Thông tin cá nhân được lưu lại khi ra vào ở một cơ quan tại TP.HCM - Ảnh: QUANG ĐỊNH
Không biết rò rỉ từ đâu nhưng trên mạng đầy rẫy
Nhiều sản phụ tại Bệnh viện Từ Dũ (TP.HCM) đã phản ảnh đến bệnh viện về việcthông tin cá nhâncủa mình bị lộ, gây bức xúc. Nhiều sản phụ cho biết vừa mới sinh con xong đã bị các đơn vị liên tục gọi điện tới số điện thoại của mình (thậm chí là người nhà) để mời chào các sản phẩm như sữa, dịch vụ chăm sóc con, sinh trắc vân tay...
Điều đáng nói là nhiều người khẳng định chưa từng cung cấp thông tin cá nhân của mình cho các đơn vị khác, ngoại trừ cho bệnh viện khi làm thủ tục. Một số sản phụ phản ảnh khi gọi đến bệnh viện để chất vấn thì chỉ nhận được câu trả lời đơn giản là họ không biết và không liên quan.
"Vì không có bằng chứng nên tôi cũng không biết phải khiếu kiện họ như thế nào", chị Bích Thùy (ngụ TP Thủ Đức) bức xúc về tình trạng bị gọi làm phiền ngay sau đi khám tại một bệnh viện tư.
Trong khi đó, theo đại diệnBệnh viện Từ Dũ, rất khó xác định nguyên nhân thông tin bệnh nhân bị rò rỉ vì có thể do nguyên nhân khách quan, chủ quan và nhiều đầu mối đang lưu trữ các thông tin cá nhân của bệnh nhân.
Không thể dễ dàng tìm ra chứng cứ nguồn rò rỉ dữ liệu cá nhân nhưng trên mạng xã hội không khó tìm được vô số nhóm với các tài khoản rao bán đủ loại thông tin khách hàng (còn gọi là "data khách hàng") thuộc nhiều lĩnh vực khác nhau. Nhiều nhóm công khai và nhóm kín được tạo ra để "giao dịch" mua bán thông tin khách hàng với hàng ngàn thành viên tham gia.
Các dữ liệu cá nhân của người dân (như họ tên, số điện thoại, địa chỉ...) thuộc nhiều lĩnh vực khác nhau đã bị chào bán như ở chốn không người với mức giá 1,799 triệu đồng cho 2.000 thông tin cá nhân, 3 triệu đồng cho 5.000 thông tin.
Có những người bán khẳng định mình chuyên nguồn thông tin khách hàng từ bệnh viện hoặc từ khốitrường học. Họ khẳng định có những thủ thuật để lấy được thông tin theo yêu cầu, có người còn khoe móc nối được với nguồn bên bệnh viện, "mình phải trả phí cho họ thì họ mới chuyển cho mình được"!
Thông thường sau khi nhận được yêu cầu của người mua "data" cũng như tiền chuyển qua tài khoản, bên bán sẽ cho "chạy" và gửi "data" trên qua email cho người mua sau 24 giờ. Thậm chí người mua "data" còn có được "chế độ bảo hành", tức là với những số điện thoại không liên hệ được hoặc thiếu thông tin thì bên bán sẽ bàn giao lại "data" mới.
Mua dữ liệu cá nhân để lừa đảo, đòi nợ
Tháng 2-2023, Cơ quan cảnh sát điều tra Công an tỉnh Hà Tĩnh đã khởi tố vụ án, khởi tố bị can đối với Đào Xuân Đỉnh và Nguyễn Đức Quảng về tội "đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông". Hai đối tượng này đã bán hơn 1 triệu thông tin cá nhân cho một số tổ chức, cá nhân, thu lợi bất chính hàng trăm triệu đồng.
Tháng 11-2022, Công ty tài chính TNHH MTV Mirae Asset Việt Nam (TP Tam Kỳ, tỉnh Quảng Nam) bị phát hiện có hành vimua bán dữ liệu cá nhâncủa khoảng 150.000 người. Theo cơ quan chức năng, công ty này đã chủ động tìm, mua thông tin khách hàng trên các diễn đàn, hội nhóm kín hoặc thông tin bị lộ lọt từ các tổ chức tài chính... nhằm phục vụ mục đích đòi nợ của mình.
Cũng trong thời gian này, Công an tỉnh Quảng Bình đã triệt phá thành công đường dây thu thập hơn 17 triệu thông tin dữ liệu cá nhân trên phạm vi cả nước, theo các nhóm vùng, miền, chức danh, nghề nghiệp... để bán cho người khác nhằm thu lợi bất chính.
Các đối tượng trong đường dây đã thu thập trái phép thông tin hàng ngàn khách hàng có hồ sơ vay vốn tín dụng ngân hàng. Sau đó dùng các thông tin này chiếm quyền truy cập SIM điện thoại, khôi phục mật khẩu đăng nhập tài khoản Internet banking có liên kết với SIM nhằm chiếm đoạt tài khoản ngân hàng...
Luật châu Âu khắt khe nhất thế giới
Châu Âu có quy định chung về bảo vệ dữ liệu (GDPR), được coi là luật về bảo mật quyền riêng tư khắt khe nhất trên thế giới. GDPR có hiệu lực vào ngày 25-5-2018, do Liên minh châu Âu (EU) soạn thảo và thông qua. GDPR áp đặt lên bất kỳ tổ chức nào thu thập dữ liệu liên quan đến người dân EU và phạt nặng những ai vi phạm với số tiền lên tới hàng chục triệu euro.
Bản thân quy định này rất lớn, có ảnh hưởng sâu rộng và còn ít các chi tiết cụ thể. Điều này khiến việc tuân thủ GDPR khá khó khăn, đặc biệt đối với các doanh nghiệp vừa và nhỏ (SME).
Ở Mỹ, không có luật liên bang quy định chung về bảo mật dữ liệu cá nhân, mà chỉ có luật riêng của từng bang. Trước đây, Mỹ cho phép các doanh nghiệp và tổ chức thu thập thông tin cá nhân mà không cần sự đồng ý rõ ràng.
Theo Hãng tin Reuters, trong năm 2023 này, nhiều bang như Colorado, Connecticut, Utah hay Virginia sẽ lấy cảm hứng từ GDPR của EU để xây dựng luật bảo mật dữ liệu người dùng riêng.
Nổi bật là ở bang California có Đạo luật người tiêu dùng (CCPA). Luật cho phép người dùng có thể hỏi các công ty về những thông tin cá nhân nào được thu thập, truy cập vào nó, cập nhật và sửa, xóa, tìm hiểu xem ai đang chia sẻ và quan trọng là có quyền từ chối bán cho bên thứ ba.
CCPA có hiệu lực từ đầu năm 2020 và ước tính có hơn 500.000 doanh nghiệp chịu ảnh hưởng bởi luật này.
M.KHÔI