Bài toán không đơn giản

Lộ, lọt thông tin theo nhiều hình thức

Những năm gần đây, cùng với tốc độ số hóa các loại hình dịch vụ và sự phát triển của thương mại điện tử, hoạt động mua, bán dữ liệu cá nhân diễn ra dưới nhiều hình thức và ngày càng tinh vi trên các diễn đàn, tài khoản mạng xã hội... Đáng nói hơn, việc mua bán không chỉ diễn ra giữa cá nhân với cá nhân, mà còn có sự tham gia của tổ chức, doanh nghiệp. Lợi dụng sự đơn giản, hoặc thiếu cảnh giác, nhiều doanh nghiệp thu thập dữ liệu cá nhân của khách hàng đã cho phép đối tác thứ ba tiếp cận, nhưng không quy định chặt chẽ để họ chuyển giao, bán cho đối tác khác. Hậu quả của tình trạng lộ, lọt thông tin cá nhân là nhiều người bị nhắn tin, gọi điện gây phiền phức, thậm chí bị lừa đảo. Trên thực tế, dựa vào thông tin cá nhân, kẻ xấu có thể xây dựng các kịch bản lừa đảo riêng cho từng nhóm khác nhau. Chuyên gia Ngô Trí Nhật (Công ty cổ phần Công nghệ An ninh không gian mạng Việt Nam), cho rằng, mặc dù cơ quan chức năng đã nỗ lực đánh sập nhiều đường dây chuyên đánh cắp và mua bán dữ liệu cá nhân, nhưng các băng nhóm hacker vẫn hoạt động với nhiều hình thức tinh vi, trong khi đó, quá trình điều tra, xử lý lại kéo dài khá lâu, điều này làm ảnh hưởng rất lớn đến công tác bảo đảm an toàn thông tin.

Còn theo Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), chỉ trong sáu tháng đầu năm 2025 có 56 vụ việc liên quan đến mua, bán dữ liệu cá nhân, với hơn 110 triệu bản ghi bị thu thập, rao bán. Thượng tá Triệu Mạnh Tùng, Phó Cục trưởng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, chia sẻ: Nhu cầu thu thập dữ liệu cá nhân phục vụ hoạt động sản xuất, kinh doanh là rất lớn, song nhiều hệ thống thông tin có hoạt động thu thập, phân tích, xử lý dữ liệu cá nhân hiện còn tồn tại lỗ hổng trong quy trình khai thác và sử dụng. Điều này dẫn đến tình trạng dữ liệu bị lộ, lọt, đánh cắp hoặc bị khai thác, sử dụng trái phép. Bên cạnh đó, nhận thức của người dân về bảo vệ dữ liệu cá nhân cũng như thực hiện quyền của mình đối với dữ liệu vẫn còn hạn chế.

Ông Ngô Minh Hiếu, Giám đốc Công ty TNHH Doanh nghiệp xã hội Chống lừa đảo, cho rằng, các doanh nghiệp đều có thể sử dụng dữ liệu cá nhân khách hàng để gia tăng giá trị dịch vụ, kết nối. Nhưng quan trọng nhất là việc khai thác phải bảo đảm tính bảo mật, lưu trữ thông tin tại máy chủ ở Việt Nam và có mã hóa các thông tin nhạy cảm như danh tính khách hàng, tình trạng tài chính…

Cảnh báo sớm và liên tục

Luật Bảo vệ dữ liệu cá nhân, có hiệu lực thi hành từ ngày 1/1/2026, mở ra bước ngoặt quan trọng nhằm ngăn chặn tình trạng lộ, lọt thông tin, bảo vệ người dân khỏi nạn lừa đảo. Điểm nổi bật của Luật là đã quy định rõ ràng, cụ thể các khái niệm về dữ liệu cá nhân, bao gồm “dữ liệu cá nhân cơ bản”, “dữ liệu cá nhân nhạy cảm”, “đánh giá tác động xử lý dữ liệu cá nhân”, “bảo vệ dữ liệu cá nhân”. Luật cũng cấm tuyệt đối hành vi mua, bán dữ liệu cá nhân. Với các hành vi vi phạm có thể bị phạt đến ba tỷ đồng, cá nhân vi phạm bị phạt bằng một nửa mức phạt của tổ chức. Với hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tối đa là 5% doanh thu

của năm liền kề trước đó.

Để các quy định của luật đi vào cuộc sống và phát huy hiệu quả, nhiều chuyên gia cho rằng, cơ quan chức năng cần triển khai các giải pháp đồng bộ, như: ban hành các văn bản hướng dẫn thi hành chi tiết, dễ thực hiện. Ngoài ra, cần xây dựng cơ chế phối hợp giữa các bộ, cơ quan để chia sẻ dữ liệu, cảnh báo sớm vi phạm. Thêm nữa, cơ quan chức năng cần tổ chức các chiến dịch tuyên truyền, nâng cao nhận thức bảo mật thông tin cá nhân. Tiếp đó, cần có một kênh tương tác, đường dây nóng để người dân, doanh nghiệp có thể tố giác hành vi vi phạm, hoặc khai báo nếu phát hiện dữ liệu của mình bị đánh cắp.

Chuyên gia Ngô Trí Nhật, cho rằng, đối với các tổ chức có yếu tố nước ngoài, doanh nghiệp FDI, việc kiểm soát dữ liệu xuyên biên giới sẽ là bài toán không đơn giản. Bởi vậy, các doanh nghiệp cần có biện pháp bảo vệ mình, nghiên cứu kỹ nội dung luật, bảo đảm các chính sách bảo mật, quy trình xử lý dữ liệu, đồng thời có nghĩa vụ bảo vệ nhân viên, khách hàng. Theo đó, phải nhanh chóng xây dựng hệ thống bảo mật, đào tạo nhân sự, kiểm soát dữ liệu.

Hiện nay, nhiều tổ chức, doanh nghiệp vẫn duy trì hệ thống lưu trữ dữ liệu trên môi trường mạng và dữ liệu giấy. Thế nhưng, pháp luật hiện hành chủ yếu tập trung bảo vệ dữ liệu cá nhân trên môi trường mạng mà chưa có quy định chặt chẽ cho dữ liệu giấy, điều này gây ra những khó khăn không nhỏ khi tổ chức thực hiện. Trong thời gian tới, Thượng tá Triệu Mạnh Tùng khuyến cáo, người dân cần nhanh chóng cập nhật, tìm hiểu các quy định của pháp luật để nắm rõ các quyền của mình đối với dữ liệu cá nhân, đồng thời yêu cầu các bên phân tích, thu thập, xử lý dữ liệu cá nhân của mình thực hiện đúng các quyền, nghĩa vụ. “Cần triển khai hiệu quả hoạt động của Tiểu ban An ninh mạng, an toàn thông tin (Bộ Công an), đồng thời thường xuyên kiểm tra, đánh giá hệ thống thông tin tại ban, bộ, ngành, địa phương để có biện pháp xử lý kịp thời nếu phát hiện các sai phạm liên quan dữ liệu cá nhân”, ông Tùng nhấn mạnh.