỆN BẰNG AI

Đồ họa: Tuấn Anh

Hôm qua 2.7, PV Thanh Niên thử tìm kiếm trên mạng về mua bán dữ liệu cá nhân (data), kết quả cho thấy thông tin rao bán vẫn tràn lan, công khai. Trong một nhóm kín trên Facebook có hơn 10.000 thành viên, chúng tôi thử đăng thông tin cần mua data khách hàng sở hữu bất động sản như căn hộ chung cư, đất nền, nhà phố… Ngay lập tức, nhiều tài khoản đã bình luận để lại thông tin liên hệ và yêu cầu nhắn tin riêng. Trong số những người chào bán, chúng tôi liên hệ với một nickname tên N.M.T thông qua số Zalo 036336xxxx. Người này khẳng định có rất nhiều data khách hàng, đáp ứng đúng yêu cầu của chúng tôi và "bao test" trước khi giao dịch. "Khách hàng mua căn hộ nào tôi cũng có, nhiều lắm. Kiểm tra thử thoải mái, đây là hàng mới, không phải danh sách cũ", N.M.T chào mời. Khi PV hỏi giá, người này nói 1 triệu đồng/2.000 số điện thoại, cứ thế nhân lên, mua bao nhiêu tính tiền bấy nhiêu. Lấy lý do có nhiều số trong danh sách "test" gọi đổ chuông nhưng không bắt máy, chúng tôi từ chối giao dịch và tìm người bán khác.

Tương tự, trên một nhóm cộng đồng khác có 47.000 thành viên đăng ký, C.K, một người thường xuyên cung cấp data trong nhóm này, cho biết: "Trước đây, tôi bán data thường dùng phương thức trao đổi qua Telegram cho bí mật, nhưng hiện nay phương thức này đã bị ngừng hoạt động, nên cứ trao đổi trực tiếp trên Facebook Messenger hoặc Zalo. Tôi bán cho nhiều người lắm, uy tín trong nhóm này ai cũng biết, không có lừa đảo đâu". Trong danh sách do C.K cung cấp, chúng tôi thấy rõ số điện thoại di động, địa chỉ cư trú, họ tên và cả diện tích căn hộ đang sở hữu.

Theo ông Võ Đỗ Thắng, chuyên gia an ninh mạng - Giám đốc Trung tâm tư vấn và đào tạo an ninh mạng Athena, thị trường "chợ đen" mua bán data người dùng vẫn đang hoạt động rất công khai dù luật Bảo vệ dữ liệu cá nhân đã được Quốc hội thông qua. Bởi dữ liệu cá nhân là nguồn thông tin, tài nguyên rất có giá trị và hữu ích đối với các tổ chức, doanh nghiệp (DN). Chính vì có nhu cầu nên các đối tượng mua bán dù biết là vi phạm pháp luật nhưng vẫn bất chấp hoạt động. "Mặc dù cơ quan chức năng cũng đã nỗ lực đánh sập nhiều đường dây chuyên đánh cắp và mua bán data nhưng so với thực tế thì các băng nhóm hacker vẫn còn rất nhiều, quá trình điều tra, xử lý lại kéo dài khá lâu. Vì vậy chưa đủ sức để ngăn chặn, răn đe và hạn chế tình trạng mua bán trái phép nói trên", ông Thắng nói.

Có khung pháp lý sẽ giảm mua bán dữ liệu cá nhân

Theo Hiệp hội An ninh mạng quốc gia, năm 2024, tình trạng lộ lọt dữ liệu cá nhân tại VN tiếp tục diễn biến phức tạp, nghiêm trọng. Có tới 66,24% người dùng xác nhận thông tin của họ từng bị sử dụng trái phép. Trong đó 73,99% người dùng nhận định bị lộ lọt do họ cung cấp thông tin khi mua hàng trực tuyến; 62,13% tới từ chia sẻ thông tin trên mạng xã hội và 67% cho rằng lộ lọt trong quá trình sử dụng các dịch vụ thiết yếu như nhà hàng, khách sạn, siêu thị…

Ảnh: Đào Ngọc Thạch

Bộ Công an cũng đã nêu rõ một loạt DN về công nghệ hay các công ty môi giới dịch vụ taxi để lộ thông tin của hành khách. Nghiêm trọng hơn, nhiều dữ liệu bị rao bán công khai trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, DN. Đáng nói, hầu như chưa thấy có đơn vị nào bị xử phạt, chịu chế tài đủ mạnh. Trình bày trước Quốc hội vào đầu tháng 6, Thứ trưởng Bộ Công an Lê Quốc Hùng cho hay trong các vụ án lừa đảo quy mô lớn mà Bộ Công an triệt phá vừa qua thì lộ lọt, mua bán dữ liệu cá nhân là nguyên nhân chính hình thành nên những "chợ đen" về dữ liệu cá nhân. Nguồn thu thập dữ liệu cá nhân trái phép có thể đến từ hoạt động tấn công chiếm đoạt, chuyển giao trái phép, mua bán dữ liệu cá nhân hoặc sử dụng công nghệ cao để "cào" dữ liệu cá nhân phục vụ mục đích của các thủ phạm.

Thực tế, Chính phủ đã có Nghị định số 13/2023 quy định dữ liệu cá nhân không được mua, bán dưới mọi hình thức nhưng việc này vẫn diễn ra công khai. Luật sư Bùi Quang Nghiêm, Đoàn luật sư TP.HCM, lý giải tình trạng mua bán dữ liệu cá nhân tràn lan hay thông tin cá nhân bị lộ, lọt ra ngoài vẫn tồn tại lâu năm do nhiều nguyên nhân. Trước hết là do bản thân nhiều người dùng còn lơ là, chưa xem trọng việc bảo vệ thông tin của mình và người thân. Bên cạnh đó, các cơ quan, DN thu thập thông tin khách hàng, người dùng nhưng hạ tầng, quy trình bảo vệ thông tin không đảm bảo khiến thông tin khách hàng bị đánh cắp, bị nhân viên sao chép và từ đó phát tán, trao đổi ra ngoài. Hơn nữa, việc chưa có luật về bảo vệ dữ liệu cá nhân cũng khiến cơ quan nhà nước chưa đủ cơ sở pháp lý để xử phạt các vụ vi phạm. Trong nhiều vụ việc mua bán dữ liệu cá nhân, sử dụng thông tin cá nhân để lừa đảo, cơ quan quản lý vẫn phải "nâng lên đặt xuống" khi xử lý. Từ đó khiến nhiều DN, cá nhân ngang nhiên thu thập, khai thác trái phép thông tin cá nhân. 

Vì vậy luật sư Nghiêm nhấn mạnh: Luật Bảo vệ dữ liệu cá nhân được ban hành sẽ mang lại hành lang pháp lý cao hơn, tạo điều kiện để xử lý mạnh mẽ hơn các hành vi vi phạm. Mức chế tài về xử phạt hành chính phạt tiền tối đa đối với hành vi mua, bán dữ liệu cá nhân bằng 10 lần khoản thu có được; với tổ chức vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 3 tỉ đồng; cá nhân vi phạm thì mức xử phạt bằng một phần hai đối với tổ chức… bước đầu sẽ có sức răn đe để các DN, cá nhân phải cẩn trọng hơn khi thu thập, sử dụng thông tin cá nhân. Từ đó việc mua bán dữ liệu cá nhân cũng sẽ giảm hơn trước đây.

Đẩy mạnh truyền thông, phối hợp toàn xã hội

Luật Bảo vệ dữ liệu cá nhân được ban hành nhưng đầu năm 2026 mới có hiệu lực chính thức. Hơn nữa, luật cũng không phải là "cây đũa thần" để có thể ngay lập tức xóa bỏ được hoạt động mua bán dữ liệu cá nhân trái phép. Vì vậy các chuyên gia cho rằng phải triển khai thêm nhiều giải pháp để ngăn chặn tình trạng này. Ông Võ Đỗ Thắng nhận định dữ liệu người dùng không phải là mặt hàng hữu hình cụ thể, việc giao dịch không bị giới hạn trong một không gian nhất định nên việc kiểm tra, giám sát, ngăn chặn sẽ gặp rất nhiều khó khăn. Để giúp việc thực thi pháp luật được hiệu quả, cơ quan chức năng cần có sự hỗ trợ, hợp tác của người dân. Cụ thể, cơ quan chức năng cần có một kênh tương tác, đường dây nóng chính thức, để người dân có thể tố giác hành vi vi phạm, hoặc khai báo nếu phát hiện dữ liệu cá nhân của mình bị đánh cắp và phát tán. Hiện nay lực lượng chức năng không thể nào tự mình phát hiện và bao quát hết tất cả, do đó cần huy động sự hợp tác của người dân khi triển khai trong thực tế.

Ảnh: Đào Ngọc Thạch

Còn theo luật sư Bùi Quang Nghiêm, trong thời gian tới để ngăn chặn nạn mua bán dữ liệu cá nhân thì ngoài khung pháp lý cũng như thực thi nghiêm việc kiểm tra, giám sát từ cơ quan quản lý nhà nước vẫn cần thêm nhiều giải pháp. Chẳng hạn, tiếp tục đẩy mạnh truyền thông, nâng cao ý thức của người dân về tầm quan trọng về bảo vệ thông tin cá nhân của mình cùng gia đình. Đơn cử, khi nhiều người dùng đã có ý thức bảo vệ dữ liệu cá nhân và phản ánh, tố giác các cá nhân lừa đảo thì tình trạng này cũng giảm bớt. Tương tự đối với việc phản ánh tình trạng SIM rác, cuộc gọi rác đã làm giảm hiệu quả của việc sử dụng thông tin cá nhân để lừa đảo. Khi hiệu quả giảm thì giao dịch mua bán, trao đổi dữ liệu cá nhân cũng sẽ giảm. Đồng thời, phải có kênh tiếp nhận phản ánh, tố giác đơn giản, nhanh chóng từ người dân về việc bị lộ lọt thông tin cá nhân, bị làm phiền, lừa đảo vì SIM rác, cuộc gọi rác… Sau khi cơ quan chức năng tiếp nhận phản ánh thì phải có phản hồi nhanh chóng để tạo ra thêm một cơ chế giám sát xã hội hiệu quả hơn. 

"Khi khung pháp lý được hoàn thiện và thực thi nghiêm việc kiểm soát thì sẽ hạn chế được tình trạng mua bán dữ liệu cá nhân đang diễn ra công khai hiện nay. Ngoài ra, cần nâng cao nhận thức của người dân về tầm quan trọng của việc bảo vệ dữ liệu cá nhân và cách thức phòng tránh rủi ro. Vì không chỉ có sự kiểm tra, giám sát từ phía nhà nước mà phải tạo ra cơ chế giám sát từ xã hội thì mới đạt hiệu quả cao nhất", luật sư Nghiêm chia sẻ.

Ông Vũ Ngọc Sơn, Trưởng ban Công nghệ Hiệp hội An ninh mạng quốc gia (NCA), thừa nhận: Trước đây, do khung pháp lý về dữ liệu vẫn chưa đầy đủ, rõ ràng, nên các tổ chức, cá nhân dựa vào các điều khoản trong luật hiện có để hợp thức hóa hoạt động chia sẻ dữ liệu. Chẳng hạn, một DN muốn chuyển dữ liệu cho đơn vị khác có thể thực hiện thông qua mô hình công ty liên kết, phục vụ hợp tác. Hay có thể DN muốn cung cấp dữ liệu cho đối tác để đổi lại việc sử dụng dữ liệu đó nhằm phát triển sản phẩm, dịch vụ chung. 

Điều này giúp DN tận dụng tài nguyên sẵn có mà không vi phạm quy định cấm mua bán dữ liệu. Giải pháp lâu dài là xây dựng một sàn giao dịch dữ liệu cá nhân được quản lý chặt chẽ. Sàn sẽ giúp minh bạch và hợp pháp hóa việc mua bán dữ liệu. Tuy nhiên, để một sàn giao dịch dữ liệu thực sự hiệu quả, cần đảm bảo hai điều kiện quan trọng là năng lực kỹ thuật và an ninh bảo mật. Cụ thể, sàn giao dịch phải đáp ứng nhu cầu của người dùng, bao gồm tốc độ truy vấn dữ liệu, khả năng mua bán linh hoạt, tính minh bạch trong giao dịch và phải được bảo mật tuyệt đối. 

"Tất nhiên, ngay cả khi có sàn giao dịch thì việc mua bán dữ liệu cá nhân trái phép trên chợ đen cũng sẽ không thể biến mất hoàn toàn. Nên cần có một cơ chế linh hoạt để huy động nguồn lực từ khu vực tư nhân, phối hợp với cơ quan quản lý để ngăn chặn mua bán dữ liệu cá nhân", ông Sơn nhấn mạnh.