Tình trạng lộ, lọt thông tin cá nhân đang trở thành một vấn đề ngày càng nghiêm trọng và tinh vi trong thời đại số hóa. Sự phát triển của thương mại điện tử và các dịch vụ trực tuyến đã tạo ra một môi trường thuận lợi cho hoạt động mua, bán dữ liệu cá nhân. Các diễn đàn và tài khoản mạng xã hội trở thành nơi diễn ra công khai các hoạt động này, với sự tham gia của cả tổ chức và doanh nghiệp. Hậu quả của tình trạng này là nhiều người bị nhắn tin, gọi điện gây phiền phức, thậm chí bị lừa đảo. Dựa vào thông tin cá nhân, kẻ xấu có thể xây dựng các kịch bản lừa đảo riêng cho từng nhóm khác nhau.

Theo chuyên gia Ngô Trí Nhật, mặc dù cơ quan chức năng đã nỗ lực đánh sập nhiều đường dây chuyên đánh cắp và mua bán dữ liệu cá nhân, nhưng các băng nhóm hacker vẫn hoạt động với nhiều hình thức tinh vi. Quá trình điều tra, xử lý lại kéo dài khá lâu, điều này làm ảnh hưởng rất lớn đến công tác bảo đảm an toàn thông tin.

Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) đã ghi nhận 56 vụ việc liên quan đến mua, bán dữ liệu cá nhân trong sáu tháng đầu năm 2025, với hơn 110 triệu bản ghi bị thu thập, rao bán. Thượng tá Triệu Mạnh Tùng, Phó Cục trưởng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, chia sẻ rằng nhu cầu thu thập dữ liệu cá nhân phục vụ hoạt động sản xuất, kinh doanh là rất lớn. Tuy nhiên, nhiều hệ thống thông tin có hoạt động thu thập, phân tích, xử lý dữ liệu cá nhân hiện còn tồn tại lỗ hổng trong quy trình khai thác và sử dụng.

Ông Ngô Minh Hiếu, Giám đốc Công ty TNHH Doanh nghiệp xã hội Chống lừa đảo, cho rằng các doanh nghiệp đều có thể sử dụng dữ liệu cá nhân khách hàng để gia tăng giá trị dịch vụ, kết nối. Tuy nhiên, quan trọng nhất là việc khai thác phải bảo đảm tính bảo mật, lưu trữ thông tin tại máy chủ ở Việt Nam và có mã hóa các thông tin nhạy cảm như danh tính khách hàng, tình trạng tài chính…

Để ngăn chặn tình trạng lộ, lọt thông tin và bảo vệ người dân khỏi nạn lừa đảo, Luật Bảo vệ dữ liệu cá nhân sẽ có hiệu lực thi hành từ ngày 1/1/2026. Luật này quy định rõ ràng, cụ thể các khái niệm về dữ liệu cá nhân, bao gồm “dữ liệu cá nhân cơ bản”, “dữ liệu cá nhân nhạy cảm”, “đánh giá tác động xử lý dữ liệu cá nhân”, “bảo vệ dữ liệu cá nhân”. Luật cũng cấm tuyệt đối hành vi mua, bán dữ liệu cá nhân.

Các chuyên gia cho rằng cơ quan chức năng cần triển khai các giải pháp đồng bộ, như ban hành các văn bản hướng dẫn thi hành chi tiết, dễ thực hiện. Ngoài ra, cần xây dựng cơ chế phối hợp giữa các bộ, cơ quan để chia sẻ dữ liệu, cảnh báo sớm vi phạm. Cần tổ chức các chiến dịch tuyên truyền, nâng cao nhận thức bảo mật thông tin cá nhân. Đồng thời, cần có một kênh tương tác, đường dây nóng để người dân, doanh nghiệp có thể tố giác hành vi vi phạm, hoặc khai báo nếu phát hiện dữ liệu của mình bị đánh cắp.

Người dân cần cảnh giác, không chia sẻ thông tin cá nhân qua mạng xã hội, hay các khảo sát trôi nổi; cần sử dụng mật khẩu mạnh, không dùng chung mật khẩu cho nhiều tài khoản. Người dân cũng không nên mở các liên kết hoặc tập tin đáng ngờ, đồng thời thường xuyên cập nhật các phần mềm chống virus và bảo mật trên các thiết bị cá nhân.

Lật sang trang mới trong việc bảo vệ thông tin cá nhân, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đã đặt ra những quy định cụ thể và chặt chẽ nhằm đảm bảo an toàn thông tin cho công dân trong thời đại số. Đặc biệt, Luật đã đề cập đến các quy định về bảo vệ dữ liệu cá nhân đối với thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm, hai lĩnh vực nhạy cảm và quan trọng đối với mỗi cá nhân.

Theo đó, việc thu thập và xử lý dữ liệu cá nhân liên quan đến sức khỏe và bảo hiểm không thể được thực hiện một cách tùy tiện. Thay vào đó, nó đòi hỏi sự đồng ý rõ ràng của chủ thể dữ liệu cá nhân, trừ một số trường hợp được quy định tại khoản 1 Điều 19 của Luật này. Điều này đánh dấu một bước tiến quan trọng trong việc bảo vệ quyền lợi và sự riêng tư của công dân khi thông tin của họ được thu thập, sử dụng và lưu trữ bởi các cơ quan, tổ chức và cá nhân.

Các cơ quan, tổ chức và cá nhân hoạt động trong lĩnh vực sức khỏe và bảo hiểm được yêu cầu phải áp dụng đầy đủ các quy định về bảo vệ dữ liệu cá nhân và các quy định khác có liên quan. Điều này không chỉ bao gồm việc tuân thủ các nguyên tắc khi thu thập và xử lý dữ liệu cá nhân mà còn bao gồm việc không được phép cung cấp dữ liệu cá nhân cho bên thứ ba mà không có yêu cầu bằng văn bản của chủ thể dữ liệu cá nhân hoặc không thuộc các trường hợp được phép theo luật. Việc này nhằm ngăn chặn việc rò rỉ thông tin và lạm dụng dữ liệu cá nhân.

Không chỉ dừng lại ở đó, tổ chức và cá nhân phát triển ứng dụng về y tế và kinh doanh bảo hiểm cũng phải tuân thủ đầy đủ các quy định về bảo vệ dữ liệu cá nhân. Đặc biệt trong trường hợp của doanh nghiệp kinh doanh tái bảo hiểm và nhượng tái bảo hiểm, việc chuyển dữ liệu cá nhân cho đối tác cần được nêu rõ trong hợp đồng với khách hàng. Sự minh bạch và rõ ràng trong các thỏa thuận giữa doanh nghiệp và khách hàng là yếu tố then chốt trong việc xây dựng niềm tin và bảo vệ quyền lợi của khách hàng.

Lật sang một mặt khác của vấn đề, Luật cũng quy định các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân. Điều này bao gồm các tình huống cấp bách liên quan đến bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền và lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác; các trường hợp khẩn cấp cần bảo vệ lợi ích của Nhà nước, cơ quan tổ chức; phục vụ hoạt động của cơ quan nhà nước; thực hiện thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức có liên quan; và các trường hợp khác theo quy định của pháp luật. Những quy định này đảm bảo rằng, trong những tình huống đặc biệt, dữ liệu cá nhân có thể được sử dụng một cách linh hoạt để phục vụ mục đích bảo vệ cộng đồng và lợi ích chung.

Cuối cùng, việc ban hành và triển khai Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đánh dấu một milestone quan trọng trong nỗ lực của Việt Nam nhằm xây dựng một môi trường an toàn và bảo mật cho việc thu thập, sử dụng và bảo vệ dữ liệu cá nhân. Qua đó, không chỉ góp phần nâng cao niềm tin của công chúng vào các hoạt động kinh tế – xã hội diễn ra trong môi trường số, mà còn thể hiện cam kết của Việt Nam trong việc đáp ứng các tiêu chuẩn quốc tế về bảo vệ dữ liệu cá nhân và thúc đẩy sự phát triển bền vững trong kỷ nguyên số.