Trong thời đại số hóa, dữ liệu cá nhân trở thành tài sản có giá trị không thua kém bất kỳ loại tài sản hữu hình nào. Tuy nhiên, song song với giá trị đó là một thị trường ngầm đang âm thầm mở rộng: mua bán, trao đổi, chia sẻ trái phép thông tin cá nhân – từ số điện thoại, địa chỉ email, thói quen tiêu dùng đến thông tin tài chính, lịch sử tín dụng.
Dù Việt Nam đã bước đầu thiết lập hành lang pháp lý về bảo vệ dữ liệu cá nhân, thực tế cho thấy việc xử lý hành vi mua bán dữ liệu ngầm vẫn là một bài toán nan giải, chủ yếu do thiếu luật chuyên ngành, khó khăn trong giám sát và truy cứu trách nhiệm.
Khung pháp lý hiện hành: Đã cấm nhưng chưa đủ mạnh
Hiện tại, quy định về bảo vệ dữ liệu cá nhân chủ yếu được quy định trong Nghị định 13/2023/NĐ-CP. Văn bản này xác lập các nguyên tắc cơ bản về thu thập, xử lý, lưu trữ và chia sẻ dữ liệu cá nhân, đồng thời cấm hành vi mua bán dữ liệu cá nhân trái phép. Nghị định cũng đưa ra khung xử phạt hành chính nghiêm khắc, với mức phạt có thể lên đến hàng tỷ đồng, tùy theo tính chất và hậu quả vi phạm.
Tuy nhiên, dù đã có quy định cấm, nhưng tính răn đe của Nghị định vẫn chưa đạt kỳ vọng. Nguyên nhân nằm ở việc văn bản này chưa có hiệu lực tương đương một đạo luật, đồng thời thiếu các cơ chế cụ thể để thực thi hiệu quả trong thực tiễn. Câu hỏi đặt ra là: khi dữ liệu cá nhân bị rò rỉ hoặc bị khai thác bất hợp pháp, cơ quan có thẩm quyền sẽ xác định hành vi vi phạm và xử lý như thế nào trong khi không có chứng cứ cụ thể hoặc không truy vết được nguồn phát tán?
Mua bán dữ liệu ngầm: Thực trạng khó giám sát và khó chứng minh
Hoạt động mua bán dữ liệu cá nhân diễn ra chủ yếu trong môi trường phi chính thức, qua các kênh khó kiểm soát như mạng xã hội, nền tảng tin nhắn mã hóa, các nhóm kín hoặc website ẩn danh. Việc giao dịch thường không có hợp đồng, không có hoá đơn, và được thực hiện bằng các hình thức thanh toán không thể kiểm soát như ví điện tử, tiền mặt hoặc thậm chí tiền mã hóa.
Điểm đáng lo ngại là dữ liệu cá nhân bị mua bán không chỉ là thông tin cơ bản, mà còn bao gồm thông tin nhạy cảm như lịch sử giao dịch ngân hàng, tình trạng sức khỏe, hồ sơ tín dụng… Nhiều tổ chức, doanh nghiệp thu thập dữ liệu cá nhân từ nhiều nguồn khác nhau mà không có sự đồng ý rõ ràng, rồi chia sẻ lại cho các bên thứ ba để phục vụ mục đích quảng cáo, định danh khách hàng hoặc khai thác thương mại.
Từ góc độ pháp lý, việc xác định được đối tượng thực hiện hành vi mua bán, phân tích chuỗi dữ liệu, và chứng minh hành vi vi phạm là cực kỳ khó khăn. Không có quy trình cụ thể để xác định nguồn gốc dữ liệu bị rò rỉ, trong khi các doanh nghiệp thường biện minh rằng dữ liệu được cung cấp từ đối tác hoặc bên thứ ba, và họ không biết về hành vi bất hợp pháp phía trước đó.
Lỗ hổng pháp lý: Vướng mắc từ khái niệm đến cơ chế xử lý
Một trong những hạn chế lớn của khung pháp lý hiện nay là chưa có đạo luật riêng điều chỉnh toàn diện về dữ liệu cá nhân. Nghị định 13 chỉ mang tính điều tiết bước đầu, chưa định nghĩa rõ ràng về một số hành vi như “thu thập không trực tiếp”, “sử dụng dữ liệu công khai”, hay “chia sẻ vì mục đích nội bộ”.
Ngoài ra, hiện chưa có cơ chế rõ ràng để phân loại mức độ rủi ro dữ liệu cá nhân, thiếu hướng dẫn về lưu trữ log hệ thống, chưa có quy trình chuẩn để xin và xác minh “sự đồng ý” của chủ thể dữ liệu một cách minh bạch, có thể chứng minh được khi cần thiết.
Việc định giá dữ liệu trong các vụ việc vi phạm cũng là một thách thức. Một khi cơ quan chức năng không thể chứng minh được lợi nhuận từ hành vi mua bán dữ liệu, thì mức xử phạt theo tỉ lệ doanh thu sẽ trở nên khó áp dụng. Trong khi đó, các chủ thể vi phạm thường không lưu lại thông tin tài chính liên quan đến giao dịch dữ liệu, hoặc cố ý tách rời việc chia sẻ dữ liệu và lợi ích kinh tế.
Rủi ro cho doanh nghiệp và người dùng
Hoạt động mua bán dữ liệu cá nhân ngầm không chỉ xâm phạm nghiêm trọng đến quyền riêng tư cá nhân, mà còn tạo ra hệ sinh thái rủi ro cho doanh nghiệp. Những dữ liệu bị chia sẻ trái phép có thể bị sử dụng để thực hiện các hành vi lừa đảo, chiếm đoạt tài sản, hoặc mạo danh thương hiệu.
Từ góc độ doanh nghiệp, đặc biệt là các công ty hoạt động trong lĩnh vực tiếp thị, ngân hàng, bảo hiểm, công nghệ… việc sử dụng dữ liệu không rõ nguồn gốc có thể khiến họ trở thành đối tượng bị xử phạt, dù không trực tiếp thực hiện hành vi thu thập trái phép.
Đối với người dùng, họ gần như không có khả năng kiểm soát thông tin đã bị khai thác, càng không có công cụ để phát hiện hoặc yêu cầu xóa dữ liệu đã bị chia sẻ. Khả năng phản ứng pháp lý của cá nhân còn rất hạn chế, do thiếu cơ chế khởi kiện rõ ràng hoặc cơ sở để chứng minh thiệt hại thực tế.
Cần một chiến lược toàn diện hơn để bảo vệ dữ liệu cá nhân
Thực tiễn cho thấy, để kiểm soát hiệu quả hoạt động mua bán dữ liệu ngầm, Việt Nam cần triển khai các giải pháp mang tính hệ thống và đồng bộ.
Thứ nhất, cần sớm ban hành Luật Bảo vệ dữ liệu cá nhân với hiệu lực đầy đủ, tương thích với chuẩn mực quốc tế như GDPR, nhằm xác lập rõ ràng quyền, nghĩa vụ, cơ chế đồng ý và các hành vi nghiêm cấm.
Thứ hai, cần hoàn thiện cơ chế kiểm tra, giám sát và xử lý vi phạm. Cơ quan quản lý dữ liệu cần có công cụ công nghệ để truy vết hành vi vi phạm, theo dõi dòng chảy dữ liệu và xử lý kịp thời các vụ việc phức tạp có yếu tố xuyên biên giới.
Thứ ba, cần nâng cao nhận thức cộng đồng và doanh nghiệp về dữ liệu cá nhân. Bản thân các tổ chức, đơn vị sử dụng dữ liệu phải thiết lập quy trình tuân thủ, đảm bảo rằng mọi hoạt động thu thập – xử lý – chia sẻ dữ liệu đều có sự đồng ý rõ ràng và minh bạch từ người dùng.
Thứ tư, tăng cường phối hợp liên ngành giữa các cơ quan như công an, thanh tra, thuế, và ngành thông tin truyền thông để nâng cao hiệu quả thực thi và chia sẻ thông tin điều tra.
Mua bán dữ liệu cá nhân ngầm tại Việt Nam là một hiện tượng không mới, nhưng ngày càng phức tạp và khó kiểm soát khi công nghệ phát triển nhanh hơn luật pháp. Dù các quy định hiện hành đã thể hiện rõ quan điểm “không khoan nhượng” với hành vi xâm phạm dữ liệu cá nhân, nhưng hiệu lực thực thi còn phụ thuộc nhiều vào sự hoàn thiện thể chế, năng lực giám sát, và nhận thức của cả người dân lẫn doanh nghiệp.
Cần một hệ thống pháp luật rõ ràng, đồng bộ, cùng với một cơ chế xử lý hiệu quả và có tính răn đe thực sự – nếu không, quyền riêng tư dữ liệu cá nhân sẽ vẫn chỉ tồn tại trên giấy, còn thị trường ngầm vẫn tiếp tục phát triển ngoài tầm với của pháp luật.
Xem thêm
– Trưởng Công an xã được ủy quyền điều tra vụ án hình sự từ 01/7/2025
– Cập nhật địa chỉ 34 Tòa án nhân dân tỉnh và 355 Tòa án nhân dân khu vực từ ngày 1/7/2025
