Thành phố Vô Tích tuyên bố tiêu hủy 1 tỉ mẩu dữ liệu cá nhân thu thập trong đại dịch

Vô Tích, trung tâm sản xuất ở bờ biển phía đông Trung Quốc với dân số khoảng 7,5 triệu người, đã tổ chức một buổi lễ hôm 2.3 để xử lý dữ liệu cá nhân liên quan đến COVID-19. Văn phòng an ninh công cộng của thành phố Vô Tích cho biết thông tin này trong một tuyên bố trên mạng xã hội Weibo.

Tuyên bố cho biết 1 tỉ mẩu dữ liệu đã được thu thập cho các mục đích bao gồm xét nghiệm COVID-19, theo dõi liên hệ, ngăn ngừa các trường hợp nhập cảnh và chúng chỉ là lô dữ liệu đầu tiên được xử lý.

Trung Quốc thu thập lượng lớn dữ liệu về công dân của mình, từ việc thu thập DNA, các mẫu sinh học khác cho đến theo dõi chuyển động trên một mạng lưới camera giám sát rộng lớn và theo dõi dấu chân kỹ thuật số của họ.

Kể từ khi đại dịch bùng phát, việc giám sát đã đẩy sâu vào cuộc sống riêng tư của người dân Trung Quốc, dẫn đến mức độ thu thập dữ liệu chưa từng có. Sau khi bỏ các hạn chế liên quan đến chính sách Zero COVID, người dân đã bắt đầu quan tâm đến mức độ an ninh của lượng lớn dữ liệu cá nhân được lưu trữ bởi các chính quyền địa phương, lo sợ về nguy cơ rò rỉ hoặc đánh cắp dữ liệu.

Tháng 7.2022, rộ tin cơ sở dữ liệu trực tuyến lớn chứa thông tin cá nhân tới 1 tỉ công dân Trung Quốc đã bị để lộ và có thể truy cập công khai trong hơn 1 năm, cho đến khi một người dùng ẩn danh trên diễn đàn hack đề xuất bán dữ liệu đó và đưa nó vào tầm nhìn rộng hơn.

Trong tuyên bố, chính quyền Vô Tích cho biết “các quan chức kiểm toán và công chứng của bên thứ ba” sẽ được mời tham gia vào quá trình xóa dữ liệu, để đảm bảo nó không thể được khôi phục.

Vô Tích cũng đã loại bỏ hơn 40 ứng dụng địa phương được sử dụng để “phòng chống dịch bệnh kỹ thuật số”.

Trong đại dịch, các ứng dụng COVID-19 như thế này quyết định đời sống kinh tế và xã hội trên khắp Trung Quốc, kiểm soát việc mọi người có thể rời khỏi nhà hay không, nơi họ có thể đi du lịch, khi nào doanh nghiệp có thể mở cửa và nơi hàng hóa có thể được vận chuyển.

Song sau khi Trung Quốc bỏ Zero COVID vào tháng 12.2022, hầu hết ứng dụng này đã biến mất khỏi cuộc sống hàng ngày.

Vào ngày 12.12.2022, Trung Quốc đã loại bỏ một ứng dụng theo dõi di động trên toàn quốc thu thập dữ liệu về các hoạt động di chuyển của người dùng. Tuy nhiên, nhiều ứng dụng đại dịch địa phương do chính quyền thành phố hoặc tỉnh điều hành, chẳng hạn ứng dụng mã sức khỏe COVID-19 phổ biến, vẫn được giữ nguyên dù không còn được sử dụng nữa.

Vô Tích tuyên bố là thành phố đầu tiên ở Trung Quốc đã tiêu hủy dữ liệu cá nhân liên quan đến COVID-19 của công dân. Trên mạng xã hội Weibo, người dùng kêu gọi các chính quyền địa phương khác làm theo.

Yan Chunshui, Phó trưởng phòng quản lý dữ liệu lớn của Vô Tích, cho biết việc xử lý nhằm bảo vệ tốt hơn quyền riêng tư của công dân, ngăn chặn rò rỉ dữ liệu và giải phóng không gian lưu trữ.

Kendra Schaefer, người đứng đầu bộ phận nghiên cứu chính sách công nghệ tại công ty tư vấn Trivium China có trụ sở tại Bắc Kinh (thủ đô Trung Quốc), cho biết việc thu thập dữ liệu liên quan đến các ứng dụng COVID-19 cấp địa phương thường lộn xộn. Những ứng dụng đó rất khó quản lý, gây tốn kém cho chính quyền địa phương.

"Xét đến chi phí và khó khăn trong việc quản lý các ứng dụng như vậy, cộng với những lo ngại được bày tỏ bởi công chúng về an ninh và riêng tư dữ liệu, việc tháo gỡ những hệ thống đó là điều tất yếu", Kendra Schaefer cho biết.

Bà nói thêm rằng trong nhiều trường hợp, các bộ phận dữ liệu lớn tại chính quyền địa phương đã quá tải với việc xử lý dữ liệu COVID-19, vì vậy việc thu nhỏ lại đơn giản là có ý nghĩa về mặt kinh tế.

Kendra Schaefer cho biết: "Nhiều thành phố vẫn chưa xóa dữ liệu COVID-19 của họ hoặc chưa làm điều đó công khai - không phải vì họ có ý định giữ nó, mà chỉ đơn giản là vì chưa đủ lâu kể từ khi Zero COVID bị dừng lại".

Xôn xao vụ rò rỉ dữ liệu được cho của 1 tỉ người dân Trung Quốc

Đầu tháng 7.2022, một tập dữ liệu được cho là chứa thông tin của 1 tỉ cư dân Trung Quốc xuất hiện trên Diễn đàn Breach của cộng đồng hacker. Người đăng có nickname ChinaDan cho biết dữ liệu bao gồm tên, địa chỉ, số nhận dạng và số điện thoại di động. ChinaDan ra giá 10 bitcoin, tương đương khoảng 200.000 USD khi đó, cho toàn bộ dữ liệu.

Trong bài đăng trên diễn đàn, dữ liệu được cho là lấy từ cơ sở dữ liệu do cảnh sát Thượng Hải quản lý.

Các chuyên gia an ninh mạng nói với The Wall Street Journal rằng dữ liệu được đưa lên web thông qua một bảng điều khiển được sử dụng để truy cập dữ liệu đó mà không cần mật khẩu. Họ cho biết tổng dung lượng của thông tin là 23 terabyte (TB), chứng thực cho các tuyên bố từ bài đăng gốc.

Quy mô của vụ hack đã gây ra những lo ngại về tác động của nó vào thời điểm Trung Quốc đang thu thập lượng lớn dữ liệu từ công dân của mình để giám sát và quản trị xã hội.

Sau vụ việc trên, các nền tảng truyền thông xã hội Trung Quốc đã bắt đầu hoạt động, kiểm duyệt nội dung liên quan.

Thông tin này có thể là “vụ rò rỉ dữ liệu lớn nhất thuộc loại này ở Trung Quốc, gây ra trải nghiệm tiêu cực vĩnh viễn”, theo Zhao Xuan, luật sư an ninh mạng tại Công ty luật Beijing Bairui.

“Trung Quốc có 1,4 tỉ dân. Người bán tuyên bố có dữ liệu 1 tỉ người và cho rằng nó bị rò rỉ từ cơ sở dữ liệu của cảnh sát, số lượng và chất lượng của dữ liệu có thể khá cao”, Zhao Xuan nói thêm.

Tập dữ liệu mẫu dưới dạng ba file định dạng JSON (JavaScript Object Notation) chứa 560 MB thông tin bao gồm các trường tên, ngày sinh, địa chỉ, số điện thoại di động, số nhận dạng cá nhân, ảnh và thậm chí cả dân tộc.

Tuy nhiên, một số người dùng đã đặt câu hỏi về tính xác thực của thông tin rò rỉ. “Có vẻ như một trò lừa đảo nâng cao”, một người có nickname Victim đã trả lời bài đăng trên diễn đàn, đồng thời cho biết thêm rằng miền được sử dụng trong các URL cho ảnh trong cơ sở dữ liệu chuyển hướng đến một trang web đăng ký miền có trụ sở tại Vương quốc Anh.

Một người dùng trên Twitter lập luận rằng các bộ mẫu có thể đã được ghép lại với nhau từ dữ liệu bán công khai có sẵn trước đó.

Hôm 7.7.2022, Thủ tướng Trung Quốc Lý Khắc Cường nhấn mạnh tầm quan trọng của an ninh thông tin tại cuộc họp Quốc vụ viện. Đây là thông điệp mang tính cấp bách sau vụ rò rỉ dữ liệu được cho là của 1 tỉ người dân nước này.

Các cơ quan chính phủ Trung Quốc phải “bảo vệ an ninh thông tin… bảo vệ thông tin cá nhân, quyền riêng tư và thông tin bí mật của công ty” để mọi người có thể yên tâm khi gửi dữ liệu cho một số dịch vụ công, theo một tuyên bố tóm tắt trong cuộc họp. Tuyên bố không đề cập đến các vấn đề bảo mật cụ thể hoặc vụ rò rỉ dữ liệu.

Chủ đề chính của cuộc họp là "phát triển chính phủ kỹ thuật số", một thuật ngữ chung đề cập đến kế hoạch của Trung Quốc nhằm tận dụng các công nghệ như dữ liệu lớn, trí tuệ nhân tạo (AI) cho quản trị xã hội và dịch vụ công.

Dòng về bảo mật không được đưa ra cho đến cuối tuyên bố, nhưng bảo mật dữ liệu đã trở thành một ưu tiên ngày càng quan trọng với chính phủ Trung Quốc, đặc biệt là kể từ khi ban hành hai luật liên quan vào năm ngoái.

Vụ việc nêu bật các vấn đề bảo mật dữ liệu mà Trung Quốc phải đối mặt ngay cả khi chính phủ tìm cách tăng cường bảo vệ thông tin cá nhân.

Tháng 11.2021, Luật bảo vệ thông tin cá nhân có hiệu lực, mang lại cho Trung Quốc một số quy tắc cứng rắn nhất trên thế giới về bảo mật dữ liệu cá nhân bằng cách đặt ra các hạn chế về cách dữ liệu của người dùng internet có thể được thu thập, sử dụng và quản lý.

Luật được đặt ra nhằm khiến các hãng công nghệ ở Trung Quốc tiếp cận, sử dụng thông tin của người tiêu dùng khó hơn và tốn kém hơn đáng kể, có tác động rộng hơn so với việc thực hiện Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (EU).

Zhao Xuan nói những người chịu trách nhiệm về vụ rò rỉ và tấn công có thể bị buộc tội theo luật hình sự Trung Quốc, bao gồm các tội vi phạm thông tin cá nhân của công dân và truy cập bất hợp pháp vào hệ thống thông tin máy tính.

Các nhà chức trách Trung Quốc cho biết nước này là mục tiêu nhất quán của các hacker ở nước ngoài.

Trong nước này cũng liên tục xảy ra các vụ rò rỉ dữ liệu và có một thị trường ngầm tràn lan về thông tin cá nhân. Chỉ riêng trong năm 2020, Trung Quốc đã điều tra 560.000 trường hợp tội phạm mạng và bắt giữ hơn 80.000 nghi phạm, trong đó có 13.000 nghi phạm liên quan đến xâm phạm thông tin cá nhân và 2.975 nghi phạm khác liên quan đến hack, theo Bộ Công an nước này.

Khi vụ rò rỉ dữ liệu đó được công khai, Tencent Holdings và Weibo bắt đầu kiểm duyệt các bài đăng liên quan. Một bài bình luận trên WeChat tuyên bố vụ rò rỉ sẽ mang lại "ảnh hưởng vĩnh viễn, không thể thay đổi" đã biến mất ngay sau khi được đăng.

Trên Weibo, nội dung liên quan thuộc chủ đề “Cơ sở dữ liệu cảnh sát Thượng Hải” đã bị xóa.

Rò rỉ dữ liệu đang trở thành một vấn đề lớn hơn với các quốc gia trên thế giới. Đầu năm 2022, dữ liệu cá nhân của 22,5 triệu công dân Malaysia, bao gồm tên đầy đủ, số ID, ảnh, địa chỉ nhà và số điện thoại, đã bị đánh cắp từ máy chủ của chính phủ và bán trên dark web với giá được báo cáo là 10.000 USD. Ngay sau đó, các chuyên gia bảo mật máy tính Malaysia đã phát hiện ra một trang web cung cấp quyền truy cập vào nhiều loại dữ liệu cá nhân của công dân nước này.

Dark web là một phần của internet không được tìm thấy trên các công cụ tìm kiếm thông thường và yêu cầu sử dụng phần mềm đặc biệt để truy cập. Dark web thường được sử dụng để tạo ra các hoạt động trái phép và phi pháp như buôn bán ma túy, vũ khí, bán dữ liệu cá nhân, các hoạt động mạng lưới tội phạm và hoạt động bất hợp pháp khác. Tại đây, người dùng có thể duyệt web hoàn toàn ẩn danh và truy cập vào các nội dung mà không được chính phủ và các tổ chức kiểm duyệt.

Sơn Vân