I.  Dữ liệu cá nhân - Tài sản quý giá và mối đe dọa thường trực

          Trong kỷ nguyên kinh tế số, dữ liệu cá nhân đã vượt ra khỏi phạm vi thông tin định danh đơn thuần để trở thành một loại tài sản có giá trị chiến lược. Tuy nhiên, cùng với sự phát triển của công nghệ là sự gia tăng đáng báo động của các hoạt động tội phạm mạng, trong đó lừa đảo và lộ lọt thông tin cá nhân đang trở thành vấn đề nhức nhối, gây thiệt hại nghiêm trọng cho cả cá nhân và toàn xã hội.

          Bức tranh an ninh mạng tại Việt Nam những năm gần đây đã vẽ nên một thực trạng đầy thách thức. Theo ước tính từ Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (NCA), thiệt hại do lừa đảo trực tuyến tại Việt Nam trong năm 2024 đã lên đến con số khổng lồ, ước tính khoảng 18.900 tỷ đồng. Con số này không chỉ phản ánh mức độ tinh vi của các cuộc tấn công mà còn cho thấy tỷ lệ người dùng trở thành nạn nhân ngày càng cao, với thống kê cứ 220 người dùng điện thoại thông minh thì có 1 người bị lừa đảo. Những thống kê này cho thấy rủi ro không còn chỉ là mối lo ngại của các tổ chức lớn mà đã trở thành mối đe dọa thường nhật, len lỏi vào cuộc sống của mỗi người dân.

          Mức độ nghiêm trọng của vấn đề được thể hiện rõ ràng qua các báo cáo chuyên sâu. Trong 6 tháng đầu năm 2025, Việt Nam nằm trong top 10 quốc gia bị tấn công mạng nhiều nhất trên thế giới, với 155 triệu bản ghi dữ liệu bị rò rỉ và 4,5 triệu tài khoản bị lộ lọt. Những con số này minh họa một mối quan hệ nhân quả rõ ràng: sự gia tăng các vụ lộ lọt dữ liệu là nguyên nhân trực tiếp dẫn đến thiệt hại kinh tế khổng lồ. Dữ liệu cá nhân bị rò rỉ đóng vai trò là "nguyên liệu" chính, giúp tội phạm mạng thực hiện các cuộc tấn công lừa đảo có tính cá nhân hóa và thuyết phục hơn, từ đó làm tăng tỷ lệ thành công của các vụ lừa đảo. Điều này khẳng định rằng việc bảo vệ dữ liệu cá nhân là một nhiệm vụ cấp bách, đòi hỏi sự phối hợp hành động từ cả ba cấp độ: cá nhân, tổ chức và cơ quan quản lý nhà nước.

          II. Thực trạng và các hình thức lộ lọt thông tin cá nhân

          2.1. Những con số báo động

          Các báo cáo an ninh mạng gần đây đã liên tục gióng lên hồi chuông cảnh báo về tình trạng lộ lọt thông tin tại Việt Nam. Theo Báo cáo An ninh mạng 6 tháng đầu năm 2024 của Viettel Cyber Security, số lượng thông tin cá nhân bị đánh cắp đã tăng 50% so với cùng kỳ năm trước. Cùng với đó, số lượng trang web giả mạo các tổ chức và doanh nghiệp cũng tăng gấp 4 lần, làm gia tăng các vụ lừa đảo, đặc biệt là lừa đảo tài chính.

          Thực trạng này tiếp tục diễn biến phức tạp trong năm 2025. Cụ thể, trong 6 tháng đầu năm 2025, lực lượng Công an đã phát hiện và xử lý 56 vụ việc liên quan đến hành vi mua bán, khai thác trái phép dữ liệu cá nhân với quy mô lên tới hơn 110 triệu bản ghi. Các vụ việc này cho thấy hoạt động tội phạm đã đạt đến mức độ công nghiệp, với việc dữ liệu được mua bán và trao đổi trên quy mô lớn, gây ra những hậu quả khó lường.

          Sự gia tăng đột biến về số lượng bản ghi và tài khoản bị lộ lọt không phải là ngẫu nhiên. Nó là kết quả của một xu hướng đáng lo ngại, khi các cuộc tấn công mạng ngày càng trở nên tinh vi hơn. Các số liệu được tổng hợp lại trong bảng dưới đây cung cấp một cái nhìn toàn diện và trực quan về mức độ nghiêm trọng của vấn đề.

Tổng hợp thực trạng lộ lọt thông tin cá nhân tại Việt Nam (2024-2025)

Thời gian	Chỉ số	Giá trị	Ghi chú/So sánh
Năm 2024	Thiệt hại do lừa đảo trực tuyến	18.900 tỷ đồng	Cứ 220 người dùng smartphone thì có 1 người là nạn nhân
	Tăng số thông tin cá nhân bị đánh cắp	Tăng 50%	So với năm 2023
	Tăng số trang giả mạo	Tăng 4 lần	So với cùng kỳ năm trước
6 tháng đầu năm 2025	Số vụ mua bán, khai thác dữ liệu trái phép	56 vụ	Quy mô hơn 110 triệu bản ghi
	Số bản ghi dữ liệu bị rò rỉ	155 triệu bản ghi	Tăng 21,4% so với cùng kỳ năm 2024
	Số tài khoản bị lộ lọt	4,5 triệu tài khoản	Chiếm 12,6% toàn cầu

 

Biểu đồ thực trạng lộ lọt thông tin  cá nhân tại Việt Nam (2024-2025)

          2.2. Nhận diện các hình thức tấn công chủ chốt

          Các cuộc tấn công mạng nhằm vào dữ liệu cá nhân ngày càng đa dạng và phức tạp, thường không chỉ sử dụng một phương thức mà là sự kết hợp của nhiều kỹ thuật khác nhau.

●     Tấn công có chủ đích và mã độc tinh vi: Các hình thức tấn công như tấn công có chủ đích (APT), mã độc gián điệp (spyware) và mã độc tống tiền (ransomware) đã trở nên phổ biến. Đáng chú ý, sự phát triển của các mô hình tội phạm "dịch vụ" như
"Ransomware-as-a-Service (RaaS)" và "Stealer-as-a-Service"  đã làm thay đổi đáng kể bức tranh an ninh mạng. Những mô hình này cho phép ngay cả các nhóm tội phạm ít kỹ năng cũng có thể thực hiện các cuộc tấn công tinh vi, làm tăng tốc độ lan rộng và giá trị kinh tế của dữ liệu bị đánh cắp.² Một ví dụ điển hình là mô hình Stealer-as-a-Service có tên VietCredCare đã tấn công hàng loạt các cơ quan chính phủ, trường đại học và ngân hàng tại Việt Nam.² Ngoài ra, việc tội phạm mạng bắt đầu tích hợp
Trí tuệ nhân tạo (AI) vào mã độc trong năm 2025 cũng là một xu hướng mới, giúp tối ưu hóa quá trình phân tích và khai thác dữ liệu, làm cho các cuộc tấn công trở nên hiệu quả hơn.

●     Lừa đảo trực tuyến (Phishing) và kỹ thuật xã hội: Đây là hình thức tấn công phổ biến nhất ¹ và là bước khởi đầu cho nhiều chuỗi tấn công phức tạp. Tội phạm thường sử dụng email, tin nhắn hoặc cuộc gọi để giả mạo các tổ chức uy tín như ngân hàng, cơ quan nhà nước, hoặc đơn vị tài chính để lừa người dùng cung cấp thông tin cá nhân. Các cuộc tấn công giả mạo ngày càng tinh vi hơn, thậm chí còn tạo ra các ứng dụng giả mạo trên các kho ứng dụng để lừa người dùng cài đặt và chiếm đoạt thông tin. Theo ghi nhận, nhiều người dùng đã vô tình click vào các liên kết độc hại hoặc tải xuống các tệp đính kèm đáng ngờ, từ đó vô tình mở đường cho mã độc xâm nhập vào thiết bị và hệ thống của mình.

●     Khai thác lỗ hổng hệ thống: Các lỗ hổng bảo mật trong hệ thống là "cánh cửa" cho tin tặc xâm nhập. Viettel Threat Intelligence ghi nhận hơn 17.000 lỗ hổng mới xuất hiện trong 6 tháng đầu năm 2024, trong đó hơn một nửa là ở mức độ cao và nghiêm trọng. Một khi đã khai thác được lỗ hổng, kẻ tấn công có thể dễ dàng đánh cắp dữ liệu, cài cắm mã độc hoặc thực hiện các cuộc tấn công mã hóa dữ liệu tống tiền (ransomware). Đáng lưu ý, thời gian mã độc "ẩn mình" trong hệ thống có thể lên tới
200 ngày, tạo ra một rủi ro tiềm tàng cực lớn trước khi bị phát hiện.

          Những hình thức tấn công này không tồn tại độc lập mà thường liên kết chặt chẽ với nhau để tạo thành một chuỗi tấn công đa lớp. Ví dụ, một vụ lừa đảo qua email (phishing) có thể là bước đầu tiên để cài cắm một loại mã độc tinh vi (stealer-as-a-service) vào hệ thống. Mã độc này sau đó sẽ thu thập thông tin tài khoản, mật khẩu, giúp kẻ tấn công chiếm được quyền truy cập hệ thống và thực hiện các hành vi đánh cắp dữ liệu trên diện rộng. Điều này cho thấy, việc phòng chống không thể chỉ tập trung vào một yếu tố mà cần phải có một chiến lược toàn diện, bao quát mọi giai đoạn của chuỗi tấn công.

          III. Nguồn gốc rủi ro chính

          3.1. Yếu tố con người là nguyên nhân cốt lõi

          Bên cạnh các mối đe dọa từ công nghệ, "điểm yếu con người" (human factor) luôn được xem là mắt xích yếu nhất trong mọi hệ thống an ninh mạng. Nhiều nghiên cứu đã chỉ ra rằng dù các tổ chức có đầu tư bao nhiêu vào công nghệ bảo mật, nếu không giải quyết được yếu tố con người, rủi ro vẫn luôn hiện hữu. Theo một nghiên cứu của Kaspersky, có tới 33% các sự cố an ninh mạng tại các doanh nghiệp ở châu Á - Thái Bình Dương (APAC) xảy ra do nhân viên cố tình vi phạm giao thức bảo mật. Con số này gần bằng thiệt hại gây ra bởi rò rỉ dữ liệu trên không gian mạng (40%) và cao hơn mức trung bình toàn cầu. Một nghiên cứu khác từ Tessian cũng cho thấy

43% nhân viên tại các doanh nghiệp ở Hoa Kỳ và Vương quốc Anh đã từng ít nhất một lần mắc sai lầm dẫn đến hậu quả thiệt hại về an ninh mạng.¹¹ Điều này nhấn mạnh rằng con người, chứ không phải công nghệ, là nguyên nhân hàng đầu làm suy yếu mọi hệ thống phòng thủ.

          3.2. Các hành vi rủi ro phổ biến

          Các lỗi thường gặp từ phía người dùng, dẫn đến các sự cố an ninh mạng, bao gồm:

●     Sử dụng mật khẩu yếu và lười thay đổi: Đây là một trong những nguyên nhân phổ biến nhất. 35% sự cố an ninh mạng tại châu Á là do mật khẩu yếu và không được thay đổi thường xuyên.¹⁰ Thói quen sử dụng một mật khẩu cho nhiều tài khoản cá nhân, công việc cũng tạo điều kiện cho tin tặc khai thác dữ liệu trên diện rộng một khi một trong số các tài khoản đó bị lộ.

●     Vô tình hoặc cố ý nhấp vào liên kết độc hại: Theo Tessian, 25% số nhân viên thú nhận đã vô tình nhấp vào các liên kết lừa đảo tại nơi làm việc. Tương tự, 32% các vụ rò rỉ dữ liệu là do nhân viên truy cập vào các trang web không an toàn.¹⁰ Các trang web này có thể chứa mã độc hoặc là các trang lừa đảo, được thiết kế để đánh cắp thông tin đăng nhập hoặc dữ liệu nhạy cảm.

●     Thiếu nhận thức và sự chủ quan: Sự thiếu tập trung trong công việc là một lý do phổ biến mà nhân viên đưa ra khi giải thích cho các sai lầm an ninh mạng của họ.¹¹ Ngoài ra, thói quen lười cập nhật phần mềm khi được yêu cầu cũng là một yếu tố rủi ro đáng kể, khiến hệ thống dễ bị tấn công thông qua các lỗ hổng đã được công bố.

Điều đáng chú ý là rủi ro từ con người không đồng đều ở mọi đối tượng. Một nghiên cứu chỉ ra rằng nhóm tuổi từ 31-40 tuổi có khả năng click vào email lừa đảo cao gấp 4 lần so với những người trên 51 tuổi. Điều này cho thấy các chương trình nâng cao nhận thức bảo mật không thể áp dụng một cách chung chung. Để thực sự hiệu quả, các chiến dịch tuyên truyền và đào tạo cần được thiết kế riêng, tập trung vào các nhóm đối tượng có rủi ro cao hơn, thay vì chỉ tiếp cận chung chung mà không tính đến hành vi và thói quen cụ thể.

          IV. Giải pháp Phòng chống

          Phòng chống lộ lọt thông tin cá nhân là một cuộc chiến không ngừng nghỉ, đòi hỏi một chiến lược toàn diện và đa chiều. Các giải pháp cần được thực thi đồng bộ ở cả cấp độ cá nhân, tổ chức và cơ quan quản lý nhà nước để tạo ra một hệ sinh thái an toàn vững chắc.

          4.1. Giải pháp cho từng cá nhân: Nâng cao Kiến thức và Kỹ năng tự vệ số

          Đối với mỗi người dùng, việc chủ động trang bị kiến thức và kỹ năng là tuyến phòng thủ đầu tiên và quan trọng nhất. Các biện pháp thực hành đơn giản nhưng hiệu quả bao gồm:

●     Đặt mật khẩu mạnh và sử dụng Xác thực đa yếu tố (MFA/2FA): Mật khẩu phải dài, khó đoán và kết hợp các loại ký tự khác nhau. Quan trọng hơn, không sử dụng một mật khẩu cho nhiều tài khoản. Xác thực đa yếu tố (MFA/2FA) bổ sung một lớp bảo vệ ngoài mật khẩu, ngăn chặn các cuộc tấn công ngay cả khi mật khẩu bị lộ.⁷

●     Sử dụng công cụ quản lý mật khẩu: Việc ghi nhớ hàng chục mật khẩu phức tạp là bất khả thi. Các công cụ quản lý mật khẩu giúp tạo, lưu trữ và tự động điền các mật khẩu mạnh cho mọi tài khoản. Theo đánh giá năm 2025, các công cụ hàng đầu bao gồm 1Password (được đánh giá cao nhất), Dashlane và LastPass (có gói miễn phí tốt nhất). Người dùng cũng có thể lựa chọn các ứng dụng lưu trữ mật khẩu ngoại tuyến như KeePassXC để có toàn quyền kiểm soát dữ liệu của mình, trong khi Bitwarden là một lựa chọn nguồn mở tốt cho các giải pháp trực tuyến.

●     Nâng cao nhận thức về hành vi trực tuyến: Luôn cảnh giác và không nhấn vào các đường link lạ, file đính kèm đang nghi ngờ, hoặc các email từ các tài khoản không có tên miền cụ thể. Hạn chế tối đa việc đăng nhập vào các tài khoản cá nhân khi sử dụng Wi-Fi và các thiết bị công cộng. Trên mạng xã hội, người dùng cần cảnh giác với các yêu cầu kết bạn hoặc tin nhắn từ người lạ có dấu hiệu đáng ngờ.

●     Thực thi quyền của chủ thể dữ liệu: Nghị định 13/2023/NĐ-CP đã trao cho cá nhân 11 quyền cơ bản đối với dữ liệu cá nhân của mình. Người dân có quyền được biết, đồng ý, truy cập, rút lại sự đồng ý, xóa dữ liệu, và thậm chí là yêu cầu bồi thường thiệt hại khi xảy ra vi phạm. Việc nắm rõ và sử dụng các quyền này là một cơ chế chủ động để kiểm soát thông tin cá nhân của mình, thay vì chỉ phòng vệ một cách thụ động.

          4.2. Giải pháp cho tổ chức và doanh nghiệp: Từ Công nghệ đến Văn hóa Bảo mật

          Đối với các tổ chức, một chiến lược bảo vệ dữ liệu toàn diện cần dựa trên ba trụ cột chính: Con người - Quy trình - Công nghệ.

●     Con người - Nâng cao nhận thức và đào tạo nhân viên: Đây là giải pháp nền tảng để giải quyết "điểm yếu con người" đã được phân tích ở trên.¹⁰ Các doanh nghiệp cần đầu tư vào các khóa học nâng cao nhận thức an toàn thông tin với nội dung toàn diện, bao gồm nhận diện các mối đe dọa, phòng chống lừa đảo, an toàn khi sử dụng mạng xã hội và Wi-Fi công cộng, và các quy trình xử lý sự cố cơ bản.

●     Công nghệ - Ứng dụng giải pháp bảo mật tiên tiến:

○     Ngăn mất dữ liệu (DLP - Data Loss Prevention): Công cụ này giúp ngăn chặn việc chia sẻ, truyền tải hoặc sử dụng dữ liệu nhạy cảm một cách trái phép bằng cách phát hiện các hành vi vi phạm chính sách trên toàn bộ tài sản dữ liệu của tổ chức.

○     Quản lý sự kiện và thông tin bảo mật (SIEM - Security Information and Event Management): SIEM cung cấp một vị trí trung tâm để thu thập, tổng hợp và phân tích khối lượng lớn dữ liệu log từ nhiều hệ thống, giúp các nhóm bảo mật phát hiện sớm và ứng phó hiệu quả với các mối đe dọa.²¹

○     Quản lý rủi ro nội bộ (Insider Risk Management): Giải pháp này sử dụng các mẫu máy học và phân tích hành vi người dùng để phát hiện và giảm thiểu các mối đe dọa tiềm tàng từ chính nhân viên nội bộ, bao gồm cả các hành vi vô ý và cố ý.

○     Dịch vụ giám sát an ninh 24/7 (SOC - Security Operations Center): Đây là một trong những giải pháp hiệu quả nhất cho các doanh nghiệp lớn, kết hợp nguồn lực con người chất lượng cao, công nghệ tiên tiến và quy trình chặt chẽ để giám sát, nhận diện và ứng cứu sự cố an ninh mạng một cách kịp thời, liên tục.

          4.3. Giải pháp từ cấp độ Chính sách và Pháp luật: Nền tảng cho một Không gian Mạng An toàn

          Sự hiện diện của một khung pháp lý vững chắc là yếu tố then chốt để đảm bảo an toàn dữ liệu trên diện rộng.

        - Nghị định 13/2023/NĐ-CP - Khung pháp lý cốt lõi: Nghị định này đã thiết lập một khung pháp lý quan trọng cho việc bảo vệ dữ liệu cá nhân tại Việt Nam. Nó xác định các nguyên tắc nền tảng như tính pháp lý, tính tự nguyện, minh bạch và mục đích cụ thể trong việc xử lý dữ liệu. Đặc biệt, Nghị định 13 cũng quy định các mức phạt nghiêm khắc đối với các hành vi vi phạm, bao gồm xử phạt hành chính với mức phạt tiền có thể lên tới
5% tổng doanh thu tại Việt Nam đối với các hành vi nghiêm trọng.

        - 11 quyền của chủ thể dữ liệu: Nghị định 13 cũng trao cho cá nhân những quyền lực mạnh mẽ để kiểm soát thông tin của mình.

11 Quyền cơ bản của chủ thể dữ liệu theo Nghị định 13/2023/NĐ-CP

STT	Quyền	Nội dung
1	Quyền được biết	Cá nhân được biết về hoạt động xử lý dữ liệu cá nhân của mình.
2	Quyền đồng ý	Cá nhân có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu.
3	Quyền truy cập	Cá nhân được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu.
4	Quyền rút lại sự đồng ý	Cá nhân được quyền rút lại sự đồng ý của mình.
5	Quyền xóa dữ liệu	Cá nhân được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình.
6	Quyền hạn chế xử lý	Cá nhân được yêu cầu hạn chế xử lý dữ liệu trong vòng 72 giờ.
7	Quyền cung cấp dữ liệu	Cá nhân được yêu cầu Bên Kiểm soát dữ liệu cung cấp bản sao dữ liệu của mình.
8	Quyền phản đối xử lý	Cá nhân có quyền phản đối việc xử lý dữ liệu cho mục đích quảng cáo, tiếp thị.
9	Quyền khiếu nại, tố cáo, khởi kiện	Cá nhân có quyền khiếu nại, tố cáo, hoặc khởi kiện khi dữ liệu bị vi phạm.
10	Quyền yêu cầu bồi thường	Cá nhân có quyền yêu cầu bồi thường thiệt hại khi xảy ra vi phạm.
11	Quyền tự bảo vệ	Cá nhân có quyền tự bảo vệ dữ liệu cá nhân hoặc yêu cầu cơ quan có thẩm quyền thực hiện các biện pháp bảo vệ.

          V: Khuyến nghị

          5.1. Đối với người dân: Tăng cường nhận thức là chìa khóa. Mỗi cá nhân cần xem bảo mật dữ liệu là một kỹ năng sống trong thời đại số. Chủ động học hỏi, cập nhật thông tin về các chiêu trò lừa đảo mới, và áp dụng ngay các biện pháp bảo mật cơ bản như sử dụng mật khẩu mạnh, MFA/2FA, và các công cụ quản lý mật khẩu.

        5.2. Đối với doanh nghiệp: Cần xây dựng một chiến lược bảo mật dữ liệu toàn diện trên ba trụ cột. Về Con người, cần tổ chức các chương trình đào tạo nhận thức bảo mật định kỳ, tập trung vào các nhóm đối tượng có rủi ro cao. Về Quy trình, cần thiết lập các chính sách nội bộ rõ ràng về việc xử lý dữ liệu và ứng phó sự cố. Về Công nghệ, cần đầu tư vào các giải pháp tiên tiến như DLP, SIEM và SOC để có một hệ thống phòng thủ vững chắc.

          VI. Kết luận

          Tình hình lộ lọt thông tin cá nhân tại Việt Nam đang ở mức báo động, gây ra những thiệt hại kinh tế và xã hội to lớn. Vấn đề này không chỉ bắt nguồn từ sự tinh vi của các cuộc tấn công mạng mà còn từ sự thiếu hụt kiến thức và sự chủ quan của người dùng. Để giải quyết triệt để, cần có một hệ thống giải pháp toàn diện, bao gồm việc trang bị kiến thức và kỹ năng cho cá nhân, xây dựng văn hóa bảo mật và đầu tư công nghệ cho tổ chức, cùng với việc hoàn thiện và thực thi các quy định pháp luật từ phía nhà nước. Bảo vệ dữ liệu cá nhân là trách nhiệm chung của toàn xã hội, đòi hỏi sự phối hợp chặt chẽ và không ngừng nghỉ của tất cả các bên liên quan để xây dựng một không gian mạng an toàn và lành mạnh hơn./.