Données clients publiées publiquement en ligne

Dans le projet de dossier proposant l'élaboration de la loi sur la protection des données personnelles, le ministère de la Sécurité publique a rendu compte de l'évaluation de l'état actuel des relations sociales liées à la protection des données personnelles (DLCN).

Selon le ministère de la Sécurité publique, les organisations criminelles de haute technologie ont utilisé de nombreuses astuces technologiques sophistiquées et complexes pour attaquer le réseau et s'approprier les DLCN à des fins malveillantes. Dans un cyberespace connecté, la protection des DLCN doit être synchronisée et coordonnée entre les organisations, les entreprises, les particuliers et les unités spécialisées en charge de la cybersécurité.

En évaluant l'état actuel des relations sociales liées à la protection des données personnelles, le Ministère de la Sécurité Publique estime qu'il existe de nombreuses relations sociales liées aux données personnelles, telles qu'entre les organismes de collecte de données et les personnes concernées, entre les agences de gestion de l'État et les personnes concernées ; entre les personnes concernées et les personnes concernées (individus et personnes physiques), entre les organisations et les personnes concernées.

En outre, les sanctions pour les violations liées au DLCN sont actuellement insuffisantes, peu efficaces et pas suffisamment fortes pour dissuader et traiter de manière appropriée les violations.

Il est donc nécessaire de compléter, de modifier et d'unifier les sanctions applicables aux violations afin de répondre aux exigences pratiques de la gestion étatique de la protection des données personnelles, ainsi qu'à la lutte et à la prévention des infractions et des violations de la loi sur la protection des données personnelles. La promulgation de la loi sur la protection des données personnelles est donc absolument nécessaire.

Selon l'évaluation du ministère de la Sécurité publique, le commerce de données personnelles est systématique et organisé, avec un engagement de « garantie » et la possibilité de mettre à jour et d'extraire les données à la demande de l'acheteur. De nombreuses données sont vendues publiquement, sur une longue période et en grandes quantités sur le cyberespace. Les achats et les ventes s'effectuent via des sites web, des comptes, des pages, des groupes sur les réseaux sociaux et des forums de hackers. Les paiements sont effectués par le biais de comptes bancaires, et de nombreuses transactions indiquent clairement le contenu des données achetées et vendues.

L'achat et la vente de données personnelles ne se limitent pas aux individus, mais impliquent également la participation d'entreprises, d'organisations et de sociétés. Certaines entreprises nouvellement créées investissent dans la conception et l'exploitation de systèmes techniques spécialisés dans la collecte illégale de données personnelles à des fins commerciales ; elles développent des logiciels spécialisés dans la collecte d'informations personnelles, dissimulés dans des sites web pour collecter automatiquement des informations et les analyser afin de créer des fichiers de données personnelles précieux. Elles diffusent également des codes malveillants collectant des données personnelles sur le réseau (ordinateurs et appareils mobiles), organisent des attaques et infiltrent les systèmes informatiques d'agences, d'organisations et d'entreprises pour s'approprier des données personnelles.

Selon le ministère de la Sécurité publique, l'achat et la vente d'informations sur les organisations et les individus s'effectuent via des sites Web, des comptes, des pages et des groupes sur les réseaux sociaux tels que Facebook, Zalo, Telegram raidforums.com, les forums de hackers, etc.

En règle générale, la société VNG a exposé plus de 163 millions de comptes clients ; Mobile World et la société Dien May Xanh ont exposé plus de 5 millions d'e-mails et des dizaines de milliers d'informations de cartes de paiement telles que Visa et cartes de crédit des clients ; des pirates informatiques ont attaqué le système serveur de Vietnam Airlines , publiant sur Internet 411 000 comptes clients des membres du programme Golden Lotus.

La situation de l'exposition des informations clients des sociétés vietnamiennes de courtage de services de taxi pour les utiliser pour solliciter des clients via des messages SMS, les données clients de la sociétéFPT étant publiées publiquement sur Internet ; Liste des fonctionnaires, contacts internes des ministères, groupes économiques (Industrie et Commerce, Finances, Transports, Science et Technologie, Agriculture et Développement Rural, Commerce, Direction Générale des Impôts, Groupe Charbon...) ; clients d'électricité à l'échelle nationale ; informations des abonnés au téléphone et à Internet des opérateurs de réseau ; informations des clients empruntant, épargnant dans les banques ; valeurs mobilières ; assurances ; registres d'enregistrement des entreprises ; écoles ; informations d'enregistrement des ménages ; informations clients dans les domaines de l'immobilier, des supermarchés, de l'achat de voitures, de motos...

Informations détaillées sur les particuliers, les organisations, les entreprises, telles que le nom complet, la date de naissance, le numéro d'identification, l'adresse, le numéro de téléphone, le numéro de compte bancaire (y compris le solde), les proches, le poste, le poste occupé... informations sur les particuliers et les organisations à l'échelle nationale qui ont utilisé les services d'électricité d'EVN ; informations sur les parents et les élèves des écoles à l'échelle nationale ; informations sur les clients des banques BIDV, Techcombank, VPBank, AgriBank...

D'autres informations, telles que l'enregistrement des entreprises, le personnel des agences d'État, les assurances, l'enregistrement des ménages ; les données de télécommunications, les abonnés téléphoniques des réseaux Viettel, Mobiphone, Vinaphone ; les informations sur les clients des projets immobiliers à l'échelle nationale ; les clients de l'électronique dans 63 provinces et villes à l'échelle nationale ; les informations sur les clients VIP, les clients des investissements financiers et en valeurs mobilières, les clients des secteurs du SPA, de la dentisterie, de la mode et des salons de beauté sont également largement vendues.