Cảnh sát Thượng Hải đã làm rò rỉ bộ cơ sở dữ liệu chứa thông tin cá nhân của một tỷ công dân. Vụ việc này một lần nữa làm nổi bật thái độ nóng vội, bất cẩn của Đảng Cộng sản Trung Quốc (ĐCSTQ) đối với việc bảo vệ quyền riêng tư của người dân.
Những năm gần đây, ĐCSTQ đã thường xuyên ban hành các luật liên quan đến bảo mật dữ liệu, nhưng thay vì tập trung bảo vệ thông tin cá nhân của công dân Trung Quốc, ĐCSTQ đã sử dụng những thông tin này làm công cụ để trấn áp các công ty Trung Quốc và hiện thực hóa tham vọng quốc tế của mình.
Hồi đầu tháng Bảy, một người hay nhóm tin tặc ẩn danh với tên “ChinaDan” đã rao bán một cơ sở dữ liệu chứa thông tin cá nhân của 1 tỷ công dân Trung Quốc trên Breach Forums, một cộng đồng tin tặc nổi tiếng. Nguồn cơ sở dữ liệu này đến từ cảnh sát Thượng Hải.
Theo các chuyên gia an ninh mạng, bảng điều khiển dùng để quản lý dữ liệu đã được thiết lập trên trang web công cộng và luôn được mở mà không cần mật khẩu. Sau khi được để mở hơn một năm, hồi giữa tháng Sáu cơ sở dữ liệu này đột nhiên bị một người hay nhóm tin tặc này xóa sạch và thay thế bằng một ghi chú đòi tiền chuộc, yêu cầu cảnh sát Thượng Hải chuộc lại cơ sở dữ liệu này với 10 bitcoin, khoảng 200,000 USD.
Cảnh sát Thượng Hải đã không giao tiền chuộc. Một tháng sau, tin tặc này đã rao bán cơ sở dữ liệu nói trên với giá 200,000 USD.
Người hay nhóm tin tặc này cũng đã đăng tải một mẫu cơ sở dữ liệu với dung lượng hơn 23 terabyte, mà họ tuyên bố chứa hồ sơ của 250,000 người dân Trung Quốc phân thành ba tập dữ liệu riêng biệt.
Tập dữ liệu đầu tiên là “thông tin cá nhân,” bao gồm tên, tuổi, giới tính, năm sinh, nơi sinh, và số căn cước công dân (ID). Một số thông tin cá nhân thậm chí còn được đánh dấu chi tiết, chẳng hạn như “các thành viên chủ chốt của Bộ Công An,” “không phục vụ trong quân đội” và “trình độ học vấn cấp tiểu học.”
Tập dữ liệu thứ hai là “dữ liệu kết hợp gồm địa chỉ và điện thoại di động,” bao gồm tên, địa chỉ, và số điện thoại di động.
Tập dữ liệu thứ ba bao gồm các hồ sơ vụ án có vẻ như đã được trình báo với cảnh sát, với các thông tin như tên và số điện thoại của người đã tố giác tội phạm, thời gian báo án, lý do và cách giải quyết hồ sơ tố giác này.
The Epoch Times đã thực hiện hơn một chục cuộc điện thoại dựa trên thông tin có trong tài liệu bị rò rỉ trên. Trong số bốn cuộc gọi thành công, ba cuộc gọi xác nhận tính xác thực của thông tin trong tập tài liệu, còn người thứ tư không phủ nhận khi được yêu cầu xác nhận danh tính của mình.
Ngay sau khi bộ cơ sở dữ liệu của cảnh sát Thượng Hải này được rao bán, một người dùng ẩn danh khác đã rao bán một bộ cơ sở dữ liệu khác của lực lượng cảnh sát tỉnh Hà Nam, Trung Quốc trên một diễn đàn trực tuyến, tuyên bố rằng [bộ dữ liệu này] chứa thông tin của 90 triệu công dân.
ĐCSTQ đã nhiều lần làm rò rỉ dữ liệu của người dân
Đây không phải là lần đầu tiên ĐCSTQ làm mất dữ liệu nhạy cảm.
Ngày 21/07/2020, một bản danh sách của toàn bộ đảng viên ĐCSTQ ở Thượng Hải đã được công khai trên mạng, gồm có tên, số điện thoại, tỉnh, đơn vị công tác hiện tại, chi bộ đảng, dân tộc, và trình độ học vấn của 1.95 triệu đảng viên. Những người bất đồng chính kiến tại Trung Quốc đã thu thập danh sách này từ một máy chủ ở Thượng Hải, sau đó giao cho Liên minh Nghị viện Xuyên Quốc gia về Chính sách Trung Quốc (Inter-Parliamentary Alliance on China).
Những vụ rò rỉ từ các công ty có liên hệ mật thiết với chính quyền Trung Quốc thi thoảng cũng xảy ra.
Năm 2019, nhà nghiên cứu bảo mật người Hà Lan Victor Gevers đã tiết lộ trên Twitter rằng SenseNet, một công ty nhận dạng khuôn mặt của Trung Quốc, đã vi phạm dữ liệu về 2.56 triệu người và 6.8 triệu hồ sơ, bao gồm thông tin thẻ căn cước cá nhân, hình ảnh nhận dạng khuôn mặt, và vị trí mà họ đã được chụp. Bất kỳ ai cũng có thể xem được các hồ sơ và theo dõi các cá nhân này dựa trên hệ thống nhận dạng khuôn mặt thời gian thực của SenseNet.
Các đối tác của SenseNet gồm có Cục Công an thành phố Liên Vân Cảng, Cục Công an tỉnh Quảng Đông, Cục Công an quận Hán Dương ở thành phố Vũ Hán, và Cục Công an thành phố Đô Quân ở tỉnh Quý Châu. Công ty này nhấn mạnh rằng công nghệ nhận dạng khuôn mặt của họ có thể hỗ trợ cảnh sát địa phương trong việc phân tích, đưa ra các cảnh báo, và giữ gìn trật tự công cộng.
Theo phân tích của ông Gevers, ĐCSTQ sử dụng công nghệ nhận dạng khuôn mặt và phân tích dữ liệu lớn của SenseNet để giám sát chặt chẽ nhất cử nhất động của gần 2.6 triệu cư dân ở tỉnh Tân Cương.
ĐCSTQ ban hành luật mới về bảo mật dữ liệu
Trong vài năm qua, ĐCSTQ đã thường xuyên đưa ra các luật liên quan đến bảo mật dữ liệu, bao gồm Luật An ninh mạng, Luật Bảo mật Dữ liệu, và Luật Bảo vệ Thông tin Cá nhân.
Tháng 11/2016, ĐCSTQ đã ban hành Luật An ninh mạng, trong đó quy định sẽ thiết lập và cải thiện hệ thống bảo đảm an ninh mạng đồng thời nâng cao năng lực bảo vệ an ninh mạng.
Vào ngày 20/08/2021, ĐCSTQ đã ban hành Luật Bảo vệ Thông tin Cá nhân, trong đó quy định rằng những người quản lý thông tin cá nhân phải phát triển các hệ thống quản lý nội bộ và quy trình vận hành, thực hiện quản lý thông tin cá nhân được phân loại, và thực hiện các biện pháp kỹ thuật bảo mật tương ứng như mã hóa, xóa bỏ gắn thẻ [dữ liệu], và kiểm soát quyền tác vụ.
Vào ngày 01/09/2021, ĐCSTQ đã ban hành Luật Bảo mật Dữ liệu, trong đó tuyên bố rằng các hoạt động quản lý dữ liệu phải tuân thủ pháp luật và quy định, tôn trọng đạo đức xã hội, tuân thủ đạo đức kinh doanh và đạo đức nghề nghiệp, trung thực và đáng tin cậy, và thực hiện đầy đủ các nghĩa vụ bảo vệ an ninh dữ liệu.
Tuy nhiên, trong hơn một năm, từ tháng 04/2021 cho đến tháng 06/2022, bộ cơ sở dữ liệu một tỷ công dân của cảnh sát Thượng Hải nói trên vẫn để mở mà không có mật khẩu, bất kỳ ai cũng đều có thể truy cập thông tin này.
Cho đến nay, các nhà chức trách ĐCSTQ không đưa ra bình luận nào về vấn đề này cũng như không giải quyết bất kỳ nhân vật nào có liên quan, thay vào đó, họ đã chặn các tin tức và các cuộc thảo luận về vấn đề này.
Một sự thật trớ trêu đó là, dữ liệu cá nhân của công dân Trung Quốc không được bảo vệ, nhưng việc phát triển ở ngoại quốc của các công ty Trung Quốc lại bị cản trở.
Sự kiểm soát của ĐCSTQ đối với các công ty Trung Quốc
Hồi tháng 06/2021, vài tuần trước khi công ty dịch gọi xe Didi của Trung Quốc lên sàn chứng khoán tại Hoa Kỳ, cơ quan giám sát an ninh mạng Trung Quốc cho biết họ muốn công ty này trì hoãn đợt chào bán cổ phiếu lần đầu ra công chúng.
Vì không nhận được lệnh rõ ràng yêu cầu dừng đợt IPO, hôm 30/06 công ty Didi đã niêm yết cổ phiếu theo kế hoạch ban đầu. Vài ngày sau, cơ quan quản lý của ĐCSTQ đưa ra thông báo cho biết họ sẽ tiến hành một đợt “rà soát an ninh mạng” đối với Didi, yêu cầu các cửa hàng ứng dụng di động gỡ bỏ ứng dụng này, đồng thời cấm người dùng mới đăng ký ứng dụng “để ngăn chặn các rủi ro về an ninh dữ liệu quốc gia, bảo vệ an ninh quốc gia, và bảo vệ lợi ích công cộng.”
Giá cổ phiếu của Didi đã lao dốc sau hành động này. Hồi tháng 12/2021, Didi đã công bố kế hoạch hủy niêm yết tại Hoa Kỳ. Hôm 10/06, ngày giao dịch cuối cùng của Didi trên Sàn giao dịch Chứng khoán New York, cổ phiếu của công ty này đã giảm 84% so với giá IPO của họ.
Ba tháng sau, ĐCSTQ chính thức thi hành Luật Bảo mật Dữ liệu, yêu cầu các tổ chức và cá nhân ở Trung Quốc không được cung cấp bất kỳ dữ liệu nào được lưu trữ tại Trung Quốc cho bất kỳ cơ quan tư pháp hoặc cơ quan hành pháp ngoại quốc nào.
Hồi tháng 01/2021, Cục Quản lý Không gian mạng Trung Quốc (CAC) đã ban hành Biện pháp Rà soát An ninh mạng, yêu cầu các nhà khai thác nền tảng trực tuyến có hơn 1 triệu thông tin cá nhân của người dùng phải báo cáo để đánh giá bảo mật trước khi niêm yết ở ngoại quốc. Các cơ quan liên quan của chính phủ sẽ đánh giá “rủi ro mà cơ sở hạ tầng thông tin trọng yếu, dữ liệu cốt lõi, dữ liệu quan trọng, hoặc lượng lớn thông tin cá nhân có thể bị các chính phủ ngoại quốc gây ảnh hưởng, kiểm soát, hoặc sử dụng với mục đích xấu.”
Giới chức ĐCSTQ một mặt thì nghiêm cấm để dữ liệu chảy ra khỏi Trung Quốc, mặt khác lại cố gắng truy cập vào dữ liệu ngoại quốc bằng nhiều cách khác nhau, trong đó có cả việc xâm nhập vào cơ sở dữ liệu của các công ty đa quốc gia, thực hiện “các chương trình tuyển mộ nhân tài” tại các trường đại học và công ty ngoại quốc, cũng như mua lại các công ty ngoại quốc.
Hôm 29/06, ông Brendan Carr của Ủy ban Truyền thông Liên bang Hoa Kỳ nói rằng việc TikTok “thu thập một lượng lớn dữ liệu được kết hợp với quyền truy cập dường như không được kiểm soát của Bắc Kinh vào dữ liệu nhạy cảm đó” gây ra “một rủi ro an ninh quốc gia không thể chấp nhận được” [đối với Hoa Kỳ].
“TikTok không đơn thuần là một ứng dụng video, mà là sói đội lốt cừu,” ông Carr viết trong một bài đăng trên Twitter. “Ứng dụng này thu thập một lượng lớn dữ liệu nhạy cảm mà nhiều báo cáo mới cho thấy đang được truy cập ở Bắc Kinh.”
TikTok thuộc sở hữu của ByteDance, một công ty Trung Quốc. Giám đốc điều hành công ty này là ông Chu Thụ Tư (Shouzi Chew), gần đây đã thừa nhận rằng nhân viên của họ bên ngoài Hoa Kỳ, bao gồm cả ở Trung Quốc, có quyền truy cập vào dữ liệu người dùng Hoa Kỳ của TikTok.
Một bản ghi âm cuộc họp nội bộ của TikTok đã bị rò rỉ vào tháng Sáu, cho thấy rằng các nhân viên tại Bytedance đã liên tục truy cập vào dữ liệu cá nhân, không công khai của người dùng Mỹ.
Năm 2021, ông Jake Sullivan, cố vấn an ninh quốc gia Hoa Kỳ, cho biết rằng Bắc Kinh “coi dữ liệu lớn là tài sản chiến lược.” Ông Matt Pottinger, cựu phó cố vấn an ninh quốc gia Hoa Kỳ, cũng đã viết rằng dữ liệu lớn là trọng tâm trong tham vọng của Bắc Kinh.
Hồi tháng 06/2021, bà Ninh Tuyên Phượng (Ning Xuanfeng), đối tác cao cấp của công ty Luật King & Wood Mallesons của Trung Quốc, đồng tác giả một bài báo nói rằng một làn sóng mới về “chủ quyền kỹ thuật số” đang nổi lên trên khắp thế giới, xung quanh quyền kiểm soát và quyền tài phán đối với dữ liệu, hơn nữa sự đối đầu và bảo hộ trong lĩnh vực cạnh tranh dữ liệu đang ngày càng trở nên gay gắt. Mục đích thực sự của Luật An ninh Dữ liệu là “nâng cao lợi thế cạnh tranh về chủ quyền dữ liệu, đồng thời để thay đổi và định hình lại các quy tắc quốc tế về dữ liệu.”
Cô Jenny Li đã viết bài cho The Epoch Times từ năm 2010. Cô đã đưa tin về các vấn đề chính trị, kinh tế, nhân quyền, và quan hệ giữa Hoa Kỳ-Trung Quốc. Cô đã phỏng vấn sâu rộng các học giả, nhà kinh tế, luật sư, và các nhà hoạt động nhân quyền Trung Quốc ở Trung Quốc và hải ngoại.
Thanh Nhã biên dịch