Luật An Ninh Mạng với thực tiễn phòng chống tội phạm lừa đảo quan mạng tại Việt Nam

Stephen Le

Thực trạng lừa đảo qua mạng tại Việt Nam hiện nay

Đồng thời với sự phát triển của mạng truyền thông và các ứng dụng công nghệ thông tin, các hành vi lừa đảo qua mạng ngày càng tinh vi và phổ biến. Mặc dù đã được cơ quan chức năng, báo chí đưa tin, cảnh báo về các thủ đoạn lừa đảo nhưng do các đối tượng liên tục thay đổi phương thức, thủ đoạn và nắm bắt tâm lý, nhu cầu của người bị hại để thực hiện hành vi lừa đảo nên vẫn đã, đang lừa đảo được số tiền rất lớn của nhiều bị hại trên khắp cả nước.

Nếu như trước đây, hành vi lừa đảo qua mạng chủ yếu là thủ đoạn kết bạn, làm quen, yêu cầu chuyển tiền để làm thủ tục nhận quà tại hải quan do quà tặng có giá trị hoặc có số tiền lớn bên trong; xâm nhập vào tài khoản mạng xã hội, giả mạo người thân, người quen nhờ chuyển tiền, mua thẻ cào điện thoại v.v. thì hiện nay, hình thức lừa đảo tinh vi hơn, với nhiều “kịch bản” hoàn hảo hơn.

Nở rộ trong thời gian gần đây là các hành vi lừa đảo thông qua hình thức giao dịch ngân hàng trực tuyến. Hình thức giao dịch ngân hàng trực tuyến đang được sử dụng rộng rãi bởi sự tiện lợi, nhanh chóng của nó. Bên cạnh những tiện ích mang lại, giao dịch ngân hàng trực tuyến cũng tiềm ẩn không ít rủi ro. Một số đối tượng lợi dụng sự sơ hở, mất cảnh giác của người dùng để thực hiện hành vi lừa đảo, chiếm đoạt tài sản với nhiều chiêu thức tinh vi. Điển hình là chiêu thức đánh cắp mã sử dụng một lần khi giao dịch ngân hàng trực tuyến (OTP) để chiếm đoạt tiền trong tài khoản của người bị hại.

Đối tượng lừa đảo sử dụng tài khoản trên mạng tìm các cá nhân hoặc cửa hàng bán hàng online. Sau khi trao đổi thông tin, thống nhất giá cả thì đối tượng yêu cầu người bị hại cung cấp số tài khoản ngân hàng để chuyển tiền đặt cọc mua hàng hóa. Ngay lập tức, đối tượng này nhắn cho người bị hại đã gửi số tiền đặt cọc vào tài khoản do người bị hại cung cấp, yêu cầu người bị hại truy cập vào đường link do chúng gửi tới. Khi người bị hại truy cập vào đường link, nhập thông tin đăng nhập, mật khẩu đăng nhập và mã OTP của mình, đối tượng lừa đảo sẽ nhanh chóng chiếm được toàn bộ thông tin của người bị hại và sử dụng mã OTP để giao dịch chuyển tiền từ tài khoản người bị hại sang tài khoản khác để chiếm đoạt.

Ngoài ra, các đối tượng lừa đảo còn mạo danh nhân viên ngân hàng, hoặc nhân viên của các đơn vị cung cấp dịch vụ liên quan đến ngân hàng (đặc biệt là các dịch vụ ví điện tử) yêu cầu khách hàng xác thực thông tin để nâng cấp dịch vụ, hoặc cung cấp thông tin về việc được hưởng khuyến mãi khi liên kết với tài khoản ngân hàng, ví điện tử để đánh cắp thông tin tài khoản của khách hàng.

Khó khăn trong việc truy tìm tội phạm lừa đảo qua mạng

Các đối tượng lừa đảo sẽ sử dụng thông tin giả để tạo tài khoản, giao dịch mua bán hàng hóa nên dấu vết để truy tìm các đối tượng rất ít và các chứng cứ điện tử cũng rất khó phát hiện và thu thập. Trong khi đó hành vi lừa đảo chiếm đoạt tài sản qua mạng thường được thực hiện bởi một đường dây các đối tượng lừa đảo tinh vi, các đối tượng có thể ở bất cứ đâu kể cả ngoài lãnh thổ Việt Nam. Việc truy tìm các đối tượng vượt ngoài phạm vi biên giới quốc gia Việt Nam hầu như là không thể thực hiện được.

Luật An ninh mạng1 tạo cơ sở pháp lý để truy tìm tội phạm lừa đảo qua mạng

Trước khi có Luật An ninh mạng, các doanh nghiệp cung cấp dịch vụ trên mạng được tự do trong việc lưu trữ dữ liệu và quy định của pháp luật Việt Nam sẽ không được áp dụng đối với các doanh nghiệp nước ngoài. Luật An ninh mạng đã đưa ra quy định trong việc lưu trữ thông tin trên không gian mạng nhằm khắc phục được những khó khăn trong việc truy tìm tội phạm, đặc biệt là tội phạm lừa đảo chiếm đoạt tài sản qua mạng.

Điều 26.3 Luật An ninh mạng đã quy định doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ giá trị gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ. Doanh nghiệp ngoài nước hoạt động trong lĩnh vực này phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. Như vậy, việc lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam đối với doanh nghiệp ngoài nước được áp dụng đối với một số doanh nghiệp có các hoạt động như thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam.

Luật An ninh mạng đã quy định cụ thể 03 loại dữ liệu cần lưu trữ tại Việt Nam là: (i) thông tin cá nhân người sử dụng dịch vụ; (ii) dữ liệu về mối quan hệ của người sử dụng dịch vụ; và (iii) dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra.

Việc quy định lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam như nêu trên có tác động rất lớn trong việc truy tìm dấu vết và thu thập chứng cứ đối với các hành vi lừa đảo chiếm đoạt tài sản qua mạng bởi lẽ các thông tin cá nhân của người sử dụng tài khoản trên mạng sẽ được lưu trữ tại Việt Nam và Cơ quan có thẩm quyền có quyền yêu cầu chi nhánh, văn phòng đại diện của các Doanh nghiệp nước ngoài cung cấp thông tin theo quy định pháp luật. Văn phòng đại diện, chi nhánh của các doanh nghiệp này cũng không thể viện dẫn pháp luật quốc gia của doanh nghiệp đó để từ chối cung cấp dữ liệu như trước khi có Luật An ninh mạng. Khi có đầy đủ các thông tin về tài khoản người sử dụng, Cơ quan điều tra sẽ dựa vào đó để truy tìm các đối tượng và đây sẽ là chứng cứ để xử lý, truy cứu trách nhiệm hình sự các đối tượng lừa đảo.

Bên cạnh đó, quy định này cũng đem lại lợi ích đối với chính các doanh nghiệp vì các doanh nghiệp sẽ được bảo vệ tốt hơn trước các hành vi vi phạm pháp luật trên không gian mạng như tung tin thất thiệt về sản phẩm, dịch vụ, doanh nghiệp; cạnh tranh không lành mạnh; xâm phạm quyền sở hữu trí tuệ, bí mật kinh doanh; chiếm đoạt tài sản v.v.

Hiện nay vẫn chưa có văn bản hướng dẫn thi hành Luật An ninh mạng do đó chưa có cơ sở pháp lý để xác định thế nào là “doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng”; chi tiết các loại dữ liệu cần lưu trữ là gì; thời gian lưu trữ dữ liệu là bao lâu, đồng thời, cũng chưa có quy định chế tài xử lý đối với doanh nghiệp vi phạm Điều 26.3 nêu trên. Do đó, các doanh nghiệp ngoài nước khi muốn hoạt động trên mạng viễn thông, mạng Internet tại Việt Nam còn khá nhiều lúng túng và không biết phải thực hiện quy định tại Điều 26 Luật An ninh mạng như thế nào.

Điều 9 Luật An ninh mạng quy định “Người nào có hành vi vi phạm quy định của Luật này thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử lý vi phạm hành chính hoặc bị truy cứu trách nhiệm hình sự, nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật”. Nhưng hiện nay Chính phủ chưa ban hành văn bản hướng dẫn thi hành đối với Luật An ninh mạng và vấn đề về bảo đảm an ninh thông tin trên không gian mạng theo quy định tại Điều 26 Luật An ninh mạng. Do đó, vẫn chưa có chế tài để xử phạt vi phạm hành chính đối với các doanh nghiệp vi phạm vấn đề này.

Để có thể phòng ngừa rủi ro pháp lý có thể xảy ra, trước hết các doanh nghiệp ngoài nước muốn cung cấp các dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam cần phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. Việc thành lập chi nhánh hoặc văn phòng đại diện tại Việt Nam được thực hiện theo quy định của Luật Thương mại, Nghị định 07/2016/NĐ-CP ngày 25/01/2016 của Chính phủ quy định chi tiết Luật Thương mại về Văn phòng đại diện, Chi nhánh của thương nhân nước ngoài tại Việt Nam và các quy định pháp luật có liên quan khác.

Trong quá trình hoạt động của các doanh nghiệp trong lĩnh vực này cần phải lưu trữ tại Việt Nam (i) thông tin cá nhân người sử dụng dịch vụ; (ii) dữ liệu về mối quan hệ của người sử dụng dịch vụ; và (iii) dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra. Các doanh nghiệp có thể tham khảo Dự thảo Nghị định hướng dẫn Luật An ninh mạng để xác định chi tiết các dữ liệu cần phải lưu trữ tại Việt Nam, bao gồm:

  • Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam, gồm: họ tên, ngày tháng năm sinh, nơi sinh, quốc tịch, nghề nghiệp, chức danh, nơi cư trú, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, mã số định danh cá nhân, số căn cước công dân, số hộ chiếu, số thẻ bảo hiểm xã hội, số thẻ tín dụng, tình trạng sức khỏe, hồ sơ y tế, sinh trắc học.
  • Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra, gồm: bao gồm: bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác.
  • Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam, gồm: bao gồm: thông tin chọn tải lên, đồng bộ hoặc nhập từ thiết bị.

Mặc dù, Luật An ninh mạng giúp truy tìm dấu vết các tội phạm lừa đảo qua mạng hiệu quả hơn nhưng khi tội phạm xảy ra vẫn sẽ để lại hậu quả và việc truy tìm, xử lý được các đối tượng lừa đảo cũng không có nghĩa là số tiền bị chiếm đoạt, thiệt hại đều được hoàn trả. Do đó, để chủ động phòng tránh các tội phạm lừa đảo qua mạng, cá nhân hoặc các doanh nghiệp khi sử dụng các dịch vụ trên mạng viễn thông, mạng Internet phải nâng cao tinh thần cảnh giác, đặc biệt là khi được yêu cầu cung cấp, trao đổi, chia sẻ các thông tin cá nhân. Giữ bí mật thông tin cá nhân, không cung cấp thông tin cá nhân, số điện thoại, địa chỉ nhà ở, thông tin về tài khoản ngân hàng, mã OTP hoặc tài khoản các dịch vụ trên Internet.v.v cho bất kỳ người nào. Không chuyển tiền cho bất cứ ai, bất cứ yêu cầu nào khi chưa được xác thực hoặc không có căn cứ cụ thể, rõ ràng bằng văn bản của cơ quan có thẩm quyền. Trong mọi trường hợp, không cho mượn, cho thuê các giấy tờ cá nhân như: Căn cước công dân, giấy chứng minh nhân dân, sổ hộ khẩu hoặc thẻ ngân hàng, không bán, cho mượn, cho thuê tài khoản ngân hàng, không nhận chuyển khoản ngân hàng hay nhận tiền chuyển khoản của ngân hàng cho người không quen biết.

Thường xuyên kiểm tra và cập nhật các tính năng bảo mật, quyền riêng tư trên các tài khoản mạng xã hội, thư điện tử, tài khoản ngân hàng, xác thực các thông tin về thay đổi tài khoản thụ hưởng đối với các đối tác hoặc người quen, người thân. Thường xuyên thay đổi và đảm bảo độ an toàn của mật khẩu (kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt). Thận trọng khi nhận sử dụng thư điện tử. Không nhấn vào các đường link, các liên kết hoặc mở tệp đính kèm trong thư điện tử khi không chắc chắn nguồn gửi đến. Chỉ mở thư điện tử hoặc tải xuống phần mềm và/hoặc ứng dụng từ các nguồn đáng tin cậy. Thực hiện các biện pháp để bảo vệ thiết bị cá nhân kết nối, truy cập các dịch vụ trên không gian mạng bằng các công cụ bảo mật, phần mềm diệt virus mạnh. Trường hợp có nghi ngờ về hoạt động lừa đảo chiếm đoạt tài sản cần bình tĩnh, kịp thời thông báo cho cơ quan Công an nơi gần nhất để được tiếp nhận và hướng dẫn giải quyết.

Chúng tôi mong rằng chia sẻ của mình sẽ giúp ích cho bạn. Nếu bạn có bất kỳ câu hỏi nào, xin hãy liên hệ với các Luật sư của chúng tôi tại info@letranlaw.com để nhận được giải thích hoặc tư vấn.


  1. Luật An ninh mạng số 24/2018/QH14 của Quốc Hội Khóa XIV, kỳ họp thứ 5 thông qua ngày 12 tháng 6 năm 2018. Luật An ninh mạng có hiệu lực thi hành từ ngày 01 tháng 01 năm 2019.