48 triệu công dân bị lộ dữ liệu từ tiêm chủng: Cần vá lỗ hổng bảo mật

Bức xúc vì bị lộ thông tin cá nhân

Vừa sinh con xong, chưa kịp nghỉ ngơi, điện thoại của chị Trần Thị Hà ở phường Kinh Bắc, tỉnh Bắc Ninh đã reo liên tục từ các số máy lạ. Khi nghe máy, thì đầu dây bên kia mời chào tắm bé, chăm sóc sức khỏe của sản phụ sau sinh. Điều khá đặc biệt là đối tượng biết rõ các thông tin cá nhân của chị khiến chị Hà hoang mang, lo lắng. Đặc biệt, không chỉ 1 người gọi, mà liên tục những cơ sở tắm bé khác nhau đều có thông tin của chị để mời chào.

Tương tự như chị Hà, các sản phụ khác cùng phòng cũng liên tục nhận được cuộc gọi mời chào khiến họ bức xúc và lo lắng, đặc biệt là thời điểm vừa sinh con xong, cơ thể còn yếu, tâm lý chưa ổn định.

Không chỉ các mẹ mới sinh bị gọi điện mời chào, mà những người đã sinh bé được 1-2 tháng cũng liên tục bị gọi điện mời chào các dịch vụ khác nhau. Chị Trần Thanh Bình ở phường Ba Đình, TP Hà Nội cũng giật mình khi đối tượng biết rõ con chị được hơn 1 tháng. Do đối tượng rất rõ thông tin cá nhân và còn biết chị mới sinh con nên chị nghĩ đó là nhân viên ngành y tế. Trong quá trình trao đổi, đối tượng tư vấn cho chị mua các sản phẩm canxi, vitamin.

Khi chị Bình trả lời đang sử dụng sản phẩm canxi thì họ khẳng định ngay “loại canxi chị đang dùng không tốt cho phụ nữ sau sinh”. Thế rồi, họ giới thiệu một số loại canxi, vitamin và nói rằng do bác sĩ ở bệnh viện tuyến Trung ương kê, phải đặt trước vài tháng mới có, rất quý và hiếm. Họ còn hỏi thăm sức khỏe của bé, cho rằng hiện tượng quấy khóc, rụng tóc vành khăn... là do thiếu canxi, vitamin và tư vấn, vì thế chị mua thuốc của họ.

Tương tự, chị Nguyễn Thị Phương Hoa, ở phường Hà Đông, Hà Nội rất hoang mang bởi cách đây không lâu, có số điện thoại gọi và giới thiệu làm việc tại Trung tâm Tiêm chủng Quốc gia liên hệ để tư vấn. Người này cũng đọc rõ thông tin cá nhân như tên, địa chỉ nhà của chị và thông tin của con chị, biết bé tiêm những mũi tiêm gì, ở phòng tiêm nào.

“Thấy họ biết rõ thông tin của mình, tôi chia sẻ tình trạng của con và được họ tư vấn rằng, tôi cần bổ sung canxi cho con với liệu trình 3 tháng. Ban đầu tôi đồng ý, nhưng sau đó người nhà khuyên ngăn nên tôi không mua nữa. Tôi đã hỏi phòng tiêm chủng vaccine nơi con tôi tiêm thì được khẳng định, nhân viên phòng tiêm không gọi điện tư vấn gì. Không hiểu họ lấy thông tin của tôi và con tôi từ đâu?”, chị Hoa thắc mắc.

Tại Bệnh viện Sản nhi tỉnh Bắc Ninh, không chỉ các sản phụ mới sinh bị làm phiền, mà bố mẹ các bé đang điều trị tại bệnh viện cũng liên tục bị gọi điện mời chào mua thuốc, vitamin để tăng cường đề kháng. Nhận thấy, đây là vụ việc có dấu hiệu vi phạm pháp luật về khai thác trái phép dữ liệu cá nhân nên Giám đốc Bệnh viện Sản nhi tỉnh Bắc Ninh đã có công văn báo cáo Công an tỉnh đề nghị điều tra, xác minh.

Nhận nhiệm vụ, cán bộ, chiến sĩ Văn phòng Cơ quan CSĐT Công an tỉnh Bắc Ninh đã nắm tình hình, thu thập tài liệu, thông tin, qua đó, phát hiện có nhóm đối tượng chuyên mua bán dữ liệu tiêm chủng nên đã tập trung xác minh, làm rõ. Theo đó, Cơ quan điều tra xác định, Hệ thống quản lý tiêm chủng quốc gia được đưa vào sử dụng từ cuối năm 2015, mỗi người được cấp 1 mã số tiêm chủng để theo dõi lịch sử tiêm chủng suốt đời. Cơ sở y tế sẽ theo dõi số lần tiêm chủng, các loại tiêm chủng, số mũi tiêm còn thiếu, thời điểm tiêm chủng tiếp theo... hạn chế việc tránh tiêm sót, chồng chéo mũi tiêm do bố mẹ không nhớ rõ lịch tiêm hoặc tiêm ở nhiều cơ sở y tế khác nhau. Theo đó, việc nhập họ tên, thông tin tiêm chủng vào phần mềm quản lý thông tin tiêm chủng quốc gia là bắt buộc. Tuy nhiên, việc quản lý dữ liệu còn lỏng lẻo dẫn đến việc đối tượng đã xâm nhập hệ thống, lấy cắp dữ liệu đem bán kiếm lợi.

2 nhân viên phòng tiêm chủng đánh cắp dữ liệu

Qua điều tra, Văn phòng Cơ quan CSĐT Công an tỉnh Bắc Ninh đã phát hiện 2 vụ, 2 đối tượng xâm nhập hệ thống phần mềm quản lý tiêm chủng quốc gia để lấy cắp thông tin bán kiếm lời. Cả 2 vụ, đối tượng đều là nhân viên các phòng tiêm chủng, do hệ thống quản lý này lỏng lẻo nên dễ dàng xâm nhập, lấy cắp, bán kiếm lời và coi đây là một “nghề” kiếm tiền, song song với công tác mình đang làm.

Đối tượng thứ nhất là Nguyễn Phương Ngọc, sinh năm 1991, trú ở phường Bạch Mai, TP Hà Nội làm việc tại Phòng tiêm chủng Hà An ở Lô 6, Đền Lừ, phường Hoàng Mai, TP Hà Nội. Do Ngọc thường xuyên tiếp cận với hệ thống thông tin tiêm chủng quốc gia nên biết cách khai thác, trích xuất thông tin bệnh nhân nên đã nảy sinh ý định bán thông tin cho các trung tâm dịch vụ tắm bé và các cá nhân, tổ chức có nhu cầu. Theo đó, Ngọc lập tài khoản Zalo tên là “Hippi” rồi tham gia các nhóm trên Zalo để bán dữ liệu.

Hằng ngày, Ngọc sử dụng máy tính cá nhân truy cập vào Hệ thống tiêm chủng quốc gia trích xuất dữ liệu theo dạng file Excel của trẻ sơ sinh theo tỉnh, theo ngày tháng sinh (bao gồm dữ liệu thông tin, số điện thoại của bố mẹ các bé). Khi có khách mua, Ngọc sẽ nhận tiền rồi chuyển file. Mỗi file, Ngọc bán từ 500.000 đồng đến 2,6 triệu đồng/tháng cho người mua. Theo đó, từ giữa năm 2023 đến nay, Ngọc đã bán hàng nghìn giao dịch. Cơ quan công an bước đầu làm rõ, chỉ riêng 5 tài khoản Zalo đã trả cho Ngọc gần 280 triệu đồng.

Đối tượng thứ hai là Mạc Thị Ngọc Ánh, sinh năm 1994, trú ở phường Chu Văn An, TP Hải Phòng - là nhân viên làm việc tại phòng tiêm chủng dịch vụ Minh Hương ở đường Nguyễn Trãi, phường Chu Văn An, TP Hải Phòng. Do làm ở đây nên Ánh biết cách vào Hệ thống thông tin tiêm chủng quốc gia để kiểm tra lịch sử tiêm chủng của khách hàng. Trong một lần đi tập huấn về Hệ thống thông tin tiêm chủng quốc gia cuối năm 2022, Ánh vô tình có được tài khoản của phòng tiêm chủng Hà Thành - Chí Linh do một bạn nữ mượn máy tính cá nhân của Anh để đăng nhập và vô tình ghi nhớ tài khoản, mật khẩu trên máy cá nhân của Ánh. Đầu năm 2023, Ánh nghỉ việc tại phòng tiêm chủng Minh Hương và làm dịch vụ chăm sóc mẹ và bé sau sinh như: tắm em bé, massage mẹ bầu sau sinh.

Do cần lượng khách hàng lớn nên Ánh đã nhớ lại việc mình có tài khoản của phòng tiêm chủng Hà Thành vẫn còn lưu trong máy nên đã sử dụng tài khoản trên truy cập vào hệ thống để lấy thông tin các mẹ và bé nhằm nhắn tin, gọi điện mời chào sử dụng dịch vụ của mình. Một thời gian sau, thấy việc truy cập hệ thống quá dễ dàng nên Ánh đã copy dữ liệu Hệ thống thông tin tiêm chủng quốc gia của các địa phương khác đem bán cho khách với giá từ 200.000 đồng đến 2,5 triệu đồng/tháng.

Theo đó, khi có khách mua, Ánh truy cập vào Hệ thống thông tin tiêm chủng quốc gia lấy dữ liệu để bán lấy tiền. Cơ quan công an bước đầu làm rõ, chỉ tính 3 tài khoản Zalo mua của Ánh từ giữa năm 2023 đến tháng 9/2025 đã trả cho cô ta số tiền gần 300 triệu đồng.

Quản lý, phân quyền truy cập và giám sát hệ thống dữ liệu tiêm chủng

Từ 2 vụ án trên cho thấy, việc quản lý dữ liệu cá nhân liên quan đến tiêm chủng khá lỏng lẻo. Hệ thống thông tin tiêm chủng quốc gia hiện đang quản lý khoảng 48 triệu công dân, gần bằng 1/2 dân số của cả nước. Đây là hệ thống thông tin rất lớn nhưng lại dễ dàng xâm nhập, trích xuất dữ liệu. Chính vì vậy, việc bảo vệ dữ liệu cá nhân, đặc biệt là dữ liệu liên quan đến sức khỏe, đang đặt ra những yêu cầu cấp thiết trong bối cảnh chuyển đổi số mạnh mẽ hiện nay. Thực tế cho thấy, chỉ cần một “khe hở” trong quản lý hoặc một cá nhân thiếu ý thức trách nhiệm, thông tin riêng tư của hàng nghìn người dân có thể bị xâm phạm, khai thác, sử dụng trái phép.

Đáng lo ngại, thông tin bị lộ lọt không chỉ dừng ở họ tên, số điện thoại mà còn liên quan đến tình trạng sức khỏe, lịch sử tiêm chủng của trẻ em và người lớn. Đây là những dữ liệu thuộc nhóm thông tin cá nhân nhạy cảm, được pháp luật quy định phải bảo vệ nghiêm ngặt. Việc mua bán, sử dụng trái phép các thông tin này không chỉ xâm phạm quyền riêng tư của công dân mà còn tiềm ẩn nguy cơ bị lợi dụng cho các hành vi lừa đảo, trục lợi.

Các vụ việc nêu trên là hồi chuông cảnh báo đối với công tác quản lý, phân quyền truy cập và giám sát hệ thống dữ liệu dùng chung. Vì vậy, đề nghị các cơ quan chức năng, bên cạnh việc hoàn thiện các giải pháp kỹ thuật, cơ quan chức năng cần tăng cường kiểm tra, xử lý nghiêm các hành vi xâm phạm dữ liệu cá nhân; đồng thời đẩy mạnh tuyên truyền, nâng cao nhận thức pháp luật cho đội ngũ cán bộ, nhân viên trực tiếp làm việc với dữ liệu.

Luật An ninh mạng quy định rõ: thông tin cá nhân, dữ liệu về đời sống riêng tư, bí mật cá nhân của công dân trên không gian mạng phải được bảo đảm an toàn; mọi hành vi thu thập, khai thác, sử dụng, phát tán thông tin cá nhân trái phép đều bị nghiêm cấm. Các hệ thống thông tin quan trọng, trong đó có hệ thống dữ liệu y tế, dữ liệu tiêm chủng, thuộc diện phải được bảo vệ nghiêm ngặt, bảo đảm an toàn từ con người, quy trình đến kỹ thuật.

Đáng chú ý, Luật Bảo vệ dữ liệu cá nhân vừa được Quốc hội thông qua tiếp tục khẳng định nguyên tắc: dữ liệu cá nhân là bất khả xâm phạm, việc xử lý dữ liệu phải có mục đích cụ thể, hợp pháp, được sự đồng ý của chủ thể dữ liệu và chỉ trong phạm vi cần thiết. Trong đó, dữ liệu liên quan đến sức khỏe, trẻ em được xếp vào nhóm cần mức độ bảo vệ cao nhất.

Theo quy định của luật, tổ chức, cá nhân được giao quyền quản lý, vận hành hệ thống dữ liệu có trách nhiệm bảo mật tuyệt đối, không được lợi dụng quyền truy cập để thu thập, cung cấp, chuyển giao dữ liệu cho bên thứ ba trái quy định. Mọi hành vi mua bán dữ liệu cá nhân vì mục đích thương mại, trục lợi đều có thể bị xử phạt nghiêm khắc, thậm chí bị truy cứu trách nhiệm hình sự nếu gây hậu quả nghiêm trọng.

Luật Bảo vệ dữ liệu cá nhân cũng đặt ra yêu cầu rõ ràng về trách nhiệm của người đứng đầu cơ quan, đơn vị khi để xảy ra lộ lọt thông tin; đồng thời yêu cầu xây dựng cơ chế kiểm soát nội bộ, phân quyền truy cập chặt chẽ, lưu vết truy cập và kịp thời phát hiện, ngăn chặn các hành vi xâm phạm dữ liệu. Các vụ việc liên quan đến dữ liệu tiêm chủng bị lộ lọt một lần nữa cho thấy, bên cạnh giải pháp kỹ thuật, yếu tố con người vẫn là mắt xích then chốt trong bảo đảm an ninh, an toàn hệ thống thông tin. Chính vì vậy, đề nghị các cơ quan chức năng cần có giải pháp kịp thời, không để tình trạng lộ lọt thông tin tiếp tục xảy ra.