Bao giờ hết cảnh người bệnh bị 'bán đứng' dữ liệu?

3 giờ trướcBài gốc

Chưa có bất kỳ con số chính xác về thị trường dữ liệu y tế, bởi đây vẫn là mảng đen hoặc xám trên bản đồ dữ liệu tỉ đô tại Việt Nam. Đây là thị trường ngách tiềm năng, nhưng cực kỳ rủi ro. Việc rò rỉ hay lộ các dữ liệu y tế nhạy cảm không chỉ ảnh hưởng đến an nguy cá nhân, mà còn là tài chính doanh nghiệp và an ninh quốc gia.

Tính đến hết tháng 11-2025, theo đề án thí điểm của Bộ Y tế và Bộ Công an, hơn 400 bệnh viện và cơ sở y tế trên cả nước đã kết nối với hệ thống điều phối dữ liệu quốc gia. Điều này giúp việc liên thông bệnh án và chuyển tuyến minh bạch và suôn sẻ hơn. Ảnh: Bộ Y tế

Sắc màu của thị trường

Mua bán dữ liệu cá nhân ở Việt Nam diễn ra khá phổ biến - theo CEO Lữ Minh Trí của Hyper One Co. Với 15 năm kinh nghiệm trong ngành công nghệ thông tin và dữ liệu, vị CEO tin rằng việc trao đổi dữ liệu ở mức độ nào đó gần như đã trở thành “thông lệ” với một số ngành “khát dữ liệu” như nhân sự hay tuyển dụng. “Riêng dữ liệu y tế thì khác. Đây là thông tin nhạy cảm nhất, nhưng nghịch lý là lại bị lộ nhiều nhất”, ông Trí trao đổi với Kinh tế Sài Gòn.

Một số bệnh viện tư cũng đang mua công khai dữ liệu khách hàng từ những nguồn không chính thức. Dù vậy, một nhân vật trong cuộc khẳng định chắc nịch: “Chúng tôi mua thông tin để tiếp cận khách mới, nhưng tuyệt đối không bán ngược dữ liệu của người bệnh ra ngoài”.

Dữ liệu y tế đã trôi nổi trên chợ đen nhiều năm nay. Chuyên gia an ninh mạng Ngô Minh Hiếu, một hacker mũ đen đổi sang trắng và có biệt danh “Hiếu PC”, từng cảnh báo rằng: Bệnh án và kết quả xét nghiệm của người Việt “rất dễ bị đánh cắp” và đang trở thành công cụ đắc lực cho các kịch bản lừa đảo tinh vi.

Theo các số liệu công bố tại cuộc họp chính phủ đầu tháng 11-2025, thị trường dữ liệu Việt Nam ước đạt giá trị 1,57 tỉ đô la trong năm 2024, dự báo đạt 3,53 tỉ đô la vào năm 2030. Dù chưa có con số tách bạch cho mảng y tế, các chuyên gia khẳng định một thị trường ngầm sôi động đang tồn tại song song với nền kinh tế số chính thống.
Nền kinh tế số của Việt Nam được kỳ vọng đạt khoảng 45 tỉ đô la trong năm 2025 và có thể đạt quy mô 90-200 tỉ đô la vào năm 2030.

Thị trường dữ liệu, đặc biệt các thông tin y tế cá nhân, đã chính thức hình thành tại Việt Nam nhưng sắc màu đã chuyển khác. Thị trường trở nên minh bạch hơn từ tháng 7-2024. Từ thời điểm này, Trung tâm Nghiên cứu, ứng dụng dữ liệu dân cư và căn cước công dân (RAR Center) thuộc C06, Bộ Công an chính thức cung cấp dịch vụ xác thực điện tử, sinh trắc học và ứng dụng dữ liệu dân cư. Tổ chức hay các doanh nghiệp ngân hàng, công ty tài chính, ví điện tử… có thể đối chiếu và xác thực các thông tin nhận diện sinh trắc học như khuôn mặt, dấu vân tay… của khách hàng cá nhân với dữ liệu lưu trữ của RAR, theo trang https://rarcenter.vn/trang-chu.

Ai đang “bán đứng” bệnh nhân trên thị trường ngầm?

Không đề cập đến thị trường minh bạch, trên hai thị trường kia tấp nập kẻ mua và người bán, họ lúc ẩn lúc hiện. Nhưng làm cách nào dữ liệu lọt ra ngoài và trở thành hàng hóa thì vẫn đang là ẩn số lớn.

Bệnh viện ngày nay không chỉ khám chữa bệnh mà còn đóng vai trò thu thập, lưu trữ và xử lý dữ liệu khổng lồ. Theo Nghị định 13/2023/NĐ-CP, họ buộc phải tuân thủ các nguyên tắc bảo mật nghiêm ngặt.

Từ tháng 2 đến tháng 11-2025, Bộ Y tế và Bộ Công an đã thí điểm thành công hệ thống điều phối dữ liệu tại 412 cơ sở khám chữa bệnh, với hai bệnh viện Bạch Mai và Chợ Rẫy làm trung tâm kết nối với các trung tâm y tế khu vực và tuyến dưới. Nền tảng này cho phép liên thông bệnh án, giấy chuyển tuyến minh bạch và an toàn nhờ tích hợp ký số và xác thực trên VneID(2)

Cuối năm 2024, Việt Nam có 1.645 bệnh viện, trong đó khối tư nhân chiếm 24% (384 cơ sở) - theo số liệu B&Company dẫn nguồn Bộ Y tế. Thường thì mọi người sẽ tranh cãi liệu khối bệnh viện công (chiếm 76%) hay khu vực tư bảo mật tốt hơn. Nhưng trên thực tế, nguy cơ rò rỉ, bị lộ hay đánh cắp dữ liệu không nể nang một ai.

“Chuyện rò rỉ dữ liệu chủ yếu là do nội bộ”, ông Lữ Minh Trí vạch rõ. Thủ phạm có thể là nhân viên y tế, nhà thuốc, đối tác IT hay chăm sóc khách hàng thuê ngoài hoặc hacker tấn công hệ thống. Ông chỉ ra hai “tử huyệt”: Một là nhân viên thiếu ý thức bảo mật, vô tình hoặc cố tình tuồn thông tin ra ngoài. Hai là quy trình lỏng lẻo, không kiểm soát việc in ấn, sao chép file hoặc không phân quyền tiếp cận thông tin cụ thể. “Một khi dữ liệu đã lọt ra ngoài, việc thu hồi là bất khả thi”, ông Trí nhấn mạnh.

“Pháo đài” bảo mật tại các cơ sở y tế có vững chắc?

Dữ liệu y tế gồm thông tin cá nhân, bệnh án như hồ sơ điều trị, hình ảnh chụp khám, đơn thuốc, lịch sử khám chữa bệnh… Đây đang là ưu tiên bảo mật hàng đầu của các cơ sở y tế tư nhân.

Khối công và truyền thông thường có xu hướng hoài nghi hay đổ thừa khối tư nhân(1). Tuy vậy, đại diện các cơ sở y tế tư nhân lại khẳng định quy trình của họ đang được siết chặt hơn trước.

Bà Nguyễn Đặng Minh Thảo, Giám đốc tiếp thị của Elite Dental - chuỗi phòng khám nha khoa tại TPHCM - nói rằng chuỗi kiểm soát chặt chẽ từ hệ thống dữ liệu CRM đến cam kết của nhân viên, với quyền quyết định cao nhất thuộc về Giám đốc chuỗi. Tương tự, bà Đỗ Minh Châu - người từng làm việc ở các cơ sở y tế tư nhân khác nhau - và lãnh đạo một bệnh viện tư lớn tại TPHCM - cùng xác nhận quy trình chuẩn: Bắt buộc ký cam kết bảo mật (NDA) với mọi nhân sự và đối tác thứ ba, khoanh vùng dữ liệu chỉ phục vụ điều trị và nghiêm cấm tuyệt đối việc thương mại hóa thông tin người bệnh.

Một bác sĩ chuyên khoa 2 tại bệnh viện công lớn ở TPHCM khẳng định quy trình nội bộ “rất chặt chẽ”. Từ tiếp tân đến bác sĩ và những người liên quan được phân quyền rất rõ ràng. Gọi dữ liệu ở từng khâu trên là “manh mún”, ông chỉ ra nguy cơ rò rỉ thông tin thực tế tập trung ở các nơi: bộ phận IT, đối tác thuê ngoài và hệ thống bảo hiểm y tế.

“Kiềng ba chân” bảo vệ dữ liệu

Nói chung, hệ thống dữ liệu của ngành y tế Việt Nam chưa đủ mạnh và rất không đồng đều, như lời tự nhận của các bên liên quan. Phần lớn các hệ thống được xây để chạy nghiệp vụ khám chữa bệnh, chứ chưa được thiết kế với tư duy bảo vệ dữ liệu ngay từ đầu. Hệ thống cũ, phân quyền lỏng lẻo , thiếu giám sát truy cập. Một số bệnh viện lớn có đầu tư, nhưng đa số cơ sở y tế vẫn yếu về bảo mật. Khi bị tấn công đánh cắp dữ liệu hay bị mã độc tống tiền, nhiều nơi không thể chống đỡ, phải nhờ đơn vị bên ngoài.

Luật sư Nguyễn Văn Phúc từ Công ty Luật TNHH HM&P nhận định rằng trong kỷ nguyên số, niềm tin của người tiêu dùng phụ thuộc vào cách doanh nghiệp bảo vệ dữ liệu khách hàng. Đây cũng là cách xây dựng thương hiệu của doanh nghiệp.

Nghị định 13/2023-NĐ-CP đặt nền tảng, xem dữ liệu sức khỏe là nhạy cảm và cần bảo vệ. Luật Dữ liệu 2024 (có hiệu lực từ 1-7-2025) là bước tiến mới, xem dữ liệu là tài nguyên số cần chuẩn hóa và khai thác. Luật Bảo vệ dữ liệu cá nhân 2025 (có hiệu lực từ ngày 1-1-2026) siết chặt khâu thực thi với các quy định khắt khe về trách nhiệm và ứng phó sự cố. “Nhìn chung, các quy định này buộc bệnh viện chuyển mình, từ tư duy “lưu trữ hồ sơ bệnh án” sang quản trị dữ liệu y tế có trách nhiệm, an toàn và chuyên nghiệp”, luật sư điều hành HM&P kết luận.

Như vậy, thế “kiềng ba chân” đang hình thành nhằm bảo vệ dữ liệu sức khỏe, nâng cấp quản trị y tế tại Việt Nam.

Tuyến phòng thủ cuối

Dữ liệu y tế giờ không còn là chuyện của bệnh viện hay người bệnh.

Giám đốc một startup kể câu chuyện ông bị lộ thông tin sức khỏe khi mua bảo hiểm nhân thọ của một ngân hàng. “Nếu tôi đứng đầu một công ty đại chúng, sức khỏe có vấn đề và khi thông tin này bị lộ, kết quả một đợt IPO (niêm yết lần đầu) hay giá cổ phiếu của công ty có thể sụp đổ”, ông kể lại câu chuyện.

Ông Dương Ngọc Thái - CEO startup an ninh mạng Calif tại San Francisco - cảnh báo rằng ngay cả những bệnh viện trọng yếu cũng còn nhiều lỗ hổng. Tin tặc có thể xâm nhập sửa đổi hồ sơ bệnh án, phác đồ hay thuốc điều trị, đe dọa tính mạng bệnh nhân, đặc biệt là các nhân vật tối quan trọng (VVIP).

“Điểm yếu nhất không nằm ở công nghệ, mà nằm ở con người”, CEO Lữ Minh Trí đúc kết. Trong cuộc chiến không cân sức này, những chuyên gia bảo mật mũ trắng và đội ngũ IT tinh nhuệ chính là chốt chặn cuối cùng. Họ là phòng tuyến không chỉ bảo vệ sức khỏe người dân mà còn an ninh của nền kinh tế và quốc gia.

6 nghĩa vụ pháp lý cốt lõi về dữ liệu cá nhân

1. Sự đồng ý của khách là quan trọng nhất: Dữ liệu chỉ được xử lý khi chủ thể đồng ý minh bạch, cụ thể cho từng mục đích riêng biệt. Sự im lặng không đồng nghĩa là đồng ý.

2. Giới hạn vòng đời dữ liệu: Không lưu trữ vĩnh viễn. Doanh nghiệp phải thông báo thời hạn cụ thể và cam kết xóa hoặc ẩn danh hóa dữ liệu ngay khi hết hạn.

3. Ràng buộc chặt chẽ với đối tác: Bắt buộc có thỏa thuận văn bản với bên xử lý thuê ngoài (agency). Văn bản phải quy định rõ phạm vi, bảo mật và trách nhiệm bồi thường để tránh rủi ro liên đới.

4. Tuân thủ thủ tục hành chính: Lập và gửi Bộ Công an hồ sơ đánh giá tác động xử lý dữ liệu, hồ sơ chuyển dữ liệu ra nước ngoài và báo cáo ngay khi xảy ra vi phạm.

5. Kiện toàn bộ máy quản trị: Ban hành chính sách bảo vệ dữ liệu nội bộ và bắt buộc chỉ định chuyên viên bảo vệ dữ liệu (DPO).

6. Hiểu đúng quyền miễn trừ: Startup, doanh nghiệp nhỏ và siêu nhỏ được miễn một số thủ tục hành chính (như chỉ định DPO) trong hai năm đầu, trừ phi kinh doanh dịch vụ dữ liệu hoặc xử lý dữ liệu nhạy cảm hoặc xứ lý ở quy mô lớn.

Luật sư Nguyễn Văn Phúc, Công ty Luật TNHH HM&P

(1) https://bvquan5.medinet.gov.vn/chuyen-muc/nguy-co-lo-thong-tin-ca-nhan-khi-kham-benh-tai-co-so-y-te-tu-nhan-cmobile14477-228201.aspx

(2) https://moh.gov.vn/tin-noi-bat/-/asset_publisher/3Yst7YhbkA5j/content/bo-y-te-ban-giai-phap-nhan-rong-tren-toan-quoc-oi-voi-he-thong-ieu-phoi-du-lieu-nganh-y-te

Ricky Hồ

Nguồn Saigon Times : https://thesaigontimes.vn/bao-gio-het-canh-nguoi-benh-bi-ban-dung-du-lieu/