Dữ liệu cá nhân và quyền năng mới của người dùng trên không gian mạng

Chiều 31/12/2025, Hiệp hội An ninh mạng Quốc gia đã tổ chức tọa đàm “Bảo vệ dữ liệu cá nhân - quyền và trách nhiệm”. Đây không chỉ đơn thuần là một buổi thảo luận chuyên môn, mà là một sự kiện truyền thông then chốt ngay trước thời khắc Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực từ ngày 01/1. 

Sự ra đời của đạo luật này đánh dấu bước ngoặt lớn, đưa quyền bảo vệ dữ liệu từ một "quyền phái sinh" của quyền riêng tư trở thành một quyền độc lập được pháp luật bảo hộ nghiêm ngặt.

Dữ liệu là "máu", là "dầu mỏ mới" của nền kinh tế số

Mở đầu tọa đàm, Đại tá Nguyễn Hồng Quân - Phó Cục trưởng Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (Cục A05 - Bộ Công an), Trưởng ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân - nhấn mạnh rằng chúng ta đang sống trong một không gian mạng ngày càng mở rộng, nơi mỗi cá nhân đều có một "đời sống số" phong phú. 

Trong đời sống đó, dữ liệu cá nhân được hình thành và xoay quanh chúng ta như một yếu tố thiết yếu.

Thượng tá Đỗ Đình Thi, Phó trưởng phòng Tham mưu (Cục A05, Bộ Công an) ví von về tầm quan trọng của nguồn tài nguyên này: Dữ liệu cá nhân giống như "dầu mỏ mới", nếu biết khai thác sẽ đem lại giá trị kinh tế khổng lồ; nó giống như "oxy" hay thậm chí là "máu" trong hệ tuần hoàn của nền kinh tế số Việt Nam. 

Với hơn 80 triệu người dùng Internet (xếp thứ 12 thế giới), dành trung bình hơn 6 giờ mỗi ngày để kết nối, Việt Nam đang đứng trước cơ hội và thách thức vô cùng lớn.

Tuy nhiên, đi kèm với sự phát triển là những rủi ro hiện hữu. Năm vừa qua, Cục A05 ghi nhận hơn 600.000 cuộc tấn công mạng nhằm vào Việt Nam, trong đó khoảng 10.000 hệ thống thông tin của cơ quan nhà nước và ngân hàng trở thành mục tiêu. 

Tình trạng mua bán dữ liệu diễn ra tràn lan, thậm chí các đối tượng tội phạm đã chiếm đoạt dữ liệu để thực hiện gần 30 loại hình lừa đảo trực tuyến khác nhau.

Những lỗ hổng từ thói quen "dễ dãi" và các ví dụ đắt giá

Ông Nguyễn Quang Đồng - Viện trưởng Viện Nghiên cứu chính sách và Phát triển truyền thông (IPS) chỉ ra những lỗ hổng bảo mật đến từ chính những thói quen hành xử đời thường nhất.

Ví dụ về việc tự ý chia sẻ số điện thoại: Ông Đồng đặt ra tình huống giả định khi một người bạn hỏi xin số điện thoại của một đồng nghiệp. Phản xạ thông thường của chúng ta là mở điện thoại và chuyển ngay thông tin mà không suy nghĩ. 

Tuy nhiên, khi luật mới có hiệu lực, đây là hành vi cần phải cẩn trọng. Số điện thoại mà chúng ta giữ là để phục vụ cho mối quan hệ công việc riêng; nếu chưa có sự đồng ý của chủ nhân số điện thoại đó, chúng ta không được tự tiện chia sẻ cho bên thứ ba. Đây chính là "nguyên tắc xương sống" của luật mới: Sự đồng ý của chủ thể dữ liệu.

Ông Đồng cũng chia sẻ một tình huống thực tế đầy nhức nhối trong ngành giáo dục. Nhiều phụ huynh học sinh bất ngờ nhận được cuộc gọi từ các trung tâm dạy thêm, họ biết chính xác tên con em mình và thậm chí cả điểm số môn học nào đang kém để mời chào dịch vụ. 

Điều này chứng tỏ dữ liệu từ nhà trường hoặc đơn vị cung cấp phần mềm ứng dụng sổ liên lạc đã bị lộ lọt trái phép. Ông Đồng khẳng định: Nhà trường là "bên kiểm soát dữ liệu", phải chịu trách nhiệm chính nếu để xảy ra lộ lọt thông tin học sinh (chủ thể dữ liệu), chứ không thể đổ lỗi hoàn toàn cho đơn vị kỹ thuật.

Tương tự, trong ngành y tế, bệnh viện nắm giữ dữ liệu nhạy cảm nhất là hồ sơ bệnh án. Khi cần thanh toán bảo hiểm, bệnh viện không được mặc định chuyển dữ liệu bệnh nhân cho công ty bảo hiểm. Họ bắt buộc phải có quy trình hỏi ý kiến rõ ràng: "Anh/chị có đồng ý chuyển dữ liệu này sang bên thứ ba là đơn vị bảo hiểm hay không?". Chỉ khi người bệnh bấm xác nhận, quy trình này mới được coi là hợp pháp.

"Mánh lới" công nghệ và sự đánh đổi của người dùng

Đi sâu vào vấn đề năng lực tự bảo vệ, ông Nguyễn Quang Đồng thẳng thắn chỉ ra các "mánh lới" mà nhiều doanh nghiệp công nghệ đang áp dụng để thu thập tối đa dữ liệu người dùng. Họ thường để các tính năng thu thập dữ liệu ở chế độ "mặc định".

Ứng dụng gọi xe (như Be): Có thực sự cần tiếp cận vào kho ảnh cá nhân của người dùng để phục vụ việc di chuyển? Câu trả lời là không, nhưng nếu người dùng không biết để tắt, ứng dụng vẫn sẽ mặc định có quyền này.

Ứng dụng nhắn tin (như Messenger): Thường mặc định quyền tiếp cận dịch vụ định vị 24/7. Điều này cho phép doanh nghiệp biết chính xác vị trí của người dùng vào mọi lúc, mọi nơi, ngay cả khi họ không sử dụng ứng dụng để nhắn tin.

Thói quen dùng ChatGPT: Ông Đồng cảnh báo về việc người dùng Việt Nam đang quá "dễ tính" khi đưa toàn bộ thông tin sức khỏe nhạy cảm lên các công cụ AI để hỏi bệnh: "Hôm nay tôi đau đầu, sổ mũi, tôi nên dùng thuốc gì?". 

Hành động này đồng nghĩa với việc đưa dữ liệu cá nhân nhạy cảm lên các hệ thống quốc tế mà không có bất kỳ rào cản bảo vệ nào.

Ông Đồng nhấn mạnh: "Luôn có sự đánh đổi giữa tiện lợi và quyền riêng tư. Nếu muốn thuận lợi tối đa, bạn phải trao đi dữ liệu tối đa". Do đó, người dùng cần có kiến thức để chủ động tắt bớt các tính năng theo dõi và chỉ cho phép tiếp cận dữ liệu "khi sử dụng ứng dụng".

Trách nhiệm doanh nghiệp và "thanh kiếm" thực thi

Để luật đi vào thực tế, trách nhiệm của cộng đồng doanh nghiệp là vô cùng nặng nề. Ông Ngô Tuấn Anh - Phó ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân (Hiệp hội An ninh mạng Quốc gia) - chỉ ra rằng các doanh nghiệp hiện nay mới chỉ tập trung vào các biện pháp quản lý (như ban hành quy trình) mà chưa chú trọng đúng mức vào các biện pháp kỹ thuật.

Ông Tuấn Anh lưu ý doanh nghiệp cần sớm thiết lập bộ phận chuyên trách bảo vệ dữ liệu (DPO). Đặc biệt, khi có yêu cầu xóa dữ liệu từ khách hàng, doanh nghiệp phải thực hiện trong vòng 72 giờ và phải lưu lại nhật ký xử lý (log) để phục vụ kiểm tra của cơ quan chức năng.

Dự kiến trong quý 1, Hiệp hội sẽ ban hành tiêu chuẩn cơ sở về các biện pháp an ninh dữ liệu để làm "sổ tay" cho doanh nghiệp tuân thủ đơn giản nhất.

Về chế tài xử phạt, Thượng tá Đỗ Đình Thi đã nêu ra các mức phạt mang tính răn đe cực cao trong Luật mới:

Hành vi mua bán dữ liệu: Phạt tiền tối đa lên đến 10 lần khoản thu lợi bất chính.

Vi phạm chuyển dữ liệu xuyên biên giới: Phạt tiền tối đa 5% doanh thu của năm trước liền kề. Đây là mức phạt "khủng" nhắm vào các tập đoàn công nghệ lớn.

Các vi phạm khác: Mức phạt tối đa có thể lên tới 3 tỷ đồng.

Đối với các doanh nghiệp xuyên biên giới không có pháp nhân tại Việt Nam nhưng có hoạt động xử lý dữ liệu của công dân Việt Nam, Thượng tá Thi khẳng định luật vẫn có cơ chế điều chỉnh thông qua các kênh liên lạc trực tiếp, kênh ngoại giao và phối hợp quốc tế để đảm bảo tính thượng tôn pháp luật.

Luật Bảo vệ dữ liệu cá nhân không sinh ra để gây khó khăn cho sự phát triển, mà để tạo dựng niềm tin số. Như Đại tá Nguyễn Hồng Quân đã chia sẻ, 80% dân số thế giới hiện đang sống trong các vùng lãnh thổ có luật bảo vệ dữ liệu, và Việt Nam không thể nằm ngoài xu thế đó.

Có thể thấy, người dân cần nêu cao ý thức tự bảo vệ thông qua việc áp dụng các khuyến cáo như xác thực nhiều lớp, đặt mật khẩu mạnh và tìm hiểu kỹ các tính năng ứng dụng trước khi dùng.

Về phía doanh nghiệp, đây là thời điểm phải thay đổi tư duy, áp dụng nguyên lý "Bảo mật ngay từ khâu thiết kế" (Security by Design) để bảo vệ tài sản dữ liệu của khách hàng và chính mình.

Ngày hôm nay 01/01 chính thức mở ra một chương mới. Với sự quyết liệt của cơ quan chức năng và sự đồng lòng của xã hội, chúng ta tin rằng "mạch máu" dữ liệu của Việt Nam sẽ được lưu thông thông suốt và an toàn trong kỷ nguyên mới.