VNG, FPT, Thế giới Di động,... bị Bộ Công an “điểm mặt, chỉ tên” trong các vụ việc để lộ thông tin khách hàng

Mới đây, Bộ Công an đã hoàn thành dự thảo Hồ sơ đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân và giới thiệu toàn văn tới các cơ quan, tổ chức, cá nhân trong và ngoài nước nghiên cứu, đóng góp ý kiến. Hồ sơ gồm 2 dự thảo, đó là: Báo cáo đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân và Báo cáo đánh giá tác động của chính sách trong đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân để lấy ý kiến đóng góp của các cơ quan, tổ chức, cá nhân.

Đây là cơ sở cho đề xuất xây dựng Luật Bảo vệ dữ liệu cá nhân của Bộ Công an, nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân, ngăn chặn các hành vi xâm phạm dữ liệu cá nhân và nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân.

Theo Bộ Công an, việc quy định cụ thể các hoạt động kinh doanh liên quan đến dữ liệu cá nhân là vô cùng cấp bách và cần thiế

Đáng chú ý, khi trình bày về thực trạng các mối quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân, Bộ Công an đề cập nhiều đến vai trò, trách nhiệm từ phía doanh nghiệp, đồng thời nhấn mạnh, cần có quy định cụ thể về các hoạt động kinh doanh liên quan đến dữ liệu cá nhân.

“Hiện nay, đã có nhiều doanh nghiệp sử dụng dữ liệu cá nhân vào mục đích kinh doanh, phát triển kinh tế, tạo giá trị cho xã hội nhưng cũng xuất hiện nhiều vụ lộ, mất dữ liệu cá nhân nghiêm trọng, liên quan đến hàng chục triệu người. Do đó, việc quy định cụ thể các hoạt động kinh doanh liên quan đến dữ liệu cá nhân là vô cùng cấp bách và cần thiết”, dự thảo của Bộ Công an nêu.

Nhiều “ông lớn” bị “chỉ mặt, điểm tên” vì để lộ thông tin khách hàng

Tại báo cáo của Bộ Công an, một số vụ việc điển hình về việc để lộ thông tin của khách hàng đã được đề cập, với sự xuất hiện của nhiều doanh nghiệp “đình đám”. Trong đó, có thể kể tới việc “kỳ lân công nghệ” VNG để lộ hơn 163 triệu tài khoản khách hàng hay việc “vua bán lẻ” Thế giới Di động và chuỗi Điện Máy Xanh của doanh nghiệp này để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như visa, thẻ tín dụng của khách hàng.

Bộ Công an cũng đề cập tới nhiều sự kiện chấn động khác như việc tin tặc đã tấn công vào hệ thống máy chủ của Hãng hàng không quốc gia Việt Nam (Vietnam Airlines), đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng; dữ liệu khách hàng của “ông trùm” công nghệ FPT bị đăng tải công khai trên mạng…

Ngoài ra, còn có tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS.

Dữ liệu của 30 triệu người dân Việt Nam được rao bán trên một diễn đàn tin tặc vào tháng 7/2022

Theo Bộ Công an, thực tế cho thấy, công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, doanh nghiệp, cá nhân có hoạt động thu thập dữ liệu cá nhân vẫn còn buông lỏng, chưa có các biện pháp quản lý và kỹ thuật phù hợp để bảo vệ các dữ liệu cá nhân thu thập được, đặc biệt là các tổ chức, doanh nghiệp thu thập thông tin ở quy mô vừa và nhỏ, khả năng ứng phó trước mối đe dọa vẫn còn rất yếu kém.

Nhận thức chưa đầy đủ, các biện pháp kỹ thuật được áp dụng chưa đủ mức

Về nguyên nhân của thực trạng trên, theo Bộ Công an, trước hết là do nhận thức chưa đầy đủ về trách nhiệm bảo vệ dữ liệu cá nhân, dẫn tới chủ quan, không chú ý một cách đầy đủ các giải pháp bảo vệ dữ liệu cá nhân trong khi thủ đoạn, cách thức tấn công mạng ngày càng tinh vi, phức tạp.

Theo Bộ Công án, nhiều tổ chức, doanh nghiệp cũng không nhận thức được trách nhiệm bảo vệ cũng như hậu quả có thể xảy ra nếu các thông tin đó bị lộ lọt hay cung cấp cho bên thứ 3.

Nguyên nhân tiếp theo được chỉ ra là các tổ chức, doanh nghiệp thực hiện các hoạt động thu thập, lưu trữ, xử lý dữ liệu cá nhân của người dùng chưa áp dụng giải pháp kỹ thuật đủ mức để chống lộ lọt thông tin, tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật bảo đảm an ninh mạng, chưa có quy trình quản lý an ninh mạng và thông báo, hướng dẫn, khuyến nghị xử lý khi xảy ra sự cố lộ, lọt dữ liệu cá nhân của người dùng.

Một điều đáng lo ngại nữa là các tổ chức, doanh nghiệp khi để xảy ra sự cố lộ lọt thông tin nhưng không thông báo cho các đơn vị chuyên trách nhằm khắc phục, giảm nhẹ hiệu quả có thể xảy ra và cũng không có biện pháp khắc phục kịp thời hay thông báo cho các cá nhân, tổ chức bị lộ lọt thông tin.

Bộ Công an đánh giá, nguy cơ mất an ninh dữ liệu cá nhân từ các tổ chức, doanh nghiệp có hoạt động thu thập dữ liệu cá nhân là rất lớn. Tuy nhiên, nhận thức, giải pháp, quy trình bảo vệ an ninh mạng đã tạo ra khoảng trống lớn. Quản lý nhà nước chưa có tổ chức chuyên trách để đưa ra các khuyến cáo, các yêu cầu và có cơ chế giám sát để đảm bảo an ninh mạng trong các hoạt động thu thập dữ liệu cá nhân.