10 Vụ Vi Phạm Dữ Liệu Lớn Nhất Tại Pháp [2026]

1. Giới thiệu#

Pháp đã trở thành một trong những khu vực bị vi phạm dữ liệu nhiều nhất ở châu Âu. Từ năm 2024 đến năm 2025, hơn 145 triệu hồ sơ thuộc về công dân Pháp đã bị lộ qua các dịch vụ công, chăm sóc sức khỏe, viễn thông và bán lẻ, đồng nghĩa với việc theo thống kê, mỗi cư dân Pháp đã là một phần của nhiều vụ vi phạm. Theo CNIL, hơn 5.600 thông báo vi phạm đã được nhận vào năm 2024, một mức cao kỷ lục mới.

Bài viết này liệt kê 10 vụ vi phạm dữ liệu đáng chú ý nhất trong lịch sử gần đây của Pháp, từ 43 triệu hồ sơ bị lộ trong sự cố France Travail đến vụ rò rỉ phần mềm y tế Cegedim Santé, cùng với các quy tắc báo cáo, khoản phạt của CNIL và các phương pháp phòng ngừa áp dụng cho bất kỳ tổ chức nào hoạt động tại Pháp.

2. Tại sao Pháp là mục tiêu hấp dẫn cho các vụ vi phạm dữ liệu?#

Lĩnh vực công được số hóa cao, hệ sinh thái thanh toán chăm sóc sức khỏe dày đặc của Pháp và ba nhà mạng viễn thông lớn mỗi nhà mạng nắm giữ hàng chục triệu hồ sơ thuê bao kết hợp lại để tạo ra một bề mặt tấn công cực lớn. Thêm vào đó là tình trạng thiếu đầu tư mãn tính vào an ninh mạng so với các quốc gia cùng cấp và các cuộc tấn công phi kỹ thuật (social engineering) nhắm vào các cố vấn tuyến đầu, và kết quả là chuỗi vi phạm kỷ lục mà Pháp đã trải qua trong giai đoạn 2024-2026.

2.1 Khu vực công được số hóa cao#

Pháp có một trong những hệ thống chính phủ điện tử tiên tiến nhất ở châu Âu. FranceConnect, liên đoàn định danh quốc gia, định tuyến quyền truy cập đến thuế, chăm sóc sức khỏe, việc làm và trợ cấp gia đình. Do đó, một tài khoản cố vấn bị xâm phạm có thể làm lộ hồ sơ kéo dài hàng thập kỷ, như đã thấy với France Travail, Pass'Sport và OFII. Khu vực công nắm giữ dữ liệu công dân từ khi sinh ra cho đến khi qua đời, tạo ra sự tập trung các hồ sơ nhạy cảm chưa từng có về quy mô.

2.2 Hệ sinh thái dày đặc các bên xử lý thứ ba#

Bảo hiểm y tế của Pháp phụ thuộc vào một số ít nền tảng "tiers payant" (thanh toán của bên thứ ba) (Viamedis, Almerys, Cegedim) xử lý dữ liệu cho hàng chục công ty bảo hiểm (mutuelles). Do đó, một cuộc xâm nhập lan truyền đến hàng chục triệu người được bảo hiểm. Mô hình tương tự cũng có thể thấy trong lĩnh vực viễn thông (vụ vi phạm năm 2025 của Bouygues Telecom thông qua một nhà cung cấp bên thứ ba) và trong thương mại điện tử. Ngay cả các tổ chức có chương trình bảo mật nội bộ trưởng thành vẫn bị lộ qua các mạng lưới nhà cung cấp của họ.

2.3 Thiếu đầu tư mãn tính vào an ninh mạng#

Các phân tích độc lập như Edouard.ai ước tính chi tiêu an ninh mạng công cộng của Pháp ở mức khoảng 0,03% GDP (một ước tính, không phải con số chính thức), thấp hơn rõ rệt so với các quốc gia châu Âu cùng cấp. Mức phạt trung bình của CNIL trong lịch sử vẫn ở mức dưới các nước thuộc EU, làm giảm tính răn đe tài chính đối với việc bảo mật lỏng lẻo, một khoảng cách mà cơ quan quản lý hiện đang thu hẹp với các lệnh trừng phạt kỷ lục chống lại Free Mobile, France Travail và các đơn vị khác.

2.4 Tấn công phi kỹ thuật và các lỗ hổng MFA#

Một số sự cố lớn nhất ở Pháp (France Travail, Viamedis, Free) bắt đầu bằng lừa đảo (phishing) hoặc chiếm đoạt tài khoản trên các cổng thông tin của cố vấn hoặc nhân viên không áp dụng MFA chống lừa đảo (phishing-resistant MFA). Trong mọi trường hợp, những kẻ tấn công đều nhắm vào con người ở tuyến đầu thay vì cơ sở hạ tầng cốt lõi. Liên minh FIDO phân loại passkey (khóa truy cập) là có khả năng chống lừa đảo nhờ thiết kế, vì mỗi passkey được liên kết với nguồn gốc hợp pháp và không thể bị phát lại trên các trang web do kẻ tấn công kiểm soát. Các dịch vụ công và công ty viễn thông Pháp chưa triển khai passkey hoặc xác thực dựa trên phần cứng vẫn phải đối mặt với loại tấn công tương tự.

3. 10 Vụ Vi Phạm Dữ Liệu Lớn Nhất Tại Pháp#

Mười vụ vi phạm dữ liệu lớn nhất của Pháp kể từ năm 2023 đã làm lộ tổng cộng ít nhất 145 triệu hồ sơ và gây ra các khoản phạt của CNIL lên tới 47 triệu euro tính đến tháng 1 năm 2026. Chúng trải dài từ các dịch vụ công (France Travail, Pass'Sport), nền tảng chăm sóc sức khỏe (Viamedis, Almerys, Cegedim Santé), viễn thông (Free, Bouygues Telecom) đến bán lẻ tiêu dùng (ManoMano, Sport 2000). Bảng dưới đây tóm tắt phạm vi, năm và kết quả quy định; chi tiết về từng vụ việc và các phương pháp phòng ngừa sẽ được trình bày tiếp theo.

3.1 Vụ Vi Phạm Dữ Liệu France Travail (2024)#

Vào tháng 3 năm 2024, France Travail (trước đây là Pôle Emploi) và Cap Emploi đã tiết lộ vụ việc hiện được coi là vụ vi phạm dữ liệu lớn nhất trong lịch sử nước Pháp. Những kẻ tấn công đã sử dụng tấn công phi kỹ thuật để chiếm quyền điều khiển tài khoản của các cố vấn Cap Emploi (tổ chức hỗ trợ người khuyết tật) và truy cập dữ liệu của tất cả những người đã đăng ký trong 20 năm qua, cũng như các ứng viên có hồ sơ trên francetravail.fr. Theo CNIL, lên tới 43 triệu người có thể đã bị ảnh hưởng.

Vào ngày 22 tháng 1 năm 2026, CNIL đã phạt France Travail 5 triệu euro theo Điều 32 của GDPR, trong đó mức tối đa theo luật định đối với một cơ quan công quyền là 10 triệu euro. Cơ quan quản lý đã trích dẫn sự "thiếu hiểu biết về các nguyên tắc bảo mật cơ bản" và yêu cầu thực hiện các biện pháp khắc phục dưới mức phạt 5.000 euro/ngày. Đây đã là vụ vi phạm thứ hai của France Travail: vào tháng 8 năm 2023, một sự cố bên thứ ba liên quan đến nhóm ransomware Cl0p khai thác lỗ hổng zero-day của MOVEit Transfer đã làm lộ dữ liệu của 10 triệu người dùng.

Các phương pháp phòng ngừa:

• Bắt buộc áp dụng MFA chống lừa đảo (passkeys) cho tất cả các tài khoản quản trị viên và cố vấn truy cập vào dữ liệu lớn của công dân
• Áp dụng tính năng phát hiện bất thường đối với các truy vấn hàng loạt và các quy tắc lưu giữ dữ liệu nghiêm ngặt đối với các cơ sở dữ liệu công dân

3.2 Vụ Vi Phạm Dữ Liệu ManoMano (2026)#

Vào tháng 2 năm 2026, tập đoàn thương mại điện tử tự làm (DIY) của Pháp, ManoMano, đã bị những kẻ tấn công (threat actors) nêu tên trong một đợt bán dữ liệu được tham chiếu trên nhiều trình theo dõi an ninh mạng của Pháp. Tác nhân này tuyên bố đã xâm phạm lên tới 37,8 triệu hồ sơ khách hàng, bao gồm dữ liệu danh tính, thông tin liên hệ và thông tin hành chính. Quy mô của tuyên bố này phù hợp với cơ sở người dùng EU tích lũy của nền tảng hơn là khách hàng Pháp đang hoạt động, nhưng sự cố này vẫn là một trong những đợt bán dữ liệu có khối lượng cao nhất liên quan đến Pháp từng được ghi nhận.

Sự cố phơi bày này nhấn mạnh cách các thị trường tiêu dùng lớn ở Pháp cũng đã trở nên hấp dẫn đối với những kẻ tấn công tương tự như các ngân hàng hoặc các công ty viễn thông, đặc biệt là khi dữ liệu có thể được kết hợp với các rò rỉ trước đó để xây dựng "đồ thị nhận dạng" cho mục đích gian lận.

Các phương pháp phòng ngừa:

• Liên tục theo dõi các diễn đàn ngầm và các thị trường vi phạm để tìm danh sách khách hàng bị lộ và áp dụng giới hạn tỷ lệ API nghiêm ngặt trên các điểm cuối của khách hàng
• Giảm thiểu việc lưu giữ các hồ sơ khách hàng lịch sử, ít hoạt động

3.3 Vụ Vi Phạm Dữ Liệu Viamedis và Almerys (2024)#

Vào tháng 1 và tháng 2 năm 2024, Viamedis và Almerys, hai bên xử lý thanh toán của bên thứ ba ở Pháp cho bảo hiểm y tế bổ sung, đã liên tiếp bị xâm phạm. CNIL xác nhận rằng tổng hợp lại, các sự cố đã ảnh hưởng đến 33 triệu người, gần một nửa dân số nước Pháp.

Cuộc xâm nhập Viamedis được bắt nguồn từ một cuộc tấn công lừa đảo (phishing) nhắm vào các chuyên gia chăm sóc sức khỏe, cho phép những kẻ tấn công sử dụng lại thông tin xác thực bị đánh cắp trên cổng thông tin nhà cung cấp. Almerys bị nghi ngờ là đã bị tấn công thông qua một cổng thông tin chuyên gia chăm sóc sức khỏe tương tự.

Các phương pháp phòng ngừa:

• Triển khai MFA chống lừa đảo (passkeys) cho mọi chuyên gia chăm sóc sức khỏe truy cập dữ liệu thành viên được bảo hiểm
• Phân đoạn các nền tảng tiers-payant để một cổng thông tin bị xâm phạm không thể làm lộ toàn bộ cơ sở dữ liệu quốc gia

3.4 Vụ Vi Phạm Dữ Liệu Free (2024)#

Vào tháng 10 năm 2024, Free (nhà cung cấp dịch vụ Internet lớn thứ hai của Pháp và là công ty con của tập đoàn Iliad) xác nhận rằng những kẻ tấn công đã xâm phạm một công cụ quản lý nội bộ và lấy cắp dữ liệu của 19,46 triệu hợp đồng Free Mobile và 5,17 triệu hợp đồng Freebox, bao gồm IBAN của toàn bộ 5,11 triệu khách hàng Freebox. Dữ liệu này nhanh chóng được bán đấu giá trên BreachForums bởi một tác nhân độc hại được biết đến với tên "drussellx", với mức giá trúng thầu cuối cùng lên tới 175.000 euro.

Free nhấn mạnh rằng mật khẩu, dữ liệu thẻ thanh toán và nội dung liên lạc không bị ảnh hưởng, nhưng sự kết hợp giữa IBAN, họ tên đầy đủ và ngày sinh là đủ cho gian lận ghi nợ trực tiếp và các cuộc tấn công lừa đảo chất lượng cao. Vào ngày 13 tháng 1 năm 2026, CNIL đã trừng phạt Free Mobile 27 triệu euro và Free 15 triệu euro (tổng cộng 42 triệu euro) vì bảo mật dữ liệu thuê bao không đầy đủ, một trong những lệnh trừng phạt GDPR tổng hợp lớn nhất từng được ban hành ở Pháp đối với một vụ vi phạm dữ liệu.

Các phương pháp phòng ngừa:

• Bảo vệ các công cụ nội bộ có đặc quyền bằng MFA chống lừa đảo và quyền truy cập đúng lúc (just-in-time access)
• Mã hóa (Tokenize) IBAN và các định danh thanh toán để hồ sơ thuê bao không thể kiếm tiền trực tiếp được

3.5 Vụ Vi Phạm Dữ Liệu Cegedim Santé (MLM) (2025)#

Vào tháng 10 năm 2025, những kẻ tấn công đã xâm nhập "MonLogicielMedical.com" (MLM), một phần mềm quản lý phòng khám y tế được biên tập bởi Cegedim Santé và được hàng ngàn chuyên gia chăm sóc sức khỏe Pháp sử dụng. Theo Bộ Y tế Pháp, vụ việc này đã làm rò rỉ dữ liệu hành chính của khoảng 15 triệu bệnh nhân Pháp, kéo dài suốt 15 năm lịch sử và 19 triệu dòng hồ sơ kỹ thuật số.

Trong lời đính chính vào tháng 2 năm 2026, Cegedim Santé tuyên bố rằng dữ liệu liên quan hoàn toàn mang tính hành chính (thông tin loại danh tính như họ, tên và giới tính), và hồ sơ lâm sàng có cấu trúc, nhận xét y tế dạng văn bản tự do và chẩn đoán nhạy cảm như tình trạng HIV không liên quan. Một cuộc điều tra hình sự vì "vi phạm hệ thống dữ liệu tự động" đã được mở vào ngày 27 tháng 10 năm 2025.

Các phương pháp phòng ngừa:

• Bắt buộc xác thực mạnh mẽ (passkeys) đối với mọi bác sĩ truy cập phần mềm y tế đám mây
• Áp dụng nghiêm ngặt nguyên tắc tối giản hóa dữ liệu và phân tách giữa dữ liệu danh tính hành chính và hồ sơ lâm sàng trong các nền tảng y tế SaaS

3.6 Vụ Vi Phạm MOVEit của France Travail (2023)#

Trước khi xảy ra sự cố gây xôn xao dư luận năm 2024, France Travail đã là nạn nhân của một vụ vi phạm do bên thứ ba liên quan đến nhóm ransomware Cl0p khai thác lỗ hổng zero-day trong phần mềm Progress MOVEit Transfer. Vụ tấn công này làm lộ thông tin cá nhân của khoảng 10 triệu người tìm việc, bao gồm tên, số NIR và chi tiết liên hệ. Đây là một phần của làn sóng tấn công chuỗi cung ứng MOVEit toàn cầu đã ảnh hưởng đến hàng trăm tổ chức trên toàn thế giới và báo trước vụ vi phạm thậm chí còn lớn hơn vào năm 2024 đối với chính cơ quan này.

Các phương pháp phòng ngừa:

• Duy trì danh sách kiểm kê cập nhật đối với phần mềm chuyển file của bên thứ ba tiếp xúc với internet và áp dụng vá lỗi ảo cho các khung thời gian zero-day
• Phân tách các đường ống truyền file khỏi cơ sở dữ liệu nhân sự cốt lõi và dữ liệu công dân

3.7 Vụ Vi Phạm Dữ Liệu Bouygues Telecom (2025)#

Vào ngày 4 tháng 8 năm 2025, Bouygues Telecom, một trong những nhà mạng di động lớn của Pháp với khoảng 14,5 triệu thuê bao di động và tổng cơ sở khách hàng khoảng 23 triệu, đã phát hiện một cuộc tấn công mạng nhằm vào hệ thống quản lý khách hàng. Hai ngày sau, công ty xác nhận rằng những kẻ tấn công đã truy cập vào dữ liệu cá nhân và hợp đồng của 6,4 triệu khách hàng, bao gồm cả IBAN. Mật khẩu và số thẻ thanh toán không bị xâm phạm.

Vụ vi phạm, được cho là bắt nguồn từ một nhà cung cấp bên thứ ba, đã được báo cáo cho CNIL và ANSSI. Theo Điều 323-1 của Bộ luật Hình sự Pháp, kẻ tấn công phải đối mặt với mức án lên tới ba năm tù vì truy cập trái phép vào hệ thống xử lý dữ liệu tự động, tăng lên thành năm năm nếu dữ liệu bị thay đổi hoặc hệ thống bị suy yếu. Bản thân Bouygues Telecom phải đối mặt với sự xem xét kỹ lưỡng theo GDPR từ CNIL về quản lý rủi ro bên thứ ba. Sự cố này là một phần của xu hướng rộng lớn hơn cũng đã tấn công SFR (tháng 9 năm 2025, thông tin chi tiết ngân hàng) và Free vào các năm 2024-2025.

Các phương pháp phòng ngừa:

• Xử lý các nhà cung cấp bên thứ ba như một phần của bề mặt tấn công cốt lõi và yêu cầu MFA chống lừa đảo trên tất cả các hệ thống được kết nối
• Mã hóa IBAN và các định danh thanh toán khác để giới hạn giá trị của việc đánh cắp dữ liệu hàng loạt

3.8 Vụ Vi Phạm Dữ Liệu Pass'Sport (Tháng 12 năm 2025)#

Pass'Sport là một chương trình của chính phủ Pháp do Bộ Thể thao điều hành, cung cấp khoản trợ cấp 70 euro (trước đây là 50 euro) cho những người trẻ đủ điều kiện để làm thẻ thành viên câu lạc bộ thể thao. Vào đêm 17-18 tháng 12 năm 2025, một tệp dung lượng 15 GB chứa hơn 22 triệu dòng dữ liệu đã xuất hiện trực tuyến. Các báo cáo truyền thông ban đầu đã quy vụ rò rỉ này cho Quỹ Trợ cấp Gia đình (Caisse d'Allocations Familiales - CAF), nhưng tổ chức này đã công khai phủ nhận bất kỳ vụ xâm nhập nào vào caf.fr. Bộ Thể thao sau đó đã xác nhận rằng dữ liệu bắt nguồn từ hệ thống thông tin Pass'Sport, bao gồm khoảng 3,5 triệu hộ gia đình và 6,4 triệu địa chỉ email duy nhất của những người thụ hưởng, cha mẹ hoặc người giám hộ của họ.

Hồ sơ bị phơi bày bao gồm giai đoạn từ tháng 9 năm 2024 đến tháng 11 năm 2025 và bao gồm đầy đủ danh tính, địa chỉ bưu điện, số điện thoại và địa chỉ email, nhưng không có dữ liệu ngân hàng hay mật khẩu. Tập dữ liệu này đặc biệt có giá trị đối với các cuộc lừa đảo nhắm mục tiêu (targeted phishing) nhắm vào các gia đình có trẻ vị thành niên và phần lớn dữ liệu này kể từ đó đã được lập chỉ mục trong Have I Been Pwned.

Các phương pháp phòng ngừa:

• Áp dụng các biện pháp bảo vệ nghiêm ngặt nhất có thể cho các hệ thống xử lý dữ liệu của trẻ vị thành niên, bao gồm cả bắt buộc MFA chống lừa đảo đối với quản trị viên
• Giảm thiểu thời gian lưu giữ dữ liệu của người thụ hưởng sau khi chương trình hết hạn

3.9 Vụ Vi Phạm Dữ Liệu Sport 2000 (2024)#

Vào tháng 4 năm 2024, nhà bán lẻ đồ thể thao Pháp Sport 2000 đã bị vi phạm dữ liệu, sau đó được lập chỉ mục bởi Have I Been Pwned. Một tác nhân đe dọa hoạt động dưới bí danh "ChatNoir7331" đã rao bán một cơ sở dữ liệu gồm 4,4 triệu hàng với 3,2 triệu địa chỉ email duy nhất trên một diễn đàn hacker, và tập dữ liệu này sau đó đã được đăng tải lại miễn phí vào tháng 6 năm 2024. Vụ rò rỉ bao gồm tên, địa chỉ email và địa chỉ bưu điện, số điện thoại, ngày sinh và lịch sử mua hàng chi tiết được liên kết với các địa điểm cửa hàng cụ thể.

Sự kết hợp giữa dữ liệu liên hệ và lịch sử mua hàng theo cửa hàng khiến rò rỉ của Sport 2000 đặc biệt hữu ích cho việc lừa đảo có mục tiêu cao ("việc mua hàng gần đây của bạn tại Sport 2000 Lyon...") và cho thấy cách các nhà bán lẻ quy mô vừa của Pháp có thể tạo ra các vụ vi phạm quy mô người tiêu dùng khi cơ sở dữ liệu tiếp thị được phân đoạn kém.

Các phương pháp phòng ngừa:

• Phân đoạn các cơ sở dữ liệu tiếp thị và giao dịch, đồng thời luân chuyển các mã thông báo truy cập (access tokens) được sử dụng bởi các công cụ tiếp thị của bên thứ ba
• Giảm thiểu việc lưu giữ lịch sử mua hàng gắn liền với các khách hàng có thể định danh

3.10 Vụ Vi Phạm Dữ Liệu Liên đoàn Bóng đá Pháp (2025)#

Năm 2025, Liên đoàn Bóng đá Pháp (Fédération Française de Football - FFF) đã tiết lộ một vụ vi phạm làm lộ dữ liệu cá nhân của các thành viên được cấp phép. FFF công bố có khoảng 2,38 triệu thành viên được cấp phép cho mùa giải 2023-2024. Theo thông báo "vol de données" (đánh cắp dữ liệu) của chính FFF, sự cố này bao gồm dữ liệu danh tính và liên hệ (tên, ngày sinh, số giấy phép và một số giấy tờ tùy thân) và đặc biệt loại trừ dữ liệu sức khỏe. Sự cố của FFF là một phần của làn sóng cũng đã tấn công Liên đoàn Cử tạ Pháp (Fédération Française de Voile), Liên đoàn Thể dục dụng cụ Pháp (Fédération Française de Gymnastique), Liên đoàn Bắn súng Pháp (Fédération Française de Tir) và các tổ chức khác, khẳng định rằng các liên đoàn thể thao Pháp là một mục tiêu hấp dẫn vì bộ dữ liệu lịch sử lưu trữ lớn và ngân sách bảo mật CNTT tương đối yếu.

Các phương pháp phòng ngừa:

• Ưu tiên đầu tư vào an ninh mạng tại các liên đoàn và các tổ chức phi lợi nhuận sở hữu dữ liệu thành viên lưu trữ hàng chục năm
• Xóa bỏ các hồ sơ lịch sử không còn cần thiết cho việc vận hành giấy phép

4. Cách Báo Cáo Vi Phạm Dữ Liệu Ở Pháp#

Các bộ phận kiểm soát dữ liệu tại Pháp phải báo cáo vụ vi phạm dữ liệu cá nhân cho CNIL trong vòng 72 giờ kể từ khi nhận thức được điều đó, theo Điều 33 của GDPR. Nếu vi phạm có khả năng dẫn đến rủi ro cao cho các cá nhân bị ảnh hưởng, Điều 34 của GDPR yêu cầu thông báo cho họ mà không chậm trễ quá mức. Các nhà điều hành có tầm quan trọng sống còn (OIV) và các nhà điều hành dịch vụ thiết yếu (OSE) cũng phải thông báo cho ANSSI; việc chuyển đổi đầy đủ chỉ thị NIS2 thành luật quốc gia Pháp vẫn đang tiếp diễn vào năm 2026.

4.1 Quy tắc 72 Giờ của GDPR (Điều 33)#

Theo Điều 33 của GDPR, bộ phận kiểm soát dữ liệu phải báo cáo với CNIL về vụ vi phạm dữ liệu cá nhân không chậm hơn 72 giờ sau khi nhận thức được. Nếu thông báo bị trễ, đơn vị kiểm soát phải cung cấp lý do cho sự chậm trễ. Thông báo phải mô tả bản chất của vi phạm, phân loại và số lượng cá nhân bị ảnh hưởng gần đúng, hậu quả có thể xảy ra và các biện pháp đã thực hiện hoặc đề xuất.

4.2 Cơ quan Có Thẩm Quyền: CNIL#

Không giống như 16 cơ quan bảo vệ dữ liệu (DPA) cấp bang của Đức, Pháp có một cơ quan giám sát quốc gia duy nhất: Ủy ban Quốc gia về Tin học và Tự do (CNIL). CNIL thực thi GDPR cho cả khu vực công và khu vực tư nhân, có quyền áp đặt khoản phạt hành chính lên tới 20 triệu euro hoặc 4% doanh thu hàng năm toàn cầu, tùy theo số nào lớn hơn. Các khoản phạt chung kỷ lục gần đây đối với Free Mobile và Free (42 triệu euro, trong đó 27 triệu phạt Free Mobile) và France Travail (5 triệu euro) cho thấy CNIL đã chuyển từ cảnh báo sang thực thi mang tính trừng phạt.

4.3 Báo cáo ANSSI đối với OIV, OSE và NIS2#

Các nhà điều hành có tầm quan trọng sống còn (OIV) và nhà điều hành các dịch vụ thiết yếu (OSE) cũng phải báo cáo các sự cố an ninh mạng quan trọng cho ANSSI, cơ quan an ninh mạng quốc gia Pháp. Chỉ thị NIS2 mở rộng việc báo cáo bắt buộc đến nhiều lĩnh vực hơn, bao gồm các nhà cung cấp dịch vụ số, sản xuất và quản lý chất thải. Việc chuyển đổi vào luật pháp Pháp vẫn đang diễn ra vào năm 2026, và ANSSI đã tuyên bố rằng họ sẽ giao tiếp trong suốt quá trình này; Ủy ban Châu Âu cũng đã ban hành một ý kiến có cơ sở về việc chuyển đổi chưa hoàn thiện. Khi đã có hiệu lực, báo cáo sẽ tuân theo một mốc thời gian theo từng giai đoạn: cảnh báo sớm trong 24 giờ, báo cáo đầy đủ trong vòng 72 giờ và báo cáo hoàn chỉnh cuối cùng trong một tháng.

4.4 Thông Báo Cho Cá Nhân (Điều 34)#

Khi một vụ vi phạm có thể dẫn đến rủi ro cao cho các quyền và tự do của các cá nhân, Điều 34 của GDPR yêu cầu thông báo trực tiếp đến các cá nhân bị ảnh hưởng bằng ngôn ngữ rõ ràng, dễ hiểu. Vụ việc của France Travail, Viamedis, Free và Cegedim Santé đều kích hoạt các nghĩa vụ của Điều 34. Không thông báo là nguyên nhân phổ biến kích hoạt các khoản phạt quy định bổ sung ngoài bản thân vi phạm ban đầu.

5. Xu Hướng Vi Phạm Dữ Liệu Tại Pháp#

Bốn mẫu số chung được lặp lại qua mười vụ việc là: sự tập trung dữ liệu công dân vào lĩnh vực công đã được số hóa cao, các sự cố về bên thứ ba và chuỗi cung ứng là điểm tiếp cận phổ biến nhất, tấn công nhồi thông tin xác thực (credential stuffing) biến các cổng thông tin công cộng của Pháp thành mục tiêu dễ tiếp cận, và CNIL hiện đang nhanh chóng bắt kịp về vấn đề thực thi chế tài. Hiểu được các xu hướng này sẽ mang lại tính thực tiễn hơn là việc chỉ ghi nhớ từng vụ việc đơn lẻ.

5.1 Số Hóa Khu Vực Công Tạo Ra Bề Mặt Tấn Công Quy Mô Quốc Gia#

France Travail, OFII, FICOBA và Pass'Sport cho thấy lượng dữ liệu công dân rất lớn được tập trung trong một vài nền tảng công cộng. Một tài khoản cố vấn tại Cap Emploi bị xâm phạm đã đủ để làm lộ 43 triệu hồ sơ; một tích hợp với đối tác của Pass'Sport bị rò rỉ là đủ để phơi bày 3,5 triệu hộ gia đình. Sự phụ thuộc của Pháp vào FranceConnect và thông tin đăng nhập dịch vụ công dùng chung làm trầm trọng thêm rủi ro này: một mật khẩu bị lộ duy nhất liên kết với NIR có thể mở khóa nhiều dịch vụ công cùng một lúc.

5.2 Nhà Cung Cấp Bên Thứ Ba Là Khâu Yếu Nhất Trong Chuỗi#

Viamedis, Almerys, Cegedim Santé, Bouygues Telecom và vụ vi phạm MOVEit năm 2023 của France Travail đều có chung một nguyên nhân gốc rễ: rò rỉ tại một bên thứ ba, không phải tại thương hiệu chính. Ngay cả các tổ chức có hệ thống bảo mật nội bộ trưởng thành cũng vẫn dễ bị ảnh hưởng bởi mạng lưới các đối tác cung cấp của họ. Mô hình bảo hiểm sức khỏe thanh toán qua bên thứ ba (tiers-payant), nơi mà một vài đơn vị xử lý phục vụ hàng chục bảo hiểm mutuelle, là đặc biệt dễ bị đe dọa với vi phạm điểm-nghẽn-đơn (single-point-of-failure).

5.3 Tấn Công Nhồi Thông Tin Xác Thực Biến Cổng Công Cộng Thành Mục Tiêu Dễ Bị Tấn Công#

Tấn công nhồi thông tin xác thực (credential stuffing) đã trở thành hình thức tấn công theo sau (follow-up attack) được coi là mặc định cho hầu hết các vụ vi phạm ở Pháp. Tháng 2 năm 2024, nhóm hacker LulzSec tuyên bố đã có quyền truy cập vào lên tới 600,000 tài khoản CAF hoàn toàn thông qua việc tận dụng mật khẩu tái sử dụng mà không xâm phạm kỹ thuật caf.fr. Việc phát hiện 60.369 bộ thông tin đăng nhập CAF khác (NIR + mật khẩu) sau đó bị tiết lộ trên một diễn đàn của hacker vào tháng 8 năm 2024. Cứ mỗi lần các dịch vụ công Pháp sử dụng đăng nhập thông qua mật khẩu, các vụ vi phạm tại các nơi khác ở Châu Âu đều gia tăng tần suất tấn công nhồi thông tin xác thực nhắm vào họ.

5.4 CNIL Đang Thắt Chặt Việc Xử Phạt#

Tính đến tháng 1 năm 2026, CNIL đã chuyển từ cảnh cáo sang chế tài có tính răn đe thực tế. Ngày 13 tháng 1 năm 2026, Free Mobile và Free đã bị phạt tổng cộng 42 triệu euro (27 triệu phạt đối với Free Mobile và 15 triệu phạt đối với Free), và France Travail đã bị phạt 5 triệu euro vào ngày 22 tháng 1 năm 2026 theo Điều 32 GDPR (giới hạn trên theo luật định cho tổ chức công là 10 triệu euro). Xét về mặt lịch sử, mức phạt trung bình của CNIL luôn dưới hạn mức trần của GDPR. Khi kết hợp cùng loạt khởi kiện tập thể để đền bù theo Điều 82, giờ đây Pháp đã dịch chuyển sang quy mô hình phạt tương đương như Đức, Hà Lan và Ireland.

6. Kết Luận#

10 vụ rò rỉ vi phạm lớn nhất tại Pháp mang đến chung một kịch bản rõ ràng: thông tin đăng nhập và truy cập của bên thứ ba chính là mẫu số chung. Các tài khoản cố vấn bị tấn công thao túng ở France Travail, nạn lừa đảo y bác sĩ trong hệ thống Viamedis, bộ phần mềm nội bộ bị rò rỉ của Free, lỗ hổng tích hợp hệ thống ở hệ thống của Pass'Sport, cùng bên cung cấp bên thứ ba của nhà mạng Bouygues Telecom đều trở về với một khuyết điểm giống nhau: xác thực của các nhân sự và các nhà cung cấp sử dụng mật khẩu đối với những hệ thống lưu lại hàng chục năm nguồn dữ liệu công dân.

Các phương pháp đề phòng cũng rất chung: thiết lập cơ chế xác thực kháng phising như là passkeys, thiết lập quyền kiểm soát nghiêm ngặt truy cập bên thứ ba, thường xuyên tìm kiếm rà soát ở các vùng web ngầm (dark web) cùng tính phản hồi tức thì về sự cố đến CNIL chỉ trong 72 giờ đồng hồ. Cùng với việc CNIL đưa ra các hạn mức phạt lên tới 8 và 9 chữ số, các doanh nghiệp tại Pháp cần lưu ý vấn đề này ở mức ưu tiên hàng đầu trong các hội đồng cấp cao trong năm 2026 nhằm né tránh chế tài cùng thiệt hại hình ảnh lớn đã đeo bám hệ thống rò rỉ dữ liệu của nước này suốt ba năm liền.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →

Những Câu Hỏi Thường Gặp#

Vụ vi phạm dữ liệu France Travail vào năm 2024 là gì?#

Vào tháng 3 năm 2024, France Travail (trước đây là Pôle Emploi) và Cap Emploi đã báo cáo vụ vi phạm dữ liệu lớn nhất trong lịch sử nước Pháp. Kẻ gian đã lợi dụng những thủ đoạn lừa đảo thao túng tài khoản chuyên viên tại Cap Emploi qua đó truy cập đến danh tính cá nhân lên tới 43 triệu người tìm việc xuyên suốt 20 năm, bao gồm tên tuổi, ngày sinh, số BHXH, danh tính mã truy cập France Travail. Vào ngày 22 tháng 1 năm 2026, CNIL đã thông báo phạt 5 triệu euro lên France Travail theo Điều 32 của GDPR, trong khi quy chuẩn giới hạn cho một tổ chức ở bộ máy nhà nước tối đa là 10 triệu euro.

Bạn sẽ báo cáo vi phạm dữ liệu ở Pháp như thế nào?#

Theo Điều 33 của GDPR, các tổ chức lưu trữ thông tin có quyền quản lý phải báo cáo lên CNIL trong 72 giờ kể từ lúc có nhận thức dữ liệu cá nhân bị xâm phạm. Nếu lỗ hổng rò rỉ thông tin cá nhân được xác minh với tỉ lệ tổn hại lớn, vào Điều 34, tổ chức có trách nhiệm phản hồi cho cá nhân đó sớm nhất có thể. Trong điều kiện về OIV cùng OSE tại quốc gia, pháp luật sẽ buộc họ báo cáo bổ sung tới tổ chức ANSSI; luật mới để chuyển thể toàn bộ quy chế theo chuẩn chỉ định an ninh thông tin NIS2 đang diễn ra với tiến trình dự đoán đến 2026.

Khoản phạt lớn nhất nào từ CNIL được công bố về rò rỉ dữ liệu tại Pháp?#

Trong ngày 13 tháng 1 năm 2026, tổ chức CNIL đã liên minh ra án phạt tới mốc 42 triệu euro (hướng tới phạt 27 triệu euro đối với Free Mobile và 15 triệu đối với Free) vì một bộ hạ tầng an ninh kém hệ quả vào đợt rò rỉ dữ liệu 24,6 triệu hợp đồng năm 2024, kéo theo rò rỉ của 5,11 triệu tài khoản ngân hàng IBAN. Với quyết định này, hình phạt kết hợp theo tiêu chuẩn GDPR trở thành lớn nhất tại Pháp cho vụ tấn công mạng. Đồng thời với đó tổ chức France Travail bị tuyên án 5 triệu euro vào 22/01/2026 trong hệ thống nghị định số 32.

Vì sao Pháp lại trở thành mục tiêu ưu tiên trong vấn đề rò rỉ dữ liệu cá nhân?#

Nước Pháp với một khu vực hành chính công quyền được điện tử hóa ở mức độ lớn (France Travail, CAF, DGFiP, OFII) cùng sự phân bổ quy mô về giải pháp chi trả chăm sóc y tế dày đặc (Viamedis, Almerys, Cegedim) ngoài ra 3 nhà cung cấp mạng phân bổ quản lý hàng chục triệu bản ghi thuê bao riêng rẽ. Tỷ lệ tăng trưởng chưa có ưu tiên phù hợp với các rào chắn kỹ thuật về ANM (so với GDP) với điểm tựa nền tảng thuộc 3rd party, tấn công xã hội hướng trực diện cố vấn viên chính là những nguyên do khiến số lượt phơi bày rò rỉ của người dân Pháp chạm kỷ lục 145 triệu người vào hai năm (2024 - 2025).

Cách thức dữ liệu của Pháp làm công cụ nuôi dưỡng những chuỗi khai thác credential stuffing là gì?#

Các chiến lược lấy thông tin như phơi bày email tài khoản, chuỗi hồ sơ số thẻ BHYT, mật khẩu bảo mật đăng nhập bị lan truyền trên chợ đen web (dark web). Chuỗi phơi bày đăng nhập này lại hướng trực tiếp tiếp cận đến những tổ hợp nền tảng bán lẻ hoặc các quỹ hành chính công. Đây được minh chứng rất rõ thông qua hệ thống bị tấn công quy mô 600000 người dùng bởi phương pháp credential stuffing đối với cổng CAF, khi mã độc chạy toàn bộ trong lúc không thể truy xuất kỹ thuật về trang mạng caf.fr. Việc tái lập sử dụng chứng chỉ thông tin cá nhân đã và vẫn tiếp tục kích thích chuỗi hacker tận dụng kể từ sau biến cố phơi bày.