Thiên Lương và Tịch Dạ
Tạp chí Luật Khoa
16/9/2025
Ngày 15/9 là hạn cuối để người dân nhận “quà Tết Độc lập”, chính thức khép lại một chiến dịch “thừa phát lại” đình đám và chưa từng có tiền lệ. Ngoài các câu hỏi như liệu “quà” có được trao đầy đủ cho toàn dân như kế hoạch, hay rằng các báo cáo tài chính của việc phát quà sẽ được minh bạch như thế nào, thì những câu hỏi liên quan đến nguồn gốc và mục đích đằng sau chiến dịch trao quà này cũng cần được bàn đến và làm rõ.
Bên cạnh đó, sau vụ việc hơn 160 triệu hồ sơ dữ liệu tài chính và tín dụng, tương đương lượng dữ liệu của toàn dân tại Trung tâm Thông tin Tín dụng quốc gia (CIC) bị rò rỉ, vấn đề an toàn thông tin của người dân càng cần được đặt ra và thảo luận nhiều hơn. Đặc biệt là khi chiến dịch phát quà Quốc khánh vừa qua được chủ trương và khuyến khích thực hiện thông qua ứng dụng số VNeID, đồng nghĩa chiến dịch này cũng đã góp phần vào công cuộc thu thập và lưu trữ dữ liệu quốc gia về dân cư.
Liệu kế hoạch tặng quà Quốc khánh lần này có gì liên quan đến mục tiêu giám sát người dân bằng dữ liệu? Mô hình giám sát ấy, có phải học từ Trung Quốc, và có khả thi, hiệu quả? Vụ việc rò rỉ dữ liệu CIC vừa qua cho thấy những nghi ngại đáng xem xét nào về an toàn thông tin của người dân, trong bối cảnh nhà nước đang tiến hành mô hình thu thập và số hóa dữ liệu dân cư, phục vụ mục đích quản lý?
Đây sẽ là những vấn đề được tập trung bàn đến trong loạt bài viết này.
“Quà Tết Độc lập” hay “mồi câu” dữ liệu tài chính?
Việc liên kết sự kiện tặng quà Quốc khánh với dụng ý thu thập dữ liệu tài chính của người dân không phải là một nghi vấn suông, mà thực chất đây là điều đã được chính Bộ Công an vài lần trực tiếp hoặc gián tiếp khẳng định.
Trong một bài viết đăng ngày 29/8 trên Báo Chính phủ có đề cập rằng Bộ Công an được giao nhiệm vụ trong năm 2025 phải đảm bảo 100% người dân có tài khoản an sinh xã hội trên ứng dụng VNeID.
Trong các nội dung hướng dẫn người dân nhận quà, bộ này cũng nêu rõ mục đích của chiến dịch tặng quà nhân dịp lễ 2/9 là nhằm tạo cơ sở dữ liệu cho Đề án 06 của Bộ Công an.
Ngay trước lúc khởi động chiến dịch quà Quốc khánh, Thủ tướng Phạm Minh Chính đã yêu cầu Bộ Công an tiến hành rà soát toàn bộ tài khoản ngân hàng và SIM điện thoại của người dân.
Sau đó, Bộ Công an lại tiếp tục phối hợp cùng Ngân hàng Nhà nước (NHNN) thực hiện công cuộc “làm sạch dữ liệu”, thông qua xác minh lại hơn 122 triệu hồ sơ của cá nhân và tổ chức, đối chiếu với dữ liệu dân cư đã thực hiện sinh trắc học trên nền tảng VNeID. Mục đích là để đảm bảo các giao dịch phát sinh trên nền tảng số của những tài khoản này sẽ luôn có sự giám sát của Bộ Công an.
Tính đến tháng 7/2025, hơn 117 triệu hồ sơ khách hàng tại các ngân hàng đã xác thực sinh trắc học.
Đến nay, thao tác xác thực sinh trắc học trên VNeID là một yêu cầu bắt buộc đối với bất kỳ ai muốn mở tài khoản hoặc tiến hành giao dịch tại các ngân hàng.
Tính đến ngày 14/8, ngành ngân hàng báo cáo đã hoàn tất công cuộc “làm sạch 100%” dữ liệu tài chính của người dân để tạo cơ sở dữ liệu đầu vào mới. Chiến dịch tặng quà vừa qua như một bước đi kế tiếp sau kết quả này, với ý nghĩa một hoạt động thí điểm chi trả an sinh xã hội cho người dân thông qua kênh ứng VNeID, từ đó đồng bộ hóa toàn bộ dữ liệu tài chính toàn dân với kho dữ liệu dân cư đã tích hợp trên nền tảng ứng dụng này.
CIC và đề án số hóa dữ liệu tài chính: Phát kiến mới hay tham khảo mới?
Có thể thấy, đằng sau những kết quả đạt được hiện tại trong công cuộc số hóa dữ liệu dân cư quốc gia là cả một toan tính lâu dài với nhiều bước triển khai. Chí ít, những bước chuẩn bị đầu tiên đã được thực hiện từ những năm 2014 – 2015.
Đây là thời điểm Việt Nam lần đầu tiên giới thiệu đề án xây dựng hệ thống đánh giá điểm tín dụng của người dân, mà cơ quan đảm trách là CIC thuộc NHNN.
Chính phủ Việt Nam khi đó từng tuyên bố rằng đây là một sáng tạo mới mẻ, do đó người dân có thể còn chưa quen thuộc và phải dần làm quen. Tuy nhiên, có một điểm trùng hợp là ngay thời điểm đó tại Trung Quốc, chính quyền nước này cũng cho giới thiệu đề án đánh giá tín dụng xã hội (SCS). Và thực tế, cho đến nay, hệ thống trên đã trở thành một bước đệm hữu hiệu để quốc gia này thực hiện kiểm soát toàn diện xã hội thông qua dữ liệu số.
Mấy năm sau đó, tại Việt Nam vào ngày 28/3/2022, Chính phủ tiếp tục phê duyệt đề án xây dựng cơ sở dữ liệu quốc gia. Những thông tin mà cơ sở dữ liệu này thu thập bao gồm cả tài sản, thu nhập của toàn dân để phục vụ công tác quản lý. Theo đề án này, Chính phủ nhắm đến chuyển đổi số toàn bộ các quy trình, thủ tục liên quan đến thu nhập, tài sản của người dân, để dễ dàng xác minh thông tin và phát hiện các vi phạm.
Đến tháng 4/2023, Bộ Công an đã được giao phối hợp với NHNN để thực hiện Đề án 06. Trọng tâm của đề án này là kết nối dữ liệu giữa cơ sở dữ liệu quốc gia về dân cư và kho dữ liệu của ngành ngân hàng. Theo đó, Bộ Công an sẽ cung cấp dữ liệu về dân cư, định danh điện tử, CCCD gắn chíp, và công nghệ xác thực sinh học cho NHNN để NHNN bắt đầu triển khai lên toàn bộ hệ thống ngân hàng thương mại.
Chỉ một ngày sau đó, ngày 25/4/2023, báo Thanh Niên đưa tin Bộ Công an đang nghiên cứu đề án chấm điểm tín dụng dân cư. Theo đó, bộ này sẽ tiến hành cập nhật toàn bộ 42,3 triệu dữ liệu dân cư đã “được làm sạch” lên hệ thống CIC của NHNN, nhằm đồng bộ mã số tín dụng CIC với định danh cá nhân ở CCCD.
Ngay thời điểm này, một số ngân hàng đã bắt đầu phối hợp với Bộ Công an để thử nghiệm cơ chế chấm điểm tín dụng dựa trên dữ liệu dân cư.
Tháng 4/2025, Chính phủ ban hành Nghị định 94/2025/NĐ-CP quy định về một cơ chế kiểm soát mới, gọi là “Cơ chế thử nghiệm” chính thức có hiệu lực từ ngày 1/7/2025, cho phép ngành ngân hàng dùng trí tuệ nhân tạo (AI) để chấm điểm tín dụng dựa trên các dữ liệu khác nhau từ ngân hàng và Bộ Công an, như: lịch sử thu nhập, trình độ học vấn, lịch trình di chuyển, hoạt động viễn thông, và các phân tích hành vi khác.
Đáng chú ý, dữ liệu chấm điểm phải được chia sẻ trực tiếp với Bộ Công an thông quan ứng dụng VNeID. Cách thức này rất giống với mô hình mà Trung Quốc đã từng áp dụng từ vài năm trước đó.
“Trung Quốc chỉ mất 2 phút 16 giây để giải quyết một khoản vay nhờ cơ sở dữ liệu chấm điểm tín dụng khách hàng thu thập được từ hành vi tiêu dùng, hoạt động sống của họ,” trang VnEconomy dẫn lời ý kiến PGS.TS. Đặng Ngọc Đức, Trưởng khoa Tài chính – Ngân hàng, trường Đại học Đại Nam.
Cơ chế chấm điểm tín dụng mới này đã bắt đầu được đưa vào thử nghiệm từ ngày 1/7/2025, tức chỉ hơn một tháng trước khi phát động chiến dịch tặng quà 100 ngàn đồng cho người dân.
Trước đó, từ đầu năm nay, Bộ Thông tin và Truyền thông (cũ), nay là Bộ Khoa học và Công nghệ đã ký kết hợp tác cùng Cục Dữ liệu Quốc gia Trung Quốc để thành lập một nhóm công tác chung trong lĩnh vực dữ liệu số. Đây vốn là một trong 32 bản cam kết hợp tác do cố Tổng bí thư Nguyễn Phú Trọng ký kết với Trung Quốc hồi tháng 12/2023.
Rò rỉ dữ liệu CIC: Một cảnh báo và thách thức niềm tin dân chúng với mô hình giám sát bằng dữ liệu
Trước những tiến triển đầy hứa hẹn của công cuộc thu thập, xử lý và phát triển mô hình giám sát người dân bằng dữ liệu, và giữa bầu không khí hân hoan nhận quà Quốc khánh chưa kịp lắng dịu, thì một biến cố bất ngờ phát sinh: hơn 160 triệu hồ sơ dữ liệu tài chính và tín dụng của người dân tại CIC bị rò rỉ hôm 8/9.
Theo đánh giá từ các tổ chức an ninh mạng như Resecurity và Cybernews, lượng thông tin bị tấn công và sao chép này tương đương với dữ liệu của toàn bộ người dân và doanh nghiệp trong nước.
Nhóm hacker ShinyHunters sau đó đã công khai nhận trách nhiệm và đăng tin rao bán nguồn dữ liệu này trên dark web với mức giá “thương lượng” là 175.000 USD. Nhóm này chia sẻ rằng họ không có mục tiêu tống tiền chính quyền Việt Nam, và cho biết đã ước tính được tổng số dữ liệu lưu trữ tại CIC vào khoảng 3 tỷ hồ sơ.
Ba ngày sau vụ việc, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) chiều 11/9 đã phát thông báo chính thức về vụ rò rỉ, và cho biết đang phối hợp cùng các doanh nghiệp cung cấp dịch vụ an ninh mạng như Viettel, VNPT, NCS để xác minh và xử lý tình huống.
NHNN sau đó cũng đã lên tiếng trấn an người dân rằng các giao dịch và hoạt động tín dụng vẫn vận hành an toàn, bình thường, và dữ liệu CIC không bao gồm các thông tin cá nhân quan trọng.
Tuy vậy, ông Võ Đỗ Thắng, giám đốc Trung tâm An ninh mạng Athena nêu cảnh báo rằng việc rò rỉ dữ liệu CIC có thể bị đối tượng xấu lợi dụng để thao túng, khống chế nạn nhân, gây áp lực tâm lý, lừa đảo, và nhiều hệ lụy pháp lý khác. Các cơ quan công an đã cũng lên tiếng cảnh báo người dân về nguy cơ xuất hiện tình trạng lừa đảo, chiếm đoạt thông tin và tài sản cá nhân.
Theo tổ chức Resecurity cho biết, dữ liệu bị lộ có thể bao gồm:
Thông tin nhận dạng cá nhân
Lịch sử thanh toán tín dụng
Dữ liệu phân tích rủi ro
Thông tin thẻ tín dụng (một phần được mã hóa)
Mã định danh quân sự, chính phủ và mã số thuế
Báo cáo thu nhập, các khoản nợ, thông tin liên lạc và việc làm, cũng như chi tiết ngân hàng
Hiện các cơ quan nhà nước chưa có thông tin chính thức về những trường dữ liệu nào đã bị rò rỉ. Các đánh giá chính xác chỉ có thể thực hiện khi đã có thông tin cụ thể về lượng và loại thông tin bị tấn công.
Tuy nhiên, theo Resecurity nhận định, vụ việc này đủ để gióng lên một hồi chuông cảnh báo nghiêm trọng về an toàn bảo mật thông tin của người dân, khi CIC đang nắm giữ vị trí của một “điểm thất bại duy nhất” (single point of failure), những bất cẩn tương tự thậm chí có thể gây tác động to lớn đến toàn bộ thông tin tài chính của quốc gia.
Ông lớn trong ngành tài chính là JPMorgan hồi tuần trước cũng đã lên tiếng cảnh báo giới đầu tư rằng vụ việc này sẽ khiến các ngân hàng Việt Nam phải gia tăng chi phí cho an ninh mạng và đánh mất niềm tin của đối tác lẫn khách hàng.
Theo tổ chức này, vụ rò rỉ cho thấy rủi ro tiềm tàng về an toàn của dòng tiền khi giao dịch tại Việt Nam, và trong tương lai khó mà tin chắc sẽ không phát sinh những sự cố quy mô lớn tương tự.
Cảnh báo trên của JPMorgan có lẽ không chỉ có giá trị đánh động các nhà đầu tư quốc tế, mà đồng thời cũng nêu bật mối nguy cơ mà các cá nhân, tổ chức, doanh nghiệp tại Việt Nam cần nhìn nhận rõ và có phương án phản ứng kịp thời. Lẽ hiển nhiên, không chỉ là nguy cơ về phương diện tài chính, kinh doanh, mà còn về vấn đề an toàn và bảo mật thông tin cá nhân.
***
Có thể thấy rằng, thời gian qua, người dân phải chịu rủi ro bị giám sát chặt chẽ hơn khi nhà nước không ngừng mở rộng hoạt động thu thập, kiểm soát dữ liệu của dân chúng, bao quát từ dữ liệu danh tính, nhân thân cho đến tài chính, tín dụng.
Giờ đây, khi kho dữ liệu của nhà nước ngày một khổng lồ, đã nảy sinh thêm một nguy cơ khác cũng đáng báo động không kém: nguy cơ lộ thông tin cá nhân đến từ hệ thống bảo mật, lưu trữ kém hiệu quả.
Dễ hình dung, khi các hồ sơ thông tin vô cùng đầy đủ này bị rò rỉ, sẽ dẫn đến nguy cơ đánh cắp danh tính, chiếm đoạt tài sản, và những hệ lụy khó lường kèm theo, có thể gây đảo lộn nền tư pháp như hành vi giá họa, gài bẫy, v.v.
Vốn dĩ, tính hiệu quả của mô hình giám sát, quản lý người dân bằng dữ liệu số vốn vẫn là một vấn đề gây tranh cãi và gợi nhiều hoài nghi. Trước những hiểm họa nhãn tiền rút ra được từ các vụ việc gần đây, có thể khẳng định câu chuyện trên càng đáng được bàn luận kỹ.
Hơn hết, những cơ quan chức năng có liên quan và có thẩm quyền càng cần phải đưa vấn đề ra thảo luận, xem xét lại tính khả thi của đề án này một cách nghiêm túc.
Nguồn: Từ quà 100.000 đồng đến vụ CIC: Nguy cơ kiểm soát dữ liệu và an toàn thông tin của người dân
Không có nhận xét nào