Liên quan đến việc bảo vệ thông tin cá nhân của người dân trong thời gian gần đây, đặc biệt là trong các vấn đề sức khỏe và kinh doanh bảo hiểm, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đã đề ra một khung pháp lý toàn diện. Mục tiêu chính của Luật này là thiết lập các quy định cụ thể nhằm bảo vệ dữ liệu cá nhân của các cá nhân, đồng thời đề cao trách nhiệm của các tổ chức và cá nhân hoạt động trong lĩnh vực này.

Trên cơ sở các quy định mới, việc thu thập và xử lý dữ liệu cá nhân, đặc biệt là những thông tin liên quan đến sức khỏe và hoạt động kinh doanh bảo hiểm, cần phải có sự đồng ý rõ ràng từ chủ thể dữ liệu cá nhân. Quy định này nhằm đảm bảo rằng các cá nhân có quyền kiểm soát thông tin cá nhân của mình và ngăn chặn việc lạm dụng dữ liệu. Tuy nhiên, Luật cũng thừa nhận một số trường hợp ngoại lệ như được quy định tại khoản 1 Điều 19, cho phép xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể.

Các cơ quan, tổ chức, và cá nhân tham gia vào hoạt động liên quan đến sức khỏe và bảo hiểm bắt buộc phải tuân thủ đầy đủ các quy định về bảo vệ dữ liệu cá nhân, cũng như các quy định pháp luật khác có liên quan. Một điểm quan trọng khác là họ không được phép cung cấp dữ liệu cá nhân cho bên thứ ba nếu không có yêu cầu bằng văn bản từ chủ thể dữ liệu cá nhân hoặc nếu không thuộc các trường hợp được pháp luật cho phép.

Các tổ chức và cá nhân phát triển ứng dụng trong lĩnh vực y tế và kinh doanh bảo hiểm cũng phải tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân. Điều này bao gồm việc tuân thủ các yêu cầu về bảo mật dữ liệu và không được sử dụng dữ liệu cá nhân mà không có sự cho phép thích đáng. Đối với hoạt động kinh doanh tái bảo hiểm và nhượng tái bảo hiểm, việc chuyển dữ liệu cá nhân cho đối tác cần được quy định rõ ràng trong hợp đồng với khách hàng.

Luật cũng nêu rõ các trường hợp mà việc xử lý dữ liệu cá nhân có thể không cần sự đồng ý của chủ thể dữ liệu cá nhân. Các tình huống này bao gồm các trường hợp cấp bách liên quan đến việc bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền và lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác. Ngoài ra, các trường hợp khẩn cấp cần bảo vệ lợi ích của Nhà nước, cơ quan tổ chức; phục vụ hoạt động của cơ quan nhà nước; thực hiện thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức có liên quan; và các trường hợp khác theo quy định của pháp luật cũng được xem xét.

Có thể thấy, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đã đưa ra một khuôn khổ pháp lý quan trọng nhằm bảo vệ quyền lợi của các cá nhân trong thời đại số. Qua đó, mong muốn đảm bảo sự an toàn và bảo mật của thông tin cá nhân, đặc biệt là trong các lĩnh vực nhạy cảm như sức khỏe và bảo hiểm, được thể hiện rõ ràng.

Tình trạng lộ và lọt thông tin cá nhân đang trở thành một vấn đề ngày càng nghiêm trọng và tinh vi trong thời đại số. Cùng với sự phát triển nhanh chóng của các dịch vụ số hóa và thương mại điện tử, hoạt động mua bán dữ liệu cá nhân đang diễn ra công khai trên các diễn đàn và tài khoản mạng xã hội, với sự tham gia của cả các tổ chức và doanh nghiệp. Hậu quả của tình trạng này là nhiều người dân bị nhắn tin và gọi điện gây phiền phức, thậm chí bị lừa đảo. Dựa vào thông tin cá nhân, những kẻ xấu có thể xây dựng các kịch bản lừa đảo riêng biệt cho từng nhóm đối tượng khác nhau.

Theo chuyên gia Ngô Trí Nhật, mặc dù cơ quan chức năng đã nỗ lực đánh sập nhiều đường dây chuyên đánh cắp và mua bán dữ liệu cá nhân, các băng nhóm hacker vẫn tiếp tục hoạt động với những hình thức ngày càng tinh vi. Quá trình điều tra và xử lý những trường hợp này thường kéo dài, gây ảnh hưởng lớn đến công tác bảo đảm an toàn thông tin.

Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) đã báo cáo rằng trong sáu tháng đầu năm 2025, có 56 vụ việc liên quan đến mua bán dữ liệu cá nhân, với hơn 110 triệu bản ghi bị thu thập và rao bán. Thượng tá Triệu Mạnh Tùng, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, chia sẻ rằng nhu cầu thu thập dữ liệu cá nhân để phục vụ hoạt động sản xuất và kinh doanh là rất lớn. Tuy nhiên, nhiều hệ thống thông tin liên quan đến việc thu thập, phân tích và xử lý dữ liệu cá nhân hiện còn tồn tại lỗ hổng trong quy trình khai thác và sử dụng.

Ông Ngô Minh Hiếu, Giám đốc Công ty TNHH Doanh nghiệp xã hội Chống lừa đảo, cho rằng các doanh nghiệp hoàn toàn có thể sử dụng dữ liệu cá nhân của khách hàng để gia tăng giá trị dịch vụ và kết nối. Tuy nhiên, điều quan trọng là việc khai thác dữ liệu phải đảm bảo tính bảo mật, lưu trữ thông tin trên máy chủ tại Việt Nam và mã hóa các thông tin nhạy cảm như danh tính khách hàng và tình trạng tài chính.

Để ngăn chặn tình trạng lộ và lọt thông tin, bảo vệ người dân khỏi nạn lừa đảo, Luật Bảo vệ dữ liệu cá nhân sẽ có hiệu lực thi hành từ ngày 1/1/2026. Luật này quy định rõ ràng và cụ thể các khái niệm về dữ liệu cá nhân, bao gồm “dữ liệu cá nhân cơ bản”, “dữ liệu cá nhân nhạy cảm”, “đánh giá tác động xử lý dữ liệu cá nhân” và “bảo vệ dữ liệu cá nhân”. Luật cũng cấm tuyệt đối hành vi mua bán dữ liệu cá nhân.

Các chuyên gia cho rằng cơ quan chức năng cần triển khai các giải pháp đồng bộ, như ban hành các văn bản hướng dẫn thi hành chi tiết và dễ thực hiện. Ngoài ra, cần xây dựng cơ chế phối hợp giữa các bộ và cơ quan để chia sẻ dữ liệu và cảnh báo sớm vi phạm. Tổ chức các chiến dịch tuyên truyền để nâng cao nhận thức về bảo mật thông tin cá nhân cũng là điều cần thiết. Đồng thời, cần có một kênh tương tác và đường dây nóng để người dân và doanh nghiệp có thể tố giác hành vi vi phạm hoặc khai báo nếu phát hiện dữ liệu của mình bị đánh cắp.

Người dân cần cảnh giác và không chia sẻ thông tin cá nhân qua mạng xã hội hoặc các khảo sát trôi nổi. Sử dụng mật khẩu mạnh và không dùng chung mật khẩu cho nhiều tài khoản là những biện pháp quan trọng. Người dân cũng không nên mở các liên kết hoặc tập tin đáng ngờ và thường xuyên cập nhật các phần mềm chống virus và bảo mật trên các thiết bị cá nhân.