Các nhân viên điều tra bắt giữ những người sử dụng trang web đen Genesis Market. (Nguồn: NCA) |
Theo Reuters, chiến dịch do Cục điều tra Liên bang Mỹ (FBI) và cảnh sát Hà Lan dẫn đầu với sự tham gia của các cơ quan thực thi pháp luật thuộc 18 nước, bao gồm cả Cơ quan tội phạm quốc gia Anh (NCA).
Công cụ lừa đảo
Theo cảnh sát, trang web chứa 80 triệu thông tin cá nhân của khoảng 2 triệu người. Trong đó có cả dữ liệu thông tin tài khoản ngân hàng, Facebook, Amazon, PayPal và Netflix được rao bán cùng với dấu vân tay kỹ thuật số từ thiết bị của các nạn nhân. Các thông tin này cho phép tội phạm vượt qua các hệ thống an ninh trực tuyến bằng cách giả mạo làm người khác.
Sau hơn 200 cuộc điều tra, khoảng 120 người sử dụng trang web này trên khắp thế giới đã bị bắt. NCA ước tính ở Anh có hàng trăm người sử dụng dịch vụ từ trang web này, và hàng chục nghìn người Anh đã trở thành mục tiêu của tội phạm.
Ông Will Lyne, người đứng đầu bộ phận tình báo mạng của NCA, cho biết: “Genesis Market là một trong những thị trường tội phạm hàng đầu trên thế giới, cung cấp công cụ cho các vụ lừa đảo, phạm pháp trực tuyến bởi chúng tạo điều kiện cho việc tiếp cận nạn nhân”.
Bằng các công cụ tìm kiếm Internet thông thường, người ta có thể dễ dàng tiếp cận trang web này, thậm chí còn được hướng dẫn chi tiết, từng bước về cách mua các thông tin bị đánh cắp, cũng như cách sử dụng chúng để lừa đảo. Tùy thuộc vào loại thông tin, giá rao bán rẻ nhất từ 70 cent Mỹ (4 ngàn VNĐ) và có thể lên đến vài trăm USD.
Theo Giám đốc Trung tâm Tội phạm kinh tế Anh, Rob Jones, bất kỳ ai sử dụng Genesis Market đều có thể dễ dàng phạm tội. Ông nói: “Người ta không cần phải đi gặp ai đó, không cần phải tìm kiếm trong một diễn đàn nào, chỉ cần đăng nhập, trả tiền là có ngay công cụ để phạm tội”.
Ngoài giả mạo danh tính, “chợ” này cũng tạo điều kiện cho việc “bắt cóc dữ liệu”. Đó là trường hợp tin tặc chặn quyền truy cập dữ liệu và yêu cầu khổ chủ trả một khoản tiền nhất định thì mới trả lại dữ liệu đó), hay hoạt động tráo đổi sim (chiếm đoạt số điện thoại di động) và đánh cắp mã nguồn từ các doanh nghiệp.
Trong chiến dịch, các nhà điều tra của NCA hiện đã thiết lập các công cụ từ chối truy cập vào “chợ”, sau đó, đánh sập các máy chủ của bọn tội phạm bằng cách làm tràn ngập các yêu cầu. Họ đã sử dụng cách làm tương tự khi xử lý các trang web lừa đảo.
Biểu ngữ được đính trên trang web của Genesis Market hiện cho biết các tên miền thuộc về tổ chức lừa đảo này đã bị FBI tịch thu. Logo của cảnh sát châu Âu, Canada và Australia được đưa lên trên trang web, cùng với logo của công ty an ninh mạng Qintel.
Bảo vệ bằng luật
Hiện nay, trên thế giới, vấn đề bảo vệ dữ liệu cá nhân được Mỹ, Đức, Pháp, các quốc gia Liên minh châu Âu, Nhật Bản… rất coi trọng. Hơn 80 quốc gia đã ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân.
Ở khu vực Đông Nam Á, ngoại trừ Singapore, hầu hết các quốc gia còn lại, bao gồm Việt Nam, đều chưa có đạo luật riêng về bảo vệ dữ liệu cá nhân. Tuy vậy, vấn đề bảo vệ dữ liệu cá nhân được quy định rải rác trong các văn bản quy phạm pháp luật với mức độ khác nhau ở Hiến pháp, Luật, Nghị định và Thông tư.
Tại Singapore, Nghị viện nước này thông qua Luật Bảo vệ dữ liệu cá nhân ngày 15/10/2012. Luật này công nhận quyền của các cá nhân trong việc bảo vệ các dữ liệu của chính họ. Bên cạnh đó, một số văn bản pháp luật chuyên ngành của Singapore quy định vấn đề này như: Luật An ninh mạng và máy tính, Luật Bí mật công vụ, Luật Giao dịch điện tử, Luật Ngân hàng, Luật Viễn thông, Luật Thống kê…
Theo đó, cá nhân bị thiệt hại bởi hành vi vi phạm bí mật dữ liệu cá nhân có thể khởi kiện theo trình tự tố tụng dân sự để được yêu cầu bồi thường. Tùy thuộc vào mức độ, cá nhân vi phạm sẽ bị phạt tiền từ 2.000-100.000 SGD hoặc/và phạt tù không quá 12 tháng, trong trường hợp vi phạm nghiêm trọng có thể bị phạt tù lên tới ba năm.
Tại Indonesia, tuy chưa xây dựng cơ chế chuyên biệt về bảo vệ bí mật dữ liệu cá nhân, nhưng Luật nước này quy định, các hành vi cố ý vi phạm quyền bí mật đời tư, ngoài việc bị phạt tiền tối đa đến 600 triệu Rupiah, người vi phạm còn có thể bị phạt tù lên đến sáu năm.
Bộ luật Hình sự Indonesia quy định, truy cứu trách nhiệm hình sự đối với các hành vi vi phạm quyền con người, trong đó có các quyền bí mật dữ liệu cá nhân được thể hiện qua quy định tại Điều 28G Hiến pháp Indonesia.
Bài toán quản lý
Tình trạng lộ lọt, đánh cắp, mua bán dữ liệu cá nhân diễn ra phổ biến ở hầu hết các nước trên thế giới không ngoại trừ Việt Nam. Theo thống kê từ Bộ Công an, dữ liệu cá nhân của hai phần ba dân số Việt Nam đang được lưu trữ, thu thập và chia sẻ trên không gian mạng với nhiều hình thức, mức độ khác nhau. Nguồn dữ liệu cá nhân bị khai thác rất đa dạng, bao gồm: thông tin cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ điện lực; thông tin về phụ huynh, học sinh tại các trường trên cả nước; thông tin khách hàng của các ngân hàng... Nhiều dữ liệu thông tin người dùng bị khai thác khi sử dụng dịch vụ viễn thông, thuê bao điện thoại; thông tin khách hàng tại các dự án bất động sản; khách mua hàng điện máy; thông tin của khách hàng đầu tư tài chính, chứng khoán, khách hàng spa, nha khoa, thẩm mỹ viện...
Ngày càng có nhiều chủ thể thu thập, phân tích dữ liệu cá nhân vì những mục đích khác nhau. Thực tế này đặt ra cho Chính phủ bài toán phải quản lý sao cho hiệu quả, bảo đảm xử lý được các hành vi vi phạm pháp luật về thông tin cá nhân; đồng thời, bảo đảm phù hợp với Hiến pháp, các quy định của pháp luật Việt Nam cũng như pháp luật quốc tế.
Do đó, việc nghiên cứu pháp luật về bảo vệ dữ liệu cá nhân của các quốc gia trên thế giới là rất cần thiết.
Việc tham khảo cách làm của các quốc gia khác, nghiên cứu, xây dựng và ban hành Luật Bảo vệ dữ liệu cá nhân nhằm tạo cơ chế hữu hiệu thực hiện quyền bất khả xâm phạm đời sống riêng tư, bí mật cá nhân đã được quy định tại Điều 21 và 22 Hiến pháp Việt Nam năm 2013.
Theo một số chuyên gia pháp lý, để nâng cao hiệu quả thực thi pháp luật về bảo vệ dữ liệu cá nhân, Việt Nam cần thành lập Ủy ban quốc gia về bảo vệ dữ liệu cá nhân với chức năng tham mưu, tư vấn cho Chính phủ, tổ chức, cá nhân; nâng cao nhận thức thông qua các hoạt động giáo dục, nghiên cứu; giám sát thực hiện pháp luật về bảo vệ dữ liệu cá nhân; điều tra xử lý hành vi có dấu hiệu vi phạm quy định pháp luật về bảo vệ dữ liệu cá nhân…