Ai đang hưởng lợi từ dữ liệu người dùng Việt?

10 giờ trướcBài gốc

Khi dữ liệu cá nhân trở thành “hàng hóa ngầm”

Theo các báo cáo an ninh mạng năm 2025, hàng triệu bản ghi dữ liệu cá nhân của người Việt bị lộ lọt, rao bán trên các diễn đàn ngầm. Không chỉ là số điện thoại, email, mà còn bao gồm thông tin định danh, lịch sử giao dịch, thói quen tiêu dùng, thậm chí dữ liệu sinh trắc học.

Điều đáng lo ngại là phần lớn các vụ việc không đến từ những cuộc tấn công quy mô lớn, mà bắt nguồn từ những hành vi rất đời thường: đăng nhập “nhanh cho tiện”, chia sẻ thông tin cá nhân trên mạng xã hội, tải ứng dụng không rõ nguồn gốc, hay để mặc doanh nghiệp thu thập dữ liệu mà không đọc điều khoản. Chính sự bình thường hóa rủi ro ấy tạo ra “ảo giác an toàn”: người dùng tin rằng mình an toàn chỉ vì… chưa từng bị lừa, chưa từng mất tiền, chưa từng gặp sự cố. Cho đến khi hậu quả xảy ra, dữ liệu đã bị sao chép, lan truyền và không thể thu hồi.

Ông Nguyễn Quang Đồng, Viện trưởng Viện Nghiên cứu chính sách và Phát triển truyền thông (IPS) nhận định, phần lớn rủi ro về dữ liệu cá nhân không khởi phát từ những cuộc tấn công mạng phức tạp, mà bắt nguồn từ những hành vi rất đời thường của con người trong môi trường số. Một tình huống quen thuộc: bạn bè hỏi xin số điện thoại của đồng nghiệp. Phản xạ phổ biến là mở danh bạ và gửi ngay. Trong thói quen cũ, đó là hành vi xã giao bình thường. Nhưng trong bối cảnh Luật Bảo vệ dữ liệu cá nhân 2025 đã có hiệu lực, đây là hành vi cần phải cân nhắc về mặt pháp lý.

Số điện thoại là dữ liệu cá nhân. Người giữ thông tin chỉ được phép sử dụng cho mục đích giao tiếp của chính mình. Nếu chưa có sự đồng ý rõ ràng của chủ thể dữ liệu, việc tự ý chia sẻ cho bên thứ ba đã là hành vi vi phạm pháp luật. Theo ông Nguyễn Quang Đồng, “sự đồng ý của chủ thể dữ liệu” chính là nguyên tắc xương sống của luật mới. Từ những hành vi nhỏ như vậy, dữ liệu cá nhân dần bị “bình thường hóa” trong chia sẻ, nhưng lại bất thường hóa khi bị lạm dụng.

Trong nhiều trường hợp, dữ liệu cá nhân không “tự nhiên” bị lộ. Nó được thu thập, phân loại, khai thác và trao đổi một cách có hệ thống. Trong lĩnh vực giáo dục, không ít phụ huynh từng bất ngờ nhận được cuộc gọi từ các trung tâm dạy thêm, với thông tin chi tiết đến mức đáng lo ngại: tên học sinh, trường lớp, thậm chí cả môn học yếu. Theo ông Nguyễn Quang Đồng, đây là dấu hiệu rõ ràng cho thấy dữ liệu học sinh đã bị lộ lọt trái phép, có thể từ nhà trường hoặc từ các đơn vị cung cấp phần mềm sổ liên lạc điện tử.

Trong trường hợp này, nhà trường mới là bên kiểm soát dữ liệu, phải chịu trách nhiệm chính, không thể đẩy toàn bộ trách nhiệm sang đơn vị kỹ thuật. Nhưng ở chiều ngược lại, đơn vị nào hưởng lợi? Chính là các trung tâm dịch vụ, các doanh nghiệp tiếp thị, những bên mua dữ liệu để tiếp cận “đúng người, đúng nhu cầu”.

Tương tự trong lĩnh vực y tế, nơi lưu giữ những dữ liệu cá nhân nhạy cảm nhất. Khi làm thủ tục bảo hiểm, bệnh viện không được mặc định chuyển hồ sơ bệnh án cho công ty bảo hiểm. Việc chia sẻ chỉ hợp pháp khi có sự đồng ý minh bạch của người bệnh. Nếu bỏ qua bước này, dữ liệu sức khỏe, thứ có giá trị kinh tế rất lớn, có thể bị khai thác ngoài tầm kiểm soát của chủ thể dữ liệu. Theo ông Nguyễn Quang Đồng, nhiều doanh nghiệp công nghệ đang tận dụng sự thiếu hiểu biết hoặc tâm lý ngại thiết lập của người dùng để thu thập tối đa dữ liệu.

Không ít ứng dụng để quyền truy cập ở chế độ “mặc định”: Ứng dụng gọi xe yêu cầu truy cập kho ảnh; Ứng dụng nhắn tin bật định vị 24/7; Mạng xã hội thu thập dữ liệu hành vi ngay cả khi người dùng không tương tác. Người dùng tưởng rằng mình đang sử dụng dịch vụ miễn phí. Thực chất, dữ liệu cá nhân chính là “giá” phải trả, còn lợi ích lớn nhất thuộc về các nền tảng sở hữu kho dữ liệu khổng lồ để phân tích hành vi, tối ưu quảng cáo, hoặc chuyển giao cho bên thứ ba.

Đáng lo ngại hơn, một bộ phận người dùng đang đưa toàn bộ thông tin sức khỏe nhạy cảm lên các công cụ AI để hỏi bệnh, hỏi thuốc, mà không hề cân nhắc nơi dữ liệu được lưu trữ, xử lý và sử dụng. Điều này đồng nghĩa với việc chuyển dữ liệu cá nhân ra các hệ thống xuyên biên giới, gần như không có rào cản bảo vệ. “Luôn có sự đánh đổi giữa tiện lợi và quyền riêng tư. Nếu muốn thuận lợi tối đa, bạn phải trao đi dữ liệu tối đa”, ông Nguyễn Quang Đồng nhấn mạnh.

Doanh nghiệp - từ thói quen thu thập sang nghĩa vụ pháp lý

Luật Bảo vệ dữ liệu cá nhân 2025 đặt doanh nghiệp trước một bước ngoặt mang tính bản lề. Trong nhiều năm, dữ liệu người dùng thường được thu thập theo tư duy “càng nhiều càng tốt”, lưu trữ phân tán, chia sẻ nội bộ thiếu kiểm soát, thậm chí bị chuyển giao cho bên thứ ba như một nguồn lợi nhuận ngầm. Khi dữ liệu trở thành “tài nguyên”, ranh giới giữa khai thác và xâm phạm quyền riêng tư dần bị xóa nhòa.

Khi luật chính thức có hiệu lực, cách tiếp cận này không còn chỗ đứng. Doanh nghiệp buộc phải chứng minh cơ sở pháp lý cho mọi hoạt động xử lý dữ liệu, phải có sự đồng ý rõ ràng, minh bạch của chủ thể dữ liệu, đồng thời chịu trách nhiệm bảo đảm an toàn thông tin trong suốt vòng đời dữ liệu. Mọi sự lỏng lẻo trong quản trị đều có thể dẫn đến hậu quả pháp lý trực tiếp. Quan trọng hơn, luật buộc doanh nghiệp phải thay đổi tận gốc tư duy quản trị: bảo vệ dữ liệu không còn là chi phí tuân thủ, mà là điều kiện tồn tại. Một vụ lộ lọt dữ liệu không chỉ kéo theo nguy cơ bị xử phạt, mà còn có thể làm sụp đổ niềm tin của người dùng, thứ tài sản vô hình nhưng quyết định sức sống của nền kinh tế số.

Ông Nguyễn Quang Đồng, Viện trưởng Viện Nghiên cứu Chính sách và Phát triển Truyền thông với tham luận Năng lực bảo vệ dữ liệu cá nhân cho người dùng.

Thượng tá Nguyễn Đình Đỗ Thi, Phó trưởng Phòng Tham mưu, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an) chỉ rõ, Luật Bảo vệ dữ liệu cá nhân quy định tất cả cơ quan, tổ chức tham gia kiểm soát, xử lý dữ liệu cá nhân đều phải có bộ phận quản lý dữ liệu cá nhân chuyên trách. Đây không chỉ là yêu cầu hình thức, mà là cấu phần bắt buộc trong hệ thống quản trị hiện đại.

Ông Thi dẫn chứng kinh nghiệm quốc tế, tại châu Âu đã từng có trường hợp xử phạt tới 30.000 USD chỉ vì không thiết lập bộ phận quản lý dữ liệu cá nhân. “Ở Việt Nam, các đơn vị buộc phải bố trí nhân sự chịu trách nhiệm trực tiếp về việc tuân thủ luật. Ngay từ giai đoạn thiết kế hệ thống thông tin, yếu tố bảo vệ dữ liệu cá nhân đã phải được đặt ra”, Thượng tá Nguyễn Đình Đỗ Thi nhấn mạnh.

Đáng chú ý, phạm vi điều chỉnh của Luật Bảo vệ dữ liệu cá nhân không chỉ giới hạn ở các cơ quan, tổ chức, cá nhân Việt Nam hay các pháp nhân nước ngoài có hiện diện tại Việt Nam, mà còn mở rộng tới nhóm đối tượng thứ ba - các tổ chức, cá nhân có liên quan trực tiếp đến việc quản lý và xử lý dữ liệu cá nhân, dù không trực tiếp thu thập dữ liệu từ người dùng.

Về thực thi, Thượng tá Nguyễn Đình Đỗ Thi cho biết, Cục A05 thường xuyên phối hợp với doanh nghiệp trong và ngoài nước để đấu tranh, xử lý các hành vi vi phạm trên không gian mạng. Với các đơn vị không có pháp nhân thương mại tại Việt Nam, cơ quan chức năng vẫn có kênh làm việc thông qua đại diện pháp lý hoặc cơ quan đại diện thương mại của quốc gia sở tại. “Nhiều doanh nghiệp nước ngoài sẵn sàng hợp tác, đặc biệt trong xử lý vi phạm liên quan đến dữ liệu người dùng Việt Nam”, ông Thi cho biết.

Luật Bảo vệ dữ liệu cá nhân 2025 vì vậy không chỉ mang tính định hướng, mà được thiết kế với khung chế tài đủ mạnh để tạo sức răn đe thực sự: mua bán dữ liệu cá nhân trái phép có thể bị phạt tới 10 lần khoản thu lợi bất hợp pháp; vi phạm quy định về chuyển dữ liệu xuyên biên giới có thể bị phạt tới 5% doanh thu năm trước; các hành vi vi phạm khác có mức phạt tối đa 3 tỷ đồng.

Ở góc độ doanh nghiệp, ông Ngô Tuấn Anh, Phó ban An ninh dữ liệu, Hiệp hội An ninh mạng Quốc gia cho rằng, việc tuân thủ luật không thể dừng lại ở ban hành quy trình nội bộ. Doanh nghiệp phải đầu tư biện pháp kỹ thuật, xây dựng bộ phận DPO (Data Protection Officer), lưu vết đầy đủ quá trình xử lý dữ liệu và bảo đảm tuân thủ thời hạn 72 giờ khi có yêu cầu xóa dữ liệu từ chủ thể. Theo các chuyên gia, nguyên lý “Security by Design”, bảo mật ngay từ khâu thiết kế, phải trở thành tiêu chuẩn bắt buộc, không còn là lựa chọn mang tính tự nguyện.

Một trong những nguyên tắc nền tảng của Luật Bảo vệ dữ liệu cá nhân 2025 được thể hiện rõ tại Điều 9: im lặng hoặc không phản hồi không được coi là sự đồng ý. Sự đồng ý của chủ thể dữ liệu chỉ có giá trị pháp lý khi được thể hiện một cách tự nguyện, rõ ràng và cho từng mục đích cụ thể. Các ô “đồng ý” được đánh dấu sẵn, thiết kế giao diện gây hiểu nhầm hay các chỉ dẫn mập mờ đều bị coi là hành vi vi phạm.

Đặc biệt, trách nhiệm chứng minh sự đồng ý thuộc về bên kiểm soát hoặc xử lý dữ liệu. Khi xảy ra tranh chấp, doanh nghiệp không thể viện dẫn các điều khoản sử dụng chung chung để biện minh. Người dùng cũng có quyền rút lại sự đồng ý bất cứ lúc nào, bởi việc đồng ý xử lý dữ liệu không phải là một cam kết vĩnh viễn. Đây không chỉ là một thay đổi kỹ thuật, mà là phép thử đối với đạo đức kinh doanh và mức độ thượng tôn pháp luật của doanh nghiệp.

Bảo vệ dữ liệu cá nhân không còn là việc của riêng ai...

Luật Bảo vệ dữ liệu cá nhân 2025 không đơn thuần là một văn bản pháp lý, mà là sự dịch chuyển căn bản trong tư duy quản trị dữ liệu: từ chỗ coi dữ liệu là “nguồn tài nguyên của tổ chức”, sang thừa nhận dữ liệu là quyền gắn liền với nhân thân con người trong môi trường số. Tuy nhiên, luật chỉ thực sự đi vào đời sống khi cả doanh nghiệp lẫn người dùng đều ý thức rằng quyền dữ liệu không tự vận hành, mà cần được tôn trọng và thực thi.

Trong kỷ nguyên số, mỗi cá nhân phải trở thành “người gác cổng” cho chính dữ liệu của mình, còn mỗi doanh nghiệp phải coi bảo vệ dữ liệu là chuẩn mực đạo đức và điều kiện tồn tại. Sự dễ dãi hôm nay có thể trở thành cái giá rất đắt ngày mai.

Uyên Na

Nguồn Pháp Luật VN : https://baophapluat.vn/ai-dang-huong-loi-tu-du-lieu-nguoi-dung-viet.html