Bảo vệ thông tin tài chính cá nhân, ngăn chặn lừa đảo

Lộ thông tin tài chính, nguy cơ mất tiền cao

Bộ Công an đang lấy ý kiến về dự thảo Nghị định quy định chi tiết một số điều luật Bảo vệ dữ liệu cá nhân. Theo đó, nghị định quy định rõ thế nào là cơ bản và dữ liệu cá nhân nhạy cảm. Đối với dữ liệu cá nhân nhạy cảm sẽ có yêu cầu về quy trình xử lý và các biện pháp bảo mật chặt chẽ. Dữ liệu cá nhân được liệt kê chi tiết, bao gồm dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc; Dữ liệu tiết lộ về đời tư; Tình trạng sức khỏe; Dữ liệu sinh trắc học, đặc điểm di truyền; Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật… Đặc biệt, dữ liệu nhạy cảm cũng bao gồm thông tin về tên đăng nhập, mật khẩu truy cập của tài khoản; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin khác liên quan đến hoạt động giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác.

Ảnh: Đào Ngọc Thạch

Báo cáo từ Bộ Công an cho biết tình trạng lộ, lọt dữ liệu cá nhân vẫn diễn ra phổ biến trên không gian mạng. Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Dữ liệu bị các đối tượng mua bán, trao đổi chứa thông tin rất chi tiết về cá nhân, như: họ tên, ngày sinh, số căn cước công dân, địa chỉ, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác… Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng thông qua nhiều trang web, tài khoản, trang, nhóm trên mạng xã hội Facebook, Zalo, Telegram, diễn đàn tin tặc; sử dụng các tài khoản ngân hàng để giao dịch, trong đó nhiều giao dịch ghi rõ nội dung mua bán dữ liệu (data).

Luật sư Trương Thanh Đức, Giám đốc Công ty luật ANVI, nhấn mạnh động thái của Bộ Công an đưa thông tin tài chính của cá nhân vào danh sách dữ liệu nhạy cảm là rất chính xác. Theo ông, nếu bị rò rỉ, bị lộ thông tin tài chính thì nguy cơ mất tiền, mất tài sản là rất lớn. Ngay trong những vụ đánh cắp thông tin, tấn công mạng thì các tổ chức tài chính như chứng khoán, ngân hàng hay bảo hiểm cũng thường là đích nhắm của hacker. Bởi dữ liệu liên quan về tài chính luôn bán được nhiều tiền hơn và là thông tin thực tế để dẫn đến các kịch bản lừa đảo, tấn công tinh vi, dễ đạt mục đích hơn. "Chúng ta thấy trên internet thường hay rao bán thông tin kiểu như "danh sách 1.000 khách hàng VIP" đang gửi tiền tại ngân hàng hay đang vay tiền tại ngân hàng và thông tin loại này luôn được quan tâm rất nhiều. Hơn nữa, do liên quan đến thanh toán nên các khách hàng thường có giao dịch thường xuyên, là dữ liệu sống, cập nhật. Trong khi đó nếu là danh sách khách hàng mua xe hay mua bảo hiểm thì có khi chỉ mua 1 lần rồi thay đổi và thường không có thêm thông tin gì khác. Vì vậy, theo tôi, thông tin tài chính cá nhân là dữ liệu quan trọng nhất, cần được bảo vệ chặt chẽ", luật sư Trương Thanh Đức nhấn mạnh.

Tổ chức tài chính cần bị xử lý và đền bù nếu làm lộ lọt

Nằm trong số những thông tin quan trọng nhất nên nghị định cũng nêu rõ về trách nhiệm bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng; xử lý dữ liệu lớn; hệ thống trí tuệ nhân tạo, vũ trụ ảo; công nghệ chuỗi khối (blockchain); điện toán đám mây. Trong đó, các tổ chức tài chính, ngân hàng có trách nhiệm bảo vệ dữ liệu cá nhân theo các tiêu chuẩn quốc tế và tiêu chuẩn của VN; thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 1 năm/lần; ghi lại nhật ký toàn bộ hoạt động xử lý dữ liệu cá nhân. Song song, trong quá trình kiểm soát và xử lý dữ liệu cá nhân, khi xin phép sự đồng ý của chủ thể dữ liệu thì phải liệt kê đầy đủ mục đích, bao gồm hoạt động chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng nếu có... Ngoài ra, trong thời gian chậm nhất 72 giờ sau khi phát hiện lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng thì các tổ chức, cá nhân lưu trữ, khai thác dữ liệu cá nhân có trách nhiệm thông báo cho chủ thể dữ liệu cá nhân.

Ảnh: Đào Ngọc Thạch

Theo ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo và tư vấn an ninh mạng Athena, những dữ liệu nhạy cảm nói trên khi bị rò rỉ, lộ lọt ra ngoài thì có thể tác động nghiêm trọng đến đời sống cá nhân, bị kẻ xấu lợi dụng và thậm chí bị các đường dây lừa đảo chế biến để tạo thành những kịch bản khống chế, đe dọa, thao túng nạn nhân. Do đó, dữ liệu nhạy cảm cần phải được bảo vệ tuyệt đối, phải được mã hóa nhiều lớp để tránh rò rỉ để trong trường hợp xấu nhất, nếu dữ liệu bị rò rỉ thì cũng chỉ là dữ liệu đã được mã hóa, giảm bớt khả năng bị kẻ xấu lợi dụng để xâm hại đến chủ thể dữ liệu . "Dự thảo nghị định đã đưa ra các quy định tương đối đầy đủ. Tuy nhiên, cần có thêm ràng buộc để các tổ chức tài chính, y tế… phải có trách nhiệm bảo mật mã hóa và trách nhiệm đền bù cho cá nhân khi để dữ liệu rò rỉ ra ngoài. Nếu những tổ chức này không thực hiện các cơ chế bảo mật, an ninh và mã hóa dữ liệu và để xảy ra lộ lọt thì phải bị chế tài, xử phạt. Bên cạnh đó, cần có cơ chế đền bù cho những chủ thể bị rò rỉ dữ liệu . Ví dụ thông tin tài chính của những cá nhân trong một ngân hàng nào đó mà bị rò rỉ ra bên ngoài thì ngân hàng sẽ chịu trách nhiệm không những về mặt pháp lý mà còn phải trách nhiệm về đền bù", ông Thắng đề xuất.

Luật sư Nguyễn Văn Hậu, Phó chủ nhiệm Đoàn Luật sư TP.HCM, cũng cho rằng khi dữ liệu tài chính được pháp luật công nhận là có yếu tố nhạy cảm thì hệ thống giải pháp và chế tài đi kèm phải được thiết kế một cách tương xứng, đủ mạnh để ngăn chặn thay vì chỉ chạy theo để xử lý hậu quả. Cụ thể, các tổ chức phải có nghĩa vụ áp dụng các biện pháp bảo mật mạnh mẽ nhất, cả về kỹ thuật (mã hóa đầu cuối, tường lửa đa lớp) lẫn quy trình (kiểm soát truy cập nội bộ chặt chẽ, kiểm toán an ninh định kỳ). Đồng thời, cần có quy định buộc các tổ chức này thông báo một cách rõ ràng, minh bạch và phải nhận được sự đồng ý tường minh của khách hàng cho từng mục đích cụ thể khi sử dụng dữ liệu tài chính của họ. Nghiêm cấm tuyệt đối việc sử dụng dữ liệu cá nhân cho mục đích khác mà không được cho phép. Đáng chú ý, nên quy định khi phát hiện sự cố rò rỉ dữ liệu , doanh nghiệp phải có nghĩa vụ thông báo cho cơ quan chức năng và trực tiếp cho từng khách hàng bị ảnh hưởng trong thời gian ngắn nhất (ví dụ trong vòng 24 giờ). Việc chậm trễ, che giấu thông tin phải bị coi là một tình tiết tăng nặng.

Nâng cao ý thức của doanh nghiệp, cá nhân

Luật sư Trương Thanh Đức phân tích dữ liệu cá nhân được xem là "nguồn" của tình trạng lừa đảo nở rộ thời gian qua nên cần phải cấm nghiêm ngặt và xử lý quyết liệt, đặc biệt trong lĩnh vực tài chính ngân hàng . Luật được áp dụng từ đầu năm 2026 sẽ là cơ sở để xử lý mạnh mẽ hơn các hành vi vi phạm. Tuy nhiên, cần thêm các quy định chi tiết để người dân và tổ chức hiểu, cùng thực hiện cũng như tránh vi phạm. Chẳng hạn, luật đã quy định một số mức xử phạt như phạt tiền tối đa đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm thì áp dụng mức phạt tiền theo quy định, tối đa 3 tỉ đồng. Trường hợp tổ chức vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới sẽ bị phạt 5% doanh thu của năm trước liền kề của tổ chức đó… 

Mặt khác, luật sư Đức cũng băn khoăn mức phạt đối với hành vi mua bán dữ liệu của 100 người có khác với 1.000 người hay không? Hay chỉ là mức xử phạt chung cho cùng hành vi? Theo ông, điều này cần được quy định rõ. "Để răn đe và ngăn ngừa được tình trạng đánh cắp, mua bán và phát tán dữ liệu cá nhân thì công tác giám sát, phát hiện là quan trọng nhất. Điều đó cũng hướng đến việc thực thi hiệu quả luật trong cuộc sống. Các cơ quan nhà nước phải giám sát, xử lý kịp thời cũng như có cơ chế đơn giản để người dân phản ánh khi phát hiện hành vi liên quan. Trong việc bảo vệ dữ liệu cá nhân thì cơ chế giám sát, xử lý càng quan trọng để tạo lòng tin cho người dân cùng phối hợp", luật sư Trương Thanh Đức chia sẻ.

Đồng quan điểm, ông Nguyễn Văn Thứ, Tổng giám đốc An ninh mạng, Tập đoàn Bkav , so sánh trước đây khi chưa có luật, bất kỳ công ty nào cũng thu thập thông tin khách hàng và sử dụng, chia sẻ tràn lan, gây ra nhiều hệ lụy cho cá nhân và cả xã hội. Vì vậy khi luật chính thức được áp dụng thì vấn đề này theo thời gian sẽ giảm đi. Để bảo vệ dữ liệu cá nhân trong lĩnh vực tài chính, ngân hàng nói riêng và dữ liệu nhạy cảm nói chung, vai trò của các tổ chức, doanh nghiệp là quan trọng nhất. Ngoài việc tuân thủ các quy định chung, các doanh nghiệp có thu thập dữ liệu cá nhân, thông tin khách hàng phải có bộ phận an ninh mạng để xây dựng chính sách nội bộ. Chẳng hạn, phải phân quyền và giám sát những cá nhân nào được phép truy cập; có cho phép hay không việc sử dụng các loại thẻ ghi nhớ dữ liệu , sử dụng máy in kết nối máy tính cá nhân… 

Ông Thứ nhấn mạnh bản chất của nghị định có thể chưa quy định chi tiết hết về các giải pháp, cách thực hiện thì cơ quan quản lý cần nhanh chóng ban hành thông tư hướng dẫn thêm. Trong đó cần quy định rất cụ thể để các tổ chức thực hiện bảo vệ dữ liệu cá nhân, tránh vi phạm. Thậm chí có thể hướng dẫn, tư vấn doanh nghiệp sử dụng các giải pháp, phần mềm nào cho hiệu quả; tham khảo các biện pháp, kinh nghiệm chống sao chép, phát tán dữ liệu . Khi luật chính thức được áp dụng vẫn cần các cơ quan quản lý thường xuyên tuyên truyền, nâng cao nhận thức của người dân lẫn doanh nghiệp trong việc bảo vệ dữ liệu cá nhân. Khi mọi người đều có ý thức bảo vệ thì sẽ góp phần hạn chế được tình trạng chia sẻ thông tin công khai trên mạng cũng như kịp thời phát hiện các hành vi đánh cắp, mua bán dữ liệu cá nhân để báo cáo cơ quan quản lý nhà nước xử lý kịp thời.