Khi tôi bị 'lột trần' trên không gian mạng
(CLO) Một buổi chiều cuối tuần, tôi nhận được tin nhắn từ một số lạ: “Chào anh, chúng tôi có dịch vụ xóa nợ xấu, nâng điểm tín dụng CIC. Anh có khoản vay tiêu dùng tại một ngân hàng, kỳ gần nhất thanh toán chậm 7 ngày, đúng không?”. Tôi chết lặng.
Thông tin này chỉ có tôi, vợ tôi và ngân hàng biết. Thậm chí chính tôi còn chẳng nhớ rõ kỳ đó mình nộp trễ bao lâu. Nhưng bên kia dường như đang cầm trên tay một “hồ sơ số” chi tiết về tôi: họ biết tên, số CCCD, hộ khẩu cũ, khoản vay, ngày nộp tiền, số điện thoại mẹ ruột, tài khoản mạng xã hội tôi đã bỏ từ 2018. Họ còn biết tôi từng gọi đến tổng đài ngân hàng than phiền về mức phí trả chậm.
Đó không chỉ là một tin nhắn làm phiền. Đó là cảnh báo rằng tôi đã bị “lột trần” trên không gian mạng, như hàng triệu người Việt Nam khác, mỗi ngày, đang bị rao bán dữ liệu như món hàng ngoài chợ.
Một người bạn tôi, giảng viên đại học, gần đây bị mạo danh vay tiền trên một app tín dụng đen. Bên cho vay có đủ hồ sơ: CCCD, hợp đồng lao động, sao kê ngân hàng. Sự việc chỉ vỡ lở khi bạn anh nhận được tin nhắn đe dọa, kèm ảnh ghép bôi nhọ danh dự.
Chị họ tôi thì bị chào mời mua bảo hiểm cho… đứa con chị chưa từng công khai trên mạng xã hội. Đối tượng gọi điện biết tên con, ngày sinh, tên bác sĩ siêu âm.
Từ hồ sơ tín dụng, bệnh án, hành trình di chuyển, đến cả danh sách bạn bè thân tín trên mạng… tất cả đều đã bị số hóa và rò rỉ. Trong thế giới ngầm của dữ liệu, từng người dân đang bị phân loại, đánh giá và… đem rao bán như một món hàng công khai. Dường như không một ai còn được đảm bảo quyền kiểm soát thông tin về chính mình. Những ví dụ thì rất nhiều.
Đầu tháng 5/2021, Cơ quan Cảnh sát điều tra Bộ Công an đã khởi tố bị can đối với 2 đối tượng là vợ chồng cùng đồng bọn đã thu thập, chiếm đoạt, mua trái phép gần 1.300GB dữ liệu, chứa hàng tỷ thông tin về các cá nhân, tổ chức trên toàn quốc. Tháng 7/2022, trên một diễn đàn tin tặc, hacker có tên 'meli0das' đã rao bán dữ liệu của 30 triệu người dân Việt Nam. Người này khẳng định thu thập được lượng dữ liệu lớn này từ "một trang web phổ biến về giáo dục" ở Việt Nam.
Vào tháng 2/2025, Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao Công an TP Huế phối hợp với Cục An ninh mạng và phòng chống tội phạm sử dụng Công nghệ cao Bộ Công an và các đơn vị nghiệp vụ đã triệt phá đường dây mua bán gần 56 triệu thông tin dữ liệu cá nhân. Đây không còn là những email spam (thư điện tử rác) vu vơ, mà bao gồm cả hồ sơ bệnh án, lịch sử tín dụng, mã số thuế, định vị GPS của nạn nhân.
Nguyên nhân của tình trạng trên không mới, nhưng rất nghiêm trọng. Trước hết là từ chính các tổ chức, doanh nghiệp Việt Nam, nơi dữ liệu cá nhân bị thu thập ồ ạt nhưng lại không được bảo vệ tương xứng. Hệ thống công nghệ lạc hậu, bảo mật sơ sài, thậm chí cố tình thu thập rồi rao bán dữ liệu để kiếm lời. Hàng chục ngàn nhân viên từ các ngân hàng, bệnh viện, nhà mạng đến công ty bảo hiểm, phòng khám, trung tâm ngoại ngữ… đang “ôm” trong tay kho thông tin khổng lồ, và một số trong đó bán dữ liệu như một món quà kèm chi phí hoa hồng.
Ngày 24/5/2025, tại phiên thảo luận ở Quốc hội về Dự thảo Luật Bảo vệ dữ liệu cá nhân, Bộ trưởng Bộ Công an, Đại tướng Lương Tam Quang, thẳng thắn xác nhận, nạn lộ lọt dữ liệu đang là nguyên nhân trực tiếp tiếp tay cho hàng loạt vụ lừa đảo chiếm đoạt tài sản quy mô lớn bị phát hiện gần đây. Những kẻ phạm tội có thể tiếp cận thông tin người dùng với độ chính xác cao và cập nhật theo thời gian thực, nhờ mua từ chính các “kho dữ liệu rò rỉ” ở ngân hàng, công ty bảo hiểm, đơn vị giao hàng, trung tâm y tế...
Điều đáng lo ngại, dữ liệu cá nhân được mua bán như hàng hóa với số lượng rất lớn, bán nhiều lần cho nhiều đối tượng để phân tích, khai thác, xây dựng kịch bản lừa đảo và tiếp cận nạn nhân chính xác, dễ dàng.
Phải khẳng định, dữ liệu cá nhân không thể coi là hàng hóa. Cho phép mua bán dữ liệu cá nhân là cho phép mua bán quyền con người. Đây không chỉ là vi phạm quyền riêng tư, mà là hành vi xâm phạm an ninh con người, trong bối cảnh phần lớn hoạt động kinh tế – xã hội đã dịch chuyển lên không gian mạng. “Nếu không quy định cấm mua bán dữ liệu cá nhân như hàng hóa thông thường và không có chế tài xử lý nghiêm minh thì thực tiễn sẽ phát sinh rất nhiều phương thức, thủ đoạn để hình thành chợ đen dữ liệu cá nhân, gây hậu quả thiệt hại rất lớn và nỗi bất an cho người dân” - Bộ trưởng Lương Tam Quang nhấn mạnh.
Việt Nam chưa có Luật Bảo vệ dữ liệu cá nhân. Mọi hành vi vi phạm hiện chỉ bị xử lý hành chính theo Nghị định 13/2023/NĐ-CP - mức phạt không đủ sức răn đe trong một “thị trường đen” dữ liệu ước tính lên tới hàng ngàn tỷ đồng. Trong khi đó, đã có hơn 150 quốc gia ban hành Luật về bảo vệ dữ liệu cá nhân, với chế tài hình sự rõ ràng. Trước sự cấp bách không thể chờ đợi thêm, Chính phủ cũng đã đề nghị Quốc hội rút ngắn quy trình, cho phép thông qua dự luật ngay tại một kỳ họp.
Nhưng luật không thể làm thay tất cả. Phải thẳng thắn rằng, một phần nguyên nhân đến từ chính sự dễ dãi, thiếu cảnh giác của người dùng. Những cái “bấm chuột” đồng ý vô thức, những app miễn phí yêu cầu truy cập danh bạ, vị trí, hình ảnh, tin nhắn - từng bước một, chúng ta đang “trao khóa nhà cho người lạ” mà không biết. Trong khi đó, nhiều doanh nghiệp, tổ chức lại thu thập dữ liệu tràn lan, lưu trữ thiếu bảo mật, không phân quyền chặt chẽ, nhân viên dễ dàng rút trích dữ liệu để bán cho các đối tượng xấu.
Hậu quả là gì?
Là sự tấn công vào đời sống riêng tư, sự phá vỡ ranh giới an toàn của từng người. Là lừa đảo, mạo danh, bôi nhọ danh dự, mất tiền của. Là việc hàng triệu người phải sống trong lo sợ khi mỗi cuộc gọi lạ đều có thể là một cú lừa, mà kẻ lừa biết rõ bạn là ai, thân với ai, yếu ở đâu, sợ điều gì.
Nguy hiểm hơn, đó là mất niềm tin vào chính quyền và tổ chức. Khi người dân bị rò rỉ dữ liệu từ chính nơi họ từng tin tưởng như bệnh viện, ngân hàng, trường học, chính quyền địa phương. Họ không còn dám kê khai thật trong hồ sơ y tế, không muốn khai báo địa chỉ liên hệ, không tin vào việc số hóa hành chính, vì lo sợ: “Khai rồi thì ai cũng biết, rồi mình lại thành con mồi tiếp theo”. Rõ ràng, cái mất ở đây không chỉ là thông tin, mà là sự tin cậy vào toàn bộ hệ thống. Suy rộng ra, đó là mất an ninh xã hội một cách âm thầm nhưng nghiêm trọng.
Luật sắp có. Nhưng điều quan trọng hơn, người dân cần là một hệ sinh thái bảo vệ dữ liệu toàn diện, bắt đầu từ nhận thức đến hành động cụ thể. Đó có thể là:
Nghiêm cấm mua bán dữ liệu cá nhân như một loại hàng hóa, truy tố hình sự những kẻ tổ chức, môi giới, tàng trữ và phát tán dữ liệu trái phép.
Áp dụng quy chuẩn bảo mật bắt buộc với các tổ chức lưu trữ dữ liệu người dùng, từ ngân hàng, bệnh viện đến đơn vị giao hàng.
Yêu cầu công khai minh bạch việc thu thập, lưu trữ, sử dụng và chia sẻ dữ liệu, người dùng có quyền rút lại, yêu cầu xóa, và được bảo vệ khi dữ liệu bị lạm dụng.
Giáo dục kỹ năng an toàn số từ cấp phổ thông, như một kỹ năng sống cơ bản trong thời đại số hóa.
Dữ liệu cá nhân không phải là món hàng khuyến mãi. Mỗi con người có quyền được im lặng, quyền được quên, quyền kiểm soát những gì thuộc về riêng tư. Không ai có thể “lột trần” bạn giữa đám đông mạng xã hội mà không bị xử lý. Vì thế, bảo vệ dữ liệu cá nhân không còn là chuyện xa xôi của tương lai. Nó là cuộc chiến hiện tại, ngay lúc này. Và từng người dân, từng tổ chức, từng nhà lập pháp đều đang ở tuyến đầu.
Hôm nay là tôi. Ngày mai có thể là bạn, con bạn, cha mẹ bạn, đồng nghiệp bạn. Đừng đợi đến khi hình ảnh con bạn bị ghép lên một bản tin vu khống, tài khoản của mẹ bạn bị chiếm đoạt, tài sản của bạn bị lừa trắng trợn... mới giật mình hỏi: Chúng biết những thứ đó ở đâu? Tại sao chúng lại biết rõ tôi đến thế?
Câu trả lời là: chúng biết. Từ lâu rồi. Và bạn đã cho phép, thậm chí để mặc.