Dữ liệu cá nhân là tài nguyên cốt lõi của chuyển đổi số 

Thượng tá Nguyễn Đình Đỗ Thi, Phó trưởng phòng Tham mưu, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an trình bày đề dẫn "Luật Bảo vệ dữ liệu cá nhân 2025 - Một số vấn đề cần lưu ý trong triển khai thi hành".

Phát biểu tại Tọa đàm “Bảo vệ dữ liệu cá nhân - quyền và trách nhiệm” ngày 31/12/2025 vừa qua, Thượng tá Nguyễn Đình Đỗ Thi, Phó trưởng phòng Tham mưu, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an nhận định, bảo vệ dữ liệu cá nhân là yêu cầu cấp bách và nhiệm vụ xuyên suốt, không thể tách rời trong quá trình chuyển đổi số quốc gia.

Thượng tá cho biết, theo các số liệu được cung cấp, đến tháng 12/2025, Việt Nam nằm trong nhóm quốc gia có tốc độ tăng trưởng Internet cao nhất thế giới, với khoảng 80 triệu người dùng Internet, xếp thứ 12 toàn cầu. Trung bình, mỗi người dân Việt Nam dành 6 giờ 38 phút mỗi ngày cho các hoạt động trực tuyến phục vụ học tập, lao động và giải trí.

Trong kỷ nguyên số, dữ liệu cá nhân đã trở thành nguồn nguyên liệu vô cùng quan trọng và quý giá. Trên thế giới, dữ liệu được ví như “dầu mỏ mới”, như “oxy” của nền kinh tế hay như “máu” trong hệ tuần hoàn của con người. Hầu hết các tập đoàn công nghệ lớn đều sở hữu kho dữ liệu khổng lồ, tạo ra nguồn thu siêu lợi nhuận. Tại Việt Nam, các nền tảng xuyên biên giới hiện đang nắm giữ dữ liệu của hàng chục triệu người dùng.

Thượng tá Nguyễn Đình Đỗ Thi cho biết, cùng với sự bùng nổ của dữ liệu là những rủi ro ngày càng lớn. Theo thống kế năm 2024, Việt Nam ghi nhận hơn 659.000 vụ tấn công mạng, trong đó trên 10.000 vụ nhắm trực tiếp vào các cơ quan nhà nước và doanh nghiệp. Ngân hàng là một trong những mục tiêu tấn công thường xuyên, với các hành vi đánh cắp thông tin, chiếm đoạt tiền và thực hiện các vi phạm pháp luật khác.

Đáng chú ý, hình thức tấn công mã hóa dữ liệu tống tiền (ransomware) được đánh giá là đặc biệt nguy hiểm. Nhiều tổ chức, doanh nghiệp đã bị mã hóa toàn bộ dữ liệu và buộc phải trả tiền chuộc để khôi phục hệ thống, với số tiền trong một số trường hợp lên tới hàng chục triệu USD. Trên thế giới, ransomware được xếp ngang với các loại tội phạm khủng bố mới, với dự báo đến năm 2031, thiệt hại kinh tế toàn cầu có thể đạt 10,5 nghìn tỷ USD.

Không chỉ dừng lại ở tấn công mạng, tình trạng lộ, mất bí mật nhà nước và dữ liệu quan trọng qua môi trường mạng diễn ra âm thầm, khó phát hiện. Nhiều kho dữ liệu cốt lõi, trị giá hàng tỷ USD, có nguy cơ bị đánh cắp nếu không được bảo vệ tương xứng.

Tại Việt Nam, mua bán trái phép thông tin, dữ liệu cá nhân đang diễn ra tràn lan trên không gian mạng, đặc biệt là các nền tảng mạng xã hội, diễn đàn ngầm và hội nhóm kín. Dữ liệu của hàng chục triệu người Việt Nam được phân loại chi tiết để giao bán, từ thông tin cơ bản đến các dữ liệu nhạy cảm như căn cước công dân, tài khoản ngân hàng. Riêng năm 2024, hơn 14,5 triệu tài khoản tại Việt Nam bị rò rỉ, gây thiệt hại hàng chục triệu USD.

Một nguy cơ khác đến từ các thiết bị IoT tích hợp camera thông minh. Nhiều thiết bị điện tử có thể bị chiếm quyền điều khiển, dẫn tới việc đánh cắp thông tin, xâm phạm nghiêm trọng đời tư cá nhân. Thực tế đã ghi nhận nhiều vụ việc hacker sử dụng hình ảnh nhạy cảm thu thập được để tống tiền nạn nhân, gây hậu quả đặc biệt nghiêm trọng.

Luật Bảo vệ dữ liệu cá nhân: Siết trách nhiệm, tăng chế tài

Từ thực tiễn nêu trên, theo Thượng tá Nguyễn Đình Đỗ Thi, việc ban hành Luật Bảo vệ dữ liệu cá nhân năm 2025 là bước đi cần thiết nhằm hoàn thiện khung pháp lý, khắc phục những khoảng trống trong công tác bảo vệ dữ liệu cá nhân tại Việt Nam.

Luật gồm 5 chương, 39 điều, quy định toàn diện từ khái niệm, nguyên tắc bảo vệ dữ liệu cá nhân đến quyền, nghĩa vụ của các chủ thể liên quan. Một điểm nổi bật là mở rộng phạm vi áp dụng: luật không chỉ điều chỉnh các cơ quan, tổ chức, cá nhân trong nước mà còn áp dụng đối với tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam, kể cả khi không có pháp nhân hoặc đăng ký kinh doanh tại Việt Nam.

Luật cũng làm rõ các khái niệm nền tảng như dữ liệu cá nhân, xử lý dữ liệu cá nhân, sự đồng ý của chủ thể dữ liệu, đồng thời phân định rõ vai trò và trách nhiệm của các bên tham gia xử lý dữ liệu, bao gồm: bên kiểm soát dữ liệu, bên xử lý dữ liệu, bên kiểm soát và xử lý dữ liệu, và bên thứ ba.

Đối với chủ thể dữ liệu cá nhân, luật quy định rõ các quyền cơ bản như quyền được biết, quyền đồng ý hoặc rút lại sự đồng ý, quyền truy cập, chỉnh sửa, xóa dữ liệu, quyền phản đối xử lý và quyền khiếu nại, yêu cầu bồi thường. Song song, chủ thể dữ liệu cũng có nghĩa vụ tự bảo vệ dữ liệu của mình, tôn trọng dữ liệu cá nhân của người khác và tuân thủ quy định pháp luật.

Luật đặc biệt siết chặt trách nhiệm đối với các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến. Các đơn vị cung cấp dịch vụ phải thông báo rõ nội dung dữ liệu thu thập; không được yêu cầu hình ảnh, video chứa giấy tờ tùy thân để xác thực tài khoản; phải cung cấp lựa chọn “không theo dõi” và chỉ được theo dõi hoạt động người dùng khi có sự đồng ý; không nghe lén, ghi âm hoặc đọc tin nhắn trái phép.

Về chế tài, Luật Bảo vệ dữ liệu cá nhân năm 2025 đưa ra mức xử phạt mạnh chưa từng có. Hành vi mua bán dữ liệu cá nhân có thể bị phạt tiền tối đa gấp 10 lần khoản thu bất hợp pháp. Vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới có thể bị phạt tối đa 5% doanh thu của năm liền kề trước đó. Trường hợp không xác định được doanh thu, mức phạt tối đa là 3 tỷ đồng. Ngoài xử phạt hành chính, các hành vi vi phạm nghiêm trọng còn có thể bị truy cứu trách nhiệm hình sự và buộc bồi thường thiệt hại theo quy định của pháp luật.

Thượng tá Nguyễn Đình Đỗ Thi cho rằng, Luật Bảo vệ dữ liệu cá nhân năm 2025, không chỉ nhằm xử lý vi phạm mà còn hướng tới mục tiêu lâu dài là bảo vệ quyền con người trong không gian số, đồng thời tạo nền tảng pháp lý an toàn để dữ liệu với vai trò là tài nguyên mới được khai thác hợp pháp, phục vụ phát triển kinh tế - xã hội và chuyển đổi số bền vững.

Thu Uyên