Chế tài không đủ để răn đe việc rao bán thông tin khách hàng?
Các website danhsachkhachhang.com, datakhachhang.net, danhsachmoi.com… rao bán thông tin cá nhân hay thậm chí được cho tải miễn phí từ đường link Google tài liệu đăng tải trên mạng đang diễn ra tràn lan. Tình trạng này không phải là tái diễn, mà là diễn ra thường xuyên lâu nay, một cách công khai bất chấp pháp luật đã có qui định cấm.
Mua bán, cho tặng miễn phí thông tin để… kiếm lời
"Để hỗ trợ công việc kinh doanh thuận lợi, mình xin gửi đến các anh chị bộ danh sách khách hàng ở Hà Nội. Sở hữu trọn bộ này chỉ với 2 triệu đồng. Số lượng 700.000 - 800.000 số điện thoại với hơn 350 danh sách. Giá bán lẻ 50.000 - 200.000 đồng/danh sách" - đây là lời giới thiệu về kho dữ liệu dồi dào của trang web scribd... Trong đó có những danh sách nổi bật như: danh sách tổng giám đốc ở Hà Nội, 750 khách hàng mua The Keangnam, 1.100 giám đốc Đà Nẵng, khách hàng The Manor Hà Nội...
Hiện thông tin người dùng được rao bán được phân loại rất kỹ. Tại nhiều trang web, báo Tuổi trẻ còn tìm thấy khá nhiều danh sách độc như: 1.020 khách hàng BMW, 1.300 khách hàng Mercedes, 710 khách hàng đầu tư vàng, 3.000 khách hàng Phú Mỹ Hưng, 1.200 chủ tịch hội đồng quản trị, 850 thành viên câu lạc bộ doanh nhân...
Cho tải miễn phí thông tin cá nhân nhưng lại thu thập ngược thông tin cá nhân người tải.
Nhiều trang được thiết kế rất sơ sài như: datakhachhang24h, scribd... Nhưng cũng lắm trang được đầu tư khá công phu: danhsachmoi, fulldata, datakhachhang... Có trang chỉ đơn giản là đưa ra tên danh sách khách hàng như: danh sách khách hàng có thu nhập cao ở Hà Nội, nhân viên văn phòng nữ có thu nhập trên 15 triệu đồng ở Hà Nội, khách hàng Ford miền Bắc, danh sách khách hàng của các ngân hàng, danh sách phụ huynh học sinh, danh sách khách hàng các dự án bất động sản...
Một số trang còn có hẳn nhiều bài viết giới thiệu chi tiết các danh sách, kèm theo hình chụp màn hình máy tính một phần danh sách như để minh chứng "người thật việc thật". Thậm chí nhiều trang còn tặng miễn phí nhiều danh sách khách hàng cũ từ những năm trước, chỉ bán những danh sách mới nhất với nhiều thông tin nhất...
Điểm chung của tất cả các trang chia sẻ, rao bán danh sách khách hàng là đều để lại số điện thoại di động của người sở hữu. Thế nhưng, không phải bất kỳ ai cứ muốn hỏi thăm thông tin hay tìm hiểu để mua đều có thể liên lạc dễ dàng với người bán. Mặc dù số điện thoại di động được cung cấp công khai nhưng người tìm hiểu phải "tuân thủ" đúng quy chuẩn liên lạc thì mới gặp được.
Cụ thể, nếu chọn hình thức đăng ký qua khung có sẵn trên web, người dùng phải cung cấp đầy đủ địa chỉ email, số điện thoại, số Zalo, họ và tên, nghề nghiệp, danh sách thông tin quan tâm... Sau đó gửi đi và chờ bên người bán liên lạc lại. Còn nếu muốn nhanh hơn, người dùng phải nhắn tin SMS theo đúng "cú pháp" quy định trước.
Lựa chọn một số trang được thiết kế sạch sẽ và có đầu tư giao diện đàng hoàng, chúng tôi thử liên hệ với một người tên là Nam - đại diện một số trang như: datakhachhang.net, danhsachmoi.com... Sau nhiều lần thử gọi trực tiếp lẫn nhắn tin thể hiện "thiện ý" muốn mua danh sách khách hàng nhưng không có ai trả lời, chúng tôi phải tìm hiểu và soạn tin nhắn "đúng cú pháp", với thông tin cả họ và tên, số điện thoại di động, email, nghề nghiệp, danh sách quan tâm.
Chỉ sau vài phút, tin nhắn trả lời được gửi đến với khá đầy đủ chi tiết: 10.000 khách hàng cập nhật tháng 1/2020 có giá 2 triệu đồng; cập nhật vào tháng 2/2020 giá 3 triệu đồng; tháng 3/2020 lên đến 6 triệu đồng.
Nam cho biết mình có "nguồn" riêng nên các thông tin luôn chính xác và được cập nhật liên tục. Người mua chỉ cần chuyển tiền qua tài khoản ngân hàng bên phía Nam thì "sau 1 phút sẽ nhận được data (dữ liệu) qua email". Nam còn cẩn trọng lưu ý khi chuyển khoản không được ghi "nội dung liên quan đến data".
Đặc biệt có một số trang người mua phải dùng công cụ tìm kiếm mới truy cập được (chứ không phải theo cách gõ tên miền như thông thường). Theo những người rành lĩnh vực, đây là "chiêu thức" né tránh sự ghi nhận của cơ quan chức năng cũng như những người mua không có nhu cầu thật. Người mua chỉ có cách liên lạc duy nhất là cung cấp tài khoản Zalo, địa chỉ email để người bán xem xét và liên lạc lại giao dịch.
Hình thức sử phạt không đủ răn đe?
Theo nghị định số 174/2013, hành vi không có biện pháp bảo vệ thông tin riêng hoặc thông tin cá nhân của người sử dụng bị phạt 10 - 20 triệu đồng; phạt tiền 30 - 50 triệu đồng với hành vi tiết lộ trên môi trường mạng thông tin thuộc bí mật kinh doanh hoặc tiết lộ trái phép nội dung thông tin riêng của người sử dụng dịch vụ viễn thông; phạt tiền từ 50 - 70 triệu đồng với hành vi mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông. Như vậy, mức phạt cao nhất mới chỉ là 70 triệu đồng.
Theo nhiều chuyên gia trong ngành, mặc dù có một số văn bản quy phạm pháp luật (Bộ luật hình sự, Luật bảo vệ người tiêu dùng, Luật công nghệ thông tin...) có đề cập tới bảo vệ dữ liệu cá nhân nhưng chưa đầy đủ và thiếu chế tài đủ mạnh. Do đó, các cơ quan chức năng khó xác định và xử lý.
Trao đổi với báo Lao động, chuyên gia bảo mật Võ Đỗ Thắng (Giám đốc Trung tâm an ninh mạng Athena) cho biết, tới thời điểm này, hầu như chưa có trường hợp doanh nghiệp nào phải chịu trách nhiệm về việc để lộ lọt thông tin cá nhân khách hàng, cho dù tình trạng thông tin cá nhân bị rò rỉ đã xảy ra rất nhiều trong ngành hàng không, thông tin di động, địa ốc, bảo hiểm nhân thọ…
“Các quy định chế tài về vấn đề này đã được ban hành và đã có hiệu lực, nhưng vì dường như chưa có vụ việc nào được đưa ra xử nghiêm, người tiêu dùng cũng chưa từng khởi kiện vụ nào, cho nên đối tượng phát tán thông tin cá nhân rao bán trên mạng và các doanh nghiệp để lộ lọt thông tin cá nhân khách hàng không sợ, hay nói đúng hơn là nhờn luật”, ông Thắng bày tỏ.
Thậm chí, cũng có rất ít doanh nghiệp đầu tư xây dựng các giải pháp công nghệ kĩ thuật và qui trình quản trị để tránh bị lấy cắp thông tin khách hàng, đặc biệt là từ người “trong nhà” mang ra bên ngoài.
“Đầu tư thì phải chi phí, nhưng không quá tốn kém. Song cái chính là đa phần doanh nghiệp không quan tâm ngoại trừ một số ít ngành như ngân hàng, cho nên tình trạng phát tán, mua bán thông tin cá nhân vẫn cứ diễn ra sôi động như chưa bao giờ có sự cấm cản”, chuyên gia Võ Đỗ Thắng cho biết.
Hiện tại, Việt Nam mới chỉ có Luật an toàn thông tin mạng quy định về nguyên tắc bảo vệ thông tin cá nhân nhưng theo hướng cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật. Điều này đặt ra vấn đề cần bổ sung thêm các nguyên tắc khác để bảo vệ dữ liệu cá nhân.
Bộ Công an cũng cho rằng những quy định pháp luật cụ thể về bảo vệ dữ liệu cá nhân được quy định rải rác trong các văn bản quy phạm pháp luật với mức độ khác nhau và chưa có quy định chi tiết, cụ thể và thiếu tính khả thi trên thực tế.
Minh Thùy
