Thứ nhất, việc thu thập và mua bán trái phép các thông tin cá nhân như số điện thoại, địa chỉ e-mail diễn ra tràn lan. Đây là hành vi vi phạm pháp luật nhưng lại được chấp nhận như một hiện thực phổ biến. Các thông tin này được thu thập từ nhiều nguồn, nhiều chủ thể và sau đó được bán cho các doanh nghiệp, cá nhân sử dụng chủ yếu vào mục đích tiếp thị, quảng cáo bán hàng.
Dữ liệu cá nhân được thu thập ở diện rộng, bao phủ cả 63 tỉnh thành và được phân loại “chuyên nghiệp” trên nhiều lĩnh vực như danh sách cán bộ, danh sách nội bộ (bao gồm cả các đơn vị công an, quốc phòng, thuế…); điện lực; thuê bao Internet; ngân hàng (chi tiết tới cả số dư tài khoản); bảo hiểm; hồ sơ đăng ký kinh doanh; giáo dục (phụ huynh, giáo viên, học sinh, sinh viên); bất động sản (kèm theo khả năng tài chính); nhân sự có chọn lọc (mức thu nhập, chức vụ); danh sách khách hàng sử dụng các dịch vụ Internet (danh sách thành viên đăng ký Facebook, fpt, vnn.com, yahoo.com, gmail.com, gov.vn, hopthu.com, hotmail.com)”.
Dữ liệu thậm chí được rao bán công khai trên một số trang web (databox.vn, databoxviet.com, laydata.com, laydata.net, khodata.net, databox.biz, fff.com.vn, cokhach.com, vltoolkit.com). Việc chuyển giao thông tin dữ liệu cho một bên thứ ba mà không có sự đồng ý của chủ thể sở hữu dữ liệu là hành vi phạm pháp (theo quy định của Luật An toàn thông tin mạng 2015). Một khía cạnh đáng lo ngại là tình trạng mua bán trái phép này không chỉ giới hạn trong khu vực tư, mà thậm chí nguồn dữ liệu bị rò rỉ và rao bán còn có thể đến từ khu vực công. Đây là dữ liệu được thu thập trong tiến trình xây dựng, số hóa các cơ sở dữ liệu liên quan đến công dân, dân cư, dữ liệu đăng ký kinh doanh của doanh nghiệp; hay dữ liệu đến từ tiến trình thực hiện các dịch vụ công trực tuyến.
Bên cạnh việc mua/bán trái phép dữ liệu, các vụ rò rỉ dữ liệu, trong đó bao gồm thông tin người dùng, cũng được báo cáo thường xuyên hơn. Nguyên nhân chính là do lỗ hổng nội bộ (nhân viên cố tình đánh cắp và chuyển giao trái phép ra bên ngoài) hoặc do bị tấn công. Có hai mức độ cơ bản của dữ liệu: dữ liệu cơ bản (email, mật khẩu, tên,…) và thông tin phức hợp (số dư tài khoản, hồ sơ đăng ký kinh doanh, giáo dục, nhân sự).
Xu thế đáng quan tâm thứ hai liên quan đến việc thu thập thông tin và dữ liệu cá nhân của người dùng mạng xã hội. Do hiểu biết và kỹ năng bảo vệ thông tin hạn chế, người dùng mạng xã hội trở thành đối tượng của các chiến dịch thu thập thông tin cá nhân có chủ đích dưới dạng trò chơi (game) và vô tình cung cấp thông tin cá nhân (ví dụ ngày tháng năm sinh; khuôn mặt và hình ảnh dưới dạng các game bói toán). Ngoài ra, người dùng còn là nạn nhân từ việc dữ liệu của các dịch vụ mạng xã hội, công ty nền tảng bị tấn công hay rò rỉ dữ liệu (như các trường hợp của Zoom, Zalo, Facebook).
Về mặt hệ quả, ở khía cạnh trực tiếp, các vụ việc mất dữ liệu từ nhẹ đến nặng, từ đơn giản đến phức tạp bao gồm: quảng cáo, bán hàng gây phiền toái/khó chịu; thực hiện những hành vi đe dọa, quấy rối, tống tiền thông qua việc đăng tải, phát tán thông tin cá nhân (danh tính, số liên lạc, địa chỉ, thông tin gia đình, bí mật đời tư); đánh cắp dữ liệu thẻ ngân hàng, các loại thẻ tiền tệ… để chiếm đoạt tài sản, lừa đảo người khác. Bên cạnh đó, những hệ quả tiêu cực về dài hạn và chưa được lượng định hết của tình trạng mất an toàn dữ liệu có thể đến từ rủi ro công nghệ trí tuệ nhân tạo (AI) kết hợp với dữ liệu lớn để giám sát, gây ảnh hưởng, hoặc định hướng hành vi người dùng; gây nhiễu thông tin (tạo ra tin giả, thông tin không chính xác) và qua đó tác động đến quan điểm chính trị, tôn giáo, văn hóa và hành vi cá nhân.
Nguyễn Quang Đồng - Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS)