"Thị trường ngầm" mua bán dữ liệu cá nhân ngày càng tinh vi, chuyên nghiệp

Việt Nam đang bước vào giai đoạn chuyển đổi số mạnh mẽ, nơi dữ liệu được xem là trung tâm của mọi hoạt động kinh tế - xã hội. Tính đến tháng 1/2026, sau hơn hai thập kỷ kết nối Internet toàn cầu, Việt Nam đã có khoảng 85,6 triệu người dùng Internet, tương đương khoảng 84% dân số.

Theo Thượng tá Nguyễn Đình Đỗ Thi, Trưởng ban Nghiên cứu, tư vấn chính sách pháp luật (Hiệp hội An ninh mạng quốc gia), đây là một nguồn dữ liệu khổng lồ “cần được bảo vệ”.

“Dữ liệu cá nhân hiện nay không chỉ là thông tin đơn thuần, mà đã trở thành tài sản có giá trị cao”, Thượng tá Nguyễn Đình Đỗ Thi nói. “Nhiều quốc gia coi dữ liệu như dầu mỏ của nền kinh tế. Có ý kiến khác lại ví dữ liệu như oxy, hay thậm chí là ‘huyết mạch’ của nền kinh tế số”.

MUA BÁN DỮ LIỆU CÁ NHÂN DIỄN RA "KHÁ PHỔ BIẾN"

Chính giá trị đó đã khiến dữ liệu trở thành mục tiêu săn lùng của các đối tượng phạm tội. Thượng tá Thi cho biết hiện nay, trên các diễn đàn kín, thậm chí có cả những diễn đàn công khai, việc mua bán dữ liệu cá nhân diễn ra khá phổ biến, trong đó có nhiều dữ liệu của người dùng Việt Nam.

Trong ba năm qua, các cơ quan chức năng, trong đó có lực lượng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, đã phát hiện và xử lý hơn 30 vụ việc liên quan đến mua bán, chiếm đoạt trái phép dữ liệu cá nhân với hơn 160 triệu bản ghi. Từ các thông tin cơ bản như họ tên, số điện thoại, địa chỉ, đến các dữ liệu nhạy cảm hơn như tài khoản ngân hàng, lịch sử giao dịch, tất cả đều có thể trở thành hàng hóa trao đổi của các đối tượng.

Theo báo cáo từ của hãng bảo mật Kaspersky, dữ liệu sau khi bị đánh cắp thường được đưa vào các hệ thống tự động để quản lý và rao bán theo lô lớn.

Thượng tá Nguyễn Đình Đỗ Thi cho biết nhiều đối tượng, các tổ chức tội phạm, không còn hoạt động manh mún mà đã tổ chức thành các nhóm chuyên nghiệp, sử dụng phần mềm và công cụ tự phát triển để thu thập, phân tích và khai thác dữ liệu. Và trước khi thực hiện hành vi phạm tội, các đối tượng thường thu thập rất kỹ thông tin của nạn nhân để tăng khả năng thành công. Tội phạm mạng còn xâm phạm đời sống riêng tư của nạn nhân thông qua các thiết bị kết nối Internet như camera, tivi thông minh hay các thiết bị gia dụng thông minh. Những thiết bị này mang lại sự tiện lợi, nhưng cũng tiềm ẩn nguy cơ rất lớn.

Trong giai đoạn từ năm 2022 đến 2025, lực lượng chức năng đã xử lý nhiều vụ việc điển hình. Năm 2022 tại Phú Thọ, một vụ việc liên quan đến hơn 2,2 triệu dữ liệu cá nhân bị đánh cắp và mua bán. Năm 2023, công an Hà Tĩnh và các đơn vị liên quan đã xử lý một số đối tượng mua bán dữ liệu cá nhân quy mô lớn. Năm 2024, có vụ việc 22 đối tượng hack khoảng 25.000 tài khoản để thực hiện hành vi chiếm đoạt tài sản. Năm 2025, công an TP. Huế, Hà Nội và các đơn vị chức năng đã phối hợp triệt phá một đường dây mua bán gần 5–6 triệu dữ liệu cá nhân.

THỊ TRƯỜNG NGẦM VẬN HÀNH TINH VI, CHUYÊN NGHIỆP

Sự tồn tại của một “thị trường ngầm” mua bán dữ liệu cá nhân không còn là điều xa lạ, nhưng cách thức vận hành của nó ngày càng tinh vi và khó kiểm soát hơn. Nguồn dữ liệu bị rò rỉ đến từ nhiều kênh khác nhau. Một phần đến từ các cuộc tấn công mạng vào hệ thống của doanh nghiệp, tổ chức. Phần khác lại xuất phát từ chính nội bộ, khi nhân viên có quyền truy cập dữ liệu sao chép và bán ra ngoài.

Các giao dịch trên thị trường ngầm thường được thực hiện thông qua những nền tảng khó truy vết, với nhiều lớp trung gian nhằm che giấu danh tính. Dữ liệu được phân loại theo “giá trị”: dữ liệu càng chi tiết, càng có khả năng phục vụ cho các hành vi lừa đảo hoặc chiếm đoạt tài sản thì giá càng cao.

Đáng chú ý, dữ liệu cá nhân thường không bị khai thác đơn lẻ mà được kết hợp, phân tích để xây dựng “chân dung số” của từng cá nhân. Từ đó, các đối tượng có thể triển khai các kịch bản lừa đảo tinh vi, đánh trúng tâm lý và hoàn cảnh cụ thể của nạn nhân.

Thượng tá Nguyễn Đình Đỗ Thi cho biết hiện nay có hơn 30 loại hình tội phạm sử dụng công nghệ cao, trong đó phổ biến nhất là lừa đảo trực tuyến. Thiệt hại do các hành vi này gây ra là rất lớn, ước tính lên tới khoảng 10.000 tỷ USD trên toàn cầu. Tại Việt Nam, con số thiệt hại hàng năm lên tới hàng trăm nghìn tỷ đồng.

CÒN NHIỀU LÚNG TÚNG TRONG BẢO VỆ DỮ LIỆU CÁ NHÂN

Trước thực trạng dữ liệu cá nhân bị xâm phạm ngày càng nghiêm trọng, việc hoàn thiện khung pháp lý trở thành yêu cầu cấp bách. Luật Bảo vệ dữ liệu cá nhân đã được ban hành. Tuy nhiên, theo ông Thi, nhiều cơ quan, tổ chức và doanh nghiệp vẫn còn lúng túng trong việc triển khai các quy định về bảo vệ dữ liệu cá nhân. Các quy trình xử lý dữ liệu chưa đầy đủ, việc đánh giá tác động, chuyển dữ liệu ra nước ngoài hay thông báo vi phạm còn chậm trễ. Đặc biệt, nhận thức và năng lực của đội ngũ nhân sự vẫn là điểm yếu lớn.

“Công tác đào tạo chưa được quan tâm đúng mức. Nhiều cán bộ, nhân viên, nhất là trong doanh nghiệp nhỏ và vừa, chưa nắm rõ quyền của chủ thể dữ liệu cũng như nghĩa vụ pháp lý của mình”, ông Thi nhận định.

Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 1/1/2026, được kỳ vọng sẽ tạo ra bước ngoặt trong việc kiểm soát và bảo vệ dữ liệu. Luật quy định rõ trách nhiệm của các chủ thể xử lý dữ liệu, bổ sung các yêu cầu về bảo mật, cũng như thiết lập cơ chế xử phạt nghiêm khắc.

Một trong những điểm đáng chú ý là mức phạt có thể lên tới 5% doanh thu của doanh nghiệp vi phạm trong năm trước, hoặc tối đa 3 tỷ đồng nếu không xác định được doanh thu. Trong trường hợp vi phạm nhằm trục lợi, mức xử phạt còn có thể cao hơn.

Bên cạnh đó, luật cũng đặt ra yêu cầu về việc bảo vệ dữ liệu trong toàn bộ vòng đời xử lý, từ thu thập, lưu trữ, phân tích đến chia sẻ và xóa bỏ. Chỉ cần một mắt xích bị bỏ sót, toàn bộ hệ thống có thể trở thành mục tiêu tấn công.

Tuy nhiên, các chuyên gia nhấn mạnh thách thức lớn nhất không nằm ở quy định, mà ở khâu thực thi. Doanh nghiệp cần chủ động rà soát toàn bộ hoạt động xử lý dữ liệu, xây dựng quy trình bài bản và bố trí nhân sự chuyên trách. Đồng thời, yếu tố con người cần được đặt lên hàng đầu, bởi không ít vụ rò rỉ dữ liệu xuất phát từ chính nội bộ.