Vụ nhạc sĩ và tài xế grab: Phơi bầy lỗ hổng dữ liệu cá nhân, doanh nghiệp trả giá?

Nhìn từ vụ lùm xùm nhạc sĩ M. K và tài xế grab, chuyên gia cho rằng đã lộ ra lỗ hổng nhận thức về dữ liệu cá nhân, doanh nghiệp đối mặt với án phạt lớn.

Tranh cãi “đúng - sai”: Con số gây sốc từ khảo sát

Phát biểu tại Hội thảo “Tuân thủ luật bảo vệ dữ liệu cá nhân - Những thách thức, rủi ro và giải pháp công nghệ” diễn ra ngày 20/3, do Bộ Khoa học và Công nghệ, Bộ Công an và Liên hiệp các Hội Khoa học và Kỹ thuật Việt Nam chỉ đạo, với sự phối hợp tổ chức của Sở KH-CN Hà Nội, Tạp chí Một Thế Giới và Công ty FSI, ông Nguyễn Quang Đồng – Viện trưởng Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) cho rằng: "Sự việc tài xế Grab đăng video có mặt khách hàng lên mạng xã hội, liên quan đến nhạc sĩ M. K., đang gây tranh cãi gay gắt, không chỉ về ứng xử cá nhân mà còn đặt ra vấn đề lớn hơn: nhận thức của người dân về bảo vệ dữ liệu cá nhân vẫn còn nhiều hạn chế".

ông Nguyễn Quang Đồng – Viện trưởng Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS)

Ông Nguyễn Quang Đồng đưa ra ví dụ khi con số từ một cuộc khảo sát ý kiến người dân mới đây cho thấy, có tới 4.676 người cho rằng, việc tài xế đăng video có mặt khách là “đúng”, trong khi chỉ 1.790 người nhận định hành vi này là “sai”. Tỷ lệ này phần nào phản ánh một thực tế đáng lo ngại: Nhiều người chưa nhận diện rõ đâu là hành vi xâm phạm dữ liệu cá nhân.

Từ góc nhìn chuyên gia, ông Đồng cho rằng, đây không phải là hiện tượng cá biệt. Dẫn kết quả khảo sát tại Quảng Trị, ông Đồng cho biết: trong 310 người được hỏi, có tới 77,4% chưa từng biết đến Nghị định 13/2023/NĐ-CP. Tuy nhiên, 85,4% lại khẳng định bảo vệ dữ liệu cá nhân là vấn đề quan trọng đối với bản thân. “Điều này cho thấy khoảng cách rất lớn giữa nhận thức pháp lý và nhu cầu thực tế của người dân”, ông Đồng nhấn mạnh.

Thực tế này cũng lý giải vì sao những hành vi như quay, đăng tải hình ảnh người khác mà chưa được sự đồng ý, vốn có thể vi phạm quy định về dữ liệu cá nhân, lại chưa được nhìn nhận đầy đủ về mức độ nghiêm trọng. Không chỉ dừng lại ở nhận thức xã hội, theo ông Nguyễn Quang Đồng, việc thực thi pháp luật bảo vệ dữ liệu cá nhân trong khu vực công cũng đang bộc lộ nhiều hạn chế.

Khảo sát cho thấy khoảng 50% cơ quan nhà nước đã xây dựng chính sách bảo vệ dữ liệu cá nhân nhưng chưa công khai. Đáng chú ý, phần lớn đơn vị chưa thiết lập quy trình cụ thể để thực thi đầy đủ 11 quyền của chủ thể dữ liệu theo quy định. Bên cạnh đó, hoạt động kiểm tra, giám sát an toàn dữ liệu chưa được triển khai định kỳ, trong khi cơ chế phản ứng khi xảy ra sự cố rò rỉ hoặc tấn công dữ liệu vẫn còn thiếu.

Trong khi đó, khu vực công lại đang nắm giữ khối lượng dữ liệu cá nhân rất lớn, bao gồm cả dữ liệu nhạy cảm, đặc biệt trong lĩnh vực y tế, nơi hệ thống công lập chiếm tới khoảng 80% quy mô giường bệnh. Theo IPS, những “điểm nghẽn” chính hiện nay gồm: nhận thức hạn chế về quy định pháp luật; thiếu hệ thống quy trình nội bộ; chưa bảo đảm minh bạch và trách nhiệm giải trình; cùng với năng lực kỹ thuật còn yếu trong bảo vệ dữ liệu. Trong bối cảnh dữ liệu cá nhân ngày càng trở thành tài sản chiến lược của nền kinh tế số, những hạn chế này không chỉ làm giảm hiệu quả thực thi pháp luật, mà còn tiềm ẩn rủi ro lớn đối với quyền riêng tư của người dân.

Từ thực tế trên, ông Nguyễn Quang Đồng cho rằng, giải pháp quan trọng hàng đầu là đẩy mạnh truyền thông chính sách, giúp người dân hiểu rõ quyền và nghĩa vụ liên quan đến dữ liệu cá nhân. Song song với đó, cần phổ biến các kỹ năng bảo vệ dữ liệu trong môi trường số, đặc biệt là khả năng nhận diện các hành vi thu thập, sử dụng dữ liệu không minh bạch. Về phía cơ quan nhà nước, cần nhanh chóng hoàn thiện hệ thống thực thi, bao gồm xây dựng quy trình chuẩn, tăng cường minh bạch và thiết lập cơ chế giám sát, ứng phó sự cố dữ liệu. “Thực thi hiệu quả các quy định về bảo vệ dữ liệu không chỉ là yêu cầu pháp lý, mà còn là điều kiện tiên quyết để củng cố niềm tin của người dân trong tiến trình chuyển đổi số quốc gia”, ông Nguyễn Quang Đồng nhấn mạnh.

Có tới 1.300 GB dữ liệu bị rao bán, lỗi do ai?

Phát biểu tại hội thảo, Luật sư Lưu Xuân Vĩnh đã đưa ra những cảnh báo đanh thép về sự chuyển dịch từ Nghị định 13 đến Luật Bảo vệ dữ liệu cá nhân 2025, nơi mà những sai lầm sơ đẳng về bảo mật có thể khiến doanh nghiệp trả giá bằng 5% doanh thu hoặc những khoản phạt hàng tỷ đồng. 

Luật sư Lưu Xuân Vĩnh

Luật sư Lưu Xuân Vĩnh dẫn chứng các vụ việc lộ lọt dữ liệu lớn của hàng loạt các thương hiệu lớn trên thế giới như một lời cảnh tỉnh về cái giá của sự lơ là. Tại Việt Nam, bức tranh an ninh mạng đang ở mức báo động đỏ. Theo thống kê, năm 2023 ghi nhận lượng dữ liệu cá nhân bị rao bán trái phép lên tới 1.300 GB.

"Một con số đáng suy ngẫm khi 32,6% nguyên nhân rò rỉ đến từ yếu tố con người. Thói quen chia sẻ thông tin vô tội vạ trên mạng xã hội đã biến người dùng thành mục tiêu béo bở cho các hacker. Hàng loạt tên tuổi lớn ở trong nước từng đã bị lộ hàng trăm triệu tài khoản của khách hàng. Khi doanh nghiệp thu thập dữ liệu, anh là bên kiểm soát. Việc chuyển giao cho bên nào là quan hệ hợp đồng, nhưng trách nhiệm bảo mật cuối cùng vẫn thuộc về anh. Ngay cả những dữ liệu nhạy cảm nhất như lịch sử tín dụng, nợ xấu tại CIC cũng không đứng ngoài vòng xoáy lộ lọt, đe dọa trực tiếp đến an ninh tài chính quốc gia. Sự ra đời của Luật Bảo vệ dữ liệu cá nhân 2025 (có hiệu lực từ 1/1/2026) và Nghị định 356 được coi là lời giải cho những hạn chế của Nghị định 13 trước đây", luật sư chia sẻ.

Luật sư Vĩnh cho rằng, Nghị định 13 có chế tài lỏng lẻo và phạm vi điều chỉnh hạn hẹp. Luật mới đã thực hiện một cuộc "tổng tiến công" pháp lý khi định nghĩa lại toàn diện khái niệm dữ liệu, bao hàm cả thông tin số và dữ liệu môi trường số, xóa bỏ sự chồng chéo của hơn 300 văn bản liên quan. Đặc biệt, "cánh tay" pháp lý nay đã vươn dài tới các nền tảng xuyên biên giới như Google, Facebook hay Microsoft. Dù không có pháp nhân tại Việt Nam, các đơn vị này vẫn phải tuân thủ luật chơi nội địa nếu thu thập dữ liệu người Việt. Đây là bước đi quyết liệt để bảo vệ chủ quyền dữ liệu quốc gia. Điểm mới quan trọng nhất của Luật 2025 chính là sự phân loại khắt khe giữa dữ liệu cá nhân cơ bản và nhạy cảm.

Toàn cảnh hội thảo

"Nhiều công ty có 100 nhân sự thì cả 100 người đều có quyền truy cập kho dữ liệu chung. Đây là kẽ hở chí mạng để nội bộ mua bán dữ liệu. Theo quy định mới, doanh nghiệp bắt buộc phải thiết lập hệ thống phân quyền và các biện pháp bảo mật kỹ thuật nghiêm ngặt. Bên cạnh đó, quy trình Đánh giá tác động xử lý dữ liệu (DPIA) và chuyển dữ liệu xuyên biên giới sẽ là cơn ác mộng về thủ tục hành chính đối với các doanh nghiệp vừa và nhỏ (SME). Nếu không có nhân sự chuyên trách hoặc tư vấn luật chuyên sâu, doanh nghiệp rất dễ sa lầy vào các sai phạm định kỳ. Tuy nhiên, điều khiến cộng đồng doanh nghiệp mất ăn mất ngủ nhất chính là khung hình phạt", luật sư chỉ ra.

Luật sư Vĩnh dẫn chứng dự thảo Nghị định xử phạt dài 99 trang với những mức phạt "cắt thịt”: Phạt 5% doanh thu năm liền kề nếu vi phạm chuyển dữ liệu xuyên biên giới, phạt gấp 10 lần số tiền thu lợi bất chính từ việc mua bán dữ liệu trái phép, mức phạt tiền mặt trực tiếp lên tới 3 tỷ đồng cho các hành vi vi phạm khác. Kết thúc phiên tham luận,

"Việc thực thi Luật Bảo vệ dữ liệu cá nhân 2025 không còn là câu chuyện của tương lai mà là nhiệm vụ khẩn thiết ngay từ bây giờ. Doanh nghiệp cần chủ động rà soát lại toàn bộ quy trình thu thập, xử lý và lưu trữ dữ liệu. Trong cuộc chơi này, sự minh bạch và tính tuân thủ không chỉ giúp doanh nghiệp tránh được án phạt hàng tỷ đồng, mà còn là nền tảng để xây dựng lòng tin với khách hàng – tài sản quý giá nhất trong nền kinh tế số", Luật sư Lưu Xuân Vĩnh gửi đi thông điệp mạnh mẽ.

Thời sự Xem thêm