Tình trạng lộ và lọt thông tin cá nhân đang trở thành một vấn đề ngày càng nghiêm trọng và tinh vi trong thời đại số. Sự phát triển nhanh chóng của thương mại điện tử và quá trình số hóa các dịch vụ đã tạo ra một môi trường thuận lợi cho hoạt động mua bán dữ liệu cá nhân. Các diễn đàn và tài khoản mạng xã hội hiện nay không chỉ là nơi để trao đổi thông tin thông thường mà còn là sân chơi cho những kẻ chuyên nghiệp trong việc thu thập, mua bán dữ liệu cá nhân. Hậu quả của tình trạng này là nhiều người phải đối mặt với việc bị nhắn tin, gọi điện gây phiền phức và thậm chí bị lừa đảo. Dựa vào thông tin cá nhân bị lộ, kẻ xấu có thể dễ dàng xây dựng các kịch bản lừa đảo riêng biệt cho từng nhóm đối tượng khác nhau.

Theo nhận định của chuyên gia Ngô Trí Nhật, mặc dù các cơ quan chức năng đã và đang nỗ lực triển khai các biện pháp mạnh mẽ để chống lại tình trạng này, như việc đánh sập nhiều đường dây chuyên đánh cắp và mua bán dữ liệu cá nhân, các băng nhóm hacker vẫn tiếp tục hoạt động với những hình thức ngày càng tinh vi. Quá trình điều tra và xử lý những trường hợp này thường kéo dài, gây ảnh hưởng lớn đến công tác bảo đảm an toàn thông tin trong cộng đồng.

Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, thuộc Bộ Công an, đã báo cáo về tình hình mua bán dữ liệu cá nhân trong sáu tháng đầu năm 2025. Theo đó, có đến 56 vụ việc liên quan đến mua bán dữ liệu cá nhân, với hơn 110 triệu bản ghi bị thu thập và rao bán. Thượng tá Triệu Mạnh Tùng, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, chia sẻ rằng nhu cầu thu thập dữ liệu cá nhân để phục vụ hoạt động sản xuất và kinh doanh là rất lớn. Tuy nhiên, nhiều hệ thống thông tin thực hiện việc thu thập, phân tích, và xử lý dữ liệu cá nhân còn tồn tại nhiều lỗ hổng trong quy trình khai thác và sử dụng.

Ông Ngô Minh Hiếu, Giám đốc Công ty TNHH Doanh nghiệp xã hội Chống lừa đảo, cho rằng các doanh nghiệp hoàn toàn có thể sử dụng dữ liệu cá nhân của khách hàng để tăng giá trị dịch vụ và kết nối. Tuy nhiên, điều quan trọng là việc khai thác dữ liệu phải đảm bảo tính bảo mật, lưu trữ thông tin trên máy chủ đặt tại Việt Nam, và thực hiện mã hóa các thông tin nhạy cảm như danh tính khách hàng và tình trạng tài chính.

Nhằm ngăn chặn tình trạng lộ và lọt thông tin cá nhân, đồng thời bảo vệ người dân khỏi nạn lừa đảo, Luật Bảo vệ dữ liệu cá nhân sẽ có hiệu lực thi hành từ ngày 1/1/2026. Luật này quy định cụ thể và rõ ràng các khái niệm về dữ liệu cá nhân, bao gồm “dữ liệu cá nhân cơ bản”, “dữ liệu cá nhân nhạy cảm”, “đánh giá tác động xử lý dữ liệu cá nhân”, và “bảo vệ dữ liệu cá nhân”. Đặc biệt, Luật cấm tuyệt đối hành vi mua bán dữ liệu cá nhân.

Các chuyên gia an ninh mạng và bảo mật thông tin cho rằng để nâng cao hiệu quả trong việc bảo vệ dữ liệu cá nhân, cơ quan chức năng cần triển khai các giải pháp đồng bộ. Điều này bao gồm việc ban hành các văn bản hướng dẫn thi hành chi tiết và dễ thực hiện, xây dựng cơ chế phối hợp giữa các bộ và cơ quan để chia sẻ dữ liệu và cảnh báo sớm vi phạm. Ngoài ra, cần tổ chức các chiến dịch tuyên truyền nâng cao nhận thức về bảo mật thông tin cá nhân trong cộng đồng. Một kênh tương tác hoặc đường dây nóng để người dân và doanh nghiệp có thể tố giác hành vi vi phạm hoặc khai báo nếu phát hiện dữ liệu của mình bị đánh cắp cũng là một giải pháp cần thiết.

Đối với người dân, để bảo vệ thông tin cá nhân của mình, cần tăng cường cảnh giác và không chia sẻ thông tin cá nhân qua mạng xã hội hoặc các khảo sát không đáng tin cậy. Sử dụng mật khẩu mạnh và không dùng chung mật khẩu cho nhiều tài khoản là một biện pháp quan trọng. Người dân cũng nên tránh mở các liên kết hoặc tập tin đáng ngờ và thường xuyên cập nhật các phần mềm chống virus và bảo mật trên các thiết bị cá nhân. Bằng cách nâng cao nhận thức và áp dụng các biện pháp bảo mật cần thiết, mỗi người có thể góp phần vào việc xây dựng một môi trường an toàn hơn trên không gian mạng.

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đã đặt ra những quy định cụ thể nhằm bảo vệ dữ liệu cá nhân trong lĩnh vực sức khỏe và kinh doanh bảo hiểm. Theo đó, bất kỳ hoạt động thu thập và xử lý dữ liệu cá nhân liên quan đến sức khỏe và bảo hiểm nào đều đòi hỏi sự đồng ý rõ ràng từ chủ thể dữ liệu cá nhân, trừ khi thuộc một số trường hợp đặc biệt được quy định tại khoản 1, Điều 19 của Luật này.

Các cơ quan, tổ chức và cá nhân hoạt động trong lĩnh vực sức khỏe và bảo hiểm bắt buộc phải tuân thủ đầy đủ các quy định về bảo vệ dữ liệu cá nhân cũng như các quy định pháp luật có liên quan. Đặc biệt, họ không được phép cung cấp dữ liệu cá nhân cho bất kỳ bên thứ ba nào mà không có yêu cầu bằng văn bản từ chủ thể dữ liệu cá nhân hoặc không thuộc các trường hợp được phép theo quy định của pháp luật.

Tổ chức và cá nhân phát triển ứng dụng về y tế và kinh doanh bảo hiểm cũng phải tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân. Đối với doanh nghiệp kinh doanh tái bảo hiểm và nhượng tái bảo hiểm, việc chuyển dữ liệu cá nhân cho đối tác cần được quy định rõ ràng trong hợp đồng với khách hàng.

Law cũng quy định một số trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân. Các tình huống này bao gồm các trường hợp cấp thiết liên quan đến bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền và lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác; các tình huống khẩn cấp cần bảo vệ lợi ích của Nhà nước, cơ quan tổ chức; phục vụ hoạt động của cơ quan nhà nước; thực hiện thỏa thuận giữa chủ thể dữ liệu cá nhân với cơ quan, tổ chức có liên quan; và các trường hợp khác theo quy định cụ thể của pháp luật.

Như vậy, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đã đề ra một khung pháp lý cụ thể để đảm bảo việc bảo vệ dữ liệu cá nhân trong các lĩnh vực nhạy cảm như sức khỏe và bảo hiểm, đồng thời quy định rõ các nguyên tắc và điều kiện cho việc thu thập, xử lý và cung cấp dữ liệu cá nhân.