Kundedata lagt ut offentlig på nett

I utkastet til saksdokument som foreslår utvikling av lov om vern av personopplysninger, har Departementet for offentlig sikkerhet rapportert om vurderingen av den nåværende statusen for sosiale relasjoner knyttet til vern av personopplysninger.

Ifølge departementet for offentlig sikkerhet har høyteknologiske kriminelle organisasjoner brukt mange sofistikerte og komplekse teknologiske triks for å angripe nettverket og tilegne seg DLCN til ondsinnede formål. I et tilkoblet cyberspace må DLCN-beskyttelse synkroniseres og koordineres mellom organisasjoner, bedrifter, enkeltpersoner og spesialiserte enheter med ansvar for cybersikkerhet.

Ved å vurdere den nåværende tilstanden til sosiale relasjoner knyttet til vern av personopplysninger, mener Departementet for offentlig sikkerhet at det finnes mange sosiale relasjoner knyttet til personopplysninger, for eksempel mellom datainnsamlingsorganisasjoner og registrerte, mellom statlige forvaltningsorganer og registrerte; mellom registrerte og registrerte (enkeltpersoner og enkeltpersoner), mellom organisasjoner og registrerte.

I tillegg mangler sanksjoner for brudd knyttet til DLCN for tiden, er svake i effektivitet og ikke sterke nok til å avskrekke og håndtere brudd på riktig måte.

Det er derfor nødvendig å supplere, endre og forene sanksjoner for håndtering av brudd for å oppfylle de praktiske kravene til statlig forvaltning av personvern, samt bekjempelse og forebygging av kriminalitet og brudd på loven om personvern. Derfor er kunngjøringen av loven om personvern svært nødvendig.

Ifølge vurderingen fra Departementet for offentlig sikkerhet foregår handel med personopplysninger systematisk og organisert, med en forpliktelse til «garanti» og muligheten til å oppdatere data og utvinne data i henhold til kjøperens forespørsel. Mange data selges offentlig, over lang tid, i store mengder på nett. Kjøp og salg skjer via nettsteder, kontoer, sider, grupper på sosiale nettverk og hackerfora. Betalinger gjøres via bankkontoer, og mange transaksjoner angir tydelig innholdet i dataene som kjøpes og selges.

Kjøp og salg av personopplysninger skjer ikke bare individuelt, mellom enkeltpersoner, men involverer også deltakelse fra selskaper, organisasjoner og virksomheter. Noen nyetablerte selskaper investerer i å bygge og drifte tekniske systemer som spesialiserer seg på ulovlig innsamling av personopplysninger for forretningsfortjeneste; bygger programvare som spesialiserer seg på å samle inn personopplysninger, skjult på nettsteder for automatisk å samle inn informasjon, og analysere den til verdifulle personopplysningsfiler. Distribuerer skadelig kode som samler inn personopplysninger i nettverksmiljøet (datamaskiner og mobile enheter), organiserer angrep og infiltrerer datasystemer til etater, organisasjoner og virksomheter for å tilegne seg personopplysninger.

Ifølge departementet for offentlig sikkerhet skjer kjøp og salg av informasjon om organisasjoner og enkeltpersoner gjennom nettsteder, kontoer, sider og grupper på sosiale nettverk som Facebook, Zalo, Telegram raidforums.com, hackerfora osv.

Vanligvis eksponerte VNG Company mer enn 163 millioner kundekontoer; Mobile World og Dien May Xanh Company eksponerte mer enn 5 millioner e-poster og titusenvis av betalingskortinformasjon, som Visa- og kredittkort, tilhørende kunder; hackere angrep serversystemet til Vietnam Airlines og la ut 411 000 kundekontoer tilhørende Golden Lotus-programmedlemmer på internett.

Situasjonen med eksponering av kundeinformasjon for vietnamesiske taximeglerfirmaer for bruk til å kontakte kunder via SMS-meldinger, kundedata fraFPT Company som legges ut offentlig på internett; lister over tjenestemenn, interne kontakter hos departementer, økonomiske grupper (industri og handel, finans, transport, vitenskap og teknologi, landbruk og bygdeutvikling, handel, skatteetaten, kullgruppen...); strømkunder over hele landet; informasjon om telefon- og internettabonnenter hos nettoperatører; informasjon om kunder som låner og sparer i banker; verdipapirer; forsikring; registrering av virksomheter; skoler; husholdningsregistreringsinformasjon; kundeinformasjon innen eiendom, supermarkeder, kjøp av biler, motorsykler...

Detaljert informasjon om enkeltpersoner, organisasjoner, bedrifter, som fullt navn, fødselsdato, ID-nummer, adresse, telefonnummer, bankkontonummer (inkludert saldo), slektninger, stilling, jobbposisjon... informasjon om enkeltpersoner og organisasjoner over hele landet som har brukt EVNs strømtjenester; informasjon om foreldre og elever ved skoler over hele landet; kundeinformasjon om banker BIDV, Techcombank, VPBank, AgriBank...

Noe annen informasjon, som for eksempel registrering av virksomheter, personell i statlige etater, forsikring, husholdningsregistrering; telekommunikasjonsdata, telefonabonnenter i Viettel-, Mobiphone- og Vinaphone-nettverk; kundeinformasjon i eiendomsprosjekter over hele landet; elektronikkkunder i 63 provinser og byer over hele landet; informasjon om VIP-kunder, finans- og verdipapirinvesteringskunder, kunder innen SPA-, tannbehandlings-, mote- og skjønnhetssalongbransjen selges også mye.