Bộ Công an Việt Nam vẫn ngậm tăm trước những góp ý cho "Dự thảo nghị định xử phạt vi phạm hành chính về an ninh mạng và bảo vệ dữ liệu cá nhân" mà họ dự tính áp dụng cho ba đối tượng : "Bên kiểm soát dữ liệu cá nhân", "bên xử lý dữ liệu cá nhân", và "cá nhân có liên quan".

Ông Lương Tam Quang, khi còn là thứ trưởng Bộ Công an, phát biểu tại hội thảo xây dựng chính sách bảo vệ dữ liệu cá nhân.

Nội dung bản thảo vừa đề cập có nhiều điểm đáng bàn, nhưng "đặc sắc" nhất là Điều 22 – xác định biện pháp xử lý hành vi để lộ, để mất dữ liệu cá nhân. Theo đó, cả tổ chức lẫn cá nhân sẽ bị phạt từ 10 triệu đến 20 triệu nếu không áp dụng các biện pháp quản lý và kỹ thuật để bảo vệ dữ liệu cá nhân hoặc để xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân làm lộ, làm mất dữ liệu cá nhân. Nếu dữ liệu cá nhân bị lộ, bị mất thuộc loại nhạy cảm thì mức phạt sẽ từ 20 triệu đồng đến 30 triệu đồng. Nếu việc để lộ, để mất dữ liệu cá nhân gây hậu quả nghiêm trọng, mức phạt sẽ từ 80 triệu đồng đến 100 triệu đồng.

***

Dữ liệu cá nhân là thông tin liên quan đến một cá nhân. Ở mức căn bản, dữ liệu cá nhân là tên, tuổi, giới tính, tôn giáo, nguyên quán, sinh quán, trú quán, số điện thoại, địa chỉ email, hình ảnh. Ở mức độ cao hơn (nhạy cảm), dữ liệu cá nhân là số định danh (số an sinh xã hội), tình trạng sức khỏe/bệnh án, đặc điểm di truyền (gien, sinh trắc học như vân tay, mống mắt, khuôn mặt), tình trạng tài chính (số dư nợ, số dư tài khoản, lịch sử giao dịch tài chính), tình trạng tài sản, thói quen, quan điểm chính trị, thậm chí vị trí của cá nhân theo thời gian thực.

Với bối cảnh như hiện nay, việc dữ liệu cá nhân bị lộ, bị mất, không chỉ gia tăng rủi ro đối với sự riêng tư, danh dự mà còn nguy hại cho cả tài sản lẫn an toàn của đương sự. Ngoài việc dùng dữ liệu cá nhân để thao túng đương sự, tội phạm còn có thể dùng dữ liệu cá nhân để thực hiện các hành vi phạm pháp khiến đương sự gặp rắc rối, bán dữ liệu cá nhân để thiên hạ định hướng, thúc đẩy việc sử dụng dịch vụ, sản phẩm. Nếu kho dữ liệu cá nhân quốc gia (cơ sở dữ liệu công dân) bị xâm nhập, đó sẽ là thảm họa cho an ninh vì toàn bộ thông tin về nhân thân, tài chính, vị trí của công dân lọt vào tay đối thủ hoặc tội phạm.

***

Về lý thuyết, trong thời đại hiện nay, dữ liệu cá nhân là "bản sao số" của một cá nhân. Tuy dữ liệu cá nhân là tài sản cá nhân nhưng cá nhân thường phải chia sẻ với nhiều bên. Chẳng hạn, với chính quyền, các doanh nghiệp cung cấp dịch vụ điện thoại, dịch vụ Internet, ngân hàng, mua sắm trực tuyến, hệ thống y tế, hệ thống giáo dục,… Có thể ví von, những bên tiếp nhận dữ liệu cá nhân cung cấp "hộp" để cá nhân đặt dữ liệu của họ vào đó. Nếu dữ liệu cá nhân bị thất thoát (lộ hay mất), trách nhiệm thuộc về phía thiết lập và giữ các "hộp". Với thiên hạ, cá nhân bị lộ, bị mất dữ liệu là nạn nhân.

Đó cũng là lý do năm 2018, Liên Âu (EU) ban hành GDPR (General Data Protection Regulation – Quy định bảo vệ dữ liệu chung), xác định, dữ liệu cá nhân là tài sản của cá nhân, những bên nắm giữ quyền lực và công nghệ như chính quyền, doanh nghiệp chỉ được "mượn" để dùng. Nếu dữ liệu cá nhân bị lộ hoặc bị mất, phía "mượn" sẽ bị phạt nặng. Năm 2020, British Airways bị phạt 20 triệu bảng Anh vì để hacker trộm dữ liệu của 400,000 khách hàng. Năm 2023, Meta (Facebook) bị phạt 1.2 tỷ Euro vì chuyển dữ liệu người dùng sang Mỹ không an toàn.

Ở Úc, sau khi Optus (một doanh nghiệp hoạt động trong lĩnh vực viễn thông) để mất dữ liệu cá nhân của 10 triệu khách hàng (khoảng 40% dân số Úc vào năm 2022), Úc buộc Optus phải thanh toán tiền làm lại sổ thông hành và bằng lái xe cho tất cả  nạn nhân bị lộ dữ liệu cá nhân, đồng thời nâng mức phạt tối đa đối với doanh nghiệp để lộ dữ liệu cá nhân từ 2,2 triệu đến 50 triệu đô la Úc. Ngay cả Châu Phi cũng thế. Năm 2021, Bộ Tư pháp Nam Phi vừa bị phạt 5 triệu rand, vừa phải xin lỗi dân chúng vì để hacker xâm nhập kho dữ liệu cá nhân.

Nhìn một cách tổng quát, trừ Việt Nam, tất cả các quốc gia trên thế giới đều xem bảo vệ an ninh mạng, bảo vệ dữ liệu cá nhân là trách nhiệm mà hệ thống công quyền và các doanh nghiệp mượn dữ liệu cá nhân không thể thoái thác. Để dữ liệu cá nhân bị xâm hại là điều mà tất cả các hệ thống công quyền đều cảm thấy hổ thẹn, lo ngại. Ngoài việc đặt định giải pháp phòng ngừa, trong đó có xử phạt nghiêm khắc, tất cả những nơi tiếp nhận dữ liệu cá nhân còn liên tục bị nhắc nhở phải cẩn trọng, bị thúc ép để tìm kiếm những cách thức tốt nhất nhằm bảo vệ dữ liệu cá nhân

Ví dụ, sau khi xảy ra chuyện SingHealth để lọt dữ liệu cá nhân của 1,5 triệu người vào tay hacker (2018), ngoài việc Bộ trưởng Y tế xin lỗi, phạt SingHealth và IhiS (đảm trách công nghệ thông tin trong lĩnh vực y tế) 1 triệu đô la Singapore (SGD) vì không bảo đảm an ninh hệ thống, chính phủ Singapore thành lập một ủy ban điều tra độc lập để rà soát toàn bộ quy trình, xác định những sai sót về kỹ thuật và con người trong hệ thống quản trị, rồi phát triển ScamShield – ứng dụng tự động chặn tin nhắn/cuộc gọi mang tính lừa đảo từ cơ sở dữ liệu quốc gia.

***

Năm 2024, Viettel Cyber Security báo cáo, riêng năm này có 14,5 triệu tài khoản tại Việt Nam rò rỉ do các doanh nghiệp lớn bị tấn công mã hóa dữ liệu, thiệt hại khoảng 11 triệu USD. Tháng 9/2025, CIC (Trung tâm Thông tin Tín dụng Quốc gia thuộc Ngân hàng Nhà nước) cảnh báo về việc dữ liệu khách hàng ngành ngân hàng đang bị rao bán. Tháng 10/2025, tin tặc rao bán 23 triệu hồ sơ khách hàng của Vietnam Airlines. Đó là chưa kể dữ liệu căn cước công dân cũng được rao bán nhiều lần trên RaidForums hay Breached.vc.

Có thể khẳng định, Việt Nam là quốc gia duy nhất trên thế giới toan đi ngược chiều. Thay vì thừa nhận sự yếu kém và nâng cao khả năng bảo mật của quốc gia thì đẩy trách nhiệm cho nạn nhân. Thậm chí không những không hỗ trợ dân chúng nhận diện lừa đảo qua mạng và phòng ngừa bị trộm cắp dữ liệu cá nhân mà còn muốn trừng phạt nạn nhân. Dự định trừng phạt nạn nhân khi họ bị lộ, bị mất dữ liệu cá nhân chắc chắn không đem lại hiệu quả nào trong việc phòng ngừa, chống tội phạm mạng. Dự định đó chỉ gia tăng sợ hãi, bất bình và thêm bất công trong xã hội.

Tháng 10 năm ngoái, tại Ngày Hội Đổi Mới Sáng Tạo Quốc Gia, ông Tô Lâm, tổng bí thư Đảng cộng sản Việt Nam, kêu gọi "dám nghĩ về những điều phi thường, dám làm những việc khó khăn nhất, dám gánh vác trách nhiệm trước nhân dân và lịch sử, dám đột phá để mở ra những con đường chưa có dấu chân người".

Phạt những cá nhân bị lộ, bị mất dữ liệu, đánh bồi để nạn nhân không gục hẳn thì cũng câm miệng, chẳng dám thở than đúng là "phi thường !" Còn loại việc nào "khó khăn" hơn chuyện này ? "Con đường" mà Bộ Công an muốn vạch ra quả là "chưa có dấu chân người" nhưng phàm là con người có nên đi ?

Trân Văn

Nguồn : Người Việt, 05/04/2026