Siết chặt bảo vệ dữ liệu

Vùng xám phi pháp

Những thông tin kiểu như hồ sơ ngân hàng, lịch sử trình duyệt web, đăng ký xe và sử dụng điện thoại di động được bên môi giới dữ liệu cá nhân rao bán rất nhiều. Các công ty bên thứ 3 này đã mua lại dữ liệu từ những nhân viên bị mua chuộc tại ngân hàng, nhà cung cấp dịch vụ viễn thông, internet, thậm chí còn có nguồn rò rỉ từ hệ thống tòa án. Một số không ít đến từ nguồn trộm cắp, hay tấn công mạng (hack).

Dĩ nhiên, không phải tất cả các đơn vị môi giới dữ liệu đều khai thác nguồn phi pháp. Cũng có rất nhiều hãng cung cấp dịch vụ hợp pháp thông qua thu thập thông tin cá nhân (và bán dữ liệu khách hàng) được tập hợp từ đủ nguồn công cộng. Trên thị trường kinh doanh toàn cầu, các công ty hoặc tự khai thác giá trị thông tin từ nguồn dữ liệu của họ, hoặc mua lại từ những nguồn khác.

Xét từ góc độ kinh tế, mua lại sẽ tiết kiệm hơn nhiều so với tự bỏ tiền thu thập, do đó không ngạc nhiên khi đây chính là cái “mỏ” đang được rất nhiều đơn vị môi giới dữ liệu bên thứ 3 khai thác. Cũng từ đó, có một vùng xám giữa tính hợp pháp và phi pháp của các bộ dữ liệu được mang ra rao bán.

Tin tặc sử dụng thông tin dữ liệu khách hàng để mua bán bất hợp pháp

Hồi tháng 2, cảnh sát Hà Lan bắt giữ 3 thanh niên tình nghi đánh cắp hàng chục triệu dữ liệu cá nhân nhạy cảm và bán cho các băng nhóm tội phạm, thu lợi nhiều triệu USD. Một cuộc điều tra mở rộng được giới chức châu Âu tiến hành từ năm 2021 cho thấy, hàng ngàn doanh nghiệp và tổ chức lớn, nhỏ trong nước và quốc tế đã trở thành mục tiêu của tin tặc, trong đó có cả những công ty trong ngành dịch vụ, trung tâm đào tạo và doanh nghiệp thuộc diện “cơ sở hạ tầng quan trọng”.

Hoạt động của tin tặc ngày càng tinh vi hơn, như tấn công hệ thống máy tính của công ty trước khi đe dọa đòi tiền chuộc bằng tiền kỹ thuật số bitcoin. Nếu các công ty không trả tiền, tin tặc đe dọa phá hủy cơ sở hạ tầng kỹ thuật số hoặc công bố dữ liệu nhạy cảm. Nhiều công ty đã trả tiền chuộc, thường hơn 100.000-700.000EUR trong từng vụ việc cụ thể. Trong nhiều trường hợp, dữ liệu bị đánh cắp vẫn được bán ra ngoài, dù các công ty đã trả tiền chuộc.

Theo đó, ước tính tin tặc thu được 2,5 triệu EUR (2,7 triệu USD) trong vài năm qua.

Bảo mật dữ liệu bằng luật

Giám đốc Điều hành (CEO) Apple Tim Cook từng cho rằng, dữ liệu khách hàng đã được các công ty công nghệ biến thành “vũ khí kiếm tiền”. Ông Cook cảnh báo việc lạm dụng dữ liệu cá nhân người dùng không còn mang tính chất đơn lẻ mà đã được thương mại hóa đến mức độ tinh vi và trở thành một ngành công nghiệp mua bán dữ liệu.

Sự kiện mạng xã hội TikTok bị cấm hoạt động tại một số quốc gia, CEO của TikTok ra điều trần trước Quốc hội Mỹ sau những cáo buộc chịu trách nhiệm về hành vi vi phạm quyền riêng tư do thu thập trái phép dữ liệu của khách hàng, là vụ việc gây sự chú ý của dư luận. Vào ngày 4-1, Ủy ban Bảo vệ dữ liệu Ireland (DPC) cho biết, Tập đoàn Công nghệ Meta đã bị phạt 390 triệu EUR

(khoảng 413 triệu USD) vì vi phạm Luật Dữ liệu cá nhân của Liên minh châu Âu (EU) trên nền tảng mạng xã hội Facebook và Instagram. Tháng 11-2022, DPC đã phạt Meta 265 triệu EUR do làm rò rỉ dữ liệu của hơn 500 triệu người dùng. Ireland đã phạt mạng xã hội Instagram 405 triệu EUR sau cuộc điều tra về cách thức ứng dụng này xử lý dữ liệu của thanh thiếu niên.

Tháng 7-2019, Facebook bị Ủy ban Thương mại Mỹ (FTC) phạt 5 tỷ USD vì bê bối dữ liệu Cambridge Analytica để lộ dữ liệu của hơn 50 triệu người dùng. Tháng 9-2019, FTC phạt Google 150 triệu USD vì thu thập dữ liệu trẻ em trái phép qua YouTube.

Theo thống kê, hiện có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Trong đó, Nhật Bản ban hành Luật Bảo vệ thông tin cá nhân (APPI) vào tháng 5-2017, áp dụng đối với tất cả công ty kinh doanh có trụ sở tại Nhật Bản, hay ở nước ngoài khi kinh doanh tại Nhật Bản; thành lập Ủy ban Bảo vệ thông tin cá nhân (PPC), tăng cường quản lý các doanh nghiệp công nghệ nước ngoài (Google, Facebook, Amazon…). Israel ban hành Quy định Bảo mật dữ liệu vào tháng 5-2017; tiến hành quy trình kiểm toán đối với hơn 150 công ty thuộc các lĩnh vực khác nhau để đánh giá mức độ tuân thủ bảo mật dữ liệu; thành lập Cơ quan Bảo vệ quyền riêng tư.

Từ tháng 5-2018, EU đã ban hành Luật Bảo vệ dữ liệu chung châu Âu (GDPR), yêu cầu doanh nghiệp phải tuân thủ các quy định cụ thể, rõ ràng về cách thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, loại hình dữ liệu được phép chia sẻ. Công ty nằm ngoài lãnh thổ châu Âu cũng phải chấp hành các quy định này. Bất kỳ doanh nghiệp nào vi phạm sẽ có nguy cơ đối mặt với mức phạt lên tới 20 triệu EUR hoặc 4% doanh thu toàn cầu hàng năm.

Hệ thống bảo mật thông tin của Mỹ được cho là lâu đời, mạnh mẽ và có hiệu quả nhất trên thế giới. Ngoài đạo luật của chính quyền các tiểu bang như Đạo luật Bảo vệ quyền riêng tư trực tuyến của California (CalOPPA), các đạo luật của liên bang cũng được ban hành với một số quy định mới về bảo vệ dữ liệu cá nhân trong các luật chuyên ngành nhằm đảm bảo an toàn và chặt chẽ hơn.

Canada có Đạo luật Bảo vệ thông tin cá nhân và tài liệu điện tử (PIPEDA) đặt ra các yêu cầu về cách các tổ chức phải xử lý thông tin cá nhân của cư dân Canada… Ở Đông Nam Á, trừ Singapore đã có đạo luật riêng về bảo vệ dữ liệu cá nhân, hầu hết quốc gia còn lại chưa có luật bảo vệ dữ liệu cá nhân.