Luật cấm, vẫn mua bán thông tin cá nhân

CHÍ THỊNH –

Tình trạng rao bán thông tin cá nhân trên mạng dù đã bị nâng mức xử phạt, tăng cường chế tài… nhưng thực tế cho thấy chẳng những không giảm mà còn công khai hơn. Nhiều doanh nghiệp lẫn cá nhân vẫn thường xuyên nhận được e-mail mời chào mua danh sách các nhóm khách hàng tiềm năng với đầy đủ thông tin.

Mời chào công khai

Trên mạng vẫn tồn tại các trang web rao bán thông tin cá nhân được thống kê lại theo từng “bộ sưu tập” với chi tiết về thu nhập cá nhân, ngành nghề, chức vụ, khu vực sinh sống (ví dụ Hà Nội hoặc TPHCM)… Giới kinh doanh dữ liệu khách hàng (data base) còn đảm bảo cung cấp danh sách của những khách hàng có mức thu nhập cụ thể (20-30 triệu đồng/tháng), đang gửi tiền tiết kiệm ngân hàng, sở hữu xe hơi…

Các danh sách này có đầy đủ chi tiết như họ tên khách hàng, số điện thoại di động, e-mail… và được người bán đảm bảo cập nhật thông tin hàng năm. Thậm chí, người bán còn “cho dùng thử”, gửi tặng khách hàng danh sách ngắn để gọi điện thoại/gửi e-mail chào hàng trước, xem có thật hay không.

Giá bán các dữ liệu khách hàng này khá đa dạng; có trường hợp bán theo gói với nhiều danh sách khách hàng được xếp theo ngành nghề, mức thu nhập. Tùy theo gói sẽ có giá từ 700.000 đồng tới 3 triệu đồng. Phổ biến nhất là danh sách khách hàng tổng hợp năm 2016 được rao bán với giá 700.000 đồng. Cũng có trường hợp bán dữ liệu theo yêu cầu riêng của khách hàng, thường có giá bán cao hơn. Ví dụ như danh sách khách hàng sở hữu thẻ tín dụng hoặc danh sách khách hàng thân thiết của các siêu thị, trung tâm thương mại…

Đối với các doanh nghiệp có nhu cầu quảng cáo, tiếp thị sản phẩm/dịch vụ, có thể họ sẽ cần đến những danh sách khách hàng được rao bán này. Nhưng với cá nhân bình thường, không chỉ không hài lòng về việc ai đó tiết lộ thông tin của mình mà còn tỏ ra bực bội khi cứ liên tục bị quấy rối bởi các dịch vụ chào bán mua bảo hiểm, SIM điện thoại, dịch vụ chăm sóc sức khỏe… qua điện thoại, tin nhắn.

Ông Lê Quang, nhà ở quận Bình Thạnh, cho biết ông ghé showroom xe hơi hỏi mua chiếc xe, và một thời gian sau đã có người gọi điện rủ rê tham gia chạy xe hợp đồng (kiểu Uber/Grab). “Có lẽ lúc đó tôi có cho nhân viên bán hàng của showroom số điện thoại di động và e-mail để sau này nhận thông tin xe mới”, Ông Quang đoán.

Còn bà Quỳnh Mai, chủ một shop mua bán online, than phiền liên tục bị các nhân viên của các công ty mời chào mua sản phẩm, hết điện thoại, nhà đất, đến bảo hiểm, dịch vụ thẩm mỹ… Nhiều nhất là nhân viên các hãng bảo hiểm chào bán các gói bảo hiểm nhân thọ. Khi hỏi nhân viên bảo hiểm làm sao có số điện thoại này thì họ cho biết lấy từ dữ liệu của phòng kinh doanh và chia nhau gọi điện.

Luật đầy đủ, vấn đề là xử lý

Một trong những cách lấy cắp thông tin, theo ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo quản trị và an ninh mạng Athena, hacker có thể đã sử dụng phương thức tấn công thông qua “tay trong” ở trong doanh nghiệp có dữ liệu. Theo phương thức tấn công Social Engineering (lừa đảo qua mạng), hacker có thể tấn công vào máy tính của một nhân viên chăm sóc khách hàng (có quyền tiếp cận dữ liệu khách hàng), cài mã độc vào máy nhân viên này, sau đó đánh cắp dữ liệu khách hàng.

Ông Thắng cho rằng các máy chủ lưu trữ thông tin khách hàng cần được tăng cường bảo mật, hạn chế quyền truy cập dữ liệu khách hàng… Đồng thời, dữ liệu khách hàng lưu trữ ở doanh nghiệp như số điện thoại, e-mail, địa chỉ nhà riêng… cần được mã hóa để phòng khi bị đánh cắp thì kẻ xấu cũng khó lòng mở các tập tin đã được mã hóa.

Còn theo ông Nguyễn Phúc, một chuyên gia công nghệ thông tin, nên ngăn chặn từ đầu nguồn, nơi đăng ký/tiếp nhận thông tin khách hàng. Ví dụ như mạng xã hội hoặc doanh nghiệp muốn lưu giữ số chứng minh nhân dân của chủ tài khoản cần có sự liên kết với cơ quan quản lý nhà nước (cụ thể là ngành công an) để tăng cường mức độ bảo mật cho thông tin cá nhân. Các thông tin nhạy cảm, cần giữ bí mật sẽ phải lưu trữ ở máy chủ của cơ quan quản lý nhà nước; không nên lưu trữ ở các hệ thống công nghệ thông tin có độ bảo mật kém.

Với tình trạng mua bán thông tin cá nhân tràn lan trên mạng, các cơ quan quản lý nhà nước cũng đã tăng mức xử phạt, chế tài cao hơn trước. Đầu năm nay, Bộ Thông tin và Truyền thông (TT&TT) đã ban hành chỉ thị 11/CT-BTTTT về việc tăng cường bảo vệ bí mật thông tin cá nhân người sử dụng dịch vụ và ngăn chặn việc mua bán, lưu thông SIM di động trái quy định.

Chỉ thị cũng yêu cầu các doanh nghiệp viễn thông, các cơ quan, đơn vị thuộc Bộ TT&TT, các sở TT&TT địa phương tăng cường phối hợp với các đơn vị thuộc Bộ Công an để kiểm tra, xác minh, xử lý các tổ chức, cá nhân, có hành vi vi phạm.

Thanh tra Bộ TT&TT được giao nhiệm vụ phối hợp các đơn vị liên quan để nghiên cứu đề xuất, sửa đổi bổ sung Nghị định 174/2013/NĐ-CP theo hướng tăng chế tài xử phạt để nâng cao tính răn đe, phòng ngừa các hành vi vi phạm về thông tin cá nhân cũng như mua bán, lưu thông SIM điện thoại được kích hoạt sẵn.

Có vẻ mọi biện pháp quản lý nhà nước như trên khá quyết liệt, nhưng nhiều người nhận định, vấn đề ở chỗ là nạn mua bán thông tin cá nhân vẫn đang tiếp diễn, kẻ bán vẫn đang công khai rao bán thông tin trên mạng mà không bị hề hấn gì.

[box] Theo quy định tại Điều 66 Nghị định số 174/2013/NĐ-CP ngày 13-11-2013 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện thì người nào có hành vi mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông sẽ bị phạt tiền từ 50 triệu đồng đến 70 triệu đồng.

Điều 6 của Luật Viễn thông quy định “Doanh nghiệp viễn thông không được tiết lộ thông tin riêng liên quan đến người sử dụng dịch vụ viễn thông”.

Bên cạnh đó, điều 7 của Luật An toàn thông tin mạng được Quốc hội thông qua vào cuối năm ngoái (có hiệu lực thi hành kể từ ngày 1-7-2016) quy định: nghiêm cấm hành vi thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.

Theo các chuyên gia pháp luật, trước khi điều 7 được luật hóa, hiện tượng phát tán, rao bán thông tin cá nhân trên môi trường mạng là một trong những vấn đề nóng và được cho rằng thiếu hành lang pháp lý để xử lý thống nhất, hiệu quả. Rất nhiều doanh nghiệp đã thu thập thông tin cá nhân của khách hàng trong quá trình cung cấp dịch vụ, nhưng chưa áp dụng các biện pháp bảo vệ tương xứng với mức độ cần thiết. Các quy định pháp lý về trách nhiệm của những doanh nghiệp này trong việc bảo vệ thông tin cá nhân hiện còn rời rạc, nằm ở nhiều văn bản khác nhau, thậm chí có những điểm chưa nhất quán. Để khắc phục bất cập đó, luật đã có nhiều quy định cụ thể về trách nhiệm của các doanh nghiệp cung cấp dịch vụ khi thu thập thông tin cá nhân.

Vân Ly [/box]