Hơn 9 tỷ dữ liệu cá nhân bị rao bán: CCTV phanh phui 'đế chế mở hộp' thao túng thông tin người dân

[Kaya]

Đài truyền hình trung ương Trung Quốc (CCTV) vừa công bố phóng sự điều tra đặc biệt về “开盒” (Kāihé) - hình thức bóc trần và phát tán trái phép thông tin cá nhân trên Internet, hé lộ một chuỗi tội phạm mạng quy mô lớn đang hoạt động ngầm với hàng tỷ dữ liệu công dân bị thu thập, mua bán và khai thác trái phép.​

Theo giới chức Trung Quốc, các đường dây này không chỉ đánh cắp dữ liệu cá nhân mà còn xây dựng cả hệ sinh thái “dịch vụ tra cứu” bất hợp pháp, khi thông tin riêng tư của người dân bị rao bán công khai như một món hàng.​

“Mở hộp” – khi toàn bộ đời tư bị phơi bày chỉ sau vài cú nhấp chuột​

Thuật ngữ “开盒” hay còn gọi là “mở hộp”, là thuật ngữ ám chỉ hành vi sử dụng các nguồn dữ liệu bất hợp pháp để công khai thông tin cá nhân của người khác trên mạng.

Những dữ liệu bị lộ có thể bao gồm:​

• Họ tên​
• Số căn cước công dân​
• Địa chỉ nhà​
• Số điện thoại​
• Thông tin hộ khẩu​
• Hồ sơ y tế​
• Địa chỉ giao hàng​
• Quan hệ bạn bè WeChat​
• Tài sản cá nhân​
• Lịch sử lưu trú khách sạn​
• Sao kê ngân hàng​

Theo CCTV, nhiều nhóm kín trên các nền tảng nhắn tin mã hóa ở nước ngoài hiện vẫn hoạt động như những “chợ đen dữ liệu”, nơi các đối tượng công khai quảng cáo dịch vụ “mở hộp”, liệt kê chi tiết từng loại thông tin có thể tra cứu.
​

Khi xuất hiện một vụ việc gây tranh cãi hoặc một nhân vật trở thành tâm điểm dư luận, chỉ sau thời gian ngắn, dữ liệu cá nhân của người liên quan đã bị tung lên mạng kèm chú thích “đã có thông tin”, sau đó được rao bán hoặc chia sẻ công khai.​

Đường dây thu thập hơn 9 tỷ dữ liệu cá nhân​

Ngày 8/5/2026, Tòa án Nhân dân Tối cao Trung Quốc công bố một vụ án điển hình liên quan đến hoạt động “mở hộp” trên mạng. Theo hồ sơ điều tra, các nghi phạm đã thu thập trái phép hơn 9 tỷ dữ liệu công dân trong giai đoạn 2023-2025.

Trong đó:​

• Nghi phạm Lin Mouwu bị xác định đã thu thập trái phép hơn 6 tỷ dữ liệu cá nhân.​
• Một nghi phạm khác là Wang Moukang thu thập khoảng 3 tỷ dữ liệu.​

Các đối tượng sau đó phối hợp cùng nhóm kỹ thuật xây dựng một nền tảng “cơ sở dữ liệu xã hội” chuyên phục vụ tra cứu thông tin bất hợp pháp. Hệ thống này chứa hơn 170 triệu bộ dữ liệu cá nhân và ghi nhận hơn 100.000 lượt truy cập.

Ngoài website tra cứu, nhóm tội phạm còn lập nhiều cộng đồng trên các ứng dụng liên lạc mã hóa ở nước ngoài để phát tán nội dung xúc phạm, bôi nhọ, rò rỉ thông tin cá nhân và quảng cáo dịch vụ tra cứu dữ liệu. Tổng số thành viên các nhóm này vượt quá 100.000 người.

Tháng 3/2026, đối tượng cầm đầu Lin Mouwu bị kết án 7 năm tù vì tội xâm phạm thông tin cá nhân công dân và sử dụng trái phép mạng thông tin. Các đồng phạm khác nhận mức án từ 3 năm 2 tháng đến 5 năm 6 tháng tù giam.​

Dữ liệu cá nhân bị đánh cắp từ đâu?​

Theo các chuyên gia an ninh mạng, nguồn dữ liệu của các đường dây “mở hộp” chủ yếu đến từ hai kênh chính:​

Tấn công từ bên ngoài​

Tin tặc sử dụng các kỹ thuật như:​

• Tấn công cơ sở dữ liệu​
• Tấn công thử mật khẩu hàng loạt (撞库)​
• Khai thác mật khẩu yếu​
• Xâm nhập hệ thống nội bộ​

để đánh cắp dữ liệu người dùng từ các doanh nghiệp và nền tảng trực tuyến.​

Rò rỉ từ nội bộ​

Một số nhân viên trong các lĩnh vực như chuyển phát nhanh, viễn thông, tài chính hoặc cơ quan công quyền đã lợi dụng quyền truy cập hệ thống để bán dữ liệu nhằm trục lợi.

CCTV dẫn chứng một vụ việc tại Thượng Hải, nơi nhân viên chăm sóc khách hàng của một công ty chuyển phát đã bán hơn 100.000 dữ liệu khách hàng từ hệ thống nội bộ.

Tại Đường Sơn (Hà Bắc), hai trợ lý cảnh sát còn bị phát hiện sử dụng trái phép chứng thư số của cơ quan công an để tra cứu và bán thông tin công dân, thu lợi bất chính hơn 117.000 nhân dân tệ.​

Trung Quốc siết chặt luật bảo vệ dữ liệu cá nhân​

Trước tình trạng rò rỉ dữ liệu ngày càng nghiêm trọng, Trung Quốc đã liên tục hoàn thiện khung pháp lý về bảo vệ thông tin cá nhân. Các văn bản quan trọng bao gồm:​

• Luật An ninh mạng​
• Luật Bảo vệ thông tin cá nhân​
• Luật An ninh dữ liệu​
• Bộ luật Dân sự​
• Các sửa đổi trong Bộ luật Hình sự​

Trong đó, Luật Bảo vệ thông tin cá nhân quy định doanh nghiệp vi phạm nghiêm trọng có thể bị phạt tới 50 triệu nhân dân tệ hoặc 5% doanh thu năm trước đó. Ngoài ra, cơ quan chức năng còn có thể áp dụng lệnh cấm đảm nhiệm chức vụ quản lý đối với lãnh đạo doanh nghiệp vi phạm.

Theo thống kê, riêng năm 2025, các cơ quan kiểm sát Trung Quốc đã truy tố 6.142 cá nhân liên quan đến tội phạm xâm phạm dữ liệu cá nhân và xử lý hơn 4.456 vụ kiện công ích liên quan.​

“Căn cước mạng” – giải pháp mới để giảm rò rỉ thông tin​

Để hạn chế việc người dùng phải cung cấp trực tiếp số giấy tờ tùy thân cho các ứng dụng và nền tảng số, Trung Quốc đã triển khai hệ thống “căn cước mạng” theo Quy định quản lý dịch vụ xác thực danh tính mạng quốc gia, chính thức có hiệu lực từ tháng 7/2025.

Hệ thống này sử dụng “mã định danh mạng” và “chứng nhận mạng” để xác minh danh tính người dùng mà không cần tiết lộ trực tiếp thông tin cá nhân thật như họ tên hay số căn cước. Tuy nhiên, khảo sát của CCTV cho thấy phần lớn người dân vẫn chưa biết đến dịch vụ này.

Các chuyên gia nhận định rằng, ngoài công nghệ và luật pháp, yếu tố quan trọng nhất vẫn là nâng cao nhận thức bảo mật của cộng đồng trong môi trường số ngày càng phức tạp.

Người dùng được khuyến cáo:​

• Không sử dụng chung mật khẩu cho nhiều nền tảng​
• Hạn chế đăng tải giấy tờ cá nhân lên mạng xã hội​
• Cẩn trọng với các ứng dụng yêu cầu quyền truy cập không cần thiết​
• Theo dõi dấu hiệu bất thường của tài khoản​
• Khóa tài khoản và trình báo cơ quan chức năng ngay khi phát hiện bị lộ dữ liệu​

Trong bối cảnh dữ liệu cá nhân ngày càng trở thành “tài nguyên” của tội phạm mạng, vụ việc mà CCTV phanh phui cho thấy nguy cơ rò rỉ thông tin không còn là vấn đề cá nhân đơn lẻ mà đã trở thành thách thức an ninh mạng quy mô quốc gia.​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview