Dữ liệu cá nhân bị rao bán công khai: Hồi chuông cảnh tỉnh cho doanh nghiệp Việt

Dữ liệu cá nhân đang trở thành món hàng được rao bán công khai trên “chợ đen” với giá rẻ bất ngờ - chỉ vài trăm nghìn đồng cho hàng triệu thông tin như số điện thoại, email, địa chỉ hay cả dữ liệu ngân hàng. Điều đáng lo ngại là nguồn rò rỉ không chỉ đến từ người dùng, mà còn xuất phát ngay trong nội bộ doanh nghiệp - từ hệ thống kỹ thuật, công cụ tiếp thị đến chính nhân sự, dù là trong sơ suất hay cố tình.

Quyền dữ liệu cá nhân: Điều nhiều người nghe nhưng chưa thật sự hiểu

Người dùng Việt Nam đã dần quen với việc bị gọi điện làm phiền, nhận tin nhắn rác hoặc lừa đảo. Nhưng vẫn còn rất nhiều “vùng xám” trong nhận thức chung:

• Dữ liệu cá nhân là gì?
• Ai đang thu thập, lưu trữ và chia sẻ dữ liệu của bạn?
• Doanh nghiệp có trách nhiệm gì trong việc bảo vệ những thông tin đó?

Ngay cả trong cộng đồng doanh nghiệp – đặc biệt là các doanh nghiệp vừa và nhỏ (SME) – nhiều người vẫn xem dữ liệu cá nhân là tài sản có thể tận dụng tự do, không lường trước được rủi ro pháp lý hoặc hậu quả về danh tiếng. Chính vì nhận thức còn hạn chế nên việc hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân đang trở thành yêu cầu cấp thiết.

Luật sắp siết chặt: Không chỉ là tiền phạt

Dự thảo Luật mới nhất (cập nhật ngày 5/6/2025) còn nhấn mạnh các mức xử phạt nghiêm khắc hơn nhiều so với trước đây: 

• Việc mua bán Dữ liệu cá nhân trái phép có thể bị phạt tới 10 lần doanh thu bất hợp pháp.
• Chuyển giao dữ liệu cá nhân xuyên biên giới trái phép: phạt tới 5% doanh thu của năm trước.
• Các vi phạm khác có thể bị phạt tới 3 tỷ đông đối với tổ chức (và 1.5 tỷ với cá nhân)

Các mức phạt trong dự thảo Luật Bảo vệ Dữ liệu Cá nhân mang tính răn đe rất cao, đặc biệt nhắm vào các tập đoàn lớn và doanh nghiệp công nghệ hoạt động xuyên quốc gia. Điều này nhằm gửi một thông điệp rõ ràng rằng việc vi phạm không thể bị xem nhẹ.

Nhiều người vẫn nghĩ rằng “cùng lắm bị phạt vài trăm triệu” - nhưng đó là suy nghĩ sai lầm. Trong kỷ nguyên số, một bài đăng bóc phốt trên mạng xã hội có thể phá hủy uy tín và làm sụp đổ cả một thương hiệu chỉ trong vòng 24 giờ. Mất niềm tin của người dùng đồng nghĩa với việc đánh mất tất cả.

Tuy nhiên, việc tuân thủ luật chỉ là bước khởi đầu. Thực tế, các mối đe dọa từ việc rò rỉ dữ liệu và các hình thức tấn công mạng ngày càng tinh vi, phức tạp hơn. Điều này đòi hỏi doanh nghiệp Việt không chỉ cần hiểu rõ luật pháp, mà còn phải chủ động xây dựng năng lực bảo mật dữ liệu để ứng phó với những rủi ro ngày càng gia tăng.

Chợ đen dữ liệu: Không chỉ là phiền toái – mà là mảnh đất của tội phạm công nghệ cao

Việc rò rỉ dữ liệu cá nhân đang tạo điều kiện lý tưởng cho các loại hình lừa đảo tinh vi:

• Giả mạo danh tính để mở tài khoản ngân hàng
• Chiếm đoạt SIM để lấy OTP rút tiền
• Tạo tài khoản giả vay tiền hoặc lừa đảo người thân
• Tấn công vào hệ thống nội bộ doanh nghiệp để đánh cắp dữ liệu sâu hơn

Theo Cục An toàn thông tin (Bộ Thông tin và Truyền thông), số lượng và mức độ tinh vi của các cuộc tấn công mạng vào hệ thống doanh nghiệp Việt Nam đang gia tăng nhanh chóng. Trong năm 2024, đã ghi nhận tới 659.000 vụ tấn công an ninh mạng, ảnh hưởng đến khoảng 46,15% cơ quan, doanh nghiệp trên toàn quốc. 

Nếu doanh nghiệp không kiểm soát chặt chẽ dữ liệu người dùng, sẽ trở thành “cửa ngõ” để hacker xâm nhập. Việc thiếu các giải pháp an ninh cơ bản cùng với sự gia tăng của tội phạm mạng là nguyên nhân chính kiến năng lực ứng phó của doanh nghiệp Việt Nam còn hạn chế.

Để ứng phó hiệu quả, doanh nghiệp cần chuyển từ tư duy bảo vệ mạng bị động sang chủ động và linh hoạt thích nghi. Cách làm này không chỉ giúp hạn chế thiệt hại khi xảy ra sự cố mà còn xây dựng hệ thống phòng thủ vững chắc trước các cuộc tấn công ngày càng tinh vi. Đặc biệt, các lãnh đạo trong ngành ngân hàng, tài chính, năng lượng…cần đưa an ninh mạng trở thành ưu tiên chiến lược phát triển lâu dài của doanh nghiệp.

Lỗ hổng không nằm ở đâu xa – mà ngay trong các quy trình thường ngày

Để có thể thực sự nâng cao khả năng bảo vệ dữ liệu, doanh nghiệp cần nhận diện rõ các lỗ hổng tiềm ẩn ngay trong những quy trình và hoạt động thường ngày, thay vì chỉ tập trung vào các giải pháp kỹ thuật phức tạp. Những sơ hở phổ biến có thể kể đến như:

• Popup xin email nhưng không có checkbox đồng ý rõ ràng
• Cài plugin “chùa” từ nguồn không rõ ràng
• Lưu trữ dữ liệu không mã hoá, không phân quyền truy cập
• Tái sử dụng biểu mẫu nước ngoài mà không tuân thủ quy định trong nước

Đáng lo hơn, các ngành nhạy cảm như ngân hàng, bảo hiểm, viễn thông… – những nơi đáng ra là những nơi bảo mật nghiêm ngặt nhất – lại thường xuyên trở thành tâm điểm của các vụ rò rỉ dữ liệu.

Quản lý sự đồng ý dữ liệu cá nhân: Từ lựa chọn đến quy định bắt buộc

Theo nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, việc xin và lưu trữ sự đồng ý của người dùng hiện không còn là một “thực hành tốt” tùy chọn, mà đã trở thành yêu cầu bắt buộc đối với mọi tổ chức thu thập và xử lý dữ liệu cá nhân. Điều này bao gồm cả những hoạt động phổ biến như: 

• Thu thập email để đăng ký nhận bản tin
• Sử dụng cookie để theo dõi hành vi người dùng
• Tích hợp các nền tảng như CRM hoặc công cụ tiếp thị tự động
• Sử dụng bên thứ ba (quảng cáo, chatbox, nội dung nhúng...)

Tất cả các hoạt động xử lý dữ liệu này đều cần sự đồng ý rõ ràng, có đầy đủ thông tin, và có thể kiểm chứng được từ phía người dùng trước khi dữ liệu được xử lý.

Theo quy định hiện hành, sự đồng ý phải đáp ứng các tiêu chí:

• Tự nguyện và không bị ép buộc
• Cụ thể cho từng mục đích xử lý dữ liệu
• Có thể được rút lại bất kỳ lúc nào

Ngoài ra, tổ chức phải lưu giữ bằng chứng về sự đồng ý để phục vụ cho việc kiểm tra và thanh tra khi cần thiết.

Hướng tới 2026: Luật Bảo vệ Dữ liệu Cá nhân (PDPL) sẽ siết chặt thêm các quy định

Khi Luật Bảo vệ Dữ liệu Cá nhân chính thức có hiệu lực từ năm 2026, các yêu cầu về bảo vệ dữ liệu sẽ càng trở nên nghiêm ngặt hơn. Cụ thể:

• Phải có sự đồng ý rõ ràng và riêng biệt đối với dữ liệu nhạy cảm
• Ghi chép đầy đủ và lưu trữ chi tiết quá trình xin – cấp – thu hồi sự đồng ý
• Kiểm soát nghiêm ngặt việc chuyển dữ liệu cá nhân ra nước ngoài, trong một số trường hợp cần có sự chấp thuận từ Bộ Công an, thậm chí là Bộ Quốc phòng – nhất là với dữ liệu lõi như tài chính, sinh trắc học, hoặc liên quan đến an ninh quốc gia

Các điểm nới lỏng đáng chú ý từ phiên họp ngày 5/6 của Ủy ban Thường vụ Quốc hội:

Để hỗ trợ doanh nghiệp trong giai đoạn chuyển tiếp, Quốc hội đã thống nhất điều chỉnh một số quy định nhằm giảm tải thủ tục, nhưng vẫn đảm bảo tính nghiêm minh của luật:

• Doanh nghiệp siêu nhỏ và hộ kinh doanh sẽ được miễn hoàn toàn nghĩa vụ có chuyên gia bảo vệ dữ liệu cá nhân và không cần lập hồ sơ đánh giá tác động.
• Doanh nghiệp nhỏ và startup sẽ được miễn phần lớn nghĩa vụ trong 5 năm đầu hoạt động.

Tuy nhiên, vẫn có ý kiến cho rằng việc miễn trừ nên căn cứ theo mức độ và loại dữ liệu xử lý, chứ không chỉ dựa vào quy mô doanh nghiệp, nhằm tránh tạo ra các “kẽ hở” pháp lý có thể bị lợi dụng.

Dự kiến Luật Bảo vệ Dữ liệu Cá nhân sẽ được ban hành vào tháng 7/2025, tạo nền tảng pháp lý chặt chẽ hơn trong kỷ nguyên số, nơi mà niềm tin và bảo mật là hai yếu tố sống còn đối với mọi doanh nghiệp.

AeisrX CMP - Nền tảng thiết yếu giúp doanh nghiệp đáp ứng cả hai bộ luật

Trước bối cảnh pháp lý ngày càng nghiêm ngặt và chặt chẽ, nền tảng Quản lý sự đồng ý (Consent Management Platform) như AesirX CMP trở thành công cụ thiết yếu giúp doanh nghiệp:

• Tự động thu thập, lưu trữ và quản lý sự đồng ý từ người dùng một cách minh bạch, hợp lý
• Đảm bảo tuân thủ các quy định hiện hành của Nghị định 13 và chuẩn bị trước cho các yêu cầu của PDPL và Luật Dữ liệu sắp tới
• Hiển thị rõ luồng dữ liệu, liệt kê các công cụ bên thứ ba có thể gây rủi ro tuân thủ
• Hỗ trợ kiểm soát việc chuyển dữ liệu xuyên biên giới, giúp ghi lại lịch sử và tạo báo cáo phục vụ thẩm định khi cần thiết.

Với các quy định mới đang được bổ sung, đặc biệt liên quan đến chuyển giao dữ liệu cá nhân xuyên biên giới, các doanh nghiệp không thể tiếp tục “ chờ luật rõ ràng mới làm”. Việc chủ động xây dựng quy trình bảo vệ dữ liệu, sử dụng nền tảng CMP để kiểm soát và lưu trữ hồ sơ đồng ý, và chuẩn bị sẵn hồ sơ đánh giá tác động là yếu tố bắt buộc nếu muốn tồn tại trong môi trường pháp lý mới. 

Việc tuân thủ giờ không còn là sự lựa chọn - mà là yếu tố sống còn để doanh nghiệp duy trì niềm tin và khả năng phát triển bền vững trong kỷ nguyên số.