Pháp luật

Ngăn chặn "chợ đen" dữ liệu cá nhân

Khánh Huy 19/07/2026 - 11:22

Hàng triệu người dân đang rơi vào cuộc khủng hoảng bị bủa vây bởi các cuộc gọi rác chào mời dịch vụ từ tệp dữ liệu bị rò rỉ công khai. Trước thực trạng này, dự thảo Bộ luật Hình sự sửa đổi do Bộ Công an trình Chính phủ lấy ý kiến đã đề xuất hình sự hóa các hành vi xâm phạm và mua bán trái phép dữ liệu cá nhân với mức phạt tù lên đến 10 năm.

Điện thoại “cháy máy” vì những vị khách lạ

9 giờ sáng, anh Nguyễn Văn Mười (35 tuổi, phường Hai Bà Trưng) đang trong một cuộc buổi chụp ảnh tại cuộc họp với khách hàng thì điện thoại rung lên bần bật. Thấy đầu số lạ nhưng do đặc thù nghề dịch vụ, anh bắt buộc phải bắt máy. Đầu dây bên kia là một giọng nữ xưng danh từ một viện nghiên cứu đầu tư chứng khoán quốc tế và mời anh tham gia vào một nhóm Zalo kín để nhận các mã cổ phiếu có khả năng sinh lời gấp ba lần.

bf7a4526.jpg
Mua bán trên mạng xã hội là một trong những nơi dễ lộ dữ liệu cá nhân nhất. Ảnh: Khánh Huy

Anh Mười lịch sự từ chối, nói rằng mình không có nhu cầu và dập máy. Chỉ một tiếng sau, một cuộc gọi khác từ đầu số khác lại ập tới, lần này là chào mời mở thẻ tín dụng ưu đãi do anh là khách hàng thân thiết. Câu chuyện của anh Mười không phải là cá biệt. Đây là tình trạng chung của bất kỳ ai đang sở hữu một chiếc điện thoại thông minh.

"Tôi có cảm giác mình như đang bị bủa vây bởi các cuộc gọi bất kỳ lúc nào. Tôi vừa mở thẻ ngân hàng, đã có nhiều cuộc gọi đến mời mở thẻ tín dụng. Tôi vừa đăng ký mua một phần mềm phục vụ cho công việc, ngày hôm sau đã có người gọi tới mời tham gia nhóm chứng khoán. Họ gọi đúng họ tên tôi, họ dường như biết chính xác tôi là ai, tôi vừa chi tiền vào đâu và tôi đang cần gì” – anh Mười chia sẻ.

Sự phiền toái mà anh Mười cũng như hàng triệu người dân đối mặt hàng ngày thực chất chỉ là bề nổi của một tảng băng chìm mang tên thị trường ngầm dữ liệu số.

dsc00422.jpg
Dữ liệu cá nhân được rao bán như rau trên nền tảng mạng xã hội telegram. Ảnh: Khánh Huy

Tại Việt Nam, theo báo cáo tình hình an toàn thông tin Quý I/2026 do Công ty An ninh mạng Viettel (VCS) công bố, tình trạng lộ lọt dữ liệu tại thị trường Việt Nam với hơn 6,9 triệu bản ghi tài khoản cá nhân bị rò rỉ. Hệ thống giám sát cũng ghi nhận tới 165 vụ việc rao bán dữ liệu quy mô lớn, trải dài trên ít nhất 13 lĩnh vực cốt lõi như ngân hàng, bất động sản, giáo dục và y tế.

Đáng nói hơn, tổng cộng đã có hơn 473,7 triệu bản ghi dữ liệu bị các nhóm tội phạm đưa lên các diễn đàn "chợ đen" mạng để mua bán công khai dưới dạng các gói dữ liệu phân loại. Từ những tệp dữ liệu thô bị rao bán này, các đối tượng telesale, môi giới tín dụng đen, và nguy hiểm hơn là các tập đoàn lừa đảo công nghệ cao xuyên biên giới đã có được "nguyên liệu" để lập bẫy nạn nhân. Những cuộc gọi rác không còn dừng lại ở mức độ làm phiền, nó đã và đang biến tướng thành các kịch bản lừa đảo tinh vi bằng công nghệ Deepfake, giả danh công an, tòa án để chiếm đoạt tài sản của người dân.

Lấp khoảng trống pháp lý

Trước làn sóng tấn công mạng và yêu cầu bảo vệ quyền lợi hợp pháp của người dân, Bộ Công an vừa trình Chính phủ dự án Bộ luật Hình sự (sửa đổi), trong đó đề xuất bổ sung Điều 159b quy định về hành vi, mức phạt với việc mua bán trái phép dữ liệu cá nhân (DLCN) với mức phạt cao nhất lên tới 10 năm tù hoặc phạt tiền đến 2 tỉ đồng.

Theo đó, tội phạm này được định nghĩa là hành vi thu thập, xử lý, trao đổi, tặng cho, công khai hoá, chiếm đoạt, sử dụng trái phép hoặc cố ý làm lộ, làm mất dữ liệu cá nhân của người khác, nếu không thuộc trường hợp quy định tại Điều 291 Bộ luật Hình sự. Tuỳ thuộc vào hậu quả và tác động của hành vi mà mức hình phạt sẽ được áp dụng tương ứng với tính chất, mức độ và hậu quả của hành vi.

dsc01767.jpg
Người dùng vô tình chia sẻ dữ liệu cá nhân nếu đọc to số điện thoại của mình khi thực hiện thanh toán, mua bán. Ảnh: Khánh Huy

Đối với tội “Xâm phạm dữ liệu cá nhân” tại Điều 159a, dự thảo phân định rõ các khung hình phạt dựa trên tính chất và hậu quả của hành vi vi phạm. Người nào có hành vi thu thập, xử lý, phát tán, chiếm đoạt trái phép hoặc cố ý làm lộ dữ liệu của người khác sẽ phải đối mặt với mức phạt tù từ 6 tháng đến 3 năm ở khung cơ bản.

Trong trường hợp phạm tội có tổ chức, có tính chất chuyên nghiệp, lợi dụng chức vụ quyền hạn hoặc gây hậu quả đặc biệt nghiêm trọng như dẫn đến việc nạn nhân tự sát, gây ảnh hưởng xấu đến an ninh trật tự, mức hình phạt sẽ tăng nặng từ 3 năm đến 7 năm tù. Đặc biệt, điều luật này cũng lần đầu tiên quy trách nhiệm hình sự nghiêm khắc đối với hành vi sử dụng dữ liệu của người khác để mở trái phép các loại tài khoản ngân hàng, ví điện tử nhằm mục đích phục vụ cho các giao dịch bất hợp pháp.

Cùng với đó, Điều 159b về tội “Mua bán trái phép dữ liệu cá nhân” tập trung đánh mạnh vào chuỗi cung ứng của thị trường ngầm với khung hình phạt cao nhất lên đến 10 năm tù hoặc phạt tiền tới 2 tỉ đồng. Mức án nghiêm khắc này được áp dụng đối với các cá nhân thực hiện hành vi mua bán dữ liệu với quy mô lớn, từ 25.000 chủ thể dữ liệu cơ bản trở lên, hoặc thu lợi bất chính từ 1 tỉ đồng trở lên.

Đáng chú ý, dự thảo luật cũng quy định chế tài hình sự trực tiếp đối với các pháp nhân thương mại vi phạm với mức phạt tiền dao động từ 300 triệu đến 10 tỉ đồng, đi kèm hình phạt bổ sung là đình chỉ hoạt động có thời hạn hoặc cấm kinh doanh trong một số lĩnh vực nhất định.

Chấm dứt cảnh "gượng ép" mượn tội danh

Chuyên gia An ninh mạng Nguyễn Hoàng Việt cho biết trong bối cảnh Big Data và AI phát triển mạnh mẽ, từ số điện thoại cá nhân của một người cũng có thể dễ dàng trích xuất ra tài khoản mạng xã hội của họ hoặc ngược lại. Điều này khiến ba loại dữ liệu bị đem bán nhiều nhất hiện nay bao gồm thông tin cá nhân gốc (họ tên, số điện thoại, CCCD, hộ khẩu, nơi ở, tài khoản mạng xã hội, thân nhân, chỗ làm, bạn bè), tài khoản rác và tài khoản ngân hàng ảo, cùng thói quen cá nhân của nạn nhân lẫn người thân để bọn lừa đảo gọi điện đánh trúng tâm lý, khiến nạn nhân dễ sập bẫy.

“Xét về mặt bản chất kinh tế dữ liệu, nếu người dùng chia sẻ thông tin của mình để doanh nghiệp thực hiện các chiến dịch quảng cáo hướng đối tượng (targeted marketing), đáng lẽ ra người phải được chia sẻ lợi nhuận từ chính nguồn thông tin cá nhân đó. Thông tin cá nhân có rất nhiều hình thức biểu hiện, thậm chí bao gồm cả thông tin DNA (mã gen) của mỗi con người. Đặc biệt trong kỷ nguyên AI hiện nay, mọi dữ liệu hành vi của con người đều có giá trị kinh tế cao: từ cách nói chuyện, cách viết văn, ánh nhìn, cho đến thói quen giặt quần áo, nấu ăn... và cả dữ liệu DNA. Tất cả đều được các tập đoàn trí tuệ nhân tạo thu mua để đào tạo cho AI và Robot. Vì vậy, việc quyết định bán, chia sẻ hay giữ bí mật dữ liệu hoàn toàn là quyền lợi hợp pháp của người dùng” – ông Nguyễn Hoàng Việt nói thêm.

Theo luật sư Diệp Năng Bình (Đoàn Luật sư thành phố Hà Nội), hành vi mua bán dữ liệu cá nhân vốn đã bị nghiêm cấm trong nhiều văn bản pháp luật. Tuy nhiên, khi xem xét trách nhiệm hình sự, cơ quan tiến hành tố tụng thường phải “mượn” các tội danh gián tiếp để xử lý, chẳng hạn như tội “Đưa và sử dụng trái phép thông tin mạng máy tính, mạng viễn thông”; “Thu thập, tàng trữ, trao đổi, mua bán, công khai hoá thông tin về tài khoản ngân hàng” hay các hành vi lừa đảo, cưỡng đoạt, chiếm đoạt tài sản nếu dữ liệu được sử dụng làm công cụ để thực hiện tội phạm.

img_3880.jpg
Luật sư Diệp Năng Bình. Ảnh: NVCC

Việc áp dụng gượng ép này khiến hành vi mua bán các loại dữ liệu cá nhân rất khó định tội danh một cách chính xác và tương ứng với bản chất nguy hiểm của hành vi. Khách thể được bảo vệ trong các tội danh nêu trên hiện nay chủ yếu là an toàn, an ninh mạng hoặc trật tự quản lý trong lĩnh vực công nghệ thông tin, trong khi lợi ích bị xâm phạm trực tiếp đối với hành vi mua bán dữ liệu cá nhân lại là quyền riêng tư, quyền kiểm soát dữ liệu cá nhân của mỗi cá nhân.

“Trước đây, các hình thức xử phạt chủ yếu vẫn dừng lại ở mức xử phạt vi phạm hành chính từ vài chục đến vài trăm triệu đồng. Mức phạt tiền này quá thấp và lép vế trước khoản lợi nhuận khổng lồ mà các đường dây mua bán dữ liệu thu về. Với đề xuất nâng mức phạt tù đến 10 năm và phạt tiền đến 2 tỉ đồng, đồng thời áp dụng các hình phạt cấm kinh doanh, cấm hoạt động trong một số linh vực nhất định đối với pháp nhân thương mại vi phạm, tính răn đe sẽ được đẩy lên mức cao nhất. Khi này, doanh nghiệp, tổ chức sẽ không thể xem nhẹ việc bảo mật dữ liệu khách hàng nữa” - Luật sư Diệp Năng Bình chia sẻ.

Ngoài ra, đề xuất bổ sung tội danh mới cũng thể hiện sự thay đổi trong cách tiếp cận đối với dữ liệu cá nhân. Trước đây, dữ liệu cá nhân thường được nhìn nhận như một loại thông tin cần được bảo mật. Hiện nay, trong bối cảnh kinh tế số, dữ liệu cá nhân đã trở thành một tài sản có giá trị kinh tế lớn đối với các doanh nghiệp. Các doanh nghiệp có thể khai thác dữ liệu để xây dựng hồ sơ khách hàng, phục vụ quảng cáo, phân tích hành vi tiêu dùng, đánh giá tín dụng hoặc phát triển trí tuệ nhân tạo. Chính vì giá trị kinh tế đó mà hình thành một "thị trường ngầm" mua bán dữ liệu với lợi nhuận rất cao.

Theo luật sư Diệp Năng Bình, dữ liệu cá nhân được xác định như một khách thể quan trọng cần được bảo vệ không chỉ đối với từng cá nhân mà còn đối với an ninh quốc gia. Việc hình sự hóa hành vi mua bán dữ liệu không chỉ nhằm bảo vệ quyền riêng tư, mà còn nhằm bảo vệ trật tự quản lý dữ liệu trong nền kinh tế số, ngăn chặn việc hình thành và phát triển của thị trường dữ liệu bất hợp pháp.

Đặc biệt, cần phân biệt rõ "chia sẻ dữ liệu" với "mua bán dữ liệu". Trong chuỗi cung ứng, doanh nghiệp bắt buộc phải chia sẻ dữ liệu với đơn vị vận chuyển, thanh toán, điện toán đám mây hoặc đối tác xử lý theo hợp đồng. Nếu dự thảo chỉ dùng các thuật ngữ chung chung như “trao đổi”, “công khai hoá”... mà không làm rõ mục đích, bản chất và điều kiện thì rất dễ bị hiểu mở rộng, gây ảnh hưởng đến hoạt động kinh doanh hợp pháp.

(0) Bình luận
Nổi bật
    Đừng bỏ lỡ
    Ngăn chặn "chợ đen" dữ liệu cá nhân

    (*) Không sao chép dưới mọi hình thức khi chưa có sự đồng ý bằng văn bản của Cơ quan Báo và Phát thanh, truyền hình Hà Nội.