Dẫn chứng về các vụ việc lộ, lọt thông tin điển hình với mức độ nghiêm trọng kể trên trong báo cáo đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân, thuộc dự thảo hồ sơ đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân, Bộ Công an nhận định tình trạng lộ dữ liệu cá nhân đang diễn ra khá phổ biến trên không gian mạng.
Theo Bộ Công an, hiện nay, người sử dụng mạng xã hội chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.
Bên cạnh đó, nguy cơ mất an ninh dữ liệu cá nhân từ các tổ chức, doanh nghiệp có hoạt động thu thập dữ liệu cá nhân là rất lớn. Nhiều tổ chức, doanh nghiệp cũng không nhận thức được trách nhiệm bảo vệ cũng như hậu quả có thể xảy ra nếu các thông tin đó bị lộ lọt hay cung cấp cho bên thứ 3. Từ đó dẫn đến tình trạng mua bán dữ liệu cá nhân đang diễn ra phổ biến, công khai. Các dữ liệu này bao gồm dữ liệu thô và dữ liệu cá nhân đã qua xử lý. Trong đó, các dữ liệu thô bao gồm danh sách cán bộ, danh bạ nội bộ của các Bộ ngành và tập đoàn kinh tế, khách hàng điện lực trên toàn quốc, thông tin chủ thuê bao điện thoại và internet của các nhà mạng, thông tin khách hàng vay, gửi tiết kiệm ngân hàng, chứng khoán, bảo hiểm… Về phía dữ liệu cá nhân đã qua xử lý bao gòm thông tin chi tiết về các cá nhân, tổ chức, doanh nghiệp, như: họ tên, ngày sinh, số CMND, địa chỉ, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác…
Bộ Công an nêu rõ thực trạng: "Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc...".
Về mặt phương thức, thủ đoạn thu thập trái phép dữ liệu cá nhân, Bộ Công an cho biết, thông thường các đối tượng sẽ tạo lập hoặc lợi dụng các website có nội dung hấp dẫn thu hút người dùng. Sau khi người dùng truy cập các website này, các mã độc được cài cắm từ trước sẽ xâm nhập vào máy tính và các thiết bị thông minh mà người dùng không hề hay biết để thu thập thông tin, thậm chí thực hiện các hành vi vi phạm khác…
Ví dụ, các đối tượng sẽ đính kèm các mã độc vào các trang game online, các trang web có nội dung đồi trụy… hoặc đối tượng tạo ra các trang đăng nhập thông tin giả mạo (Facebook, email, bank). Những trang này sẽ được gửi qua email đến nạn nhân và chúng có giao diện giống hệt với trang đăng nhập của các nhà cung cấp dịch vụ. Nếu nạn nhân mất cảnh giác và thực hiện đăng nhập thông tin trên trang web đó, thông tin sẽ được gửi đến hacker thay vì là các nhà cung cấp dịch vụ như họ nghĩ.
Bộ công an cũng cảnh báo, một số phần mềm được cung cấp miễn phí trên mạng internet, đặc biệt là đối với những phầm mềm không rõ nguồn gốc, phần mềm bẻ khóa như các chương trình crack, patch phần mềm; một số phần mềm diệt virus giả mạo như AntivirusGold, Antivirus PC 2009, AntiSpyware Shield Pro, DoctorTrojan... cũng sẽ bị các đối tượng xấu lợi dụng để cài cắm các mã độc đính kèm.
Những thủ đoạn kể trên thường nhắm vào các thiết bị thông minh có kết nối internet như: Router wifi, camera an ninh, điện thoại thông minh… Bằng việc tiến hành rà quét nhằm phát hiện và lợi dụng các lỗ hổng an ninh phổ biến trên các thiết bị này như sử dụng tài khoản và mật khẩu mặc định của nhà sản xuất, không cập nhật các bản vá lỗi thường xuyên… các đối tượng sẽ cài cắm mã độc nhằm theo dõi, thu thập dữ liệu, đe dọa hoặc tống tiền người dùng.
Bộ Công an nhấn mạnh, hiện nay đã có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam. Tuy nhiên, tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân. Ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Dù vậy, đây mới chỉ là văn bản Nghị định, chưa phải văn bản Luật nên cần thống nhất thực hiện trong thực tiễn. Đó cũng là lý do vì sao cần thiết phải sớm có Luật cụ thể về bảo vệ an toàn dữ liệu cá nhân cho người dùng.
