Rò rỉ dữ liệu cá nhân và trách nhiệm của nền tảng, sàn thương mại điện tử

Luật Bảo vệ dữ liệu cá nhân đã được Quốc hội thông qua ngày 25/6/2025 và có hiệu lực chính thức từ 1/1/2026. Đồ họa: TT

Lỗ hổng từ hệ thống và sự chủ quan của người dùng

Thông tin từ Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) cho biết, trong nửa đầu năm 2025, lực lượng chức năng đã xử lý 56 vụ mua bán trái phép dữ liệu cá nhân, với quy mô lên đến hơn 110 triệu bản ghi.

Báo cáo từ Công ty An ninh mạng Viettel cũng cho thấy, trong năm 2024, Việt Nam ghi nhận 14,5 triệu tài khoản bị rò rỉ, chiếm tới 12% tổng số tài khoản bị lộ lọt trên toàn cầu. Cũng trong năm 2024, đã xảy ra 134 vụ lộ dữ liệu lớn, liên quan đến khoảng 294 triệu bản ghi thông tin khách hàng và 184,3 GB dữ liệu nhạy cảm.

Các loại dữ liệu bị rao bán rất đa dạng, từ tên, địa chỉ, số Điện thoại, email… đến lịch sử giao dịch ngân hàng, hồ sơ khám chữa bệnh, thông tin truy cập web và cả dữ liệu sinh trắc học. Trong đó, dữ liệu từ các sàn TMĐT là nguồn dữ liệu được giới tội phạm mạng đặc biệt nhắm tới.

Hậu quả không chỉ dừng lại ở việc bị làm phiền bởi tin nhắn, cuộc gọi rác. Nhiều người dùng đã bị đánh cắp danh tính, lừa đảo tài chính, chiếm đoạt tài khoản, gây thiệt hại nghiêm trọng cả về vật chất lẫn tinh thần.

Một phần nguyên nhân của tình trạng rò rỉ dữ liệu đến từ sự thiếu chặt chẽ trong vận hành hệ thống của các doanh nghiệp và tổ chức. Nhiều đơn vị vẫn tồn tại các kẽ hở trong quy trình khai thác, lưu trữ và xử lý dữ liệu người dùng. Điều này tạo điều kiện thuận lợi để tin tặc dễ dàng đột nhập, đánh cắp thông tin.

Ngoài ra, việc thu thập dữ liệu cá nhân ngày càng phổ biến, đặc biệt trong TMĐT, nơi thông tin người dùng được sử dụng để phục vụ cho quảng cáo, cá nhân hóa nội dung và ra quyết định kinh doanh. Lợi ích kinh tế khiến không ít cá nhân, tổ chức bất chấp quy định pháp luật, tìm mọi cách để thu thập và khai thác dữ liệu trái phép.

Một yếu tố đáng lo ngại khác là ý thức bảo vệ thông tin cá nhân của người dân còn rất hạn chế. Nhiều người vẫn chưa nhận thức rõ quyền sở hữu dữ liệu cá nhân của chính mình, dễ dàng chia sẻ thông tin cho các ứng dụng, dịch vụ mà không kiểm tra điều khoản, chính sách bảo mật.

Trách nhiệm không thể chối bỏ của nền tảng số

AI đang mang đến khả năng phân tích và tổng hợp dữ liệu khổng lồ, vượt xa giới hạn con người. Thông qua AI, các hệ thống có thể xây dựng mô hình hành vi, thói quen người dùng, từ đó đưa ra dự đoán, tác động đến quyết định mua sắm và đời sống cá nhân.

Tuy nhiên, chính điều này lại khiến quyền riêng tư cá nhân đứng trước nhiều thách thức. Nếu bị khai thác trái phép, dữ liệu cá nhân có thể bị lợi dụng cho các mục đích thao túng tâm lý, lừa đảo tinh vi hoặc tấn công mạng quy mô lớn.

Việt Nam hiện đã có một số khung pháp lý nền tảng như Luật An ninh mạng 2018 và Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Tuy nhiên, các chuyên gia cho rằng những quy định này chưa theo kịp tốc độ phát triển của công nghệ, đặc biệt là AI và hệ sinh thái số hiện nay.

Trước thực trạng đó, Luật Bảo vệ dữ liệu cá nhân đã được Quốc hội thông qua ngày 25/6/2025 và có hiệu lực chính thức từ 1/1/2026. Điểm đáng chú ý của luật mới là quy định mức phạt dựa trên doanh thu, với hình phạt lên tới 5% tổng doanh thu năm liền kề cho các hành vi vi phạm nghiêm trọng trong xử lý dữ liệu cá nhân.

Theo Luật sư Bùi Văn Đức (Đoàn luật sư TP Hồ Chí Minh), người dân cần chủ động tìm hiểu và cập nhật luật, nắm rõ quyền lợi để có thể yêu cầu các nền tảng số, đặc biệt là các sàn TMĐT, thực hiện đúng trách nhiệm trong việc thu thập, xử lý dữ liệu cá nhân.

Hiện nay, nhiều nền tảng, sàn TMĐT đã triển khai biện pháp bảo mật mạnh hơn như: mã hóa dữ liệu và bảo mật đầu cuối; xác thực đa yếu tố; tăng cường kiểm soát quyền riêng tư; phát hiện và chặn trang web, email lừa đảo; kiểm soát nghiêm ngặt ứng dụng bên thứ ba; xử lý sự cố nhanh với đội ngũ chuyên trách… Tuy nhiên, thách thức vẫn còn lớn. Hình thức tấn công của tội phạm mạng ngày càng tinh vi, mức độ nguy hiểm cao.

Luật sư Bùi Văn Đức cho rằng: Các nền tảng số, đặc biệt là trong lĩnh vực TMĐT, cần thay đổi tư duy: Mạng xã hội, sàn TMĐT, ứng dụng tiện ích… là nơi nắm giữ khối lượng khổng lồ dữ liệu người dùng. Do vậy, khi xảy ra lộ lọt thông tin, trách nhiệm đầu tiên phải thuộc về các nền tảng số.

Bảo vệ dữ liệu cá nhân không thể là phản ứng bị động sau sự cố, mà phải là chiến lược ngay từ khi thiết kế hệ thống. Nghĩa là, cần áp dụng nguyên tắc “bảo mật theo thiết kế”, tích hợp tính năng bảo vệ dữ liệu vào cốt lõi sản phẩm ngay từ khâu ý tưởng. Cụ thể: đầu tư vào công nghệ mã hóa hiện đại; xây dựng kiến trúc bảo mật nhiều tầng; thuê kiểm định bảo mật từ bên thứ ba độc lập; ứng dụng AI để phát hiện và ngăn chặn rủi ro sớm.

“Các nền tảng, sàn TMĐT cũng cần công khai chính sách quyền riêng tư rõ ràng; cho phép người dùng dễ dàng chỉnh sửa, xóa hoặc giới hạn chia sẻ dữ liệu cá nhân; thông báo minh bạch và kịp thời nếu có sự cố rò rỉ, đặc biệt là cần hợp tác chặt chẽ với cơ quan chức năng trong điều tra và xử lý tội phạm mạng”, Luật sư Bùi Văn Đức nhấn mạnh.

Các chuyên gia khuyến cáo, cơ quan, tổ chức có hoạt động thu thập, xử lý dữ liệu cá nhân cần nghiên cứu và tuân thủ nghiêm ngặt Luật Bảo vệ dữ liệu cá nhân để tránh rơi vào vòng pháp lý và bị xử phạt nặng khi luật có hiệu lực.

Để xây dựng một môi trường mạng an toàn và phát triển bền vững, cần sự chung tay của cả cơ quan quản lý, người dùng, nền tảng và sàn TMĐT. Chỉ khi cả ba yếu tố này phối hợp nhịp nhàng, TMĐT Việt Nam mới có thể tiến nhanh và bền vững trên hành trình chuyển đổi số, phát triển một xã hội số an toàn và bền vững.