Luật mới không chỉ khẳng định dữ liệu cá nhân không phải là hàng hóa để mua bán, mà còn thiết lập cơ chế kiểm soát chặt chẽ việc thu thập, sử dụng và chia sẻ dữ liệu, bảo vệ quyền riêng tư của mỗi công dân.

Chặn đứng hành vi giao dịch dữ liệu cá nhân

Ngày 26/6/2025, Quốc hội đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân với tỷ lệ tán thành rất cao (90,59%), đánh dấu bước tiến quan trọng trong hệ thống pháp luật Việt Nam về bảo vệ quyền riêng tư trong kỷ nguyên số. Luật gồm 5 chương, 39 điều, sẽ có hiệu lực thi hành từ ngày 1/1/2026.

Trong bối cảnh dữ liệu cá nhân đang trở thành tài nguyên có giá trị không kém gì tài sản vật chất, việc bị đánh cắp thông tin và sử dụng trái phép cho mục đích lừa đảo, xâm phạm đời tư, rửa tiền… đã khiến xã hội lo ngại sâu sắc.

Trên không gian mạng, nhiều đối tượng phạm tội đã dùng dữ liệu thu thập trái phép để mạo danh người khác, mở tài khoản ngân hàng, đăng ký vay tín dụng đen, thậm chí “rửa” tiền qua các pháp nhân giả. Hàng loạt vụ việc chiếm đoạt hàng trăm triệu đến hàng tỷ đồng đều có điểm chung là kẻ gian nắm giữ được thông tin nhạy cảm: số căn cước, địa chỉ, hình ảnh khuôn mặt, số điện thoại, danh sách liên hệ…

Thực tế thời gian qua cho thấy việc mua bán dữ liệu cá nhân diễn ra công khai và gần như không bị xử lý hình sự. Điều này xuất phát từ lỗ hổng pháp lý: Việt Nam chưa có luật chuyên biệt về bảo vệ dữ liệu cá nhân, khiến hành lang pháp lý bị phân tán và thiếu chế tài đủ sức răn đe.

Luật mới lần đầu tiên quy định rõ ràng khái niệm, quyền, nghĩa vụ của cá nhân và tổ chức liên quan đến dữ liệu cá nhân. Quan trọng hơn, Điều 7 của Luật quy định cấm tuyệt đối hành vi mua bán dữ liệu cá nhân. Theo Chủ nhiệm Ủy ban Quốc phòng và An ninh Lê Tấn Tới, đây là bước đi cần thiết để chặn đứng tình trạng nhân viên nội bộ rao bán thông tin người dùng, dữ liệu bị khai thác tràn lan không kiểm soát.

Bên cạnh việc cấm mua bán, Luật còn đặt ra các nguyên tắc xử lý dữ liệu rõ ràng như: chỉ xử lý khi có sự đồng ý, đúng mục đích, có thời hạn rõ ràng và người dùng có quyền rút lại sự đồng ý bất kỳ lúc nào.

Việc áp dụng xác thực sinh trắc học (khuôn mặt, vân tay) trong ngân hàng là một trong những ứng dụng cụ thể của mục tiêu bảo vệ dữ liệu. Ngân hàng Nhà nước thời gian qua đã yêu cầu toàn bộ cá nhân và tổ chức phải xác thực tài khoản ngân hàng bằng dữ liệu sinh trắc học, đặc biệt với tài khoản doanh nghiệp vốn là “vùng trũng” cho hành vi rửa tiền và lừa đảo.

Theo thống kê, chỉ sau 6 tháng áp dụng xác thực sinh trắc học, nhiều tổ chức tín dụng ghi nhận số vụ gian lận danh tính giảm hơn 40%. Việc xác thực qua khuôn mặt và đối chiếu thông tin từ căn cước công dân gắn chip đã khiến việc giả mạo trở nên vô cùng khó khăn, từ đó ngăn chặn sớm hành vi mở tài khoản bằng giấy tờ giả.

Bên cạnh thành công về mặt kỹ thuật, rào cản pháp lý vẫn là điều cần được giải quyết. Việc luật hóa các quy định liên quan đến dữ liệu sinh trắc học như quyền được biết, quyền đồng ý, quyền yêu cầu xóa… sẽ giúp tăng niềm tin của người dân, doanh nghiệp và giảm nguy cơ lạm dụng dữ liệu.

Lợi ích lớn nhưng cần hành lang bảo vệ rõ ràng

Một điểm đáng chú ý trong Luật Bảo vệ dữ liệu cá nhân là quy định: Dữ liệu cá nhân không được coi là tài sản có thể giao dịch, mà là quyền nhân thân gắn với từng cá thể. Quy định này phù hợp với thông lệ quốc tế, đặc biệt là khối EU, nơi Quy định bảo vệ dữ liệu chung (GDPR) đã được áp dụng từ năm 2018.

Tại Việt Nam, trong thời gian chưa có luật, đã có nhiều vụ rao bán gói dữ liệu như: “56 triệu thông tin dữ liệu cá nhân tại Huế”, “30.000 thông tin khách hàng ngân hàng”… Những hành vi này gây tổn hại nghiêm trọng đến quyền riêng tư, uy tín tổ chức và là mảnh đất màu mỡ cho tội phạm công nghệ cao hoạt động.

Việc đưa ra chế tài nghiêm ngặt, khẳng định dữ liệu không phải hàng hóa sẽ là bước ngoặt quan trọng trong việc thay đổi nhận thức xã hội từ các doanh nghiệp cho đến người dùng cá nhân. Tất cả phải coi dữ liệu là “tài sản vô hình” cần bảo mật tuyệt đối, không thể trao đổi như món hàng trên chợ mạng.

Mặc dù Luật đã được ban hành, nhưng thách thức lớn nhất trong thời gian tới nằm ở khâu thực thi. Đặc biệt, với các tổ chức có yếu tố nước ngoài, doanh nghiệp FDI hoặc các nền tảng công nghệ lớn, việc kiểm soát dữ liệu xuyên biên giới sẽ là bài toán không đơn giản.

Bên cạnh đó, cơ chế kiểm tra, giám sát, xử phạt cũng cần được thiết kế cụ thể và có tính khả thi cao. Nếu không có hệ thống giám sát dữ liệu đủ mạnh, không có cơ quan chuyên trách đủ thẩm quyền, Luật có nguy cơ “đứng trên giấy”.

Ngân hàng Nhà nước hiện đang xây dựng kho dữ liệu các tài khoản nghi ngờ gian lận để hỗ trợ công tác phòng ngừa lừa đảo. Các chuyên gia cũng đề xuất sớm thành lập Ủy ban Bảo vệ dữ liệu cá nhân là một cơ quan độc lập có chức năng kiểm tra, cấp phép, giám sát các hoạt động xử lý dữ liệu trong cả khu vực công và tư.

Cuối cùng, Luật Bảo vệ dữ liệu cá nhân sẽ chỉ phát huy hiệu quả nếu đi đôi với tuyên truyền, giáo dục và nâng cao nhận thức người dân. Trong bối cảnh công nghệ AI phát triển chóng mặt, nhiều người dân vẫn chưa nhận thức đầy đủ về tầm quan trọng của thông tin cá nhân, dễ dàng cung cấp dữ liệu sinh trắc học cho bên thứ ba mà không kiểm tra tính hợp pháp.

Theo ông Vũ Ngọc Sơn - Trưởng ban Công nghệ & Hợp tác quốc tế của Hiệp hội An ninh mạng quốc gia (NCA), việc ban hành luật là điều kiện cần, nhưng điều kiện đủ là tạo ra văn hóa bảo vệ dữ liệu, trong đó mọi người dân đều có khả năng kiểm soát thông tin của mình.

Luật Bảo vệ dữ liệu cá nhân không chỉ là công cụ quản lý nhà nước, mà còn là hàng rào phòng vệ quan trọng bảo vệ người dân trước các rủi ro từ không gian mạng. Trong bối cảnh lừa đảo qua tài khoản ngân hàng, mạng xã hội, SIM rác… ngày càng phổ biến và tinh vi, việc luật hóa quyền bảo vệ dữ liệu cá nhân chính là đòn bẩy để xây dựng một môi trường số an toàn, minh bạch và văn minh.