Khi dữ liệu cá nhân trở thành mỏ vàng của tội phạm mạng

Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ năm 2026 được kỳ vọng tạo bước ngoặt trong bảo vệ quyền con người

Dữ liệu cá nhân trước làn sóng tấn công mạng

Trong những năm gần đây, dữ liệu cá nhân không chỉ là tài sản của mỗi cá nhân, mà đã trở thành nguồn lực cốt lõi của Chính phủ số và nền kinh tế số. Từ ngân hàng, viễn thông, thương mại điện tử đến y tế, giáo dục, mọi hoạt động số hóa đều dựa trên việc thu thập, phân tích và khai thác dữ liệu người dùng. Tuy nhiên, song hành với quá trình đó là thực trạng thu thập, mua bán và sử dụng trái phép dữ liệu cá nhân ngày càng phổ biến, kéo theo hàng loạt hệ lụy nghiêm trọng về kinh tế, an ninh và trật tự xã hội.

Theo thống kê của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05 – Bộ Công an), chỉ trong 6 tháng đầu năm 2025, lực lượng chức năng đã phát hiện và xử lý 56 vụ việc liên quan đến mua bán trái phép dữ liệu cá nhân, với quy mô lên tới hơn 110 triệu bản ghi dữ liệu bị thu thập và giao dịch trái phép. Con số này cho thấy dữ liệu cá nhân đã trở thành một loại “hàng hóa” có giá trị lớn trên thị trường ngầm.

Thực tế, nhu cầu thu thập dữ liệu để phục vụ sản xuất, kinh doanh là có thật và ngày càng gia tăng. Tuy nhiên, lợi dụng nhu cầu chính đáng này, nhiều tổ chức, cá nhân đã thu thập dữ liệu trái phép, vượt quá phạm vi cho phép hoặc sử dụng cho những mục đích hoàn toàn khác so với cam kết ban đầu với người dùng.

Báo cáo An toàn thông tin mạng quý III/2025 của Viettel Cyber Security tiếp tục gióng lên hồi chuông cảnh báo khi ghi nhận gần 6,5 triệu bản ghi dữ liệu bị lộ lọt, tăng tới 64% so với quý trước. Đáng lo ngại, không ít dữ liệu trong số này nhanh chóng được rao bán, chia sẻ trên các diễn đàn ngầm, tạo ra nguy cơ mất an toàn nghiêm trọng cho người dùng và cả hệ thống kinh tế số.

Theo Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng Tham mưu, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, hoạt động tấn công mạng nhằm đánh cắp thông tin, dữ liệu tại Việt Nam đang diễn biến hết sức phức tạp, gây thiệt hại lớn về kinh tế, an ninh và xã hội. Ước tính trong năm 2024 đã xảy ra hơn 659.000 vụ tấn công mạng, trong đó hơn 10.000 vụ nhắm trực tiếp vào các cơ quan nhà nước và doanh nghiệp Việt Nam.

Theo các chuyên gia an ninh mạng, tội phạm mạng đang ngày càng tinh vi, chuyên nghiệp hóa và vận hành như một “ngành dịch vụ” trên chợ đen. Thay vì tự phát triển mã độc, nhiều đối tượng chỉ cần mua hoặc thuê công cụ có sẵn để âm thầm thu thập mật khẩu, cookie đăng nhập, token truy cập. Chỉ một cú nhấp vào đường link giả mạo hay cài phần mềm không rõ nguồn gốc cũng có thể khiến dữ liệu trong thiết bị bị đánh cắp mà người dùng không hay biết.

Không chỉ vậy, nhiều tổ chức vẫn sử dụng hệ thống công nghệ lạc hậu, chậm vá lỗi, thiếu giám sát truy cập, tạo điều kiện cho tin tặc xâm nhập. Đáng lo ngại hơn, con người vẫn là mắt xích yếu nhất. Tâm lý chủ quan, “không có gì để mất” khiến nhiều người vô tình chia sẻ dữ liệu cá nhân, tạo ra “ảo giác an toàn” và mở đường cho các kịch bản lừa đảo tinh vi.

Theo chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC), một thực trạng đáng lo ngại hiện nay là niềm tin thái quá của người dùng vào công nghệ đang trở thành lỗ hổng an ninh lớn nhất. Việc đăng nhập hàng chục ứng dụng bằng cùng một tài khoản, dùng chung một mật khẩu cho nhiều nền tảng hay sẵn sàng cài đặt ứng dụng không rõ nguồn gốc chỉ vì “tiện” đã vô tình trao quyền truy cập dữ liệu cho bên thứ ba mà người dùng không hề kiểm soát.

Xây dựng văn hóa bảo vệ dữ liệu

Trong bối cảnh rủi ro gia tăng, việc Luật Bảo vệ dữ liệu cá nhân được Quốc hội thông qua ngày 26/6/2025 và có hiệu lực từ 1/1/2026 được đánh giá là một bước ngoặt quan trọng. Luật đã xác lập rõ các quyền dữ liệu cơ bản của công dân, bao gồm quyền được biết, quyền đồng ý, quyền truy cập, chỉnh sửa và yêu cầu xóa dữ liệu; đồng thời quy định trách nhiệm pháp lý xuyên suốt vòng đời thu thập, xử lý, lưu trữ và chia sẻ dữ liệu của các cơ quan, tổ chức và doanh nghiệp.

Đáng chú ý, mức xử phạt đối với hành vi vi phạm được nâng lên đáng kể. Tiền phạt tối đa trong xử phạt hành chính có thể lên tới 3 tỷ đồng, hoặc gấp 10 lần khoản thu có được từ hành vi mua bán dữ liệu cá nhân trái phép. Đây được xem là chế tài đủ mạnh nhằm buộc các chủ thể liên quan phải thay đổi cách tiếp cận, coi bảo vệ dữ liệu là nghĩa vụ pháp lý bắt buộc chứ không chỉ là khuyến nghị.

Theo Đại tá Nguyễn Hồng Quân, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, quyền được bảo vệ dữ liệu cá nhân trước đây thường được xem như một phần của quyền riêng tư, nhưng nay đã được xác lập là một quyền độc lập, được pháp luật ghi nhận và bảo hộ rõ ràng. Cách tiếp cận này phù hợp với xu thế chung của thế giới, khi khoảng 80% dân số toàn cầu đang sống tại các quốc gia, khu vực có quy định về bảo vệ dữ liệu cá nhân.

Ở góc độ triển khai, ông Ngô Tuấn Anh, Phó Trưởng ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân (Hiệp hội An ninh mạng Quốc gia) cho rằng, yếu tố con người giữ vai trò then chốt. Không một hệ thống nào có thể vận hành hiệu quả nếu thiếu đội ngũ hiểu luật, hiểu rủi ro và ý thức rõ trách nhiệm trong xử lý dữ liệu. Việc đào tạo cần mở rộng từ cán bộ kỹ thuật sang lãnh đạo, pháp chế, nhân sự và các bộ phận trực tiếp xử lý dữ liệu.

Song song với đó, doanh nghiệp cần chuẩn hóa toàn bộ vòng đời dữ liệu cá nhân, từ thu thập, lưu trữ, sử dụng, chia sẻ đến hủy bỏ, nhằm xây dựng chương trình bảo vệ dữ liệu phù hợp với quy mô và lĩnh vực hoạt động. Cách tiếp cận này không chỉ giúp tuân thủ pháp luật, mà còn nâng cao uy tín và lợi thế cạnh tranh trong môi trường số.

Bên cạnh con người và quy trình, việc phát triển hệ sinh thái công nghệ bảo vệ dữ liệu cá nhân cũng mang ý nghĩa quyết định. Theo ông Ngô Tuấn Anh, hệ sinh thái này cần được xây dựng theo nhiều lớp, từ giám sát, phòng ngừa, kiểm soát truy cập đến quản trị rủi ro và quản lý vòng đời dữ liệu, phù hợp với điều kiện thực tiễn của Việt Nam để giảm chi phí tuân thủ cho doanh nghiệp.

Ở góc độ người dùng, ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế (NCA) khuyến cáo, bảo mật không bắt đầu từ công nghệ phức tạp, mà từ ý thức và hành vi hàng ngày. Việc thận trọng với email, tin nhắn lạ; tránh giao dịch tài chính qua wifi công cộng; sử dụng thẻ ảo hoặc ví điện tử có giới hạn là những biện pháp đơn giản nhưng hiệu quả.

Từ thực tiễn cho thấy, không có hệ thống nào an toàn tuyệt đối. Chỉ khi kết hợp đồng bộ giữa khuôn khổ pháp lý chặt chẽ, công nghệ phù hợp, quản trị an ninh hiệu quả, đào tạo con người và hợp tác quốc tế, Việt Nam mới có thể xây dựng được lá chắn dữ liệu cá nhân vững chắc, tạo nền tảng cho phát triển kinh tế số an toàn và bền vững.