Mua bán dữ liệu: Doanh nghiệp có thể đối mặt "hóa đơn" hàng nghìn tỷ nếu vi phạm

Trong kỷ nguyên số, dữ liệu khách hàng không chỉ là một nguồn tài nguyên mà còn là yếu tố quyết định năng lực cạnh tranh và khả năng thích ứng của doanh nghiệp.

Tuy nhiên, nhiều tổ chức đang đối mặt với những rào cản đáng kể trong việc hiện thực hóa tiềm năng này, bao gồm sự phân mảnh của hạ tầng công nghệ, thiếu đồng bộ trong quy trình vận hành và khó khăn trong việc chuyển hóa dữ liệu thành hành động mang lại giá trị kinh doanh cụ thể.

NGUY CƠ LỘ LỌT DỮ LIỆU TỪ NỘI BỘ TỔ CHỨC MỚI THỰC SỰ ĐÁNG LO NGẠI

Sáng 14/5, Cộng đồng CIO Việt Nam đã tổ chức hội nghị về dữ liệu khách hàng 2025. Đây là một diễn đàn doanh nghiệp nhằm giải quyết những thách thức trong việc khai thác, ứng dụng dữ liệu khách hàng một cách hiệu quả. Theo ông Đỗ Hoàng Long, Trưởng phòng Công nghệ Thông tin của Viettel Group, nếu khai thác và sử dụng dữ liệu một cách hợp lý, doanh nghiệp có thể mang lại hạnh phúc và sự thỏa mãn cho khách hàng, nâng cao chất lượng cuộc sống của khách hàng. Tuy vậy, dữ liệu không chỉ là nguồn lực để tạo lợi ích kinh doanh mà cần được bảo vệ để tránh rủi ro. 

“Điều đáng lo nhất là dữ liệu bị sử dụng sai mục đích hay nói một cách cụ thể hơn, thì đó là tình trạng lộ lọt dữ liệu”, ông Đỗ Hoàng Long nói khi trao đổi trong phiên tọa đàm tại sự kiện Customer Data Summit 2025.

Đáng chú ý, chuyên gia IT của Viettel cho rằng lộ lọt dữ liệu thường xuất phát từ hai nguyên nhân chính: tấn công từ bên ngoài và khai thác từ bên trong. Tuy nhiên, các vụ việc xảy ra từ nội bộ tổ chức – do nhân viên hoặc các bên liên quan cố ý sử dụng dữ liệu sai mục đích – mới thực sự đáng lo ngại. Những trường hợp này không chỉ chiếm tỷ lệ cao hơn, mà còn có mức độ nghiêm trọng lớn hơn và xác suất xảy ra thường xuyên hơn so với các cuộc tấn công từ bên ngoài.

Trong khi đó, các vụ tấn công bên ngoài, như hacker xâm nhập hệ thống, trên thực tế xảy ra ít hơn. Hơn nữa, phần lớn các cuộc tấn công này thường mang tính chất tống tiền (ransomware) chứ hiếm khi gây ra thiệt hại nặng nề ở mức độ phá hủy dữ liệu. Chính vì vậy, mối nguy lớn nhất hiện nay lại đến từ bên trong hệ thống, nơi dữ liệu có thể bị tiếp cận và khai thác không đúng mục đích.

THẢO LUẬN PHẠT TỪ 1% ĐẾN 5% DOANH THU NẾU VI PHẠM QUY ĐỊNH MUA BÁN DỮ LIỆU

Việc lộ lọt dữ liệu cũng có thể là nguyên nhân dẫn đến các tin nhắn, cuộc gọi spam, hay nặng hơn là các vụ lừa đảo trực tuyến. Chẳng hạn, khi đi máy bay, khách hàng thường nhận được tin nhắn mời chào dịch vụ taxi. Thậm chí, thời gian gần đây, nhiều vụ lừa đảo trong đó kẻ gian mạo danh thu tiền điện, hóa đơn internet đã diễn ra.

Customer Data Summit 2025 nhằm giải quyết những thách thức trong việc khai thác, ứng dụng dữ liệu khách hàng một cách hiệu quả

Có thể thấy, kẻ gian dường như sở hữu đầy đủ dữ liệu cá nhân của người dùng, dẫn đến các kịch bản lừa đảo tinh vi khiến người dân mắc bẫy. Chia sẻ bên lề sự kiện, ông Trần Công Quỳnh Lân, Thành viên Ban cố vấn Cộng đồng CIO Vietnam kiêm Chủ nhiệm Ủy ban Công nghệ của Hiệp hội Ngân hàng, cho biết dữ liệu của người dùng được lưu trữ ở rất nhiều nơi và do nhiều đơn vị khác nhau quản lý. Vấn đề cốt lõi là liệu mỗi doanh nghiệp có chính sách bảo vệ dữ liệu người dùng hay không. Đây là một việc không hề dễ dàng. 

“Trong ngành ngân hàng, chúng tôi có các biện pháp bảo vệ rất nghiêm ngặt. Ví dụ, nếu nhân viên tiết lộ dữ liệu khách hàng, họ sẽ bị xử lý kỷ luật ngay lập tức, thậm chí có thể bị sa thải. Tuy nhiên, không phải doanh nghiệp nào cũng có chính sách rõ ràng và chặt chẽ như vậy”, ông Trần Công Quỳnh Lân nói.

Ngoài ra, theo ông Lân, vấn đề không chỉ nằm ở hệ thống mà còn liên quan đến đạo đức của nhân viên. Dù hệ thống có được thiết kế để bảo vệ dữ liệu, nhưng nếu nhân viên cố tình truy cập và chia sẻ dữ liệu với bên thứ ba, thì rất khó kiểm soát. Vì vậy, xây dựng văn hóa doanh nghiệp với tính kỷ luật và đạo đức nghề nghiệp là điều vô cùng quan trọng. Các doanh nghiệp cần thiết lập chính sách cụ thể để đảm bảo dữ liệu được bảo vệ ở cả cấp độ hệ thống và con người.

Dưới góc độ chính sách, ông Lân cho biết Luật Dữ liệu đóng vai trò rất quan trọng trong việc giải quyết vấn đề này. Luật Bảo vệ Dữ liệu Cá nhân và Luật Dữ liệu đã quy định rất rõ rằng bất kỳ doanh nghiệp nào thu thập dữ liệu đều phải có sự đồng ý của khách hàng. Nếu dữ liệu được chuyển cho bên thứ ba, cũng cần có sự đồng ý rõ ràng từ khách hàng. 

Hiện nay, Dự thảo Luật Bảo vệ Dữ liệu Cá nhân đang đề xuất mức phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp vi phạm quy định về bảo vệ dữ liệu cá nhân. 

Theo Chủ nhiệm Ủy ban Công nghệ của Hiệp hội Ngân hàng, cần làm rõ trường hợp nào áp dụng mức phạt 5% doanh thu. Ví dụ, với một ngân hàng, 5% doanh thu có thể lên đến hàng nghìn tỷ đồng – một con số rất lớn. Vì vậy, cần xác định hành vi vi phạm cụ thể và mức độ thiệt hại gây ra cho khách hàng để áp dụng mức phạt phù hợp, đảm bảo mức phạt công bằng và hiệu quả.

Thực tế, việc xử lý các cá nhân vi phạm mua bán dữ liệu bất hợp pháp vẫn còn nhiều lỗ hổng, dựa vào các quy định hình sự, mà chưa có quy định chuyên biệt, khiến việc xử lý gặp khó khăn.

“Từ phía ngân hàng, chúng tôi đã đề xuất với Ngân hàng Nhà nước một giải pháp: nếu phát hiện tài khoản nào bị mua bán hoặc sử dụng cho mục đích lừa đảo, tài khoản đó sẽ bị phong tỏa trên toàn hệ thống ngân hàng và đưa vào danh sách đen. Thậm chí, căn cước công dân liên quan cũng có thể bị liệt vào danh sách này. Cách tiếp cận này sẽ giúp hạn chế đáng kể các hành vi lừa đảo, vì nó tạo ra hậu quả nghiêm trọng cho những người tham gia mua bán tài khoản”, Chủ nhiệm Ủy ban Công nghệ của Hiệp hội Ngân hàng nói.

Ông Lân cũng cho biết trước đây, khi chưa có các quy định chặt chẽ, việc mua bán tài khoản ngân hàng diễn ra khá phổ biến vì quy trình mở tài khoản còn đơn giản, không yêu cầu xác thực khuôn mặt hay căn cước công dân. Tuy nhiên, sau khi áp dụng các quy định mới với yêu cầu xác thực sinh trắc học, cụ thể là Quyết định 2345/QĐ-NHNN và Thông tư 17-18 của Ngân hàng Nhà nước Việt Nam, tình trạng mua bán tài khoản và lừa đảo liên quan đã giảm nhiều.

“Tất nhiên, nếu khách hàng cố tình cung cấp thông tin để hỗ trợ hành vi lừa đảo, thì ngân hàng khó kiểm soát hoàn toàn. Nhưng với các biện pháp xác thực và quản lý chặt chẽ hơn, chúng tôi đã hạn chế đáng kể những trường hợp này”, ông Lân nói.

KHÔNG ĐỂ GIÁ TRỊ THẶNG DƯ CỦA DỮ LIỆU BIẾN THÀNH “CHỦ NGHĨA GIÁM SÁT DỮ LIỆU”

Theo Thiếu tá Đào Đức Triệu, Phó Trưởng phòng 1/A05, Tổng Thư ký Hiệp hội Dữ liệu Quốc gia, Phó Tổng Thư ký Hiệp hội An ninh mạng Quốc gia, dữ liệu có thể mang lại giá trị thặng dư rất lớn. “Ở trạng thái cơ bản, dữ liệu chỉ là tài nguyên thô. Tuy nhiên, giá trị thực sự của dữ liệu – giá trị thặng dư – nằm ở chỗ nó được kết hợp và tái sử dụng nhiều lần”, Thiếu tá Đào Đức Triệu nói. 

Cụ thể, theo ông Đào Đức Triệu, khi dữ liệu được xử lý, phân tích và kết hợp với các kịch bản ứng dụng, giá trị của nó có thể tăng lên gấp nhiều lần. Đặc biệt, khi dữ liệu được tích hợp vào kho dữ liệu tổng hợp của Trung tâm Dữ liệu Quốc gia và kết hợp với các kịch bản ứng dụng từ các bên, giá trị thặng dư này càng được nhân lên đáng kể. “Đây chính là bản chất giá trị của dữ liệu mà chúng ta đang hướng tới”, Thiếu tá Đào Đức Triệu nói.

Tuy nhiên, Thiếu tá Đào Đức Triệu cũng đề cập đến một vấn đề quan trọng của việc khai thác dữ liệu và biến dữ liệu thành giá trị thặng dư, đó là “không được để giá trị thặng dư của dữ liệu biến thành “chủ nghĩa giám sát dữ liệu”. Giải thích chi tiết, Thiếu tá Đào Đức Triệu cho rằng “khi đã biết quá nhiều về một cá nhân – từ vòng đời, các sự kiện, đến toàn bộ thông tin liên quan – chúng ta có thể giám sát toàn diện một con người. Do đó, đây là điều cần được nhấn mạnh và quản lý chặt chẽ để tránh lạm dụng”.

“Nếu không kiểm soát tốt, “chủ nghĩa giám sát” sẽ vượt quá giới hạn, ảnh hưởng nghiêm trọng đến quyền riêng tư và quyền công dân”, Thiếu tá Đào Đức Triệu nói.

Từ quan điểm của mình, ông Trần Công Quỳnh Lân nhấn mạnh dữ liệu là một loại tài sản, và như bất kỳ tài sản nào, phải được bảo vệ và quản lý một cách hợp pháp. “Chi phí tuân thủ luật là điều bắt buộc trong hoạt động kinh doanh. Trước đây, nhiều doanh nghiệp có thể đã sử dụng dữ liệu một cách tràn lan, nhưng giờ đây, chúng ta không thể tiếp tục làm như vậy. Các doanh nghiệp cần đầu tư vào công nghệ, con người và chính sách để bảo vệ dữ liệu khách hàng. Đây không phải là gánh nặng mà là yêu cầu tất yếu để duy trì lòng tin và đảm bảo hoạt động kinh doanh bền vững”, ông cho biết.

Theo chuyên gia, từ phía khách hàng, cũng cần nâng cao ý thức cảnh giác. Khi nhận được cuộc gọi hoặc tin nhắn, hãy luôn tự hỏi liệu đó có phải là lừa đảo hay không và cẩn trọng khi cung cấp thông tin. Từ phía doanh nghiệp, cần tiếp tục đầu tư vào công nghệ và truyền thông để hỗ trợ khách hàng nhận diện các dấu hiệu lừa đảo.

#box1747221651534{background-color:#76ad7b} #box1747222730958{background-color:#7cb681}