Kiểm soát rủi ro về tính riêng tư đối với ví điện tử tại Việt Nam: Thách thức và khuyến nghị

Tóm tắt: Hiện nay, ví điện tử trở thành một trong những phương tiện thanh toán khá phổ biến tại Việt Nam, góp phần thúc đẩy tài chính toàn diện và phát triển kinh tế số. Tuy nhiên, sự gia tăng nhanh chóng về quy mô và mức độ sử dụng cũng kéo theo nhiều rủi ro liên quan đến tính riêng tư của dữ liệu người dùng, đặc biệt trong bối cảnh các hình thức tội phạm mạng và khai thác dữ liệu ngày càng tinh vi. Bài viết này phân tích các khía cạnh lý luận về tính riêng tư trong bảo mật thông tin, đồng thời đánh giá thực trạng phát triển ví điện tử tại Việt Nam và những thách thức trong việc kiểm soát rủi ro về quyền riêng tư từ góc độ người dùng, công nghệ và chính sách. Trên cơ sở đó, nghiên cứu đề xuất một số khuyến nghị nhằm tăng cường kiểm soát rủi ro, bảo vệ dữ liệu cá nhân và nâng cao tính minh bạch trong hoạt động của các tổ chức cung ứng ví điện tử, góp phần xây dựng môi trường thanh toán số an toàn và bền vững tại Việt Nam.

Từ khóa: Quản trị dữ liệu chủ động, ngành Ngân hàng, kỷ nguyên số.

PRIVACY RISK CONTROL IN E-WALLET SERVICES IN VIETNAM:
CHALLENGES AND RECOMMENDATIONS

Abstract: Currently, e-wallets have become one of the most widely used payment instruments in Vietnam, contributing significantly to financial inclusion and the development of the digital economy. However, the rapid growth in scale and usage has also raised increasing concerns regarding data privacy risks, especially as cybercrime and data exploitation techniques become more sophisticated. This article examines the theoretical foundations of privacy in information security and analyzes the current development of e-wallet services in Vietnam. It further identifies key challenges in controlling privacy risks from three perspectives: Users, technology, and regulatory frameworks. Based on these findings, the study proposes several recommendations to enhance risk control, strengthen personal data protection, and improve transparency in the operations of e-wallet service providers.The study aims to contribute to the establishment of a secure, reliable, and sustainable digital payment ecosystem in Vietnam.

Keywords: Active data governance, banking industry, digital era.

1. Đặt vấn đề

Trong những năm gần đây, cùng với sự phát triển của công nghệ số và xu hướng thanh toán không dùng tiền mặt, ví điện tử đã và đang trở thành một cấu phần quan trọng trong hệ sinh thái tài chính số tại Việt Nam. Với những ưu điểm nổi bật như tiện lợi, nhanh chóng, chi phí thấp và khả năng tích hợp đa dịch vụ, ví điện tử không chỉ góp phần thay đổi hành vi thanh toán của người tiêu dùng mà còn thúc đẩy quá trình chuyển đổi số trong lĩnh vực tài chính.

Tuy nhiên, song hành với sự phát triển đó là những thách thức ngày càng gia tăng liên quan đến an toàn thông tin, đặc biệt là quyền riêng tư của người dùng. Ví điện tử là nơi tập trung nhiều dữ liệu nhạy cảm như thông tin định danh cá nhân, tài khoản ngân hàng, lịch sử giao dịch và hành vi tiêu dùng. Việc thu thập, lưu trữ và xử lý khối lượng lớn dữ liệu, nếu không được kiểm soát chặt chẽ, có thể dẫn đến nguy cơ lộ, lọt thông tin, xâm phạm quyền riêng tư và gây thiệt hại tài chính cho người dùng.

Thực tế cho thấy, các rủi ro về quyền riêng tư trong lĩnh vực ví điện tử không chỉ xuất phát từ hạn chế về nhận thức và hành vi của người dùng, mà còn đến từ những lỗ hổng trong công nghệ, quy trình quản lý dữ liệu và hành lang pháp lý chưa hoàn thiện. Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân năm 2025 chính thức có hiệu lực từ ngày 01/01/2026, yêu cầu đặt ra đối với các tổ chức cung ứng dịch vụ tài chính số nói chung và ví điện tử nói riêng là phải tăng cường kiểm soát rủi ro, đảm bảo tuân thủ quy định pháp luật và bảo vệ quyền lợi người dùng.

Xuất phát từ thực tiễn đó, bài viết tập trung nghiên cứu vấn đề kiểm soát rủi ro về tính riêng tư đối với ví điện tử tại Việt Nam, làm rõ các khía cạnh lý luận và thực tiễn, đồng thời đề xuất các giải pháp phù hợp nhằm nâng cao hiệu quả quản lý và bảo vệ dữ liệu cá nhân trong bối cảnh chuyển đổi số hiện nay.

2. Tính riêng tư trong bảo mật thông tin

2.1. Một số rủi ro liên quan đến tính riêng tư

Rủi ro liên quan đến tính riêng tư là rủi ro phát sinh từ việc thu thập, lưu trữ, xử lý, chia sẻ hoặc bảo vệ thông tin cá nhân không đúng cách, dẫn đến việc xâm phạm quyền riêng tư của cá nhân và tổ chức, kéo theo hậu quả pháp lý, tài chính và uy tín. Theo Fortra (2024), có nhiều lý do dẫn đến dữ liệu cá nhân bị lộ lọt, cụ thể:

Từ phía người dùng

Không ít người dùng còn thiếu hiểu biết đầy đủ về giá trị của dữ liệu cá nhân, nên sẵn sàng cung cấp các thông tin nhạy cảm theo yêu cầu của website hoặc ứng dụng mà cho rằng đó là điều hiển nhiên, cần thiết và không tiềm ẩn nguy cơ. Đặc biệt, vấn đề “dấu chân số” (digital footprint) ngày càng trở nên đáng lưu ý, khi các dữ liệu do người dùng để lại trên môi trường mạng như lịch sử truy cập web hay email… tích tụ theo thời gian, hình thành nên những hồ sơ cá nhân chi tiết nhưng lại nằm ngoài khả năng kiểm soát của chính họ.

Người dùng còn có thể trở thành mục tiêu của các hình thức tấn công phi kỹ thuật, thông qua các chiến thuật thao túng tâm lý nhằm lừa gạt họ tự tiết lộ thông tin bí mật. Đồng thời, mối đe dọa nội bộ cũng hiện hữu khi nhân viên trong tổ chức có thể lợi dụng quyền truy cập và hiểu biết hệ thống để lạm dụng hoặc đánh cắp dữ liệu.

Từ phía công nghệ

Rủi ro dữ liệu cá nhân gia tăng do nhiều yếu tố. Các công cụ thu thập tự động như Internet vạn vật (IoT), hệ thống định vị toàn cầu (GPS), camera nhận diện… có thể âm thầm ghi nhận và lưu trữ lượng lớn dữ liệu, thậm chí vượt quá nhu cầu cần thiết. Người dùng cũng đối mặt với các hình thức tấn công kỹ thuật như phần mềm gián điệp (spyware), tấn công giả mạo (phishing), nghe lén hay chặn bắt dữ liệu trên đường truyền.

Bên cạnh đó, phương thức xác thực kém an toàn và hệ thống bảo mật lỗi thời khiến nguy cơ bị truy cập trái phép ngày càng cao. Việc áp dụng các công nghệ mới nổi nếu không kiểm soát tốt cũng có thể phát sinh lỗ hổng, làm lộ thông tin nhạy cảm. Đồng thời, các kỹ thuật tổng hợp, khai phá và liên kết dữ liệu cho phép kết hợp nhiều nguồn thông tin để suy luận, hình thành hồ sơ cá nhân chi tiết ngoài ý muốn, dẫn đến nguy cơ lạm dụng dữ liệu vượt khỏi mục đích ban đầu.

Từ phía chính sách

Rủi ro dữ liệu cá nhân thường bắt nguồn từ các quy định và quá trình thực thi chưa chặt chẽ như: Chính sách thông tin lỏng lẻo (không mã hóa dữ liệu, không giới hạn thu thập, thiếu minh bạch mục đích sử dụng, phân quyền truy cập chưa rõ ràng) hay việc cho phép sử dụng thiết bị cá nhân truy cập hệ thống tổ chức với mức độ bảo mật thấp.

Ngoài ra, việc chưa nhận thức đầy đủ về sự đánh đổi giữa tiện ích công nghệ và quyền riêng tư cũng làm gia tăng nguy cơ lộ, lọt dữ liệu cá nhân. Hệ quả của tình trạng này rất đa dạng: Người dùng có thể bị đánh cắp danh tính, lừa đảo tài chính hoặc quấy rối; dữ liệu cá nhân có nguy cơ bị thu thập, mua bán cho bên thứ ba; các tổ chức phải đối mặt với thiệt hại về kinh tế và uy tín; thậm chí trong một số trường hợp còn tiềm ẩn nguy cơ ảnh hưởng đến an ninh quốc gia.

2.2. Một số tiêu chuẩn bảo mật thông tin

Trong lĩnh vực an toàn thông tin, mô hình CIA Triad (Confidentiality - Tính bảo mật; Integrity - Tính toàn vẹn; Availability - Tính sẵn sàng) được xem là một nền tảng cốt lõi. Mô hình này quy định ba yếu tố quan trọng mà mọi tổ chức phải đảm bảo đối với những thông tin đang nắm giữ, bao gồm:

(i) Tính bảo mật: Đảm bảo thông tin chỉ được xem bởi những bên có thẩm quyền;

(ii) Tính toàn vẹn: Đảm bảo thông tin chỉ được sửa bởi những bên có thẩm quyền;

(iii) Tính sẵn sàng: Đảm bảo thông tin được sử dụng bởi bất kỳ bên nào có thẩm quyền hợp pháp.

Một số bộ tiêu chuẩn hiện nay tham chiếu đến CIA Triad có thể kể đến như:

ISO 27001: Bộ tiêu chuẩn quốc tế về Hệ thống quản lý an toàn thông tin (ISMS) do Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC) ban hành (phiên bản mới nhất 2022, với tên là ISO/IEC 27001:2022), quy định các yêu cầu về việc xây dựng, triển khai, duy trì và cải tiến ISMS dựa trên quản lý rủi ro.

GDPR: Quy định Bảo vệ dữ liệu chung của Liên minh châu Âu (EU), có hiệu lực từ ngày 25/5/2018. Theo đó, doanh nghiệp Việt Nam xuất khẩu sang EU phải tuân thủ GDPR.

PCI-DSS: Tiêu chuẩn bảo mật dữ liệu đối với thẻ thanh toán, được phát triển bởi PCI Security Standards Council (bao gồm Visa, MasterCard, American Express, Discover, JCB) từ năm 2004.

NIST SP 800-53: Bộ tiêu chuẩn đặc biệt do Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) ban hành, tập trung kiểm soát bảo mật và quyền riêng tư cho hệ thống Liên bang Mỹ và các tổ chức khác theo CIA Triad + Privacy. Phiên bản hiện tại Rev. 5, ban hành từ năm 2020, cập nhật năm 2025.

Như vậy, có thể thấy, để áp dụng mô hình CIA Triad trong bối cảnh hiện tại, các tổ chức thường mở rộng thêm yếu tố về quyền riêng tư. Tính riêng tư được coi là một khía cạnh quan trọng trong yếu tố bảo mật, nhấn mạnh vào việc kiểm soát dữ liệu cá nhân. Tính riêng tư bàn luận đến ba khía cạnh cốt lõi:

(i) Xác định dữ liệu nhạy cảm: Bao gồm thông tin cá nhân như hồ sơ y tế, tài chính, ý kiến chính trị, vị trí địa lý, hành vi mua sắm... Những dữ liệu này có giá trị khác nhau tùy theo ngữ cảnh và từng cá nhân.

(ii) Xác định các bên bị ảnh hưởng, có thể là cá nhân, tổ chức hoặc quốc gia. Ví dụ, dữ liệu tổng hợp có thể tiết lộ bí mật kinh doanh hoặc chiến lược chính trị của một doanh nghiệp, tổ chức hoặc quốc gia nào đó.

(iii) Quy định cách thức kiểm soát tiết lộ: Quyết định ai được biết gì, bao gồm việc từ chối tiết lộ hoặc cho phép với điều kiện cụ thể.

Vấn đề này càng được quan tâm hơn cả trong thời đại phát triển bùng nổ của trí tuệ nhân tạo (AI), mạng lưới IoT..., nơi dữ liệu cá nhân bị khai thác triệt để nhằm cá nhân hóa trải nghiệm của người dùng.

2.3. Một số phương pháp kiểm soát rủi ro về tính riêng tư

Áp dụng Khung Quyền riêng tư của NIST (NPF)

NPF do NIST phát triển, phiên bản 1.0 ra đời năm 2020, được cập nhật lên phiên bản 1.1 vào năm 2025, cung cấp một phương pháp luận có cấu trúc để quản lý rủi ro về tính riêng tư của thông tin, không phụ thuộc vào công nghệ và có khả năng tương thích với các quy định về an ninh mạng. NPF đưa ra quy trình quản lý rủi ro với 5 phần cụ thể:

(i) Xác định rủi ro: Phát triển nhận thức của tổ chức đối với việc quản lý rủi ro về tính riêng tư cho cá nhân phát sinh từ quá trình xử lý dữ liệu.

(ii) Quản trị: Xây dựng, triển khai kiến trúc quản trị tổ chức nhằm đảm bảo việc nhận thức xuyên suốt đối với việc ưu tiên quản lý rủi ro trong tổ chức, được xác định dựa trên rủi ro về quyền riêng tư.

(iii) Kiểm soát dữ liệu: Xây dựng và triển khai các cơ chế, hoạt động phù hợp nhằm giúp tổ chức và cá nhân quản lý dữ liệu ở mức độ chi tiết cần thiết, qua đó nâng cao khả năng kiểm soát và giảm thiểu rủi ro liên quan đến quyền riêng tư.

(iv) Giao tiếp: Xây dựng và triển khai các hoạt động phù hợp nhằm giúp tổ chức và cá nhân có được nhận thức đầy đủ, đáng tin cậy, đồng thời tham gia vào quá trình trao đổi, đối thoại về cách thức xử lý dữ liệu và các rủi ro liên quan đến quyền riêng tư.

(v) Bảo vệ: Xây dựng và triển khai các biện pháp bảo vệ dữ liệu phù hợp.

Tuân thủ Tiêu chuẩn ISO/IEC 29100:2024

Tiêu chuẩn này thiết lập khung pháp lý về bảo vệ thông tin nhận dạng cá nhân (PII) trong các hệ thống công nghệ thông tin và truyền thông (ICT). ISO/IEC 29100:2024 có tính chất tổng quát, đặt các khía cạnh tổ chức, kỹ thuật và thủ tục vào một khuôn khổ bảo mật tổng thể, giúp tổ chức xác định các yêu cầu bảo vệ quyền riêng tư liên quan đến PII bằng cách:

(i) Xác định thuật ngữ bảo mật chung: Định nghĩa tiêu chuẩn về PII, ẩn danh hóa, sự đồng ý, khả năng nhận dạng, lựa chọn tham gia/không tham gia, dữ liệu giả danh, PII nhạy cảm, siêu dữ liệu và các thuật ngữ liên quan.

(ii) Xác định các bên liên quan và vai trò của họ trong việc xử lý PII: Xác định các bên liên quan chính như chủ thể PII, người kiểm soát PII, người xử lý PII và bên thứ ba, cùng với sự tương tác và trách nhiệm của họ.

(iii) Mô tả các vấn đề cần xem xét để bảo vệ quyền riêng tư: Các yếu tố tổ chức, pháp lý/quy định, hợp đồng và kinh doanh ảnh hưởng đến các yêu cầu bảo vệ.

(iv) Cung cấp tài liệu tham khảo về các nguyên tắc bảo mật đối với công nghệ thông tin. Tiêu chuẩn ISO/IEC 29100:2024 định nghĩa 11 nguyên tắc về quyền riêng tư, tạo nền tảng đạo đức và định hướng các hoạt động cần thực hiện cho việc bảo vệ PII.

3. Một số thách thức trong việc kiểm soát rủi ro về tính riêng tư đối với ví điện tử tại Việt Nam

3.1. Từ phía người dùng

Thứ nhất, nhận thức và hành vi bảo mật của người dùng còn thấp

Sự phổ biến nhanh chóng của ví điện tử tại Việt Nam, cùng với tính tiện lợi và xu hướng mở rộng hệ sinh thái tài chính khiến nhiều người dùng có xu hướng xem nhẹ vấn đề bảo mật thông tin. Thực tế cho thấy, người dùng vẫn duy trì các thói quen thiếu an toàn như sử dụng mật khẩu đơn giản, đăng nhập nhiều nền tảng trên cùng thiết bị, nhấp vào đường link lừa đảo hoặc không kích hoạt các biện pháp bảo vệ như xác thực hai lớp và sinh trắc học. Điều này làm gia tăng rủi ro về quyền riêng tư, khi những hành vi trên có thể dẫn đến việc khách hàng bị đánh cắp mã OTP, token hoặc bị chiếm đoạt thiết bị, ngay cả khi hệ thống ví điện tử được bảo mật tốt.

Thứ hai, tội phạm mạng và lừa đảo tài chính gia tăng

Trên phạm vi toàn cầu, thiệt hại do lừa đảo ước tính từ 27 đến 36,5 tỉ USD mỗi năm. Các hình thức lừa đảo như mạo danh ngân hàng hoặc ví điện tử, chiếm đoạt tài khoản, yêu cầu cung cấp OTP, mật khẩu hoặc mã QR ngày càng gia tăng, trực tiếp xâm phạm quyền riêng tư và gây tổn thất tài chính cho người dùng. Việc truy vết và xử lý còn gặp nhiều khó khăn do dữ liệu phân tán và bị mã hóa xuyên biên giới.

3.2. Từ phía công nghệ

Thứ nhất, trình độ về an toàn thông tin và đầu tư kỹ thuật còn hạn chế

Nhiều tổ chức trung gian thanh toán và ví điện tử quy mô nhỏ chưa đủ nguồn lực để đáp ứng các tiêu chuẩn bảo mật như TCVN 14423:2025, dẫn đến tồn tại hệ thống cũ, lỗ hổng bảo mật, mã hóa chưa đầy đủ và thiếu cơ chế giám sát, cảnh báo. Do đó, các hình thức tấn công như phishing, ransomware, khai thác “lỗ hổng zero-day” ngày càng phổ biến.

Bên cạnh đó, các cuộc tấn công chuỗi cung ứng và khai thác thiết bị IoT để tạo Botnet (mạng lưới các thiết bị điện tử như máy tính, điện thoại... đã bị nhiễm phần mềm độc hại) cũng đang trở thành xu hướng mới. Mặt khác, mặc dù nhiều ví điện tử mới đã đạt chứng chỉ PCI DSS Level 1, song tiêu chuẩn này chủ yếu tập trung vào bảo mật dữ liệu thẻ thanh toán mà chưa bao quát đầy đủ các khía cạnh liên quan đến quyền riêng tư dữ liệu cá nhân. Do đó, mức độ bảo vệ đối với các dữ liệu cá nhân khác của khách hàng vẫn chưa thể đánh giá toàn diện dựa trên chứng chỉ này.

Thứ hai, chưa tuân thủ nguyên tắc đảm bảo tính riêng tư thông tin

Theo Thông tư số 40/2024/TT-NHNN ngày 17/7/2024 của Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) quy định về hoạt động cung ứng dịch vụ trung gian thanh toán, việc định danh khách hàng (KYC) và liên kết ví điện tử với tài khoản ngân hàng là bắt buộc. Tuy nhiên, thực tiễn triển khai khiến người dùng phải cung cấp trực tiếp nhiều dữ liệu cá nhân và thông tin thẻ trên ứng dụng ví. Điều này chưa phù hợp với nguyên tắc tối thiểu hóa dữ liệu, khi về bản chất ví điện tử chỉ cần xác nhận từ ngân hàng (dưới dạng token) thay vì thu thập toàn bộ thông tin chi tiết. Hình 1 minh họa việc rủi ro riêng tư có thể gia tăng và gây ra những hệ quả nghiêm trọng hơn khi luồng giao dịch giữa ví điện tử và ngân hàng được kết nối thông suốt dựa trên Thông tư số 40/2024/TT-NHNN. Theo đó, việc ví điện tử được vận hành gần tương đương tài khoản ngân hàng cũng làm gia tăng mức độ phức tạp trong giao dịch và truy vết, đồng thời tiềm ẩn rủi ro lộ, lọt dữ liệu ngay từ khâu khởi tạo tài khoản.

3.3. Từ phía chính sách

Mặc dù Luật Bảo vệ dữ liệu cá nhân năm 2025 đã có hiệu lực từ ngày 01/01/2026, tuy nhiên việc triển khai trong lĩnh vực tài chính số và ví điện tử vẫn còn một số khoảng trống. Các quy định liên quan đến quyền riêng tư, tiêu chuẩn bảo mật và trách nhiệm xử lý khi xảy ra lộ, lọt dữ liệu chưa thực sự đồng bộ, dẫn đến khó khăn trong công tác kiểm soát và quản trị rủi ro.

Bên cạnh đó, một số điều khoản và chính sách quyền riêng tư của ví điện tử còn chưa thực sự minh bạch. Nhiều nền tảng ví điện tử thu thập dữ liệu người dùng với phạm vi rộng (vị trí, lịch sử giao dịch, hành vi tiêu dùng) nhưng chưa làm rõ mục đích, thời hạn lưu trữ và việc chia sẻ với bên thứ ba. Cơ chế “đồng ý hoặc không sử dụng” làm hạn chế quyền lựa chọn của người dùng, tiềm ẩn nguy cơ xâm phạm quyền riêng tư, đặc biệt khi dữ liệu được sử dụng cho chấm điểm tín dụng hoặc quảng cáo cá nhân hóa (SmartPay, 2026). Thực tế, đầu năm 2026, Công ty Cổ phần Tập đoàn VNG (đơn vị chủ quản ZaloPay) đã bị xử phạt 810 triệu đồng do vi phạm quy định về thu thập, sử dụng thông tin và minh bạch điều kiện giao dịch (theo Báo Điện tử Chính phủ ngày 22/01/2026).

4. Một số khuyến nghị tăng cường kiểm soát rủi ro về tính riêng tư đối với ví điện tử tại Việt Nam

Đối với cơ quan quản lý

Trước hết, cần tiếp tục hoàn thiện hành lang pháp lý về bảo vệ dữ liệu cá nhân trong lĩnh vực tài chính số theo hướng đồng bộ, thống nhất và tiệm cận các chuẩn mực quốc tế. Trong đó, cần sớm ban hành các văn bản hướng dẫn chi tiết về trách nhiệm của các bên liên quan (ngân hàng, trung gian thanh toán, đối tác công nghệ) khi xảy ra sự cố lộ, lọt dữ liệu, cũng như cơ chế xử lý, bồi thường và khắc phục hậu quả.

Ngoài ra, các cơ quan quản lý cần thiết lập cơ chế giám sát và kiểm toán độc lập đối với việc tuân thủ quy định về bảo vệ dữ liệu cá nhân tại các tổ chức cung cấp ví điện tử. Việc này có thể thông qua các cuộc thanh tra chuyên đề hoặc yêu cầu công bố định kỳ báo cáo minh bạch về thu thập, xử lý và chia sẻ dữ liệu người dùng. Bên cạnh đó, cần quy định rõ ràng hơn về nguyên tắc “đồng thuận có hiểu biết” (informed consent), yêu cầu các điều khoản và chính sách quyền riêng tư phải được trình bày minh bạch, dễ hiểu, cho phép người dùng lựa chọn linh hoạt (granular consent) thay vì cơ chế “chấp nhận toàn bộ hoặc từ chối”.

Cuối cùng, cần thúc đẩy cơ chế phối hợp liên ngành giữa NHNN, cơ quan an ninh mạng, cơ quan bảo vệ người tiêu dùng và các doanh nghiệp công nghệ nhằm xây dựng hệ sinh thái bảo vệ dữ liệu toàn diện, từ phòng ngừa, phát hiện đến xử lý vi phạm.

Đối với người dùng

Trước hết, cần nâng cao nhận thức và thay đổi hành vi bảo mật của người sử dụng thông qua các chương trình truyền thông tài chính số mang tính hệ thống. Các cơ quan quản lý, tổ chức tín dụng và trung gian thanh toán cần phối hợp triển khai các chiến dịch giáo dục người dùng về an toàn thông tin, lồng ghép nội dung bảo mật vào ngay trong quá trình sử dụng ứng dụng ví điện tử (in-app education). Nội dung cần tập trung vào các kỹ năng thiết yếu như phishing, quản lý mật khẩu, bảo vệ thiết bị và kích hoạt các phương thức xác thực đa yếu tố.

Bên cạnh đó, cần thúc đẩy cơ chế “mặc định an toàn”, theo đó các tính năng bảo mật như xác thực hai lớp (2FA), sinh trắc học hoặc cảnh báo giao dịch bất thường được thiết lập sẵn, thay vì phụ thuộc hoàn toàn vào lựa chọn của người dùng. Việc này giúp giảm thiểu rủi ro phát sinh từ hành vi bất cẩn hoặc thiếu hiểu biết. Đồng thời, cần xây dựng hệ sinh thái cảnh báo sớm và chia sẻ thông tin về gian lận giữa các tổ chức tài chính, nhà mạng và cơ quan chức năng, qua đó giúp người dùng kịp thời nhận diện và phòng tránh các hình thức lừa đảo ngày càng tinh vi.

Đối với công ty công nghệ

Một là, tăng cường đầu tư vào hạ tầng an toàn thông tin theo hướng tiếp cận “an ninh ngay từ thiết kế” và “bảo vệ quyền riêng tư ngay từ thiết kế”. Các tổ chức cung cấp ví điện tử cần áp dụng các chuẩn bảo mật nâng cao như mã hóa đầu cuối, quản lý khóa bảo mật tập trung, giám sát an ninh theo thời gian thực (SIEM/SOC), kiểm thử xâm nhập định kỳ. Đặc biệt, cần ưu tiên triển khai các giải pháp phát hiện gian lận dựa trên AI và học máy (ML) nhằm nhận diện hành vi bất thường trong giao dịch.

Hai là, hoàn thiện cơ chế quản lý dữ liệu theo nguyên tắc tối thiểu hóa và phân quyền truy cập chặt chẽ. Theo đó, ví điện tử chỉ nên thu thập những dữ liệu thực sự cần thiết cho mục đích cung ứng sản phẩm, dịch vụ; đồng thời, áp dụng các kỹ thuật như mã hóa thay thế dữ liệu (tokenization) để thay thế thông tin nhạy cảm, qua đó giảm thiểu rủi ro lộ, lọt dữ liệu.

Ba là, tái cấu trúc quy trình định danh và xác thực theo hướng tách biệt vai trò giữa các chủ thể. Cụ thể, thông tin định danh cá nhân có thể được xác thực thông qua nền tảng định danh số quốc gia, trong khi thông tin tài khoản ngân hàng được xử lý trực tiếp bởi ngân hàng, ví điện tử chỉ nhận kết quả xác thực dưới dạng mã định danh (token). Cách tiếp cận này vừa đảm bảo tuân thủ quy định pháp lý, vừa hạn chế việc tập trung dữ liệu nhạy cảm tại một điểm.

Bốn là, tăng cường kiểm soát rủi ro chuỗi cung ứng công nghệ, bao gồm việc đánh giá định kỳ các nhà cung cấp dịch vụ bên thứ ba, áp dụng tiêu chuẩn bảo mật thống nhất và xây dựng cơ chế giám sát liên tục đối với các tích hợp hệ thống (giao diện lập trình ứng dụng - API, bộ công cụ phát triển phần mềm - SDK).

5. Kết luận

Trong bối cảnh chuyển đổi số, ví điện tử là một trong những phương tiện thanh toán ngày càng phổ biến trong hệ sinh thái tài chính tại Việt Nam, song cũng đặt ra nhiều rủi ro liên quan đến quyền riêng tư dữ liệu cá nhân. Các rủi ro này xuất phát từ nhiều yếu tố như nhận thức người dùng còn hạn chế, năng lực công nghệ và quản trị dữ liệu chưa đồng đều, cũng như những khoảng trống trong hành lang pháp lý.

Trên cơ sở đó, bài viết đề xuất các giải pháp theo hướng tiếp cận đa tầng, bao gồm nâng cao nhận thức người dùng, tăng cường bảo mật và quản lý dữ liệu theo nguyên tắc “riêng tư ngay từ thiết kế”, đồng thời hoàn thiện khuôn khổ pháp lý và cơ chế giám sát. Trong thời gian tới, việc triển khai hiệu quả Luật Bảo vệ dữ liệu cá nhân năm 2025 cùng với sự phối hợp chặt chẽ giữa các bên liên quan sẽ là yếu tố then chốt nhằm kiểm soát rủi ro, bảo vệ quyền riêng tư và đảm bảo sự phát triển bền vững của hệ sinh thái thanh toán số tại Việt Nam.

Tài liệu tham khảo:

1. Decision Lab (2024), "The Connected Consumer Q3 2024".

2. FMIT (n.d.), Privacy risk là gì, https://fmit.vn/en/glossary/privacy-risk-la-gi

3. Fortra (2024, July 9), What Is Data Privacy? Top Risks & Best Practices, https://www.fortra.com/blog/what-data-privacy-top-risks-best-practices

4. ISO/IEC (2024), ISO/IEC 29100:2024. Switzerland: ISO, https://cdn.standards.iteh.ai/samples/85938/f9acf616d3884bc2b696431fc11ea95e/ISO-IEC-29100-2024.pdf

5. NIST (2025), NIST Cybersecurity White Paper.

6. Pacific (n.d.), ISO/IEC 29100:2024 – Information Technology – Security Techniques – Privacy Framework, https://pacificcert.com/iso-29100-information-technology-security-techniques/

7. Pfleeger, C. P., Pfleeger, S. L., & Margulies, J. (2015), Security in computing. Massachusetts: Pearson Education.

8. Sailpoint (2025, January 16), CIA triad: Confidentiality, integrity, and availability, https://www.sailpoint.com/identity-library/cia-triad

9. Xử phạt vi phạm hành chính 810 triệu đồng công ty vận hành nền tảng Zalo, https://baochinhphu.vn/xu-phat-vi-pham-hanh-chinh-810-trieu-dong-cong-ty-van-hanh-nen-tang-zalo-10226012215522757.htm