Doanh nghiệp bị rò rỉ dữ liệu khách hàng, ai phải chịu trách nhiệm?

Doanh nghiệp bị rò rỉ dữ liệu khách hàng, ai phải chịu trách nhiệm?

Nguyễn Thành Nhân
Thứ 6, 16/11/2018 | 11:24
Chỉ chưa tròn một tuần nhưng liên tiếp các vụ việc dữ liệu của doanh nghiệp bị lộ đã khiến dư luận đặc biệt quan tâm. Ngoài vấn đề bảo mật, nhiều người còn đặt ra câu hỏi về quyền lợi của khách hàng khi dữ liệu họ cung cấp cho doanh nghiệp bị rò rỉ, công khai trái phép.

Khách hàng có quyền truy cứu khi bị doanh nghiệp làm rò rỉ thông tin

Khách hàng có quyền truy cứu khi bị doanh nghiệp làm rò rỉ thông tin.

Dồn dập nghi vấn an ninh mạng

Chiều ngày 13/11, trên diễn đàn RaidForums, hacker (tin tặc) đã công khai dữ liệu theo như tuyên bố là khách hàng của hệ thống cửa hàng FPT Shop. Trong thông tin đưa ra, hacker này cung cấp hình ảnh chụp thông tin mua hàng tại các cửa hàng FPT Shop của một số doanh nghiệp và cá nhân kèm chứng minh nhân dân, xác nhận sử dụng điện thoại kèm theo máy, sản phẩm mà khách mua…

Góc nhìn luật gia - Doanh nghiệp bị rò rỉ dữ liệu khách hàng, ai phải chịu trách nhiệm?

Nghi vấn lộ thông tin khách hàng của Thế giới di động đã bắt đầu cho nhiều lo ngại bảo mật. (Ảnh: Hà Nhân)

Đến chiều ngày 15/11, đại diện cục An toàn thông tin (bộ Thông tin và Truyền thông) cho biết trong các file dữ liệu được cho là thông tin nhân viên, khách hàng của FPT Shop mà hacker đưa lên mạng RaidForums những ngày qua có chứa virus nguy hiểm.

Qua kiểm tra với tập tin được cho là thông tin liên quan đến khách hàng của FPT Shop do một thành viên trên diễn đàn này đăng tải, khi người dùng mở các tập tin này, máy tính sẽ bị lây nhiễm mã độc đã được đính kèm trong các tệp tin thực thi. Hậu quả là thông tin trên máy tính của người dùng có thể bị chiếm đoạt, mã hóa, xóa toàn bộ dữ liệu hoặc tệ hại hơn là bị lợi dụng máy tính để tấn công sang máy tính, hệ thống khác,…

Trao đổi với PV báo Người Đưa Tin vào tối 15/11, ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng tập đoàn BKAV nhận định chưa thể khẳng định việc FPT Shop bị tấn công an ninh mạng. Sự xác minh này cần thông báo chính thức từ đơn vị này về tình trạng hệ thống an toàn thông tin của họ.

Người phát tán thông tin được cho là của FPT Shop có nickname herasvn, đây cũng là người đã công bố danh sách 2.200 nhân viên của hệ thống Con Cưng trước đó vài ngày. Sau khi kiểm tra, các chuyên gia tại diễn đàn WhiteHat cho biết dữ liệu đó là chính xác và có thể hệ thống Con Cưng đã bị tấn công. Dữ liệu đó bao gồm 2.272 thông tin nhân viên cùng 2.187 số điện thoại, 1.133 email, 2.272 số CMND hoặc hộ chiếu, 1.395 ảnh đại diện và nhiều thông tin cá nhân khác đều chính xác.

Trước đó, một hacker khác đã tung ra trên diễn đàn này hơn 5,4 triệu email và 31.000 bản ghi lịch sử giao dịch của những người dùng được cho là khách hàng của Thế Giới Di Động. Tuy nhiên, phía Thế Giới Di Động phủ nhận việc doanh nghiệp bị tấn công thông tin.

Về những luồng thông tin này, cục An toàn thông tin đã nhanh chóng vào cuộc kiểm tra, hỗ trợ các doanh nghiệp. Ông Nguyễn Huy Dũng, Phó Cục trưởng cục An toàn thông tin (bộ Thông tin – Truyền thông) khẳng định, công tác đảm bảo an toàn an ninh mạng đang được Chính phủ rất coi trọng.

“Công tác đảm bảo an toàn thông tin mạng vẫn còn bị động thời gian qua. Từ đó, cục An toàn thông tin sẽ nâng cao các quy trình để tăng cường ra soát, phát hiện các lỗ hổng, điểm yếu trên không gian mạng và cảnh báo kịp thời đến các tổ chức, cá nhân”, ông Dũng cho biết.

Chuyên gia an ninh mạng Ngô Tuấn Anh cho rằng: “Các doanh nghiệp cần có sự đầu tư hệ thống bảo mật cùng quá trình xây dựng hệ thống công nghệ thông tin với ý thức cao. Với các công ty có dữ liệu khách hàng lớn như bán lẻ, thương mại điện tử, dịch vụ trực tuyến... thì cần có cơ chế đặc biệt để nhanh chóng ngăn chặn, xử lý việc rò rỉ thông tin khi phát hiện”.

Ông Tuấn Anh cũng nhận định việc tấn công lấy dữ liệu của các doanh nghiệp không phải là chuyện mới ở Việt Nam hay trên thế giới, ngày càng gia tăng về số lượng và quy mô tấn công an ninh mạng với mục đích tài chính kinh doanh.

“Các doanh nghiệp vừa và nhỏ, không có bộ phận chuyên trách về an toàn thông tin cần nhanh chóng phối hợp với các trung tâm bảo mật, các đơn vị quản lý của Nhà nước để nhanh chóng rà soát nhằm ngăn chặn và phòng ngừa các cuộc tấn công tương tự”, ông Tuấn Anh chia sẻ.

Pháp lý về an toàn thông tin

Ngoài vấn đề bảo mật và an ninh mạng, nhiều người ngạc nhiên khi biết các doanh nghiệp lưu trữ khá nhiều thông tin của mình. Trên thực tế, dữ liệu từ khách hàng đã được các doanh nghiệp thu thập và lưu trữ bằng nhiều cách khác nhau trong một thời gian dài.

Điển hình như doanh nghiệp thương mại điện tử Tiki đã lưu toàn bộ dữ liệu trong suốt quá trình hoạt động từ trước đến nay. Mọi tương tác của khách hàng, từ cú nhấp hay di chuyển chuột trên website đều được ghi nhớ. Từ đó, doanh nghiệp này cho biết đã sở hữu kho dữ liệu khách hàng với tỷ lệ đến 25% chính xác thông tin cá nhân, ngày sinh, nơi sống... , cao hơn gấp nhiều lần với các nhà bán lẻ khác.

Không chỉ có doanh nghiệp thương mại điện tử mà các nhà bán lẻ truyền thống cũng ngày càng quan tâm đến dữ liệu khách hàng. Đại diện liên hiệp Hợp tác xã Thương mại TP.HCM (Saigon Co.op) cho biết, bán lẻ là ngành thu thập được số lượng dữ liệu nhiều thứ hai, chỉ sau viễn thông. Do đó, 20 năm qua, Saigon Coop cũng giữ lại mọi dữ liệu từ khách hàng.

Tuy nhiên, công tác bảo mật dữ liệu của các doanh nghiệp luôn gặp khó khăn đối với cơ sở hạ tầng thông tin, đội ngũ nhân sự và cách quản lý. Một lãnh đạo cấp cao của ngân hàng trong top 5 Việt Nam cho hay: “Dữ liệu là nguồn tài nguyên lớn nhất và có giá trị nhất đối với các nhà cung cấp dịch vụ. Nếu mỗi doanh nghiệp có khoảng 20.000 nhân viên thì đồng nghĩa với việc có từng đó số lượng máy tính có quyền truy cập hợp pháp vào trung tâm dữ liệu”.

“Thậm chí, trong thời buổi cách mạng 4.0 như hiện nay, các doanh nghiệp cũng phát triển ứng dụng để các nhân viên làm việc nội bộ trên điện thoại thông minh. Vậy là có thêm hàng chục ngàn thiết bị nữa có quyền truy cập vào dữ liệu khách hàng. Điều đó làm tăng nguy cơ trong công tác bảo mật khi các thiết bị này truy cập vào các trang web độc hại, có nguy cơ nhiễm mã độc, virus”, vị này nói thêm.

Góc nhìn luật gia - Doanh nghiệp bị rò rỉ dữ liệu khách hàng, ai phải chịu trách nhiệm? (Hình 2).

Luật sư Nguyễn Ngô Quang Nhật, đoàn Luật sư TP.HCM. (Ảnh: Hà Nhân).

Về mặt pháp lý, luật sư Nguyễn Ngô Quang Nhật, công ty Luật TNHH Chính Nghĩa Luật (đoàn Luật sư TP.HCM) đánh giá: “Đối với danh sách thông tin khách hàng được doanh nghiệp (chủ thể kinh doanh hàng hóa, dịch vụ) lưu trữ thì có 2 vấn đề. Thứ nhất, nếu những thông tin được khách hàng cung cấp cho doanh nghiệp là thông tin riêng tư, bí mật cá nhân, bí mật gia đình,… thì đã được pháp luật bảo vệ bằng quy định chặt chẽ, bất khả xâm phạm. Việc lưu giữ, sử dụng, công khai các thông tin này cần sự cho phép của chủ thể thông tin, trừ những trường hợp có quy định riêng theo điều 38 Bộ luật Dân sự”.

“Thứ 2 là thỏa thuận (hợp đồng) mà khách hàng và doanh nghiệp ký kết khi giao dịch có quy định về thông tin cá nhân, thông tin khách hàng như thế nào. Ví dụ có cho phép doanh nghiệp cung cấp thông tin cho bên thứ 3 hay không, trách nhiệm của doanh nghiệp trong việc lưu trữ thông tin của khách hàng đến đâu, trường hợp rò rỉ thông tin khách hàng thì trách nhiệm của các bên liên quan thế nào... Những hành vi bao gồm việc thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác hoặc lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân thì đều bị xem là vi phạm pháp luật theo luật An toàn thông tin mạng”, ông Nhật cho biết.

Hiện nay, đối với việc bảo vệ thông tin người tiêu dùng thì luật Bảo vệ người tiêu dùng có quy định rõ, người tiêu dùng được bảo đảm an toàn, bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan Nhà nước có thẩm quyền yêu cầu. Trường hợp thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng thì tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ có trách nhiệm bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng.

Như vậy khi doanh nghiệp để lộ thông tin khách hàng dưới bất kỳ hình thức nào, dù bị tấn công an ninh mạng hay hành vi có chủ đích của nhân viên thì đều phải chịu trách nhiệm.

“Trường hợp việc rò rỉ thông tin gây thiệt hại, khách hàng có thể khởi kiện ra tòa án để yêu cầu bồi thường hoặc tố cáo hành vi vi phạm để cơ quan chức năng xử lý kịp thời, giúp ngăn chặn hậu quả xấu có thể xảy ra. Nhưng trên thực tế tại Việt Nam, chưa ghi nhận trường hợp doanh nghiệp bị kiện vì để lộ thông tin khách hàng do không đảm bảo an toàn thông tin của người tiêu dùng”, luật sư Quang Nhật kết luận.

Sau Thế Giới Di Động, tiếp tục lộ dữ liệu cá nhân hàng ngàn nhân viên Con Cưng?

Chủ nhật, 11/11/2018 | 08:27
Không lâu sau khi dữ liệu thông tin giao dịch thẻ ngân hàng của khách hàng Thế Giới Di Động vướng nghi vấn bị rò rỉ, ngày 10/11 dữ liệu được cho là của chuỗi bán lẻ Con Cưng (concung.com) cũng bị hacker tung lên mạng.

Thực hư việc Thế giới Di động bị tấn công khiến hàng triệu email, số thẻ tín dụng bị lộ?

Thứ 5, 08/11/2018 | 11:54
Dư luận vẫn hoài nghi về việc có hay không việc Thegioididong.com bị hacker tấn công gây rò rỉ thông tin khách hàng dù đại diện đơn vị này vẫn khẳng định như "đinh đóng cột" thông tin này không chính xác.

Từ scandal VNG, điểm lại những vụ bê bối rò rỉ thông tin người dùng đình đám tại Việt Nam

Thứ 5, 03/05/2018 | 15:58
Sự kiện 163 triệu tài khoản Zing ID của VNG bị rao bán trên diễn đàn nước ngoài là vụ việc mới nhất bị phát hiện, trong số những scandal đình đám liên quan đến lừa đảo thông tin người dùng tại Việt Nam.
Cùng tác giả

Hướng đến chuyển đổi số đảm bảo an toàn thông tin, an ninh mạng

Thứ 3, 09/08/2022 | 17:27
Tìm ra giải pháp về bảo vệ tài nguyên số và chiến lược an toàn, an ninh mạng trước thách thức toàn cầu mới là mục tiêu của hội thảo sắp diễn ra tại Tp.HCM.

Tìm giải pháp khi du lịch quốc tế chậm phục hồi phát triển

Thứ 2, 08/08/2022 | 20:00
Trong khi du lịch nội địa bùng nổ dịp hè 2022 thì du lịch quốc tế vẫn chưa đạt kỳ vọng. Tìm ra giải pháp cho vấn đề này là mục tiêu của Diễn đàn Lữ hành toàn quốc.

Khẩn trương “giải cứu” sân bay Tân Sơn Nhất khỏi cảnh ngột ngạt, ùn ứ

Chủ nhật, 07/08/2022 | 09:25
Trong khi chờ dự án nhà ga mới đang triển khai, sân bay Tân Sơn Nhất cần giải pháp nhanh chóng để xử lý tình trạng ùn tắc giao thông tại đây.

Tp.HCM: Cận cảnh quá trình trùng tu Nhà thờ Đức Bà

Chủ nhật, 07/08/2022 | 08:00
Nhà thờ Đức Bà, một trong những điểm du lịch nổi tiếng của Tp.HCM tiến hành trùng tu, dự kiến hoàn thành vào 2023 nhưng sẽ kéo dài đến năm 2027.

Tìm đối tác nước ngoài thúc đẩy phát triển cho Tp.HCM và Bình Dương

Thứ 6, 05/08/2022 | 18:45
Hỗ trợ 2 địa phương kinh tế trọng điểm phía Nam đẩy mạnh xúc tiến thương mại, Bộ Công Thương đã tổ chức hội nghị với nhiều tổ chức nước ngoài.
Cùng chuyên mục

Án Nước ngoài-Luật Việt Nam: Cặp đôi lừa đảo 23 triệu USD rồi bỏ trốn

Thứ 7, 06/08/2022 | 10:00
Cảnh sát Singapore đang truy nã cặp vợ chồng trẻ chuyên lừa đảo khách mua hàng hiệu ở nước này, với số tiền lừa có giá trị 32 triệu SGD (23 triệu USD).

Vụ“Gần 100 biệt thự xây “chui” thuộc dự án IrelaxBangkok Villa Bình Châu”: Luật sư nói gì?

Thứ 5, 04/08/2022 | 11:00
Liên quan vụ việc, PV Người Đưa Tin có cuộc trao đổi với Luật sư Nguyễn Thanh Trung, Giám đốc Công ty Luật TNHH HT Legal VN về những vấn đề pháp lý liên quan.

Vụ cướp tiệm vàng ở Huế: Chuyên gia nói gì về nghi phạm?

Thứ 3, 02/08/2022 | 19:30
Theo tiến sĩ Hải, đối tượng Q. thực hiện hành vi phạm tội trong trạng thái tinh thần không được ổn định, thậm chí là có biểu hiện của tâm thần.

Yêu cầu tài xế xe quá tải "khôi phục lại tình trạng ban đầu" của cầu, đường có khả thi?

Thứ 3, 02/08/2022 | 06:00
Việc chở hàng hóa vượt quá tải trọng cầu, đường là hành vi nguy hiểm vì gây ảnh hưởng xấu, làm hư hại hệ thống hạ tầng giao thông đường bộ, ảnh hưởng tới ATGT.

Có thể truy tố đối tượng phóng hỏa cây ATM tại Hải Phòng?

Thứ 2, 01/08/2022 | 13:22
Đối tượng gây ra vụ phóng hỏa là Nguyễn Văn Duẩn, thiệt hại xác định số tiền 34 triệu đồng trong cây ATM cùng với nhiều trang thiết bị trị giá hơn 1,3 tỷ đồng.