Mua bán dữ liệu cá nhân là “chuyện lớn” – đó là nguồn gốc của lừa đảo, mất tiền, mất quyền riêng tư, mất bình an nội tâm và mất an toàn xã hội.

Thật tốt khi nhà nước đang cố gắng giải quyết vấn đề này.

Nguyễn Bảo Ngọc

• Khi dữ liệu cá nhân thành hàng hóa
• Xử phạt nặng mua bán dữ liệu cá nhân

***

Khi dữ liệu cá nhân thành hàng hóa

CAND – Thứ Tư, 20/08/2025, 15:31

Chỉ với vài thao tác tìm kiếm trên mạng xã hội, không khó để bắt gặp những bài rao bán thông tin cá nhân như: số điện thoại, tài khoản ngân hàng, data người mua nhà, data phụ huynh trường quốc tế… Việc mua bán dữ liệu nhạy cảm diễn ra công khai, tràn lan, tiềm ẩn nguy cơ trở thành công cụ cho các hành vi lừa đảo, chiếm đoạt tài sản.

Đáp ứng đủ mọi nhu cầu

Chỉ cần vài cú click chuột và gõ trên thanh công cụ tìm kiếm Google về dữ liệu cá nhân, người dùng có thể nhận vô vàn kết quả có liên quan đến những website cung cấp dịch vụ mua bán thông tin. Cụ thể, khi gõ từ khóa “danh sách khách hàng”, chỉ trong vòng 0,84 giây đã có khoảng 254 triệu kết quả với nhiều trang web mua bán thông tin khách hàng.

Các gói dữ liệu được chia nhỏ cho nhiều phân khúc khách hàng khác nhau: từ danh sách người vừa mua ôtô, khách hàng tham gia bảo hiểm nhân thọ, những người có tài khoản tiết kiệm ngân hàng cho đến phụ huynh học sinh hay doanh nhân. Thậm chí, có website còn quảng cáo bán “data phụ nữ mới sinh”, “data khách vay tiền nóng”, hay “data người vừa mua nhà, chung cư cao cấp”. Điều đáng nói, các trang này thường cung cấp hai loại dịch vụ: miễn phí và trả phí. Với gói miễn phí, một số website thẳng tay công khai cả danh sách khách hàng ngay trên trang: tên, tuổi, địa chỉ nơi ở, số điện thoại cá nhân… chỉ cần vài thao tác tải xuống là có ngay. Riêng dữ liệu thu phí được bán theo dạng “list” phân loại kỹ lưỡng, có kèm nghề nghiệp, thu nhập ước tính, sở thích, tình trạng hôn nhân, con cái… như thể người bán nắm trong tay cả hồ sơ đời tư của người khác.

Không chỉ dừng lại ở website, trên Facebook, khi tìm kiếm các từ khóa “data khách hàng”, “dữ liệu khách hàng”, “data khách hàng tiềm năng”, người dùng có thể thấy hàng chục hội nhóm, mỗi nhóm vài ngàn đến cả chục ngàn thành viên, công khai rao bán dữ liệu. Nhóm “Data khách hàng tiềm năng” với hơn 10.000 thành viên tự giới thiệu là “nơi giao lưu, tự do mua bán, trao đổi Data khách hàng tiềm năng tất cả các ngành, lĩnh vực”. Hay một nhóm khác có hơn 8.000 thành viên đặt tên nghe rất “chuyên nghiệp”: “Hội mua bán trao đổi data tiềm năng toàn quốc: uy tín, giá rẻ”.

Trong vai một người có nhu cầu tìm danh sách khách hàng VIP để phục vụ kinh doanh, phóng viên dễ dàng kết nối với nhiều tài khoản Facebook được cho là “cò chuyên nghiệp”. Những “cò” này thường xuyên bình luận dạo, nhắn tin chào mời thẳng: “Chị cần data ngân hàng không? Có list khách có sổ tiết kiệm, số dư vài trăm triệu trở lên, bảo đảm chuẩn 100%”, hay “Em có danh sách phụ huynh trường quốc tế, kèm số điện thoại và email. Dùng để bán khóa học tiếng Anh thì tuyệt vời luôn”.

Không chỉ dừng lại ở đó, qua ứng dụng nhắn tin, phóng viên còn tiếp cận một người bán dữ liệu có tên chữ nước ngoài “金的”. Cuộc trao đổi diễn ra chóng vánh nhưng hé lộ cách vận hành tinh vi của “công xưởng” dữ liệu ngầm. Ngay khi được hỏi, đối tượng này chào hàng: “Bên mình bán data nhé, bạn cần mua data gì?”. Khi phóng viên nói cần dữ liệu khách hàng thời trang ở nội thành Hà Nội, người này hỏi ngay: “Cửa hàng bán thời trang hay khách hàng mua?”, điều này cho thấy việc phân loại dữ liệu được làm rất chuyên sâu.

Chỉ vài phút sau, bảng giá được đưa ra: “Loại này xâm nhập quét tốn tiền nên giá cao, 3k/1s (3000 đồng/ 1 số điện thoại: đủ thông tin cá nhân) đồng giá cấp đại lý”. Để tạo niềm tin, người bán còn bảo hành: “Sai số, trùng số thì đổi 1-1. Dùng data không ok thì cứ phản ánh, mình xử lý ngay, chứ im im mất tích thì mình mất uy tín, mất cả khách hàng”.

Đáng chú ý hơn, người này còn tiết lộ cách “sản xuất” dữ liệu: “Xâm nhập quét tầm 30-35 phút ra file. Data để sẵn cắt ra bán dễ bị nát lắm. Bên anh khi khách hay đại lý lấy thì mới xâm nhập quét mới, như vậy chất lượng nó ok, không bị nát”. Nghĩa là dữ liệu cá nhân không hề lưu kho sẵn mà được “quét” trực tiếp từ hệ thống mỗi khi có khách đặt, đảm bảo tính cập nhật và độ chính xác.

Người này còn khẳng định: “Anh cấp cả cho mấy đại lý nên anh để giá khách với đại lý đồng giá. Mua số lượng bao nhiêu thì chốt, anh fix giá cho”. Từ cách chào mời, báo giá, bảo hành đến “dịch vụ hậu mãi”, tất cả được vận hành trơn tru, không khác gì một ngành kinh doanh hợp pháp.

Chỉ qua vài tin nhắn, có thể thấy rõ một thị trường ngầm đang hoạt động công khai, nơi dữ liệu cá nhân được rao bán dễ dàng, rẻ rúng và tinh vi chẳng khác nào những món hàng tiêu dùng ngoài chợ chỉ khác ở chỗ “món hàng” này chính là đời tư của hàng triệu người dân.

Nếu Facebook là nơi “cò” công khai rao bán thì Telegram lại là “chợ ngầm” kín đáo hơn, nơi mọi giao dịch được bọc dưới lớp vỏ an toàn của mã hóa. Trong vai người đi tìm danh sách khách hàng tiềm năng, phóng viên chỉ cần tham gia vài group Telegram có hàng nghìn thành viên là lập tức nhận được tin nhắn riêng từ những tài khoản ẩn danh, avatar toàn ký tự lạ mắt hoặc hình logo hacker. Một người tự xưng “Admin DataPro” chào mời: “Bên em có data bất động sản, toàn khách mua căn hộ cao cấp, số dư tài khoản vài tỷ, cam kết sạch 100%. Chị muốn mua gói lẻ hay gói full?”. Người khác thì gạ gẫm: “Có list bệnh nhân đang điều trị tại các bệnh viện quốc tế, kèm số điện thoại và email. Bên chị bán bảo hiểm hay dược phẩm thì chạy đơn bao nhanh”.

Điểm đặc biệt của các nhóm trên Telegram là cơ chế giao dịch cực kỳ chuyên nghiệp. Ngay khi phóng viên gợi ý muốn kiểm tra, một “cò” lập tức gửi file demo vài chục số để tạo lòng tin, kèm lời bảo đảm: “Ở đây bọn em bán theo chuẩn quốc tế: thanh toán qua USDT hoặc chuyển khoản, có bot kiểm tra đơn. Data lỗi, trùng lặp thì bot tự động cấp lại. Không bao giờ lo mất tiền”. Chỉ sau vài tin nhắn, bảng giá chi tiết cũng được gửi kèm file PDF: data ngân hàng từ 5.000 – 7.000 đồng/số, data phụ huynh trường quốc tế từ 8.000 đồng/số, còn data doanh nhân thì “giá đặc biệt” tính theo gói, lên tới vài chục triệu đồng một lần mua.

Càng nguy hiểm hơn, một “đầu nậu” còn tiết lộ cách thức “sản xuất” dữ liệu ngay tại chỗ: “Server bên mình cắm tool auto quét real-time, khách đặt là quét trực tiếp từ hệ thống, không phải hàng tồn. Data update từng phút, không lo bị chai, bị nát”. Với những lời chào hàng trơn tru, chính sách “bảo hành” như dịch vụ chính thống và cả hệ thống bot tự động hỗ trợ giao dịch, thị trường ngầm trên Telegram hiện ra như một doanh nghiệp hợp pháp, chỉ khác rằng “sản phẩm” họ buôn bán chính là thông tin riêng tư của hàng triệu người.

Vào tù vì mua bán dữ liệu cá nhân

Mới đây, vào ngày 13/8, TAND TP Huế mở phiên sơ thẩm xét xử 6 bị cáo về tội “sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” liên quan vụ mua bán trái phép hơn 53 triệu dữ liệu cá nhân của công dân ở 63 tỉnh, thành cũ trước khi sáp nhập.

Theo cáo trạng, từ năm 2019 đến tháng 12/2024, Lê Công Định (27 tuổi, quê Hưng Yên) đã thu thập và mua hơn 53 triệu dữ liệu thông tin cá nhân gồm họ tên, số căn cước công dân, số điện thoại, địa chỉ, thông tin bất động sản, bảo hiểm xã hội, tài khoản ngân hàng, chứng khoán… với dung lượng 306 GB.

Định khai mua dữ liệu với giá từ vài trăm ngàn đến vài triệu đồng mỗi lần giao dịch, sau đó rao bán trên mạng xã hội với giá khoảng 300 đồng/thông tin. Điều đáng nói, một thông tin Định có thể bán cho nhiều người mua khác nhau để thu lợi bất chính. Khách hàng chủ yếu của Định là những người môi giới bất động sản, quảng cáo sản phẩm, dịch vụ tài chính. Tổng cộng, Định thu hơn 892 triệu đồng, trừ chi phí mua dữ liệu, hưởng lợi bất chính hơn 842 triệu đồng.

Ngoài Định, các bị cáo khác gồm Nguyễn Vũ Thanh Tùng (34 tuổi), Nguyễn Minh Tú (25 tuổi), Nguyễn Anh Đào (34 tuổi, cùng ở TP. Hồ Chí Minh), Trương Văn Hà (25 tuổi, Ninh Bình) và Dương Thanh Lâm (43 tuổi, TP Huế) cũng bị xác định tham gia mua bán hàng triệu dữ liệu cá nhân, thu lợi bất chính từ hơn 65 triệu đến 187 triệu đồng. Kết thúc phiên tòa, hội đồng xét xử tuyên phạt Lê Công Định 15 tháng tù giam. Các bị cáo còn lại bị phạt tiền từ 20 triệu đến 25 triệu đồng.

Trước đó, vào hồi tháng 2/2025 Công an tỉnh Bình Dương (cũ) đã khởi tố vụ án, khởi tố bị can, bắt tạm giam Nguyễn Tú Anh (37 tuổi), Phạm Thị Kim Hoa (21 tuổi), Nguyễn Hoàng An (22 tuổi, cùng trú TP. Hồ Chí Minh). Đồng thời khởi tố, cấm đi khỏi nơi cư trú đối với Đặng Hữu Thiên Hưng (30 tuổi, trú tại TP Hồ Chí Minh) về tội Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông.

Theo điều tra, đối tượng Đặng Hữu Thiên Hưng là nhân viên phòng dịch vụ phát triển đối tác của một công ty có địa chỉ tại quận 7, TP. Hồ Chí Minh. Quá trình làm việc, Hưng sử dụng tài khoản giả lên các hội nhóm trên mạng xã hội Facebook để tìm kiếm mua thông tin khách hàng với giá giao động từ 100đ đến 300đ/1data (thông tin cá nhân).

Thấy việc mua bán thông tin cá nhân có thể kiếm lời, Hưng đã tìm kiếm người mua để bán lại những dữ liệu thông tin mà mình có để hưởng tiền chênh lệch.

Quá trình hoạt động cho đến nay nhóm của Hưng đã mua, bán hàng triệu dữ liệu thông tin cho nhiều đối tượng khác nhau và thu lợi bất chính số tiền trên 50 triệu đồng/đối tượng.

Cụ thể, tổng số tiền Hưng nhận được từ việc bán dữ liệu là khoảng 134 triệu đồng; Nguyễn Hoàng An khoảng 110 triệu đồng; Nguyễn Tú Anh khoảng 58 triệu đồng.

Riêng đối tượng Hoa, sau khi mua thông tin dữ liệu cá nhân, đã sử dụng để gọi điện thoại lừa đảo chiếm đoạt tài sản với thủ đoạn giả danh nhân viên ngân hàng gọi điện thoại tư vấn vay vốn rồi kêu bị hại chuyển số tiền 1,5 triệu đồng đến khoảng 6 triệu đồng với lý do là tiền bảo hiểm khoản vay, sau khi bị hại chuyển thì chiếm đoạt và chặn liên lạc. Với thủ đoạn trên, Hoa đã chiếm đoạt số tiền hơn 400 triệu đồng của các bị hại.

Trước tình hình lộ lọt dữ liệu cá nhân diễn ra nghiêm trọng, sáng 26/6, Quốc hội đã biểu quyết thông qua Luật Bảo vệ dữ liệu cá nhân với 39 điều. Trong đó nhiều hành vi bị nghiêm cấm, xử phạt nặng nếu vi phạm như: Việc sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật cũng bị nghiêm cấm. Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Tổ chức, cá nhân vi phạm liên quan bảo vệ dữ liệu cá nhân có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường.

Cụ thể, phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân bằng 10 lần khoản thu có được; với tổ chức vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó hoặc quy định khác…

Luật yêu cầu bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu phải được sự đồng ý của chủ thể cho phép sử dụng dữ liệu. Chủ thể cũng có quyền rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân khi có nghi ngờ vi phạm.

Cùng đó, dữ liệu cá nhân chỉ được công khai với các trường hợp cụ thể; được xử lý dữ liệu cá nhân mà không cần sự đồng ý với một số trường hợp liên quan đến bảo vệ sức khỏe, khẩn cấp, nguy cơ đe dọa an ninh quốc gia, quản lý nhà nước, thỏa thuận… với sự giám sát chặt chẽ.

Luật mới thông qua cũng quy định về bảo vệ dữ liệu cá nhân trong một số hoạt động. Trong đó, đáng chú ý, với các hoạt động tài chính, ngân hàng, tín dụng phải thực hiện đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm.

Phong Anh

***

Xử phạt nặng mua bán dữ liệu cá nhân

Mai Phương – Quang Thuần

TN – 03/07/2025 05:11 GMT+7

Lần đầu tiên, VN có luật Bảo vệ dữ liệu cá nhân quy định rõ nhiều hành vi bị cấm, xử phạt nặng, trong đó có việc mua bán dữ liệu cá nhân.

Chợ đen dữ liệu: Cần là có

Quốc hội vừa thông qua luật Bảo vệ dữ liệu cá nhân, sẽ có hiệu lực từ đầu năm 2026. Trong đó có các hành vi bị nghiêm cấm như xử lý dữ liệu cá nhân nhằm chống lại Nhà nước CHXHCN VN; cản trở hoạt động bảo vệ dữ liệu cá nhân; lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; xử lý dữ liệu cá nhân trái quy định của pháp luật; mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác… Luật Bảo vệ dữ liệu cá nhân ra đời được kỳ vọng sẽ giúp ngăn chặn nạn mua bán, khai thác dữ liệu cá nhân để phục vụ các hành vi gian lận, lừa đảo. Dù vậy, trên thực tế hiện vấn đề này vẫn đang diễn ra công khai trên internet, nhất là trong nhiều diễn đàn mạng xã hội.

Hôm qua 2.7, PV Thanh Niên thử tìm kiếm trên mạng về mua bán dữ liệu cá nhân (data), kết quả cho thấy thông tin rao bán vẫn tràn lan, công khai. Trong một nhóm kín trên Facebook có hơn 10.000 thành viên, chúng tôi thử đăng thông tin cần mua data khách hàng sở hữu bất động sản như căn hộ chung cư, đất nền, nhà phố… Ngay lập tức, nhiều tài khoản đã bình luận để lại thông tin liên hệ và yêu cầu nhắn tin riêng. Trong số những người chào bán, chúng tôi liên hệ với một nickname tên N.M.T thông qua số Zalo 036336xxxx. Người này khẳng định có rất nhiều data khách hàng, đáp ứng đúng yêu cầu của chúng tôi và “bao test” trước khi giao dịch. “Khách hàng mua căn hộ nào tôi cũng có, nhiều lắm. Kiểm tra thử thoải mái, đây là hàng mới, không phải danh sách cũ”, N.M.T chào mời. Khi PV hỏi giá, người này nói 1 triệu đồng/2.000 số điện thoại, cứ thế nhân lên, mua bao nhiêu tính tiền bấy nhiêu. Lấy lý do có nhiều số trong danh sách “test” gọi đổ chuông nhưng không bắt máy, chúng tôi từ chối giao dịch và tìm người bán khác.

Tương tự, trên một nhóm cộng đồng khác có 47.000 thành viên đăng ký, C.K, một người thường xuyên cung cấp data trong nhóm này, cho biết: “Trước đây, tôi bán data thường dùng phương thức trao đổi qua Telegram cho bí mật, nhưng hiện nay phương thức này đã bị ngừng hoạt động, nên cứ trao đổi trực tiếp trên Facebook Messenger hoặc Zalo. Tôi bán cho nhiều người lắm, uy tín trong nhóm này ai cũng biết, không có lừa đảo đâu”. Trong danh sách do C.K cung cấp, chúng tôi thấy rõ số điện thoại di động, địa chỉ cư trú, họ tên và cả diện tích căn hộ đang sở hữu.

Theo ông Võ Đỗ Thắng, chuyên gia an ninh mạng – Giám đốc Trung tâm tư vấn và đào tạo an ninh mạng Athena, thị trường “chợ đen” mua bán data người dùng vẫn đang hoạt động rất công khai dù luật Bảo vệ dữ liệu cá nhân đã được Quốc hội thông qua. Bởi dữ liệu cá nhân là nguồn thông tin, tài nguyên rất có giá trị và hữu ích đối với các tổ chức, doanh nghiệp (DN). Chính vì có nhu cầu nên các đối tượng mua bán dù biết là vi phạm pháp luật nhưng vẫn bất chấp hoạt động. “Mặc dù cơ quan chức năng cũng đã nỗ lực đánh sập nhiều đường dây chuyên đánh cắp và mua bán data nhưng so với thực tế thì các băng nhóm hacker vẫn còn rất nhiều, quá trình điều tra, xử lý lại kéo dài khá lâu. Vì vậy chưa đủ sức để ngăn chặn, răn đe và hạn chế tình trạng mua bán trái phép nói trên”, ông Thắng nói.

Có khung pháp lý sẽ giảm mua bán dữ liệu cá nhân

Theo Hiệp hội An ninh mạng quốc gia, năm 2024, tình trạng lộ lọt dữ liệu cá nhân tại VN tiếp tục diễn biến phức tạp, nghiêm trọng. Có tới 66,24% người dùng xác nhận thông tin của họ từng bị sử dụng trái phép. Trong đó 73,99% người dùng nhận định bị lộ lọt do họ cung cấp thông tin khi mua hàng trực tuyến; 62,13% tới từ chia sẻ thông tin trên mạng xã hội và 67% cho rằng lộ lọt trong quá trình sử dụng các dịch vụ thiết yếu như nhà hàng, khách sạn, siêu thị…

Bộ Công an cũng đã nêu rõ một loạt DN về công nghệ hay các công ty môi giới dịch vụ taxi để lộ thông tin của hành khách. Nghiêm trọng hơn, nhiều dữ liệu bị rao bán công khai trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, DN. Đáng nói, hầu như chưa thấy có đơn vị nào bị xử phạt, chịu chế tài đủ mạnh. Trình bày trước Quốc hội vào đầu tháng 6, Thứ trưởng Bộ Công an Lê Quốc Hùng cho hay trong các vụ án lừa đảo quy mô lớn mà Bộ Công an triệt phá vừa qua thì lộ lọt, mua bán dữ liệu cá nhân là nguyên nhân chính hình thành nên những “chợ đen” về dữ liệu cá nhân. Nguồn thu thập dữ liệu cá nhân trái phép có thể đến từ hoạt động tấn công chiếm đoạt, chuyển giao trái phép, mua bán dữ liệu cá nhân hoặc sử dụng công nghệ cao để “cào” dữ liệu cá nhân phục vụ mục đích của các thủ phạm.

Thực tế, Chính phủ đã có Nghị định số 13/2023 quy định dữ liệu cá nhân không được mua, bán dưới mọi hình thức nhưng việc này vẫn diễn ra công khai. Luật sư Bùi Quang Nghiêm, Đoàn luật sư TP.HCM, lý giải tình trạng mua bán dữ liệu cá nhân tràn lan hay thông tin cá nhân bị lộ, lọt ra ngoài vẫn tồn tại lâu năm do nhiều nguyên nhân. Trước hết là do bản thân nhiều người dùng còn lơ là, chưa xem trọng việc bảo vệ thông tin của mình và người thân. Bên cạnh đó, các cơ quan, DN thu thập thông tin khách hàng, người dùng nhưng hạ tầng, quy trình bảo vệ thông tin không đảm bảo khiến thông tin khách hàng bị đánh cắp, bị nhân viên sao chép và từ đó phát tán, trao đổi ra ngoài. Hơn nữa, việc chưa có luật về bảo vệ dữ liệu cá nhân cũng khiến cơ quan nhà nước chưa đủ cơ sở pháp lý để xử phạt các vụ vi phạm. Trong nhiều vụ việc mua bán dữ liệu cá nhân, sử dụng thông tin cá nhân để lừa đảo, cơ quan quản lý vẫn phải “nâng lên đặt xuống” khi xử lý. Từ đó khiến nhiều DN, cá nhân ngang nhiên thu thập, khai thác trái phép thông tin cá nhân. 

Vì vậy luật sư Nghiêm nhấn mạnh: Luật Bảo vệ dữ liệu cá nhân được ban hành sẽ mang lại hành lang pháp lý cao hơn, tạo điều kiện để xử lý mạnh mẽ hơn các hành vi vi phạm. Mức chế tài về xử phạt hành chính phạt tiền tối đa đối với hành vi mua, bán dữ liệu cá nhân bằng 10 lần khoản thu có được; với tổ chức vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 3 tỉ đồng; cá nhân vi phạm thì mức xử phạt bằng một phần hai đối với tổ chức… bước đầu sẽ có sức răn đe để các DN, cá nhân phải cẩn trọng hơn khi thu thập, sử dụng thông tin cá nhân. Từ đó việc mua bán dữ liệu cá nhân cũng sẽ giảm hơn trước đây.

Đẩy mạnh truyền thông, phối hợp toàn xã hội

Luật Bảo vệ dữ liệu cá nhân được ban hành nhưng đầu năm 2026 mới có hiệu lực chính thức. Hơn nữa, luật cũng không phải là “cây đũa thần” để có thể ngay lập tức xóa bỏ được hoạt động mua bán dữ liệu cá nhân trái phép. Vì vậy các chuyên gia cho rằng phải triển khai thêm nhiều giải pháp để ngăn chặn tình trạng này. Ông Võ Đỗ Thắng nhận định dữ liệu người dùng không phải là mặt hàng hữu hình cụ thể, việc giao dịch không bị giới hạn trong một không gian nhất định nên việc kiểm tra, giám sát, ngăn chặn sẽ gặp rất nhiều khó khăn. Để giúp việc thực thi pháp luật được hiệu quả, cơ quan chức năng cần có sự hỗ trợ, hợp tác của người dân. Cụ thể, cơ quan chức năng cần có một kênh tương tác, đường dây nóng chính thức, để người dân có thể tố giác hành vi vi phạm, hoặc khai báo nếu phát hiện dữ liệu cá nhân của mình bị đánh cắp và phát tán. Hiện nay lực lượng chức năng không thể nào tự mình phát hiện và bao quát hết tất cả, do đó cần huy động sự hợp tác của người dân khi triển khai trong thực tế.

Còn theo luật sư Bùi Quang Nghiêm, trong thời gian tới để ngăn chặn nạn mua bán dữ liệu cá nhân thì ngoài khung pháp lý cũng như thực thi nghiêm việc kiểm tra, giám sát từ cơ quan quản lý nhà nước vẫn cần thêm nhiều giải pháp. Chẳng hạn, tiếp tục đẩy mạnh truyền thông, nâng cao ý thức của người dân về tầm quan trọng về bảo vệ thông tin cá nhân của mình cùng gia đình. Đơn cử, khi nhiều người dùng đã có ý thức bảo vệ dữ liệu cá nhân và phản ánh, tố giác các cá nhân lừa đảo thì tình trạng này cũng giảm bớt. Tương tự đối với việc phản ánh tình trạng SIM rác, cuộc gọi rác đã làm giảm hiệu quả của việc sử dụng thông tin cá nhân để lừa đảo. Khi hiệu quả giảm thì giao dịch mua bán, trao đổi dữ liệu cá nhân cũng sẽ giảm. Đồng thời, phải có kênh tiếp nhận phản ánh, tố giác đơn giản, nhanh chóng từ người dân về việc bị lộ lọt thông tin cá nhân, bị làm phiền, lừa đảo vì SIM rác, cuộc gọi rác… Sau khi cơ quan chức năng tiếp nhận phản ánh thì phải có phản hồi nhanh chóng để tạo ra thêm một cơ chế giám sát xã hội hiệu quả hơn. 

“Khi khung pháp lý được hoàn thiện và thực thi nghiêm việc kiểm soát thì sẽ hạn chế được tình trạng mua bán dữ liệu cá nhân đang diễn ra công khai hiện nay. Ngoài ra, cần nâng cao nhận thức của người dân về tầm quan trọng của việc bảo vệ dữ liệu cá nhân và cách thức phòng tránh rủi ro. Vì không chỉ có sự kiểm tra, giám sát từ phía nhà nước mà phải tạo ra cơ chế giám sát từ xã hội thì mới đạt hiệu quả cao nhất”, luật sư Nghiêm chia sẻ.

Ông Vũ Ngọc Sơn, Trưởng ban Công nghệ Hiệp hội An ninh mạng quốc gia (NCA), thừa nhận: Trước đây, do khung pháp lý về dữ liệu vẫn chưa đầy đủ, rõ ràng, nên các tổ chức, cá nhân dựa vào các điều khoản trong luật hiện có để hợp thức hóa hoạt động chia sẻ dữ liệu. Chẳng hạn, một DN muốn chuyển dữ liệu cho đơn vị khác có thể thực hiện thông qua mô hình công ty liên kết, phục vụ hợp tác. Hay có thể DN muốn cung cấp dữ liệu cho đối tác để đổi lại việc sử dụng dữ liệu đó nhằm phát triển sản phẩm, dịch vụ chung. 

Điều này giúp DN tận dụng tài nguyên sẵn có mà không vi phạm quy định cấm mua bán dữ liệu. Giải pháp lâu dài là xây dựng một sàn giao dịch dữ liệu cá nhân được quản lý chặt chẽ. Sàn sẽ giúp minh bạch và hợp pháp hóa việc mua bán dữ liệu. Tuy nhiên, để một sàn giao dịch dữ liệu thực sự hiệu quả, cần đảm bảo hai điều kiện quan trọng là năng lực kỹ thuật và an ninh bảo mật. Cụ thể, sàn giao dịch phải đáp ứng nhu cầu của người dùng, bao gồm tốc độ truy vấn dữ liệu, khả năng mua bán linh hoạt, tính minh bạch trong giao dịch và phải được bảo mật tuyệt đối. 

“Tất nhiên, ngay cả khi có sàn giao dịch thì việc mua bán dữ liệu cá nhân trái phép trên chợ đen cũng sẽ không thể biến mất hoàn toàn. Nên cần có một cơ chế linh hoạt để huy động nguồn lực từ khu vực tư nhân, phối hợp với cơ quan quản lý để ngăn chặn mua bán dữ liệu cá nhân”, ông Sơn nhấn mạnh.

Các nước phạt rất nặng hành vi mua bán dữ liệu cá nhân

Tháng 7.2019, Ủy ban Thương mại Liên bang Mỹ ra quyết định phạt Facebook 5 tỉ USD sau khi dữ liệu cá nhân của 87 triệu người dùng mạng xã hội này bị Công ty truyền thông Cambridge Analytica tiếp cận và sử dụng trái phép. Theo điều tra, Facebook đã để Cambridge Analytica tiếp cận trái phép dữ liệu người dùng Mỹ trong chiến dịch bầu cử tổng thống năm 2016 cũng như cuộc trưng cầu dân ý Brexit ở Anh vào năm 2016… 

Đây là khoản phạt lớn nhất thế giới từ trước tới nay đối với một vụ bê bối làm rò rỉ dữ liệu người dùng.

Năm 2021, Cơ quan Bảo vệ dữ liệu Anh (ICO) phạt hãng hàng không British Airways 20 triệu bảng vì vụ rò rỉ dữ liệu của hơn 400.000 khách hàng. Tương tự gần đây, các nước châu Á cũng có chuyển biến mạnh mẽ trong việc ban hành hoặc sửa đổi luật để kiểm soát chặt chẽ hơn việc mua bán dữ liệu cá nhân. Tại Trung Quốc, luật Bảo vệ thông tin cá nhân có hiệu lực từ năm 2021, yêu cầu phải có sự đồng ý rõ ràng trước khi xử lý dữ liệu cá nhân, nghiêm cấm việc tiết lộ hoặc bán dữ liệu trái phép. Các vi phạm có thể bị phạt tới 50 triệu nhân dân tệ (khoảng 7 triệu USD) hoặc 5% doanh thu năm trước. Trong trường hợp nghiêm trọng, cá nhân vi phạm có thể bị phạt tù tới 7 năm theo bộ luật Hình sự…