Tại tọa đàm “Luật An ninh mạng 2025: Bước tiến bảo vệ an ninh dữ liệu” do Hiệp hội An ninh mạng Quốc gia, Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng An ninh thông tin mạng, Cục A05 (Bộ Công an), nhắc đến thực trạng đáng báo động về vấn đề lọt lộ dữ liệu.

Theo Thượng tá Thi, qua công tác nghiệp vụ, phát hiện trong các diễn đàn, hội nhóm kín, dữ liệu của người Việt Nam được rao bán công khai theo từng gói, có tệp lên tới hàng chục triệu bản ghi, bao trùm đủ ngành nghề, lĩnh vực.

Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng An ninh thông tin mạng, Cục A05 (Bộ Công an). Ảnh BTC

Các đối tượng thậm chí phân loại dữ liệu rất chi tiết từ số điện thoại, họ tên, tài khoản ngân hàng, thậm chí cả mức thu nhập của từng nhóm người.

Điều đáng nói là việc thông tin tội phạm đang không thu thập thủ công, khi nhiều đối tượng đã sử dụng các phần mềm chuyên dụng để đánh cắp dữ liệu với quy mô lớn.

Về các lý do khiến tình trạng lọt lộ dữ liệu diễn ra ngày càng phổ biến, Thượng tá Thi nêu:

Thứ nhất, nhận thức và ý thức bảo vệ dữ liệu cá nhân của người dân còn thấp. Nhiều người sẵn sàng đánh đổi quyền riêng tư lấy sự tiện lợi khi sử dụng dịch vụ, hoặc không có thói quen tự bảo vệ mình trên môi trường số.

Thứ hai, nhiều cơ quan, tổ chức, doanh nghiệp chưa triển khai các biện pháp bảo mật tương xứng trong khâu thu thập, xử lý, lưu trữ và chia sẻ dữ liệu. Điều này vô tình tạo ra khoảng trống an ninh cho tội phạm khai thác.

Thứ ba, việc quản lý, kiểm soát dữ liệu tại một số đơn vị còn lỏng lẻo, tạo kẽ hở để cho việc chiếm đoạt thông tin trái phép xảy ra.

Đặc biệt, Thượng tá Nguyễn Đình Đỗ Thi cho biết, cơ quan chức năng cũng đã phát hiện một số công ty công nghệ trong và ngoài nước âm thầm thu thập trái phép dữ liệu người Việt bằng các công cụ tự động. Nhiều trang web cài sẵn mã độc hoặc phần mềm khai thác dữ liệu mà người dùng không hề hay biết.

Việt Nam hiện nằm trong nhóm các quốc gia chịu nhiều cuộc tấn công mạng nhất khu vực. Riêng trong năm 2024, đã ghi nhận hơn 600.000 cuộc tấn công nhằm vào các hệ thống thông tin trong nước, trong đó có hàng chục nghìn vụ tấn công trực tiếp vào cơ quan nhà nước.

Hiện, hành lang pháp lý về bảo vệ dữ liệu cá nhân vẫn đang được hoàn thiện. Nghị định 13 sau khi được nâng cấp thành Luật Bảo vệ Dữ liệu năm 2025 đang trong quá trình xây dựng văn bản hướng dẫn thi hành.

Chế tài xử phạt vi phạm hành chính của Việt Nam trong lĩnh vực an ninh hiện chưa đủ sức răn đe (cao nhất đối với tổ chức chỉ là 200 triệu đồng, và đối với cá nhân là 100 triệu đồng). So với mặt bằng quốc tế, đây là mức phạt rất thấp.

Thượng tá Nguyễn Đình Đỗ Thi nhấn mạnh: “Trong thời gian tới, chúng tôi cho rằng cần nghiên cứu bổ sung để chế tài phù hợp hơn với thông lệ quốc tế, đồng thời tham khảo quy định các nước nhằm hoàn thiện hệ thống xử phạt một cách chặt chẽ, toàn diện”.