Không tổ chức nào được quyền mặc định chia sẻ dữ liệu cho bên thứ ba

Chia sẻ tại Tọa đàm “Bảo vệ dữ liệu cá nhân - quyền và trách nhiệm” do Hiệp hội An ninh mạng Quốc gia tổ chức chiều 31/12/2025, ông Nguyễn Quang Đồng - Viện trưởng Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPSAD) cho biết: "Khi một đồng nghiệp hỏi xin số điện thoại của một người khác, phản xạ của chúng ta thường là mở máy và gửi đi ngay lập tức.

Nhưng khi hành lang pháp lý về bảo vệ dữ liệu cá nhân đã hình thành, hành động tưởng chừng vô hại ấy lại là một sự vi phạm nếu chưa có sự đồng ý của chủ thể".

Câu chuyện nhỏ này phản ánh một thực tế lớn: Tại Việt Nam, ranh giới giữa sự kết nối và việc xâm phạm quyền riêng tư đang vô cùng mong manh.

Theo ông Đồng, "sự đồng ý" chính là nguyên tắc xương sống của mọi hoạt động dữ liệu.

Tuy nhiên, trong một hệ sinh thái số phức tạp, người dùng đang phải đối mặt với những "mánh lới" tinh vi từ phía doanh nghiệp và cả sự thiếu hụt các thiết chế bảo vệ tập thể.

Ông Đồng dẫn chứng về sổ liên lạc điện tử - thứ đang hiện diện trong hầu hết các gia đình có con đi học. Ở đó, đứa trẻ là chủ thể dữ liệu, nhà trường là bên kiểm soát, còn đơn vị cung cấp phần mềm chỉ là bên xử lý.

Khi điểm số hay tình trạng sức khỏe của học sinh bị rò rỉ cho các trung tâm dạy thêm, trách nhiệm pháp lý cao nhất phải thuộc về nhà trường.

Thực tế, không ít phụ huynh từng ngỡ ngàng khi nhận được cuộc gọi chào mời khóa học đúng vào lúc con mình vừa có kết quả học tập kém. Điều này chứng tỏ dữ liệu đã bị "trao tay" trái phép.

Ông Đồng khẳng định, theo Luật Bảo vệ dữ liệu cá nhân, không một tổ chức nào - từ bệnh viện, ngân hàng đến các hãng taxi - được quyền mặc định chia sẻ thông tin người dùng cho bên thứ ba (như bảo hiểm hay quảng cáo) nếu chưa có sự xác nhận rõ ràng từ chủ thể.

Nghịch lý của sự tiện lợi và văn hóa "dễ tính"

Một trong những điểm đáng lo ngại nhất được vị Viện trưởng IPSAD chỉ ra chính là tâm lý "dễ dãi" của người dùng Việt Nam.

Dẫn chứng từ báo cáo của Google, ông cho biết chỉ có khoảng 42% người dùng trong nước bày tỏ sự lo ngại về quyền riêng tư khi tiếp xúc với AI, con số này thấp hơn đáng kể so với mức 58% của Indonesia.

Sự hào hứng với công nghệ mới đôi khi khiến chúng ta quên đi việc bảo mật. Nhiều người sẵn sàng mang cả hồ sơ bệnh lý, những cơn đau đầu, sổ mũi lên hỏi ChatGPT mà không hề biết rằng mình đang nộp những dữ liệu nhạy cảm nhất cho các thuật toán xuyên biên giới.

Sự đánh đổi này còn đến từ các "mánh lới" thiết lập mặc định của nhà sản xuất ứng dụng. Các nền tảng thường để chế độ thu thập dữ liệu ở mức tối đa: Ứng dụng nhắn tin đòi theo dõi vị trí 24/7, ứng dụng gọi xe đòi quyền truy cập kho ảnh cá nhân…

"Nếu người dùng cứ ưu tiên sự tiện lợi tối đa bằng cách bật mọi chế độ mặc định, họ sẽ không bao giờ có được sự an toàn và riêng tư mọi lúc mọi nơi", ông Đồng nhấn mạnh.

Năng lực tự vệ của người dùng, vì thế, bắt đầu từ những hành động nhỏ nhất là vào phần cài đặt và "tắt bớt" những quyền truy cập không cần thiết.

Cần một "lá chắn" tập thể cho những vi phạm nhỏ

Tuy nhiên, nỗ lực của từng cá nhân là chưa đủ. Ông Đồng thẳng thắn thừa nhận rằng rất ít người đủ kiên nhẫn để đọc hết hàng chục trang điều khoản dịch vụ mỗi khi cập nhật ứng dụng.

Càng ít người hơn nữa sẵn sàng khởi kiện một hãng taxi hay một nền tảng mạng xã hội chỉ vì bị lộ số điện thoại, bởi chi phí theo đuổi pháp lý lớn hơn nhiều so với thiệt hại vài trăm nghìn đồng nhận được.

Chính vì những vi phạm trên không gian số thường ở quy mô nhỏ với cá nhân nhưng lại gây tổn thất khổng lồ cho xã hội, ông Đồng kiến nghị Việt Nam cần sớm xây dựng các "thiết chế bảo vệ lợi ích tập thể".

Ở đó, các hiệp hội nghề nghiệp như Hiệp hội An ninh mạng Quốc gia phải đóng vai trò là bên giám sát, giúp người dùng "mổ xẻ" các điều khoản dịch vụ và đứng ra đại diện thực hiện các vụ kiện tập thể khi có sai phạm quy mô lớn.

Thượng tá Đỗ Đình Thi, Phó trưởng phòng Tham mưu, Cục A05, Bộ Công an cho biết: “Tội phạm mạng, tội phạm sử dụng công nghệ cao đánh cắp thông tin dữ liệu của người dùng để thực hiện phạm tội, lực lượng chức năng Bộ Công an sẽ tập trung biện pháp rà soát phát hiện xử lý đối tượng khai thác, mua bán trái phép dữ liệu của người sử dụng.

Đối với người dùng cũng cần hết sức lưu ý, ý thức bảo vệ dữ liệu cá nhân của mình và khi chúng ta tham gia trên môi trường mạng cũng cần có biện pháp để bảo vệ cho các tài sản số”.