Nhưng thực tế, những sự vụ lộ thông tin cá nhân như thế này không mới và cũng không là sự hiếm. Tuy nhiên, một điều đến lạ là cho đến nay, vấn nạn đáng quan ngại này vẫn chưa có giải pháp hiệu quả.

1. “Mấy ngày qua, bà Lê Thị T.N. (55 tuổi, ngụ quận 10) vẫn không thể ngờ về chuyện bà bị một nhóm lừa đảo chiếm đoạt mất 250 triệu đồng chỉ trong vài giờ. Cụ thể, sáng 28/3, bà N. nhận được điện thoại từ một đối tượng tự xưng là Trung úy Nguyễn Hoàng Nam - công tác tại Công an TP. Hà Nội thông báo việc bà N. đang nợ tiền cước điện thoại, hiện Công ty điện thoại đã chuyển hồ sơ sang cơ quan Công an để điều tra. Nếu bà N. không muốn bị điều tra thì chuyển tiền vào tài khoản tại Ngân hàng BIDV, chi nhánh Nam Kỳ Khởi Nghĩa (TP.HCM) do Lê Thị Mỹ Hồng đứng tên. Bị rơi vào “kịch bản” chuẩn bị khá kỹ lưỡng của bọn lừa đảo, nên chiều cùng ngày, bà N. đã chuyển 250 triệu đồng vào số tài khoản trên tại Ngân hàng BIDV, chi nhánh 3/2, quận 10” - đó là một trong nhiều câu chuyện từng được phản ánh trên Báo Dân trí trong bài viết nhan đề “Một cuộc gọi, mất hàng trăm triệu đồng”.

Bài viết đã được báo điện tử Dân trí đăng tải từ tháng 4/2014, nhưng nếu bạn đánh cái tít ấy như một từ khóa vào mục tìm kiếm của Google, bạn sẽ thấy hiện ra hàng trăm kết quả đồng nghĩa với hàng trăm vụ việc tương tự: “Nghe điện thoại mạo danh công an, mất hàng trăm triệu đồng trong tài khoản”, “Mất hàng trăm triệu đồng từ những cuộc gọi lừa đảo”,  “Sau cuộc gọi điện thoại của “công an”, mất hàng trăm triệu đồng”, “Người phụ nữ mất 1,3 tỷ đồng sau khi nghe điện thoại từ “cán bộ cấp cao”…

Những vụ việc ấy không chỉ xảy ra từ năm 2014 mà còn trong năm 2015, 2016, 2019, 2021 và cả năm 2022 này… nghĩa là qua thời gian, qua bao nhiêu vụ việc đã xảy ra, “bổn cũ” vẫn được bọn tội phạm ngang nhiên “soạn lại” và vẫn còn rất nhiều người bị “sập bẫy”. Trong rất nhiều nguồn cơn gây ra những sự vụ như thế, sẽ không thể loại trừ câu hỏi: bọn tội phạm đã lấy được số điện thoại, thông tin của các nạn nhân ở đâu để có thể trấn áp, không chế họ?

2. Và đây chắc chắn mới chỉ là một dạng trong vô vàn vụ việc thông tin cá nhân bị lộ để rồi làm “cần câu cơm” cho bọn xấu, bọn tội phạm. Chỉ cần đánh từ khóa “lộ thông tin cá nhân”, bạn dễ dàng nhận ra rằng lộ thông tin cá nhân, chẳng cứ ở phương Tây xa xôi, mà ngay tại Việt Nam, từ lâu đã là chuyện “thường ngày ở huyện”.

Cách đây chưa lâu, hồi tháng 7/2022, dư luận đã xôn xao trước vụ việc dữ liệu cá nhân kèm thông tin về trường lớp được cho là của 30 triệu người Việt đang bị tin tặc rao bán với giá 3.500 USD. Theo phản ánh của báo chí, bài rao được thành viên meli0das đăng trên một diễn đàn hacker từ ngày 8/7. Người này khẳng định thu thập được lượng dữ liệu lớn này “từ một website trường học phổ biến ở Việt Nam”. Hacker mô tả các thông tin bao gồm tên đăng nhập, email, số điện thoại, họ tên đầy đủ, ngày sinh, trường học và địa chỉ, là những dữ liệu chưa từng rò rỉ trước đây và mới được lấy trong tháng 7/2022.

Trả lời VnExpress, kỹ sư bảo mật Ngô Minh Hiếu cho biết: “Nếu là thật, đây sẽ là một trong những vụ rò rỉ dữ liệu lớn nhất tại Việt Nam” và theo ông, với những dữ liệu cá nhân nói trên, kẻ gian có thể sử dụng vào những mục đích xấu như spam quảng cáo, tống tiền, lừa đảo, chiếm đoạt tài sản, bôi nhọ, xâm phạm danh dự, nhân phẩm. Bộ GDĐT thời điểm ấy cũng cho biết đã phối hợp với các cơ quan chức năng xác minh, rà soát.

3. Trở lại câu chuyện vừa “bung bét” tại Bệnh viện Từ Dũ (TP.HCM). Ngày 23/8, nhiều sản phụ phản ánh đến Bệnh viện Từ Dũ (TP.HCM) nghi ngờ thông tin cá nhân của mình bị lộ khi đi sinh tại bệnh viện này. Nhiều người cho hay “ngay sau khi vừa sinh xong ra viện về tới nhà là có mấy dịch vụ gọi liền luôn”. Cũng theo nhiều sản phụ, họ “chỉ cung cấp mỗi số điện thoại và tên họ cho bệnh viện trong đợt đi sinh đó” đồng thời bày tỏ băn khoăn rằng: “Không biết có phải bệnh viện bán thông tin khách hàng”.

Về phía bệnh viện, trao đổi với báo chí, đại diện Bệnh viện Từ Dũ xác nhận có nhiều thai phụ, sản phụ phản ánh bị lộ thông tin cá nhân. Sau khi ghi nhận các phản ánh, Bệnh viện đã tổ chức một cuộc họp để kiểm tra các nguồn, xác minh thông tin của sản phụ có bị lộ không để kịp thời xử lý, ngăn chặn.

“Hiện bệnh viện khẳng định khâu bảo mật thông tin cho các sản phụ rất chặt chẽ, chúng tôi đang rà soát lại hệ thống và theo dõi chặt trong thời gian sắp tới” - đại diện bệnh viện khẳng định. Tuy nhiên, khi giải thích về lý do nào khiến dữ liệu của bệnh nhân bị lộ ra ngoài, phía bệnh viện cho rằng một nguồn khác có thể khiến các sản phụ bị lộ thông tin là từ các đơn vị khuyến mãi, tặng quà, hoạt động trong và ngoài bệnh viện.

Như vậy, rõ ràng dù bệnh viện khẳng định khâu bảo mật thông tin cho các sản phụ rất chặt chẽ nhưng vẫn không loại trừ được khả năng “một nguồn khác có thể khiến các sản phụ bị lộ thông tin”. Như vậy, đồng nghĩa với việc, khâu bảo mật thông tin đã không được đảm bảo.

Và điều đáng quan ngại là thực tế “việc bảo mật thông tin không được đảm bảo” đã không chỉ diễn ra tại Bệnh viện Từ Dũ. Thống kê trên được đưa ra trong báo cáo của Bộ Công an gửi các đại biểu Quốc hội về một số nội dung liên quan đến nhóm vấn đề chất vấn tại phiên họp thứ 14 của Ủy ban Thường vụ Quốc hội đầu tháng 8/2022 cho biết: dữ liệu cá nhân của 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức, mức độ khác nhau.

Bộ Công an nhận định, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng trong khi người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng. Việc này dẫn tới dữ liệu bị chiếm đoạt và đăng tải công khai.

Chỉ trong 2 năm từ năm 2019 đến năm 2020, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới gần 1.300 GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm. Bộ Công an lấy dẫn chứng về việc dữ liệu cá nhân bị khai thác trong trường hợp các cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ điện lực của EVN; thông tin phụ huynh, học sinh tại các trường trên cả nước; thông tin khách hàng của các ngân hàng...

Ngoài ra, nhiều dữ liệu thông tin người dùng bị khai thác khi sử dụng dịch vụ viễn thông, thuê bao điện thoại của các nhà mạng Viettel, MobiFone, Vinaphone; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy tại 63 tỉnh, thành toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành spa, nha khoa, thời trang, thẩm mỹ viện...

Bộ Công an cũng chỉ ra rất rõ rằng tình trạng mua bán dữ liệu cá nhân đang diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Lổ hổng pháp lý ấy là việc thiếu vắng cơ chế kiểm soát, bảo vệ dữ liệu cá nhân một cách toàn diện.

Hoặc nói như TS. Chu Thị Hoa - Phó Viện trưởng Viện khoa học pháp lý (Bộ Tư pháp), hiện chúng ta vẫn chưa có được một đạo luật riêng biệt, nhất quán và toàn diện về bảo vệ dữ liệu cá nhân. Trong đó, thiếu quy định về cho phép khai thác giá trị kinh tế của dữ liệu cá nhân; về việc ẩn danh/phi danh tính hóa dữ liệu cá nhân. Những chế tài liên quan đến vấn đề này vẫn còn nhẹ và đáng nói là chưa có văn bản quy phạm pháp luật nào đề cập đến việc chuyển giao dữ liệu cá nhân ra nước ngoài.

Khi dữ liệu cá nhân của nhiều khách hàng bị nhiều đơn vị câu kết mua bán, từ đó lọt vào tay bọn tội phạm, nhiều người đã thốt lên rằng: Niềm tin đã bị đánh cắp.

Nhưng trong câu chuyện lộ thông tin, dữ liệu cá nhân, đó không đơn giản chỉ là câu chuyện đánh mất niềm tin. Nó còn là câu chuyện của pháp luật. Phải ban hành được Nghị định Bảo vệ dữ liệu cá nhân, phải bịt cho chặt được những kẽ hở pháp lý ấy - đó mới là giải pháp then chốt để phòng ngừa, đấu tranh với thực trạng buôn bán, xử lý dữ liệu cá nhân tràn lan như hiện nay.

Nguyễn Hà