Tuy nhiên, sự gia tăng chóng mặt của các vụ rò rỉ dữ liệu, lạm dụng thông tin bởi các “ông lớn” công nghệ và sự thiếu đồng bộ trong quy định pháp lý đang đặt ra những thách thức nghiêm trọng đối với quyền riêng tư của hàng tỷ người dùng.
Lỗ hổng trong chuỗi cung ứng kỹ thuật số
Theo Reuters, năm 2024 chứng kiến sự mở rộng của các quy định bảo mật dữ liệu tại Mỹ và châu Âu, nhưng các vụ tấn công mạng lớn vẫn xảy ra, ảnh hưởng đến hàng tỷ cá nhân. Đến năm 2025, các chuyên gia nhận định rủi ro từ tấn công quốc gia và phần mềm độc hại lấy cắp thông tin đòi tiền chuộc (ransomware) sẽ tiếp tục tăng cao, đòi hỏi các tổ chức phải xây dựng kế hoạch ứng phó khẩn cấp và nâng cao bảo mật dữ liệu mạng cơ bản.
Năm 2025 ghi nhận hàng loạt vụ vi phạm bảo mật dữ liệu quy mô lớn, làm lộ thông tin cá nhân của hàng triệu người, từ thông tin tài chính đến dữ liệu sức khỏe. Một trong những vụ việc nổi bật là vụ tấn công mạng nhằm vào Hãng hàng không Qantas của Australia. Theo The Guardian, tháng 7/2025, Qantas xác nhận cuộc tấn công mạng đã làm lộ hồ sơ của sáu triệu khách hàng, bao gồm tên, địa chỉ email và thông tin chuyến bay. Đến tháng 10/2025, các tin tặc (hacker) tuyên bố đã rò rỉ năm triệu hồ sơ khách hàng lên web “đen” sau khi hãng từ chối trả tiền chuộc. Vụ việc này không chỉ ảnh hưởng đến khách hàng Australia mà còn lan rộng toàn cầu, nhấn mạnh rủi ro từ chuỗi cung ứng kỹ thuật số.
Theo Reuters, một vụ việc khác gây chú ý là rò rỉ gần một tỷ hồ sơ người dùng từ Salesforce - một nền tảng quản lý quan hệ khách hàng dựa trên dữ liệu đám mây. Nhóm hacker có liên hệ với các cuộc tấn công ransomware nhắm vào các nhà bán lẻ lớn ở Anh tuyên bố nhận trách nhiệm vào tháng 10/2025, làm lộ dữ liệu từ nhiều công ty sử dụng nền tảng đám mây của Salesforce. Đồng thời, Công ty an ninh mạng F5 của Mỹ bị các hacker tấn công. Vụ việc kéo dài hơn một năm, được công bố chính thức vào tháng 10/2025, đã làm lộ lỗ hổng lớn trong hệ thống bảo mật, khiến các chuyên gia an ninh mạng cảnh báo về rủi ro lan tỏa đến toàn bộ chuỗi cung ứng.
Ngoài ra, The Guardian có loạt bài phản ánh vụ lộ 16 tỷ thông tin đăng nhập internet vào tháng 6/2025, có thể cho phép tội phạm mạng truy cập vào các tài khoản Facebook, Meta và Google. Vụ rò rỉ dữ liệu khách hàng của sàn giao dịch tiền kỹ thuật số Coinbase tháng 6/2025, liên quan nhân viên ở Ấn Độ, cũng nhấn mạnh vấn đề an ninh từ nhà thầu bên thứ ba. Các vụ việc năm 2024 như cuộc tấn công ransomware nhằm vào Công ty công nghệ y tế Change Healthcare và nền tảng dữ liệu đám mây Snowflake đã ảnh hưởng đến hàng triệu người, với khoảng 2,9 tỷ thông tin cá nhân bị đánh cắp và xu hướng này tiếp tục gia tăng năm 2025.
Các chuyên gia nhận định rằng, những vụ việc này không chỉ gây thiệt hại tài chính mà còn làm suy giảm lòng tin của người dùng. Ông Bruce Schneier, chuyên gia an ninh mạng nổi tiếng, trong bài trả lời phỏng vấn với tờ The New York Times cho rằng, “các lỗ hổng trong chuỗi cung ứng kỹ thuật số đang trở thành điểm yếu lớn nhất, đòi hỏi các chính phủ phải can thiệp mạnh mẽ hơn”.
Trên phạm vi toàn cầu, năm 2025 chứng kiến sự đa dạng hóa trong quy định bảo mật dữ liệu nhưng cũng lộ rõ sự thiếu đồng bộ giữa các khu vực. Tại châu Âu, Luật Bảo vệ dữ liệu chung (GDPR) tiếp tục là tiêu chuẩn vàng nhưng các đề xuất thay đổi đang gây tranh cãi. Tháng 11/2025, các nhà hoạt động trong lĩnh vực bảo mật chỉ trích kế hoạch sửa đổi GDPR, cho phép các “đại gia” công nghệ (Big Tech) như Google và Meta sử dụng dữ liệu cá nhân để huấn luyện trí tuệ nhân tạo (AI) dựa trên “lợi ích hợp pháp”. Những thay đổi này được cho là sẽ làm suy yếu bảo vệ dữ liệu nhạy cảm, vi phạm phán quyết của Tòa án Công lý châu Âu (CJEU).
Tại Mỹ, không có luật bảo mật liên bang toàn diện, nhưng đến 2024, 20 bang đã ban hành luật bảo mật tiêu dùng, với 15 luật có hiệu lực vào năm 2025 như Luật Bảo mật Dữ liệu Nebraska và New Hampshire. Tuy nhiên, theo tờ The Washington Post, nhiều công ty đã bỏ qua yêu cầu không bán dữ liệu của người dùng, qua đó vi phạm luật của bang. Các cơ quan liên bang như Ủy ban Thương mại Liên bang (FTC) và Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) đã tăng cường một số giải pháp thực thi, như yêu cầu các nền tảng mạng xã hội đẩy mạnh bảo vệ dữ liệu trẻ em và giám sát AI.
Ở châu Á, Ấn Độ củng cố Luật Bảo mật dữ liệu năm 2023 bằng các quy tắc mới vào tháng 11 vừa qua, tập trung vào việc thu thập dữ liệu có trách nhiệm. Còn tại Anh, chính phủ nước này cũng bày tỏ lo ngại rủi ro an ninh về hệ thống ID kỹ thuật, yêu cầu các công ty tăng cường bảo vệ dữ liệu cá nhân trong các hệ thống chính phủ.
Chuyên gia Johnny Ryan từ Hội đồng Tự do Dân sự Ireland và ông Georg Riekeles từ Trung tâm Chính sách châu Âu cảnh báo, việc nới lỏng GDPR sẽ củng cố sự thống trị của các “ông lớn” công nghệ Mỹ, biến châu Âu trở thành “chư hầu kỹ thuật số” và tăng độ rủi ro với trẻ em từ các thuật toán AI.
Tác động của AI tới bảo mật thông tin
Theo giới chuyên gia công nghệ, sự bùng nổ của công nghệ AI đang làm phức tạp hóa vấn đề bảo mật thông tin. Hãng tin Reuters lưu ý rằng, giai đoạn 2024-2025, AI đòi hỏi lượng dữ liệu khổng lồ để huấn luyện, dẫn đến rủi ro lạm dụng dữ liệu cá nhân. Luật AI của EU đặt ra tiêu chuẩn cao, nhưng các đề xuất thay đổi GDPR có thể cho phép miễn trừ xử lý dữ liệu đặc biệt, theo Trung tâm Quyền Kỹ thuật số châu Âu (NOYB).
Giới chuyên gia công nghệ cũng lo ngại về vấn đề bảo mật thông tin đối với trẻ em trên internet, đồng thời đề nghị có những giải pháp bảo vệ trẻ khỏi nội dung độc hại. Đạo luật An toàn trực tuyến của Anh nhấn mạnh công nghệ xác thực tuổi người dùng trên không gian mạng dù tạo ra một lớp bảo vệ dành cho trẻ em và thanh - thiếu niên, song vẫn tồn tại rủi ro không mong muốn.
Chuyên gia Itxaso Dominguez de Olazabal từ mạng lưới Quyền Kỹ thuật số châu Âu (EDRi) đưa ra cảnh báo: “Các đề xuất liên quan GDPR sẽ thay đổi cách Liên minh châu Âu (EU) bảo vệ dữ liệu mạng, cho phép truy cập dựa trên lợi ích hợp pháp”. Các chuyên gia khuyến nghị cần tích hợp đánh giá tác động vào chu kỳ phát triển AI để quản lý rủi ro sớm.
Để đối phó nguy cơ mất bảo mật dữ liệu, các chuyên gia công nghệ và nhà hoạch định chính sách kêu gọi “hài hòa quy định toàn cầu, tăng cường thực thi và giáo dục người dùng”. Dự báo đến cuối năm 2025 sẽ tiếp tục diễn ra những vụ kiện liên quan bảo mật dữ liệu tại Mỹ, với trọng tâm là các dữ liệu nhạy cảm và trẻ em. Trong khi đó, EU đang cân nhắc giảm bớt quy định để thúc đẩy đổi mới song tránh hy sinh quyền riêng tư.
Bảo mật dữ liệu trong thời đại số đòi hỏi sự cân bằng giữa đổi mới và bảo vệ quyền con người. Như các chuyên gia Ryan và Riekeles nhấn mạnh, thực thi mạnh mẽ các luật hiện hành là “chìa khóa” giải quyết các vấn đề bảo mật dữ liệu, qua đó giảm bớt áp lực độc quyền từ các Big Tech. Với nguy cơ mất hoặc rò rỉ dữ liệu nói trên, thế giới cần hành động khẩn cấp để tránh các thảm họa bảo mật lớn hơn trong tương lai.
