Khi dữ liệu cá nhân thành hàng hóa

Đáp ứng đủ mọi nhu cầu

Chỉ cần vài cú click chuột và gõ trên thanh công cụ tìm kiếm Google về dữ liệu cá nhân, người dùng có thể nhận vô vàn kết quả có liên quan đến những website cung cấp dịch vụ mua bán thông tin. Cụ thể, khi gõ từ khóa “danh sách khách hàng”, chỉ trong vòng 0,84 giây đã có khoảng 254 triệu kết quả với nhiều trang web mua bán thông tin khách hàng.

Các gói dữ liệu được chia nhỏ cho nhiều phân khúc khách hàng khác nhau: từ danh sách người vừa mua ôtô, khách hàng tham gia bảo hiểm nhân thọ, những người có tài khoản tiết kiệm ngân hàng cho đến phụ huynh học sinh hay doanh nhân. Thậm chí, có website còn quảng cáo bán “data phụ nữ mới sinh”, “data khách vay tiền nóng”, hay “data người vừa mua nhà, chung cư cao cấp”. Điều đáng nói, các trang này thường cung cấp hai loại dịch vụ: miễn phí và trả phí. Với gói miễn phí, một số website thẳng tay công khai cả danh sách khách hàng ngay trên trang: tên, tuổi, địa chỉ nơi ở, số điện thoại cá nhân… chỉ cần vài thao tác tải xuống là có ngay. Riêng dữ liệu thu phí được bán theo dạng “list” phân loại kỹ lưỡng, có kèm nghề nghiệp, thu nhập ước tính, sở thích, tình trạng hôn nhân, con cái… như thể người bán nắm trong tay cả hồ sơ đời tư của người khác.

Không chỉ dừng lại ở website, trên Facebook, khi tìm kiếm các từ khóa “data khách hàng”, “dữ liệu khách hàng”, “data khách hàng tiềm năng”, người dùng có thể thấy hàng chục hội nhóm, mỗi nhóm vài ngàn đến cả chục ngàn thành viên, công khai rao bán dữ liệu. Nhóm “Data khách hàng tiềm năng” với hơn 10.000 thành viên tự giới thiệu là “nơi giao lưu, tự do mua bán, trao đổi Data khách hàng tiềm năng tất cả các ngành, lĩnh vực”. Hay một nhóm khác có hơn 8.000 thành viên đặt tên nghe rất “chuyên nghiệp”: “Hội mua bán trao đổi data tiềm năng toàn quốc: uy tín, giá rẻ”.

Trong vai một người có nhu cầu tìm danh sách khách hàng VIP để phục vụ kinh doanh, phóng viên dễ dàng kết nối với nhiều tài khoản Facebook được cho là “cò chuyên nghiệp”. Những “cò” này thường xuyên bình luận dạo, nhắn tin chào mời thẳng: “Chị cần data ngân hàng không? Có list khách có sổ tiết kiệm, số dư vài trăm triệu trở lên, bảo đảm chuẩn 100%”, hay “Em có danh sách phụ huynh trường quốc tế, kèm số điện thoại và email. Dùng để bán khóa học tiếng Anh thì tuyệt vời luôn”.

Không chỉ dừng lại ở đó, qua ứng dụng nhắn tin, phóng viên còn tiếp cận một người bán dữ liệu có tên chữ nước ngoài “金的”. Cuộc trao đổi diễn ra chóng vánh nhưng hé lộ cách vận hành tinh vi của “công xưởng” dữ liệu ngầm. Ngay khi được hỏi, đối tượng này chào hàng: “Bên mình bán data nhé, bạn cần mua data gì?”. Khi phóng viên nói cần dữ liệu khách hàng thời trang ở nội thành Hà Nội, người này hỏi ngay: “Cửa hàng bán thời trang hay khách hàng mua?”, điều này cho thấy việc phân loại dữ liệu được làm rất chuyên sâu.

Chỉ vài phút sau, bảng giá được đưa ra: “Loại này xâm nhập quét tốn tiền nên giá cao, 3k/1s (3000 đồng/ 1 số điện thoại: đủ thông tin cá nhân) đồng giá cấp đại lý”. Để tạo niềm tin, người bán còn bảo hành: “Sai số, trùng số thì đổi 1-1. Dùng data không ok thì cứ phản ánh, mình xử lý ngay, chứ im im mất tích thì mình mất uy tín, mất cả khách hàng”.

Đáng chú ý hơn, người này còn tiết lộ cách “sản xuất” dữ liệu: “Xâm nhập quét tầm 30-35 phút ra file. Data để sẵn cắt ra bán dễ bị nát lắm. Bên anh khi khách hay đại lý lấy thì mới xâm nhập quét mới, như vậy chất lượng nó ok, không bị nát”. Nghĩa là dữ liệu cá nhân không hề lưu kho sẵn mà được “quét” trực tiếp từ hệ thống mỗi khi có khách đặt, đảm bảo tính cập nhật và độ chính xác.

Người này còn khẳng định: “Anh cấp cả cho mấy đại lý nên anh để giá khách với đại lý đồng giá. Mua số lượng bao nhiêu thì chốt, anh fix giá cho”. Từ cách chào mời, báo giá, bảo hành đến “dịch vụ hậu mãi”, tất cả được vận hành trơn tru, không khác gì một ngành kinh doanh hợp pháp.

Chỉ qua vài tin nhắn, có thể thấy rõ một thị trường ngầm đang hoạt động công khai, nơi dữ liệu cá nhân được rao bán dễ dàng, rẻ rúng và tinh vi chẳng khác nào những món hàng tiêu dùng ngoài chợ chỉ khác ở chỗ “món hàng” này chính là đời tư của hàng triệu người dân.

Nếu Facebook là nơi “cò” công khai rao bán thì Telegram lại là “chợ ngầm” kín đáo hơn, nơi mọi giao dịch được bọc dưới lớp vỏ an toàn của mã hóa. Trong vai người đi tìm danh sách khách hàng tiềm năng, phóng viên chỉ cần tham gia vài group Telegram có hàng nghìn thành viên là lập tức nhận được tin nhắn riêng từ những tài khoản ẩn danh, avatar toàn ký tự lạ mắt hoặc hình logo hacker. Một người tự xưng “Admin DataPro” chào mời: “Bên em có data bất động sản, toàn khách mua căn hộ cao cấp, số dư tài khoản vài tỷ, cam kết sạch 100%. Chị muốn mua gói lẻ hay gói full?”. Người khác thì gạ gẫm: “Có list bệnh nhân đang điều trị tại các bệnh viện quốc tế, kèm số điện thoại và email. Bên chị bán bảo hiểm hay dược phẩm thì chạy đơn bao nhanh”.

Điểm đặc biệt của các nhóm trên Telegram là cơ chế giao dịch cực kỳ chuyên nghiệp. Ngay khi phóng viên gợi ý muốn kiểm tra, một “cò” lập tức gửi file demo vài chục số để tạo lòng tin, kèm lời bảo đảm: “Ở đây bọn em bán theo chuẩn quốc tế: thanh toán qua USDT hoặc chuyển khoản, có bot kiểm tra đơn. Data lỗi, trùng lặp thì bot tự động cấp lại. Không bao giờ lo mất tiền”. Chỉ sau vài tin nhắn, bảng giá chi tiết cũng được gửi kèm file PDF: data ngân hàng từ 5.000 - 7.000 đồng/số, data phụ huynh trường quốc tế từ 8.000 đồng/số, còn data doanh nhân thì “giá đặc biệt” tính theo gói, lên tới vài chục triệu đồng một lần mua.

Càng nguy hiểm hơn, một “đầu nậu” còn tiết lộ cách thức “sản xuất” dữ liệu ngay tại chỗ: “Server bên mình cắm tool auto quét real-time, khách đặt là quét trực tiếp từ hệ thống, không phải hàng tồn. Data update từng phút, không lo bị chai, bị nát”. Với những lời chào hàng trơn tru, chính sách “bảo hành” như dịch vụ chính thống và cả hệ thống bot tự động hỗ trợ giao dịch, thị trường ngầm trên Telegram hiện ra như một doanh nghiệp hợp pháp, chỉ khác rằng “sản phẩm” họ buôn bán chính là thông tin riêng tư của hàng triệu người.

Vào tù vì mua bán dữ liệu cá nhân

Mới đây, vào ngày 13/8, TAND TP Huế mở phiên sơ thẩm xét xử 6 bị cáo về tội “sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” liên quan vụ mua bán trái phép hơn 53 triệu dữ liệu cá nhân của công dân ở 63 tỉnh, thành cũ trước khi sáp nhập.

Theo cáo trạng, từ năm 2019 đến tháng 12/2024, Lê Công Định (27 tuổi, quê Hưng Yên) đã thu thập và mua hơn 53 triệu dữ liệu thông tin cá nhân gồm họ tên, số căn cước công dân, số điện thoại, địa chỉ, thông tin bất động sản, bảo hiểm xã hội, tài khoản ngân hàng, chứng khoán... với dung lượng 306 GB.

Định khai mua dữ liệu với giá từ vài trăm ngàn đến vài triệu đồng mỗi lần giao dịch, sau đó rao bán trên mạng xã hội với giá khoảng 300 đồng/thông tin. Điều đáng nói, một thông tin Định có thể bán cho nhiều người mua khác nhau để thu lợi bất chính. Khách hàng chủ yếu của Định là những người môi giới bất động sản, quảng cáo sản phẩm, dịch vụ tài chính. Tổng cộng, Định thu hơn 892 triệu đồng, trừ chi phí mua dữ liệu, hưởng lợi bất chính hơn 842 triệu đồng.

Ngoài Định, các bị cáo khác gồm Nguyễn Vũ Thanh Tùng (34 tuổi), Nguyễn Minh Tú (25 tuổi), Nguyễn Anh Đào (34 tuổi, cùng ở TP. Hồ Chí Minh), Trương Văn Hà (25 tuổi, Ninh Bình) và Dương Thanh Lâm (43 tuổi, TP Huế) cũng bị xác định tham gia mua bán hàng triệu dữ liệu cá nhân, thu lợi bất chính từ hơn 65 triệu đến 187 triệu đồng. Kết thúc phiên tòa, hội đồng xét xử tuyên phạt Lê Công Định 15 tháng tù giam. Các bị cáo còn lại bị phạt tiền từ 20 triệu đến 25 triệu đồng.

Trước đó, vào hồi tháng 2/2025 Công an tỉnh Bình Dương (cũ) đã khởi tố vụ án, khởi tố bị can, bắt tạm giam Nguyễn Tú Anh (37 tuổi), Phạm Thị Kim Hoa (21 tuổi), Nguyễn Hoàng An (22 tuổi, cùng trú TP. Hồ Chí Minh). Đồng thời khởi tố, cấm đi khỏi nơi cư trú đối với Đặng Hữu Thiên Hưng (30 tuổi, trú tại TP Hồ Chí Minh) về tội Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông.

Theo điều tra, đối tượng Đặng Hữu Thiên Hưng là nhân viên phòng dịch vụ phát triển đối tác của một công ty có địa chỉ tại quận 7, TP. Hồ Chí Minh. Quá trình làm việc, Hưng sử dụng tài khoản giả lên các hội nhóm trên mạng xã hội Facebook để tìm kiếm mua thông tin khách hàng với giá giao động từ 100đ đến 300đ/1data (thông tin cá nhân).

Thấy việc mua bán thông tin cá nhân có thể kiếm lời, Hưng đã tìm kiếm người mua để bán lại những dữ liệu thông tin mà mình có để hưởng tiền chênh lệch.

Quá trình hoạt động cho đến nay nhóm của Hưng đã mua, bán hàng triệu dữ liệu thông tin cho nhiều đối tượng khác nhau và thu lợi bất chính số tiền trên 50 triệu đồng/đối tượng.

Cụ thể, tổng số tiền Hưng nhận được từ việc bán dữ liệu là khoảng 134 triệu đồng; Nguyễn Hoàng An khoảng 110 triệu đồng; Nguyễn Tú Anh khoảng 58 triệu đồng.

Riêng đối tượng Hoa, sau khi mua thông tin dữ liệu cá nhân, đã sử dụng để gọi điện thoại lừa đảo chiếm đoạt tài sản với thủ đoạn giả danh nhân viên ngân hàng gọi điện thoại tư vấn vay vốn rồi kêu bị hại chuyển số tiền 1,5 triệu đồng đến khoảng 6 triệu đồng với lý do là tiền bảo hiểm khoản vay, sau khi bị hại chuyển thì chiếm đoạt và chặn liên lạc. Với thủ đoạn trên, Hoa đã chiếm đoạt số tiền hơn 400 triệu đồng của các bị hại.

Trước tình hình lộ lọt dữ liệu cá nhân diễn ra nghiêm trọng, sáng 26/6, Quốc hội đã biểu quyết thông qua Luật Bảo vệ dữ liệu cá nhân với 39 điều. Trong đó nhiều hành vi bị nghiêm cấm, xử phạt nặng nếu vi phạm như: Việc sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật cũng bị nghiêm cấm. Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Tổ chức, cá nhân vi phạm liên quan bảo vệ dữ liệu cá nhân có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường.

Cụ thể, phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân bằng 10 lần khoản thu có được; với tổ chức vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó hoặc quy định khác…

Luật yêu cầu bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu phải được sự đồng ý của chủ thể cho phép sử dụng dữ liệu. Chủ thể cũng có quyền rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân khi có nghi ngờ vi phạm.

Cùng đó, dữ liệu cá nhân chỉ được công khai với các trường hợp cụ thể; được xử lý dữ liệu cá nhân mà không cần sự đồng ý với một số trường hợp liên quan đến bảo vệ sức khỏe, khẩn cấp, nguy cơ đe dọa an ninh quốc gia, quản lý nhà nước, thỏa thuận... với sự giám sát chặt chẽ.

Luật mới thông qua cũng quy định về bảo vệ dữ liệu cá nhân trong một số hoạt động. Trong đó, đáng chú ý, với các hoạt động tài chính, ngân hàng, tín dụng phải thực hiện đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm.