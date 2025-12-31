Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ 1/1/2026, quy định mức phạt đến ba tỷ đồng cho vi phạm hành chính, riêng hành vi mua bán dữ liệu trái phép bị phạt gấp 10 lần số tiền thu lợi bất chính.

Thông tin được Thượng tá Nguyễn Đình Đỗ Thi, Phó trưởng phòng tham mưu - Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an) đề cập tại tọa đàm bảo vệ dữ liệu cá nhân do Hiệp hội An ninh mạng Quốc gia tổ chức ngày 31/12.

Hơn 110 triệu bản ghi dữ liệu bị đánh cắp trong 6 tháng

Bối cảnh ra đời của các chế tài mạnh tay xuất phát từ thực trạng "chợ đen" dữ liệu đang diễn biến phức tạp. Theo thống kê của A05, tính riêng 6 tháng đầu 2025, lực lượng chức năng đã phát hiện và xử lý 56 vụ liên quan đến mua bán trái phép dữ liệu. Quy mô các vụ lên tới hơn 110 triệu bản ghi dữ liệu bị thu thập và giao dịch.

Dữ liệu này thường bị các nhóm tội phạm sử dụng để giả danh ngân hàng, doanh nghiệp viễn thông, cơ quan công quyền nhằm lừa đảo chiếm đoạt tài sản. Thượng tá Thi cho biết, năm 2024 Việt Nam hứng chịu hơn 659.000 vụ tấn công mạng, trong đó hơn 10.000 vụ nhắm trực tiếp vào hệ thống của cơ quan Nhà nước và doanh nghiệp.

Tại sự kiện, Đại tá Nguyễn Hồng Quân, Phó cục trưởng A05, nhận định Luật Bảo vệ dữ liệu cá nhân là bước ngoặt quan trọng trong tư duy lập pháp. "Quyền được bảo vệ dữ liệu cá nhân, trước đây được hiểu là một phần của quyền riêng tư, nay trở thành một quyền độc lập, được pháp luật ghi nhận và bảo hộ", ông nhấn mạnh, thêm rằng Việt Nam đã gia nhập nhóm quốc gia có quy định pháp lý cụ thể về vấn đề này, thể hiện cam kết xây dựng môi trường số an toàn.

Thượng tá Nguyễn Đình Đỗ Thi, Phó trưởng phòng tham mưu - Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an). Ảnh: Chí Hiếu

Chế tài xử phạt

Điểm đáng chú ý của Luật là khung hình phạt mang tính răn đe cao. Theo Thượng tá Nguyễn Đình Đỗ Thi, đối với vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu, mức phạt tối đa là 3 tỷ đồng. Đặc biệt, với hành vi kinh doanh, mua bán dữ liệu cá nhân trái phép, mức phạt tiền tối đa lên tới 10 lần khoản thu có được từ hành vi vi phạm.

"Đây là những điểm mới và là chế tài mạnh để các chủ thể có trách nhiệm hơn trong việc đảm bảo an toàn dữ liệu cho người dùng", ông nhận định.

Cơ quan soạn thảo khuyến cáo người dân chủ động bảo vệ mật khẩu, sử dụng xác thực đa lớp và cân nhắc kỹ các điều khoản trước khi sử dụng dịch vụ số. Với doanh nghiệp, đặc biệt là đơn vị xử lý dữ liệu, cần áp dụng biện pháp kỹ thuật xuyên suốt từ khâu thu thập đến lưu trữ.

"Khi phát hiện hành vi vi phạm hoặc hệ thống bị tấn công, doanh nghiệp phải báo ngay cho cơ quan chức năng để xử lý, đồng thời phối hợp cung cấp thông tin phục vụ điều tra", đại diện A05 khuyến cáo.

Từ góc độ chuyên gia, ông Ngô Tuấn Anh, Phó trưởng ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân - Hiệp hội An ninh mạng Quốc gia, cho rằng để luật đi vào cuộc sống cần ba yếu tố: nhân lực, quy trình và công nghệ. Theo ông, không hệ thống nào an toàn nếu con người thiếu hiểu biết pháp luật và rủi ro. Do đó, việc đào tạo không chỉ dành cho đội ngũ kỹ thuật mà cần mở rộng tới lãnh đạo và bộ phận pháp lý. Bên cạnh đó, các tổ chức cần rà soát lại toàn bộ vòng đời dữ liệu để xây dựng quy trình chuẩn hóa.

"Bảo vệ dữ liệu không thể dựa vào một giải pháp đơn lẻ mà cần hệ sinh thái công nghệ nhiều lớp, từ giám sát, phòng ngừa đến quản trị rủi ro. Việc phát triển các giải pháp Make in Viet Nam phù hợp với điều kiện trong nước sẽ giúp giảm chi phí tuân thủ cho doanh nghiệp", ông Tuấn Anh đề xuất.

Điệp Anh