Thống kê của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) Bộ Công an, trong 6 tháng đầu năm 2025, lực lượng chức năng đã phát hiện và xử lý 56 vụ việc liên quan mua bán trái phép dữ liệu cá nhân, với hơn 110 triệu bản ghi dữ liệu bị thu thập và giao dịch bất hợp pháp. Các dữ liệu này bị sử dụng cho nhiều mục đích phạm pháp, từ lừa đảo tài chính, giả danh cơ quan nhà nước đến xâm phạm đời sống riêng tư của người dân.
Nếu phần lớn các vụ tấn công mạng bắt nguồn từ lỗ hổng kỹ thuật, thì một nguyên nhân không nhỏ khác lại đến từ hành vi người dùng – mắt xích yếu nhất trong chuỗi bảo mật.
Chính sự dễ tính trong việc chia sẻ thông tin cá nhân của người dùng đã biến dữ liệu thành món hàng béo bở cho các tổ chức lừa đảo xuyên quốc gia.
Nhiều người còn tin rằng mình "không có gì để mất", cho rằng việc chỉ dùng mạng xã hội hay ứng dụng không đủ hấp dẫn để hacker nhắm tới. Chính tâm lý này khiến họ mất cảnh giác và trở thành mục tiêu dễ dàng.
Từ tâm lý đó, khiến nhiều người vô tình chia sẻ ảnh căn cước, địa chỉ nhà, đơn hàng, lịch trình cá nhân… Những mảnh dữ liệu nhỏ lẻ ấy, khi được kẻ xấu ghép nối và phân tích, có thể trở thành hồ sơ định danh số hoàn chỉnh đủ để mạo danh, chiếm đoạt tài khoản hoặc tạo kịch bản lừa đảo trúng đích.
Không chỉ chia sẻ quá mức, nhiều người còn đặt niềm tin tuyệt đối vào công nghệ. Họ đăng nhập hàng chục ứng dụng hoặc cài app không rõ nguồn gốc. Hầu hết các ứng dụng này đều yêu cầu người sử dụng phải cung cấp những thông tin như vị trí, quyền truy cập kho ảnh cá nhân… Nếu không cung cấp thì không sử dụng được ứng dụng.
Mỗi lần như vậy đồng nghĩa với việc cấp quyền truy cập dữ liệu cá nhân cho bên thứ ba mà người dùng không hề hay biết.
Theo chuyên gia an ninh mạng, bảo mật không bắt đầu từ công nghệ phức tạp, mà từ ý thức và hành vi hàng ngày của người dùng.
Nhiều ứng dụng di động đang đưa người dùng vào "thế yếu"
Ông Võ Đỗ Thắng, Giám đốc Trung tâm An ninh mạng Athena cho biết, hiện nay, nhiều ứng dụng di động đang đưa người dùng vào "thế yếu" khi bắt buộc chia sẻ quyền truy cập vào danh bạ, kho ảnh và dữ liệu cá nhân như một điều kiện tiên quyết để sử dụng dịch vụ. Đây thực chất là hành vi ép buộc chia sẻ dữ liệu vượt quá phạm vi cần thiết.
Theo Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực từ ngày 1/1/2026, các ứng dụng yêu cầu quyền truy cập không phục vụ mục đích cốt lõi của dịch vụ (ví dụ: ứng dụng giao hàng yêu cầu truy cập kho ảnh hoặc danh bạ) là hành vi vi phạm pháp luật.
Trách nhiệm của chủ ứng dụng phải giải trình minh bạch mục đích thu thập và có trách nhiệm bảo mật tuyệt đối dữ liệu đã truy cập.
Theo ông Thắng, người dùng cần biết được là mình sử dụng ứng dụng đó vì mục đích gì và nếu yêu cầu quyền truy cập thông tin ngoài mục đích đó thì người dùng nên từ chối, không cấp quyền truy cập. Ngoài ra, người dùng hoàn toàn có quyền phản ánh sai phạm này tới các cơ quan chức năng để yêu cầu xử lý.
Ông Võ Đỗ Thắng (ảnh: NVCC).
Tuy nhiên, do các ứng dụng thường có cơ chế "chạy ngầm" để thu thập thông tin trái phép mà người dùng không có chuyên môn về an ninh mạng, bảo mật thì rất khó để phát hiện. Về vấn đề này, ông Võ Đỗ Thắng khuyến nghị thực hiện một số biện pháp.
Nguyên tắc tối giản quyền: Chỉ cung cấp các thông tin tối thiểu cần thiết cho giao dịch (ví dụ: chỉ cung cấp địa chỉ cho ứng dụng giao nhận). Từ chối mọi yêu cầu truy cập danh bạ, định vị hoặc kho dữ liệu nếu thấy không liên quan.
Sử dụng "thiết bị trắng": Đối với những cá nhân giữ vị trí quan trọng, quản lý doanh nghiệp hoặc lưu trữ nhiều dữ liệu nhạy cảm trên smartphone, tuyệt đối không cài đặt các ứng dụng bên thứ ba (mua sắm, giải trí, dịch vụ công...) trên thiết bị chính.
Đầu tư thiết bị phụ: Nên trang bị một điện thoại riêng biệt (cấu hình cơ bản) chuyên dùng để cài đặt các ứng dụng dịch vụ. Thiết bị này không chứa dữ liệu cá nhân, không đồng bộ danh bạ hay hình ảnh nhạy cảm. Đây là cách cách ly rủi ro hiệu quả nhất hiện nay.
Ông Võ Đỗ Thắng nhấn mạnh, dữ liệu số có đặc thù là tài sản phi hữu hình, có khả năng nhân bản hàng nghìn bản chỉ trong vài giây ngay sau khi bị đánh cắp. Việc phục hồi trạng thái dữ liệu hay ngăn chặn phát tán sau khi rò rỉ là điều gần như không thể. Vì vậy, người dùng cần chủ động thực hiện các biện pháp phòng ngừa thay vì chờ đợi sự ứng cứu sau khi sự cố đã xảy ra.
Năm 2026 kỳ vọng cải thiện trong công tác bảo vệ dữ liệu cá nhân
Luật sư Trần Hữu Thung (Đoàn luật sư thành phố Hà Nội) cho biết, năm 2026 được kỳ vọng sẽ ghi nhận những cải thiện trong công tác bảo vệ dữ liệu cá nhân khi hàng loạt quy định pháp luật mới như Luật Bảo vệ dữ liệu cá nhân, Luật An ninh mạng 2025 có hiệu lực. Các tổ chức, doanh nghiệp sẽ buộc phải nâng cao trách nhiệm, đầu tư cho an ninh mạng tương xứng với các hoạt động thu thập, lưu trữ và xử lý dữ liệu người dùng.
Theo đó, Luật Bảo vệ dữ liệu cá nhân 2025 không chỉ định nghĩa rõ ranh giới giữa dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm mà còn đặt ra những tiêu chuẩn khắt khe đối với mọi tổ chức, cá nhân tham gia vào quá trình thu thập, xử lý và lưu trữ thông tin.
Luật sư Trần Hữu Thung.
Nội dung trọng tâm của luật xoay quanh việc bảo vệ quyền tự quyết của chủ thể dữ liệu, trong đó sự đồng ý phải được thực hiện dựa trên nguyên tắc tự nguyện, rõ ràng và có thể rút lại bất cứ lúc nào.
Điểm đáng chú ý nhất là hệ thống chế tài và mức xử phạt hành chính mang tính răn đe cực kỳ cao. Khác với các quy định trước đây vốn chỉ dừng lại ở mức xử phạt mang tính tượng trưng, Luật Bảo vệ dữ liệu cá nhân 2025 và các văn bản hướng dẫn đi kèm đã nâng mức phạt tiền lên một mức rất nghiêm khắc.
Theo đó, tổ chức, cá nhân có hành vi vi phạm quy định của Luật và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân, tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều 8 thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều 8 của Luật.
Điểm nhấn đột phá của Luật như mở rộng tới cả các tổ chức nước ngoài xử lý dữ liệu của công dân Việt Nam dù không có pháp nhân tại đây. Phạt tiền tối đa 5% doanh thu năm trước liền kề đối với vi phạm chuyển dữ liệu xuyên biên giới. Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều 8 thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều 8 của Luật.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỷ đồng.
Bên cạnh hình phạt chính, các tổ chức vi phạm còn phải đối mặt với các hình phạt bổ sung cực kỳ nghiêm khắc như đình chỉ hoạt động xử lý dữ liệu cá nhân có thời hạn, tước quyền sử dụng giấy phép hoạt động trong các lĩnh vực liên quan, hoặc buộc phải tiêu hủy toàn bộ dữ liệu đã thu thập trái phép.
"Tuy nhiên, lượng dữ liệu cá nhân đã bị lộ từ trước vẫn sẽ bị tội phạm khai thác để tiếp tục tấn công người dùng. Việc nâng cao nhận thức, kỹ năng số cho người dân, song song với hoàn thiện hành lang pháp lý và năng lực bảo vệ dữ liệu cá nhân, tiếp tục là yếu tố then chốt nhằm giảm thiểu rủi ro an ninh mạng trong thời gian tới", luật sư Thung nhấn mạnh.
Tuệ Minh
