Bảo vệ dữ liệu cá nhân: Thiếu “lá chắn” pháp lý

Nhiều rủi ro trên môi trường số

Một trong các rủi ro về dữ liệu cá nhân lớn nhất gần đây là sự cố lộ dữ liệu cá nhân tại Trung tâm Thông tin tín dụng quốc gia (CIC) vào tháng 9/2025. Ngay sau đó, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao đã xác định có các dấu hiệu hoạt động tấn công, xâm nhập của tội phạm mạng để đánh cắp dữ liệu cá nhân.

Theo cơ quan công an, trong vụ lộ dữ liệu cá nhân tại CIC, các đối tượng giả mạo ngân hàng, CIC hoặc cơ quan chức năng để gọi điện, nhắn tin xác minh. Sau đó, dẫn dụ nạn nhân cung cấp mã OTP, truy cập link giả mạo nhằm chiếm đoạt tài sản. Một thủ đoạn phổ biến khác là mời chào vay tiền nhanh, xóa nợ xấu, yêu cầu đóng phí để “xử lý hồ sơ”. Ngoài ra, tội phạm còn giả danh người thân, lãnh đạo nhờ chuyển tiền; giả mạo công an, viện kiểm sát để đe dọa liên quan đến vụ án; hoặc phát tán tin nhắn, email chứa mã độc quy mô lớn.

Theo GS.TS Đỗ Văn Đại - Phó hiệu trưởng Trường Đại học Luật TPHCM, hiện nay bảo vệ dữ liệu cá nhân không còn là vấn đề riêng của lĩnh vực công nghệ mà đã trở thành yêu cầu cấp thiết của hệ thống pháp luật hiện đại. Trong bối cảnh dữ liệu cá nhân ngày càng được khai thác sâu rộng, phục vụ quản trị quốc gia, phát triển kinh tế số và xã hội số, việc bảo vệ quyền riêng tư trở thành một trong những trụ cột của Nhà nước pháp quyền.

Việc Quốc hội khóa XV thông qua Luật Bảo vệ dữ liệu cá nhân được xem là bước tiến quan trọng, khẳng định quyết tâm bảo vệ quyền công dân trong môi trường số. Tuy nhiên, theo các chuyên gia, để luật đi vào cuộc sống, cần tiếp tục hoàn thiện các quy định liên quan đến hành vi vi phạm, chế tài xử lý, cũng như xác định rõ quyền và nghĩa vụ của các chủ thể liên quan.

Lấp “khoảng trống” pháp lý

TS Trần Thanh Thảo - chuyên gia về bảo vệ dữ liệu cá nhân cho rằng, các quy định hiện hành trong Bộ luật Hình sự chưa phản ánh đầy đủ tính chất và mức độ nguy hiểm của các hành vi xâm phạm dữ liệu cá nhân, nhất là trong bối cảnh tội phạm công nghệ cao gia tăng.

Từ kinh nghiệm của các quốc gia như Pháp, Nga, Úc và Canada, TS Thảo đề xuất cần xây dựng các tội danh riêng về vi phạm dữ liệu cá nhân, coi đây là một khách thể độc lập cần được bảo vệ. Đồng thời, pháp luật cần điều chỉnh toàn bộ “vòng đời” dữ liệu, từ thu thập, lưu trữ, xử lý đến chia sẻ, chuyển giao và xóa bỏ, nhằm kiểm soát rủi ro pháp lý ở từng công đoạn. Đáng chú ý, việc mở rộng trách nhiệm hình sự đối với pháp nhân cũng được xem là xu hướng tất yếu, phù hợp với thực tiễn khi nhiều vi phạm xuất phát từ tổ chức, doanh nghiệp.

Các chuyên gia cũng chỉ ra một bất cập lớn hiện nay liên quan đến việc thiếu nghị định chuyên biệt về xử phạt vi phạm hành chính trong lĩnh vực dữ liệu cá nhân. Các quy định hiện hành còn phân tán, chủ yếu tiếp cận dưới khái niệm “thông tin cá nhân”, chưa bao quát hết phạm vi “dữ liệu cá nhân”. Ngoài ra, quy định pháp luật trong nước mới dừng lại ở các quy định mang tính nguyên tắc, chưa có cơ chế riêng để xử lý các tranh chấp liên quan đến dữ liệu cá nhân, vốn có đặc thù xảy ra trên không gian mạng, khó xác định thiệt hại và chủ thể vi phạm.

Liên quan đến quyền của chủ thể dữ liệu, PGS.TS Nguyễn Thị Phương Hoa - Trưởng Khoa Luật Hình sự (Trường Đại học Luật TPHCM) cho biết, pháp luật Việt Nam đã ghi nhận nhiều quyền cơ bản như quyền đồng ý, quyền truy cập, chỉnh sửa, xóa dữ liệu, quyền khiếu nại, khởi kiện. Tuy nhiên, so với chuẩn mực quốc tế, vẫn cần bổ sung cơ chế khởi kiện tập thể và quyền được thông báo khi xảy ra vi phạm dữ liệu. Theo giảng viên này, việc thông báo không chỉ cho cơ quan quản lý mà còn cho chính người bị ảnh hưởng sẽ giúp họ chủ động phòng ngừa rủi ro, đồng thời nâng cao trách nhiệm giải trình của các tổ chức, doanh nghiệp.

Hiến kế về vấn đề này, TS Nguyễn Thị Ánh Hồng (Trường Đại học Luật TPHCM) đề nghị, cần hoàn thiện quy định về trách nhiệm của các bên liên quan, bao gồm bên kiểm soát, bên xử lý dữ liệu và bên thứ ba. Đặc biệt, cần tăng cường nghĩa vụ minh bạch, trách nhiệm thông báo khi xảy ra vi phạm, cũng như hoàn thiện các quy định trong Bộ luật Hình sự và Bộ Luật Tố tụng hình sự liên quan đến xử lý dữ liệu cá nhân. Bên cạnh hoàn thiện pháp luật, cần nâng cao năng lực của cơ quan thực thi và ý thức tuân thủ của doanh nghiệp, người dân, vốn là yếu tố then chốt để bảo vệ dữ liệu cá nhân trong thực tiễn.