Bài cuối: Từ chính sách đến hành động

VHO - Khi hoạt động của tội phạm công nghệ cao ngày càng tinh vi và gắn chặt với dòng chảy dữ liệu cá nhân, sức mạnh của hành pháp trở thành tuyến phòng thủ đầu tiên bảo vệ công dân số. Từ truy quét tội phạm mạng đến tuyên truyền giúp người dân tự phòng vệ, Nhà nước đang xây dựng cơ chế bảo vệ dữ liệu toàn diện, nơi pháp luật, kỹ thuật và nhận thức xã hội cùng hợp thành tấm khiên bảo vệ quyền riêng tư và niềm tin số.

Quyết liệt tấn công tội phạm công nghệ cao

Việt Nam nằm trong nhóm nước có tốc độ phát triển và ứng dụng Internet cao nhất thế giới. Số lượng người sử dụng Internet của Việt Nam đã đạt hơn 79 triệu người vào năm 2024, tương đương gần 80% tổng dân số. Dữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ chi tiết khác nhau.

Theo báo cáo về tình hình nguy cơ an toàn thông tin tại Việt Nam năm 2024, tấn công mã hóa dữ liệu kết hợp đánh cắp thông tin cá nhân lên đến 10 terabyte, gây tổng thiệt hại ước tính lên đến 11 triệu USD; 14,5 triệu tài khoản ở Việt Nam bị rò rỉ, chiếm 12% toàn cầu. Bộ Công an phát hiện, đấu tranh, xử lý một số đường dây chiếm đoạt, mua bán dữ liệu cá nhân quy mô lớn tại Việt Nam (lên tới hàng nghìn GB dữ liệu, trong đó nhiều dữ liệu cá nhân liên quan đến nhiều lĩnh vực như ngân hàng, giáo dục, bảo hiểm, nhân khẩu, nhân sự cơ quan nhà nước, đăng ký kinh doanh, đầu tư tài chính, chứng khoán, thời trang, thẩm mỹ viện,…).

Ngay sau khi Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân, Chính phủ xác định rõ trục ưu tiên: ngăn chặn, đẩy lùi tội phạm sử dụng công nghệ cao; phòng ngừa, phát hiện sớm lỗ hổng; bảo vệ chủ thể dữ liệu; khôi phục niềm tin số. Các văn bản chỉ đạo, điều hành của Chính phủ đã thể hiện rõ quyết tâm phòng, chống tội phạm công nghệ cao, bảo vệ dữ liệu cá nhân của công dân.

Thực hiện chỉ đạo của Chính phủ, lực lượng chức năng triển khai đồng thời hai mũi: đấu tranh chuyên án và phòng ngừa hệ thống. Ở mũi đấu tranh, các đơn vị nghiệp vụ mở cao điểm trấn áp, bóc gỡ đường dây, triệt phá các ổ nhóm lừa đảo giả danh cơ quan công quyền, ngân hàng, sàn thương mại điện tử; truy vết, ngăn chặn các kênh rao bán dữ liệu cá nhân, triệt hạ hạ tầng kỹ thuật phục vụ phạm tội.

Nhiều vụ án xuyên biên giới được khởi tố; đối tượng cầm đầu bị bắt giữ; dữ liệu thu lợi bất chính bị thu hồi; kênh rửa tiền bị phong tỏa kịp thời. Đó không chỉ là nỗ lực trấn áp, mà còn là thông điệp răn đe mạnh mẽ: mọi hành vi chiếm đoạt, mua bán trái phép dữ liệu cá nhân đều bị xử lý theo pháp luật.

Năm 2025, hàng loạt vụ án lớn đã được triệt phá, thể hiện sự chủ động của lực lượng công an trong tấn công tội phạm mạng. Tiêu biểu là chuyên án 0525L tại Bokor (Campuchia) do Công an tỉnh Lai Châu chủ trì, phối hợp Cục Cảnh sát Hình sự — Bộ Công an và lực lượng bạn, bắt giữ 59 đối tượng người Việt (44 nam, 15 nữ) hoạt động xuyên quốc gia, thu giữ tang vật và dữ liệu liên quan đến hơn 300 tỉ đồng, xác định hơn 8.000 bị hại trên toàn quốc. Khi mở rộng điều tra, tổng số bị bắt lên tới 66 người.

Tại Cao Bằng, tháng 10.2025, lực lượng công an tiếp tục mở rộng điều tra, bắt thêm 33 đối tượng trong một đường dây lừa đảo xuyên biên giới khác, có yếu tố người nước ngoài, sử dụng dữ liệu cá nhân bị đánh cắp để chiếm đoạt hàng trăm tỷ đồng của hàng trăm nạn nhân trong nước. Những kết quả này khẳng định quyết tâm của lực lượng chức năng trong việc ngăn chặn, bóc gỡ tận gốc các đường dây lừa đảo mạng, bảo vệ an toàn dữ liệu công dân.

Ở mũi phòng ngừa, Bộ Công an chủ trì phối hợp với các bộ, ngành, địa phương rà soát hệ thống thông tin của cơ quan, tổ chức, doanh nghiệp; yêu cầu đánh giá cấp độ an toàn, kiểm thử xâm nhập có kiểm soát, khắc phục lỗ hổng và thiết lập cơ chế giám sát 24/7 đối với các hệ thống chứa dữ liệu nhạy cảm.

Trọng tâm là các ngành dọc có lượng dữ liệu lớn như tài chính, ngân hàng, y tế, giáo dục, năng lượng, vận tải, viễn thông. Yêu cầu “đóng vòng” quản trị được nhấn mạnh: có quy chế phân quyền truy cập; có nhật ký truy cập, lưu vết và cảnh báo bất thường; có kịch bản ứng phó, khôi phục sau sự cố với mốc thời gian rõ ràng.

Cùng với đó là cơ chế phối hợp nhanh giữa công an — ngân hàng — nhà mạng — đơn vị trung gian thanh toán. Khi nhận cảnh báo giao dịch bất thường, các bên lập tức kích hoạt quy trình phong tỏa theo thẩm quyền, đồng thời thu thập, bảo quản chứng cứ số để phục vụ điều tra. Quy trình này giúp thu hồi tài sản cho bị hại, cắt đứt dòng tiền bất hợp pháp, giảm thiểu hệ quả của những vụ lừa đảo đánh vào dữ liệu cá nhân.

Một nhiệm vụ không kém phần quan trọng là làm sạch không gian số công, bao gồm: gỡ bỏ trang web, ứng dụng giả mạo; chặn tên miền, địa chỉ Internet phát tán dữ liệu; yêu cầu nền tảng xuyên biên giới gỡ nội dung vi phạm; ngăn chặn hoạt động quảng cáo “bẫy” dữ liệu như ứng dụng tiện ích giả, khảo sát giả, đường link mạo danh. Mỗi khi thủ đoạn mới xuất hiện — như deepfake giọng nói và khuôn mặt, cuộc gọi AI giả mạo người thân, nhân viên ngân hàng hay cán bộ tố tụng — hệ thống cảnh báo được kích hoạt, phát đi hướng dẫn nhận diện và báo tin.

Trong chỉ đạo điều hành, Chính phủ yêu cầu gắn trách nhiệm người đứng đầu với an toàn dữ liệu thuộc phạm vi quản lý; đưa tiêu chí bảo vệ dữ liệu cá nhân vào đánh giá thi đua; kiểm tra đột xuất đối với đơn vị để xảy ra rò rỉ nghiêm trọng. Tư duy điều hành chuyển từ “ứng phó bị động” sang “quản trị rủi ro dữ liệu”, đặt trọng tâm vào chủ động phòng ngừa.

Tuy nhiên, việc trấn áp tội phạm cũng gặp không ít thách thức. Yếu tố xuyên biên giới khiến việc thu thập chứng cứ, xác định đối tượng, phong tỏa dòng tiền phức tạp hơn, đòi hỏi mở rộng hợp tác quốc tế, kênh tương trợ tư pháp và kỷ luật phối hợp liên ngành. Bên cạnh đó, vòng đời dữ liệu bị lộ kéo dài và lặp lại theo chu kỳ: dữ liệu bị chiếm đoạt — “làm giàu” — tiêu thụ — tái sử dụng cho đợt tấn công mới khiến dữ liệu bị chiếm đoạt được “tái sử dụng” liên tục.

Thách thức nữa nằm ở chính “chủ sở hữu”, “người sử dụng” dữ liệu, khi các cá nhân, doanh nghiệp chưa thực sự bảo vệ dữ liệu của chính mình khiến dữ liệu vô tình bị đánh cắp.

Xây dựng văn hoá bảo vệ dữ liệu trong xã hội số

Nhìn thẳng vào nguyên nhân chủ quan: ở không ít đơn vị, bảo mật bị “khoán trắng” cho bộ phận kỹ thuật, trong khi đây là vấn đề quản trị cấp lãnh đạo. Khi không có quy chế rõ về phân quyền truy cập, không kiểm toán định kỳ, không đánh giá tác động bảo vệ dữ liệu trước khi đưa hệ thống vào vận hành, thì lỗ hổng kỹ thuật chỉ là bề nổi của lỗ hổng quản trị. Thêm vào đó, thói quen làm việc thiếu kỷ luật — sao chép dữ liệu ra thiết bị cá nhân, dùng chung mật khẩu cho nhiều dịch vụ, chia sẻ tài khoản — tạo ra bề mặt tấn công rộng, khiến mọi công nghệ đắt tiền đều khó phát huy hiệu quả.

Từ thực trạng trên, yêu cầu đặt ra là phòng vệ nhiều lớp. Ở tầng kỹ thuật, phải mã hóa dữ liệu ở trạng thái lưu trữ và truyền tải; khóa API chặt chẽ; giám sát nhật ký truy cập theo thời gian thực; phân đoạn mạng và tách vùng dữ liệu nhạy cảm; sao lưu an toàn theo nguyên tắc 3-2-1; triển khai xác thực đa yếu tố và quản lý truy cập đặc quyền.

Ở tầng quy trình, cần định nghĩa rõ dữ liệu nhạy cảm; áp dụng nguyên tắc “quyền tối thiểu cần thiết” và “không tin cậy mặc định”; chuẩn hóa quy trình tiếp nhận — xử lý yêu cầu của chủ thể dữ liệu; duy trì diễn tập ứng cứu, phục hồi sau sự cố với kịch bản sát thực tế. Ở tầng con người, phải huấn luyện nhận diện lừa đảo, quản lý thiết bị cá nhân kết nối hệ thống, dừng cấp quyền tràn lan, và thiết lập cơ chế báo cáo sự cố “không đổ lỗi” để khuyến khích phát hiện sớm.

Cơ quan chức năng đồng thời nhấn mạnh điểm yếu chuỗi cung ứng. Một hệ thống an toàn vẫn có thể bị đe dọa nếu nhà thầu, đối tác tích hợp, đơn vị cung cấp dịch vụ phụ trợ không đạt chuẩn bảo mật. Bởi vậy, quản trị dữ liệu không dừng ở cửa nội bộ, mà phải mở rộng sang quản lý bên thứ ba: ký thỏa thuận bảo mật, yêu cầu tiêu chuẩn kỹ thuật tối thiểu, kiểm toán độc lập định kỳ, và ràng buộc trách nhiệm khi để xảy ra rò rỉ.

Tuyên truyền — giáo dục là mũi nhọn song hành với trấn áp. Lực lượng chức năng chuyển mạnh sang tuyên truyền thực tế: dựng lại kịch bản lừa đảo, mô phỏng tình huống deepfake, phân tích dấu hiệu nhận diện đường link giả, ứng dụng giả, tổng đài giả; hướng dẫn thao tác an toàn cụ thể, chi tiết theo từng kịch bản.

Các chiến dịch cảnh báo thời gian qua cho thấy hiệu quả rõ: tại nhiều địa phương, số vụ lừa cung cấp OTP, mật khẩu đã giảm; người dân quen dần với thói quen xác minh hai chiều qua kênh chính thức trước mọi yêu cầu liên quan đến tiền, tài khoản, dữ liệu nhạy cảm.

Một nội dung khác các cơ quan chức năng đang triển khai là giáo dục trong nhà trường và công sở. Ở môi trường giáo dục, học sinh — sinh viên phải được trang bị kiến thức về quyền riêng tư, quản trị “dấu vết số”, kỹ năng kiểm soát cài đặt bảo mật trên thiết bị. Người sở hữu dữ liệu phải hiểu hậu quả của việc chia sẻ tùy tiện hình ảnh — giấy tờ — thông tin cá nhân.

Ở công sở, mỗi nhân viên coi bảo vệ dữ liệu là nghĩa vụ công vụ hoặc chuẩn nghề nghiệp; vi phạm quy chế bảo mật bị xử lý ở mức tương xứng; đánh giá thi đua gắn với tiêu chí an toàn dữ liệu. Khi nhận thức chuyển hóa thành hành vi, “bức tường người dùng” mới trở thành tuyến phòng thủ đầu tiên và quan trọng nhất.

Cần khẳng định rõ, thu thập dữ liệu không đồng nghĩa xâm phạm dữ liệu. Nhiều dịch vụ hợp pháp cần dữ liệu để vận hành và nâng cao chất lượng. Vấn đề ở cơ chế kiểm soát: minh bạch mục đích sử dụng; giới hạn phạm vi xử lý; đảm bảo an toàn trong suốt vòng đời dữ liệu; có trách nhiệm thông báo và khắc phục khi xảy ra sự cố. Khi người dân được thông tin rõ ràng, họ sẵn sàng chia sẻ dữ liệu cho mục tiêu chính đáng, ngược lại, sự mập mờ — cả về kỹ thuật lẫn giao tiếp — tạo khoảng trống cho tin giả và các kịch bản lừa đảo.

Với cộng đồng, cơ quan chức năng khuyến cáo, kỷ luật an toàn cá nhân là tuyến phòng vệ hiệu quả nhất. Nguyên tắc cơ bản gồm: không gửi ảnh giấy tờ tùy thân qua kênh không chính thức; không cung cấp mã OTP cho bất kỳ ai; không bấm đường link lạ; không cài ứng dụng ngoài kho chính thức; đặt mật khẩu mạnh và khác nhau giữa các dịch vụ; bật xác thực nhiều lớp;

Thường xuyên kiểm tra quyền truy cập mà ứng dụng đã được cấp; xóa sạch dữ liệu nhạy cảm trước khi bán hoặc cho tặng thiết bị; không cho mượn tài khoản; và luôn xác minh ngược với ngân hàng, nhà mạng, cơ quan quản lý khi nhận yêu cầu bất thường. Mỗi hành vi đúng chuẩn là một mắt xích làm thu hẹp bề mặt tấn công của tội phạm.

Ở bình diện tổ chức, các doanh nghiệp — đặc biệt doanh nghiệp vừa và nhỏ — cần coi chi phí bảo vệ dữ liệu là cấu phần cố định của vận hành, không phải khoản “để sau”. Thực tế cho thấy chi phí sau sự cố (ứng cứu — pháp lý — truyền thông — đền bù — mất uy tín) thường lớn hơn rất nhiều so với chi phí phòng ngừa.

Doanh nghiệp phải có người chịu trách nhiệm về bảo vệ dữ liệu; công khai chính sách dữ liệu; tổ chức kênh tiếp nhận — phản hồi yêu cầu của chủ thể dữ liệu; và chủ động phối hợp với cơ quan chức năng khi có dấu hiệu phạm tội liên quan đến dữ liệu.

Điều đó cho thấy, để luật đi vào cuộc sống, người dân cần hiểu rõ quyền riêng tư của mình, trong khi doanh nghiệp phải thay đổi cách tiếp cận dữ liệu — từ “thu thập mọi thứ” sang “bảo vệ trước tiên”.

Luật Bảo vệ dữ liệu cá nhân sẽ có hiệu lực thi hành vào ngày 1.1.2026, là bước tiến quan trọng trong xây dựng Nhà nước pháp quyền và xã hội số an toàn. Đây là hành lang pháp lý hoàn thiện đầy đủ, thống nhất về vấn đề bảo vệ dữ liệu cá nhân; xác định rõ và tăng cao trách nhiệm của tổ chức, doanh nghiệp, cá nhân trong bảo vệ dữ liệu.

Đồng thời là căn cứ để bổ sung các chế tài mạnh để ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, bảo đảm quyền và lợi ích hợp pháp của người dùng khi tham gia vào không gian mạng. Một xã hội số chỉ thật sự phát triển khi quyền riêng tư được tôn trọng và bảo vệ.