“Vùng xám” pháp lý
Đầu tháng 7/2025, chị Hải An – nhân viên văn phòng ở quận Thanh Xuân, Hà Nội – nhận cuộc gọi từ một người tự xưng là nhân viên giao hàng. Người này thông báo có đơn hàng online đồ thời trang chị đặt từ TP.HCM tuần trước và yêu cầu chuyển khoản vì đã thả hộp hàng vào sân qua khe cổng. Tin tưởng vì thông tin trùng khớp, chị An chuyển tiền, nhưng rồi không thấy hàng, số điện thoại cũng mất liên lạc. Chị giật mình nhận ra vừa bị lừa đảo. Trường hợp của chị không phải hiếm trong đời sống số hiện nay.
Trong thời công nghệ số, dữ liệu được ví quý như vàng. Tình trạng mua bán, rao bán dữ liệu cá nhân diễn ra công khai trên mạng xã hội và diễn đàn, thậm chí có “dịch vụ bảo hành” dữ liệu. Cách gọi “vàng lậu dữ liệu” phản ánh thực tế việc thu thập, mua bán, khai thác dữ liệu cá nhân trái phép đang diễn ra một cách tinh vi, có hệ thống nhưng thiếu kiểm soát trên các chợ đen công nghệ, tương tự như hoạt động buôn bán vàng lậu.
Theo Hiệp hội An ninh mạng quốc gia (NCA), năm 2024 đã ghi nhận hơn 10.000 vụ việc liên quan đến lộ lọt thông tin cá nhân. Các trang web rao bán trái phép dữ liệu cá nhân với số lượng lớn, công khai, bất chấp các quy định pháp luật. Có tới hơn 66% người dùng xác nhận rằng thông tin của họ từng bị sử dụng trái phép. Trong năm 2024, thiệt hại từ các vụ lừa đảo trực tuyến tại Việt Nam ước tính lên đến 18.900 tỷ đồng.
Còn theo Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an), người dùng còn nhận thức hạn chế về bảo vệ dữ liệu cá nhân. Nhiều người vô tư chia sẻ thông tin cá nhân, đăng hình ảnh trên mạng mà không biết rằng có thể trở thành “mồi” cho hệ thống thu thập trên mạng… Điều này dẫn đến nhiều vụ lừa đảo, giả mạo danh tính, chiếm đoạt tài sản, gây thiệt hại lớn.
Nhiều doanh nghiệp cung cấp dịch vụ tài chính, thương mại điện tử, viễn thông và dịch vụ công đã để rò rỉ dữ liệu do bảo mật yếu hoặc nhân viên bán dữ liệu. Các vụ như nhân viên EVN bán 30.000 dữ liệu giáo viên thu 300 triệu đồng, VNG lộ 163 triệu tài khoản ZingID, Thế giới di động để lọt 5 triệu email và thông tin thẻ, hay Vietnam Airlines mất 400.000 tài khoản Bông Sen Vàng, là hồi chuông cảnh báo. Dù một số vụ đã bị xử lý nhưng chế tài còn yếu nên vẫn để lại “vùng xám” pháp lý.
Phạt đến 3 tỷ đồng đối với hành vi mua bán dữ liệu cá nhân trái phép
Trước thực trạng này, ngày 26/6/2025, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân – đạo luật đầu tiên tại Việt Nam xây dựng hành lang pháp lý toàn diện cho quyền riêng tư trong kỷ nguyên số.
Với 5 chương, 39 điều, luật có hiệu lực từ ngày 1/1/2026, được xem là bước ngoặt lớn trong việc siết chặt quản lý và xử lý các hành vi xâm phạm dữ liệu cá nhân, đặc biệt là mua bán, làm lộ lọt dữ liệu. Đây là dấu mốc chấm dứt thời kỳ “vàng lậu dữ liệu” và mở ra kỷ nguyên bảo vệ thông tin cá nhân một cách nghiêm minh.
Luật Bảo vệ dữ liệu cá nhân tập trung vào việc cụ thể hóa quyền và nghĩa vụ của chủ thể dữ liệu, cũng như trách nhiệm của các tổ chức, cá nhân xử lý dữ liệu.
Một trong những điểm nhấn quan trọng của Luật Bảo vệ dữ liệu cá nhân là quy định nghiêm khắc về xử lý vi phạm, đặc biệt là hành vi mua bán dữ liệu cá nhân trái phép.
Trong đó, hành vi mua, bán dữ liệu cá nhân trái phép bị xử phạt tối đa 10 lần khoản thu bất hợp pháp. Nếu không xác định được khoản thu, tổ chức vi phạm có thể bị phạt đến 3 tỷ đồng, cá nhân bị phạt đến 1,5 tỷ đồng.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó. Nếu không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa là 3 tỷ đồng.
Các tổ chức phải áp dụng biện pháp kỹ thuật và quy trình rõ ràng để đảm bảo an toàn khi dữ liệu rời biên giới. Luật cũng cho phép truy cứu hình sự với các hành vi chiếm đoạt, cố ý làm lộ, làm mất, thay đổi hoặc sử dụng dữ liệu trái pháp luật, kèm theo nghĩa vụ bồi thường dân sự dựa trên thiệt hại thực tế.
Những quy định này thể hiện quyết tâm của Nhà nước trong việc siết chặt quản lý, tạo hành lang pháp lý răn đe các doanh nghiệp không tôn trọng quyền riêng tư. Đồng thời, luật khuyến khích các tổ chức nâng cao năng lực bảo mật, minh bạch hóa quy trình xử lý dữ liệu và tuân thủ nghĩa vụ pháp lý trong môi trường số hóa.
Người dân và doanh nghiệp cần chủ động thích nghi
Ngày 7/7/2025, tại họp báo Bộ Công an, thượng tá Triệu Mạnh Tùng, Phó cục trưởng Cục A05, cho biết 6 tháng đầu 2025, công an xử lý 56 vụ mua bán dữ liệu trái phép, với hơn 110 triệu bản ghi.
Thượng tá Tùng khuyến cáo: Người dân cần chủ động tìm hiểu Luật, nắm rõ quyền của mình đối với dữ liệu cá nhân đã phát sinh để có thể yêu cầu các tổ chức, cá nhân thu thập, phân tích, xử lý dữ liệu thực hiện đúng quy định pháp luật.
Các tổ chức, doanh nghiệp có hoạt động liên quan đến dữ liệu cá nhân phải nghiêm túc rà soát hệ thống, quy trình nội bộ, đảm bảo tuân thủ đầy đủ quy định của Luật để tránh đối mặt với các chế tài nghiêm khắc kể từ ngày Luật có hiệu lực.
Trở lại với chị Hải An, sau khi trình báo công an khu vực, chị được hướng dẫn đổi mật khẩu tài khoản ngân hàng và theo dõi giao dịch bất thường. “Tôi mong rằng với luật mới, những kẻ buôn bán dữ liệu sẽ không còn đất sống, và người dân như tôi sẽ được bảo vệ tốt hơn,” chị chia sẻ.
Từ ngày 1/1/2026, khi luật có hiệu lực, người dân kỳ vọng một môi trường số an toàn, minh bạch hơn. Nhưng để đạt được điều đó, không chỉ cần luật nghiêm, mà còn cần ý thức bảo vệ dữ liệu của mỗi cá nhân.
Khi những cuộc gọi lừa đảo tinh vi ngày càng phổ biến và dữ liệu cá nhân trở thành “tài nguyên bị khai thác”, Luật Bảo vệ dữ liệu cá nhân 2026 không chỉ là hàng rào pháp lý mà còn là sự khẳng định mạnh mẽ về bảo vệ quyền riêng tư của công dân. Tuy nhiên, luật chỉ thực sự hiệu quả nếu người dùng có ý thức tự bảo vệ mình, doanh nghiệp tuân thủ pháp luật và xã hội chung tay xây dựng chuẩn mực đạo đức số. Những việc này càng đặc biệt quan trọng trong thời đại công nghệ, khi mỗi cú click đều để lại dấu vết.
Phạt đến 3 tỷ đồng đối với hành vi mua bán dữ liệu cá nhân trái phép
