Kho dữ liệu người Việt bị rao bán: Đâu là trách nhiệm của nền tảng số?

Thách thức lớn thời AI

Thông tin từ Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, trong 6 tháng đầu năm 2025, lực lượng công an đã phát hiện và xử lý 56 vụ việc mua bán trái phép dữ liệu cá nhân với quy mô lên tới hơn 110 triệu bản ghi.

Còn theo báo cáo từ Công ty An ninh mạng Viettel, trong năm 2024, Việt Nam ghi nhận 14,5 triệu tài khoản bị rò rỉ dữ liệu, chiếm 12% tổng số tài khoản lộ, lọt toàn cầu. Sự bùng nổ của việc rao bán thông tin người dùng, dữ liệu hệ thống cùng nhiều dữ liệu nhạy cảm của các doanh nghiệp lớn tại Việt Nam cũng được ghi nhận với 134 vụ lộ, lọt dữ liệu chứa khoảng 294 triệu bản ghi dữ liệu khách hàng và 184.3 GB dữ liệu.

Các loại dữ liệu bị rao bán vô cùng đa dạng, từ thông tin cơ bản như tên tuổi, địa chỉ, số điện thoại, email đến những dữ liệu nhạy cảm hơn như lịch sử giao dịch ngân hàng, thông tin khám, chữa bệnh, lịch sử truy cập web, thậm chí là thông tin sinh trắc học.

Hậu quả của việc lộ, lọt dữ liệu là vô cùng nghiêm trọng. Thời gian qua, rất nhiều người dùng đã trở thành nạn nhân của các vụ lừa đảo, bị làm phiền bởi tin nhắn rác, cuộc gọi rác, hoặc tệ hơn là bị đánh cắp danh tính, thông tin để thực hiện các hành vi phạm pháp... Đối với doanh nghiệp, việc lộ dữ liệu không chỉ gây thiệt hại về tài chính mà còn ảnh hưởng nghiêm trọng đến uy tín, niềm tin của khách hàng.

Hiện nay, nhu cầu thu thập dữ liệu cá nhân cho các hoạt động sản xuất, kinh doanh ngày càng cao. Lợi nhuận khổng lồ đã thúc đẩy nhiều tổ chức và cá nhân thực hiện các hành vi thu thập dữ liệu cá nhân một cách trái phép nhằm phục vụ cho lợi ích riêng.

Bên cạnh đó, nhiều đơn vị chủ quản hệ thống thông tin còn tồn tại nhiều yếu kém, “lỗ hổng” trong các quy chế và quy trình khai thác. Điều này tạo điều kiện cho dữ liệu bị rò rỉ, đánh cắp hoặc sử dụng trái phép, gây ảnh hưởng không chỉ đến dữ liệu của chính tổ chức mà còn xâm phạm đến thông tin cá nhân của khách hàng mà họ quản lý.

Một yếu tố đáng lưu tâm khác là ý thức của người dân về việc tự bảo vệ dữ liệu cá nhân trên không gian mạng còn rất hạn chế. Sự chủ quan và thiếu hiểu biết đã khiến nhiều người chưa nhận thức đầy đủ về quyền của mình đối với dữ liệu cá nhân, làm gia tăng nguy cơ bị xâm phạm.

Trong bối cảnh đó, sự bùng nổ của AI càng khiến câu chuyện bảo vệ dữ liệu cá nhân trở nên phức tạp hơn bao giờ hết. AI có khả năng phân tích, tổng hợp và khai thác dữ liệu ở quy mô lớn, tạo ra những mô hình hành vi, thói quen của người dùng mà trước đây không thể thực hiện được. Điều này đồng nghĩa với việc quyền nhân thân, đặc biệt là quyền về đời sống riêng tư, bí mật cá nhân và bí mật gia đình... đang đối mặt với những thách thức chưa từng có trên không gian mạng.

Thời gian qua, Việt Nam đã có những quy định pháp lý cơ bản để bảo vệ dữ liệu cá nhân, như Luật An ninh mạng 2018 và Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Tuy nhiên, tốc độ phát triển chóng mặt của công nghệ, đặc biệt là AI, đòi hỏi khung pháp lý phải linh hoạt và thích ứng nhanh chóng.

Trước thực tế này, Luật Bảo vệ dữ liệu cá nhân đã được Quốc hội thông qua ngày 25/6/2025 và sẽ có hiệu lực từ ngày 1/1/2026. Luật Bảo vệ dữ liệu cá nhân đã quy định việc xử phạt theo doanh thu đối với một số hành vi đặc biệt nghiêm trọng trong hoạt động xử lý dữ liệu cá nhân, vi phạm quy định bảo vệ dữ liệu cá nhân, trong đó có thể bị phạt tối đa đến 5% doanh thu năm liền kề đối với các hành vi vi phạm.

Theo các chuyên gia, để bảo vệ chính mình, người dân cần nhanh chóng cập nhật và tìm hiểu các quy định của Luật để nắm rõ các quyền của mình đối với dữ liệu cá nhân do mình sinh ra để yêu cầu các bên phân tích, thu thập, xử lý dữ liệu cá nhân của mình thực hiện đúng các quyền và các nghĩa vụ của các cơ quan này.

Đồng thời, các cơ quan chức năng cần nhanh chóng đẩy mạnh tuyên truyền, giáo dục để nâng cao nhận thức của người dân về quyền và trách nhiệm của họ trong việc bảo vệ dữ liệu cá nhân.

Trách nhiệm của nền tảng số

Các nền tảng số, từ mạng xã hội, sàn thương mại điện tử đến các ứng dụng tiện ích, là những nơi tập trung lượng lớn dữ liệu cá nhân của người dùng. Các đơn vị này đóng vai trò cực kỳ quan trọng trong việc bảo vệ dữ liệu và lẽ dĩ nhiên phải chịu trách nhiệm chính khi xảy ra sự cố.

Trong thời gian qua, nhiều nền tảng số đã và đang triển khai các biện pháp mạnh mẽ hơn nhằm ngăn chặn ăn cắp dữ liệu, bao gồm: tăng cường mã hóa và giao thức bảo mật, triển khai xác thực đa yếu tố (MFA) được khuyến khích và bắt buộc cho người dùng, cải tiến công cụ quản lý quyền riêng tư cho người dùng (cho phép người dùng dễ dàng kiểm soát cài đặt), nâng cao khả năng chống lừa đảo (Phishing) và mã độc (qua việc phát hiện và chặn đứng các trang web, email lừa đảo), kiểm soát chặt chẽ các ứng dụng bên thứ ba, phản ứng nhanh chóng với sự cố thông qua quy trình và đội ngũ chuyên trách...

Tuy nhiên, thách thức vẫn còn rất lớn. “Tin tặc” ngày càng tinh vi, liên tục tìm kiếm các lỗ hổng mới. Các mô hình như Ransomware-as-a-Service (RaaS) đang khiến các cuộc tấn công trở nên dễ dàng hơn, mở rộng phạm vi và tăng mức độ nguy hiểm. Điều này đòi hỏi các nền tảng phải liên tục đổi mới và không ngừng cải thiện các biện pháp bảo vệ.

Theo kĩ sư công nghệ thông tin Lâm Quân, các nền tảng cần tăng cường bảo vệ dữ liệu cho người dùng bằng nhiều biện pháp. Đặc biệt là việc phòng ngừa từ gốc rễ. Thay vì "chữa cháy" sau khi sự cố xảy ra, các nền tảng cần áp dụng nguyên tắc "bảo mật theo thiết kế". Có nghĩa là ngay từ khâu ý tưởng, phát triển sản phẩm, tính năng bảo vệ dữ liệu phải được tích hợp vào tận cốt lõi hệ thống. Điều này đồng nghĩa với việc đầu tư mạnh vào công nghệ mã hóa đầu cuối, kiến trúc bảo mật kiên cố và thường xuyên thuê bên thứ ba độc lập kiểm tra, đánh giá lỗ hổng. Các nền tảng cũng cần biến AI thành “đồng minh”, sử dụng AI để phân tích hành vi người dùng, xây dựng các hệ thống phòng thủ thông minh, chủ động phát hiện và chặn đứng các mối đe dọa như lừa đảo hay mã độc. Nền tảng số cần coi công tác bảo vệ dữ liệu là đầu tư chiến lược, chứ không chỉ đơn giản là những “bài toán” về chi phí.

Các nền tảng cũng cần cung cấp chính sách quyền riêng tư rõ ràng, cần cung cấp các công cụ trực quan để người dùng dễ dàng truy cập, chỉnh sửa, xóa bỏ hoặc kiểm soát quyền chia sẻ thông tin cá nhân. Khi có sự cố rò rỉ, nền tảng phải thông báo kịp thời, đầy đủ và minh bạch, giúp người dùng chủ động ứng phó.

Cạnh đó, cần phải chủ động và tích cực hợp tác với các cơ quan chức năng như Cục An toàn thông tin, Bộ Công an để điều tra, cung cấp thông tin và cùng đấu tranh chống tội phạm mạng. Ngoài ra, việc nâng cao nhận thức cộng đồng qua các chiến dịch truyền thông cũng là trách nhiệm của các nền tảng, giúp người dùng tự bảo vệ mình tốt hơn.

Về mặt cập nhật chính sách pháp luật, theo sự khuyến cáo của Thượng tá Triệu Mạnh Tùng tại cuộc họp báo mới đây của Bộ Công an, các cơ quan, tổ chức có hoạt động thu thập, phân tích, xử lý dữ liệu cá nhân phải nghiên cứu và thực hiện đúng các quy định của Luật để bảo đảm dữ liệu cá nhân của cơ quan, tổ chức, của đơn vị mình bị khai thác trái phép và có thể có nguy cơ đối mặt với những hình phạt rất nặng, khi các quy định của Luật Bảo vệ dữ liệu cá nhân và các văn bản dưới luật được ban hành và có hiệu lực từ ngày 1/1/2026.

Có thể thấy, để phòng, chống rò rỉ dữ liệu, bảo vệ quyền nhân thân trên không gian mạng cần có sự phát huy hiệu quả trách nhiệm của 3 bên: sự vào cuộc quyết liệt của cơ quan quản lý; ý thức tự bảo vệ của mỗi người dùng; trách nhiệm tiên phong và nỗ lực không ngừng nghỉ từ các nền tảng số.

Chỉ khi bảo đảm đủ ba yếu tố trên, chúng ta mới có thể tạo dựng một môi trường mạng an toàn, tích cực, Việt Nam mới có thể vững bước trên hành trình chuyển đổi số, hướng tới một xã hội số lành mạnh và thịnh vượng.