Bài viết phân tích cơ sở pháp lý về bảo mật dữ liệu cá nhân của người tố cáo trong đấu tranh với tội phạm cho vay nặng lãi trực tuyến ở Việt Nam; nhận diện các rủi ro trong quá trình tiếp nhận, xử lý, xác minh nguồn tin; chỉ ra những hạn chế về quy trình, kỹ thuật và trách nhiệm phối hợp; từ đó đề xuất mô hình bảo vệ dữ liệu theo hướng phòng ngừa từ đầu, phân quyền chặt chẽ, giảm thiểu dữ liệu, ẩn danh có kiểm soát, lưu vết truy cập và gắn bảo mật dữ liệu với bảo vệ con người.
Ảnh minh họa. Nguồn: Internet.
1. Đặt vấn đề
Cho vay nặng lãi từng được nhận diện chủ yếu qua các biểu hiện ngoài đời thực như phát tờ rơi, dán quảng cáo, cho vay góp, đòi nợ thuê, siết nợ hoặc gây sức ép tại nơi cư trú của người vay. Tuy nhiên, sự phát triển của điện thoại thông minh, ví điện tử, mạng xã hội và dịch vụ trung gian thanh toán đã làm thay đổi sâu sắc phương thức hoạt động của loại tội phạm này. Nhiều nhóm không cần trụ sở công khai, không cần gặp trực tiếp người vay, không cần hợp đồng giấy, nhưng vẫn có thể thu thập một lượng lớn dữ liệu cá nhân, giải ngân nhanh, áp đặt phí trá hình, quay vòng khoản vay và gây áp lực trả nợ bằng tin nhắn, cuộc gọi hoặc công khai thông tin đời tư. Vì vậy, đấu tranh với cho vay nặng lãi trực tuyến không thể chỉ dựa vào cách tiếp cận hình sự truyền thống; cần nhìn nhận đây là loại tội phạm vận hành bằng dữ liệu.
Trong các vụ án loại này, người tố cáo hoặc người tố giác thường là người vay, người thân của người vay, người bị quấy rối trong danh bạ, nhân viên từng tham gia hệ thống, cán bộ tổ chức tín dụng phát hiện dòng tiền bất thường hoặc người dân phát hiện hội nhóm cho vay trên không gian mạng. Điểm chung của họ là đều phải cung cấp dữ liệu cá nhân ở mức nhất định để cơ quan có thẩm quyền tiếp nhận, xác minh, liên hệ và đánh giá tính xác thực của nguồn tin. Nếu dữ liệu này bị lộ, hậu quả không dừng lại ở sự bất tiện hành chính, mà có thể kéo theo đe dọa, trả thù, bôi nhọ danh dự, áp lực tâm lý và làm tê liệt ý chí hợp tác với cơ quan chức năng. Một người dân sẽ rất khó tiếp tục tố cáo nếu chính thông tin họ cung cấp lại trở thành “địa chỉ” để đối tượng phạm tội tấn công ngược.
Bộ Công an từng công bố vụ đường dây cho vay qua gần 300 ứng dụng với khoảng 159.000 khách hàng và tổng số tiền khách hàng vay hơn 1.800 tỉ đồng; người vay phải cung cấp họ tên, giấy tờ tùy thân, ảnh chân dung, tài khoản ngân hàng và cấp quyền truy cập danh bạ, ứng dụng trên điện thoại (Bộ Công an, 2022). Thông tin này cho thấy dữ liệu cá nhân vừa là điều kiện để các đối tượng xét duyệt khoản vay, vừa là công cụ cưỡng ép trả nợ. Cuối năm 2025, Bộ Công an tiếp tục cảnh báo tình trạng “tín dụng đen” trên không gian mạng với thủ đoạn dùng sim rác, tài khoản ảo, hội nhóm kín, tài khoản ngân hàng thuê mượn và hành vi gọi điện, nhắn tin đe dọa hoặc đến tận nơi gây sức ép (Bộ Công an, 2025). Nhìn thẳng vào thực tế ấy, bảo mật dữ liệu người tố cáo không phải thủ tục phụ trợ, mà là một mắt xích quyết định hiệu quả phát hiện, điều tra và xử lý tội phạm.
2. Đặc thù dữ liệu trong tội phạm cho vay nặng lãi trực tuyến
Tội phạm cho vay nặng lãi trực tuyến có ba đặc điểm nổi bật. Thứ nhất, quá trình tiếp cận người vay thường được thực hiện qua quảng cáo mạng xã hội, đường dẫn rút gọn, ứng dụng di động, nhóm kín hoặc cuộc gọi từ số không chính chủ. Thứ hai, giao dịch vay có thể được ngụy trang bằng phí tư vấn, phí hồ sơ, phí bảo hiểm, phí gia hạn, phí phạt và các khoản thu không minh bạch, khiến lãi suất thực tế cao hơn rất nhiều so với lãi suất thể hiện. Thứ ba, biện pháp cưỡng ép trả nợ thường dựa vào khai thác dữ liệu cá nhân: danh bạ, ảnh, số căn cước, địa chỉ nơi ở, nơi làm việc, tài khoản mạng xã hội, thông tin người thân, lịch sử vay và hình ảnh riêng tư. Như vậy, yếu tố “nặng lãi” đi liền với yếu tố “xâm phạm dữ liệu”.
Dữ liệu mà các đối tượng thu thập không chỉ phục vụ việc định danh người vay. Nó còn được chuyển hóa thành công cụ khống chế. Khi người vay chậm trả, đối tượng có thể gửi tin nhắn hàng loạt đến danh bạ, ghép thông tin sai lệch, đăng ảnh bôi nhọ lên mạng xã hội, gọi điện đến cơ quan, trường học hoặc người thân. Các vụ việc được cơ quan chức năng cảnh báo cho thấy ứng dụng vay thường yêu cầu người dân cung cấp họ tên, địa chỉ, nơi làm việc, số điện thoại, ảnh nhận diện, giấy tờ tùy thân và quyền truy cập danh bạ; khi không trả đúng hạn, các đối tượng dùng dữ liệu này để gây áp lực (Cục An toàn thông tin, Bộ Công an, 2024). Điều đó lý giải vì sao người tố cáo rất sợ bị lộ danh tính: một khi danh tính lộ ra, những dữ liệu đã nằm trong tay nhóm cho vay có thể được dùng để trả đũa bằng tốc độ của mạng xã hội.
Ở chiều ngược lại, cơ quan có thẩm quyền muốn xác minh nguồn tin lại cần tiếp nhận nhiều loại dữ liệu từ người tố cáo: thông tin định danh, số điện thoại liên hệ, địa chỉ, sao kê chuyển khoản, ảnh chụp màn hình ứng dụng, tin nhắn, hợp đồng điện tử, đường dẫn nhóm mạng xã hội, dữ liệu cuộc gọi, thông tin tài khoản nhận tiền, tài liệu về lãi, phí và khoản phạt. Một số dữ liệu có giá trị chứng minh rất cao, nhưng đồng thời có thể tiết lộ toàn bộ đời sống riêng tư của người tố cáo. Ví dụ, ảnh chụp màn hình tin nhắn có thể lộ số điện thoại người thân; sao kê tài khoản có thể lộ các giao dịch không liên quan; dữ liệu vị trí có thể lộ thói quen sinh hoạt. Nếu không áp dụng nguyên tắc giảm thiểu dữ liệu, hồ sơ tố giác dễ trở thành kho dữ liệu quá rộng, tăng nguy cơ lộ lọt.
Đặc thù tiếp theo là dữ liệu trong các vụ việc này thường nằm rải rác ở nhiều chủ thể: người tố cáo, nền tảng mạng xã hội, nhà mạng, ngân hàng, tổ chức trung gian thanh toán, kho ứng dụng, đơn vị cung cấp dịch vụ lưu trữ, thiết bị của đối tượng và hệ thống nghiệp vụ của cơ quan chức năng. Sự phân tán đó làm tăng giá trị của phối hợp liên ngành, nhưng cũng làm tăng nguy cơ mỗi điểm tiếp xúc trở thành một điểm rò rỉ. Trong mô hình truyền thống, bảo vệ người tố cáo thường tập trung vào giữ kín họ tên, địa chỉ, bút tích. Trong môi trường số, chỉ giữ kín họ tên là chưa đủ, bởi dữ liệu kỹ thuật như số điện thoại, tài khoản ngân hàng, mã giao dịch, địa chỉ IP, tên tài khoản mạng xã hội hoặc ảnh đại diện cũng có thể dẫn ngược đến danh tính.
3. Cơ sở pháp lý về bảo mật dữ liệu cá nhân của người tố cáo
Nền tảng pháp lý đầu tiên là quyền được bảo vệ đời sống riêng tư, bí mật cá nhân và an toàn thông tin. Luật Bảo vệ dữ liệu cá nhân năm 2025, có hiệu lực từ ngày 01/01/2026, xác lập các nguyên tắc quan trọng: Thu thập, xử lý dữ liệu phải đúng phạm vi, mục đích cụ thể, rõ ràng; dữ liệu phải được lưu trữ phù hợp với mục đích xử lý; phải áp dụng đồng bộ biện pháp thể chế, kỹ thuật và con người; đồng thời phải phòng ngừa, phát hiện, ngăn chặn, xử lý kịp thời hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân (Quốc hội, 2025). Đối với bài toán bảo vệ người tố cáo, các nguyên tắc này có ý nghĩa rất trực tiếp: cơ quan tiếp nhận không nên thu thập quá mức, không được dùng dữ liệu tố cáo ngoài mục đích xử lý vụ việc, và phải xác định rõ trách nhiệm của từng người truy cập hồ sơ.
Một điểm mới đáng chú ý là quy định về thông báo vi phạm dữ liệu. Luật Bảo vệ dữ liệu cá nhân năm 2025 yêu cầu bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu hoặc bên thứ ba phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời hạn chậm nhất 72 giờ khi phát hiện vi phạm có thể gây tổn hại đến quốc phòng, an ninh, trật tự an toàn xã hội hoặc xâm phạm tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của chủ thể dữ liệu (Quốc hội, 2025). Trong các vụ cho vay nặng lãi trực tuyến, dữ liệu người tố cáo nếu bị lộ có thể dẫn đến xâm hại danh dự, nhân phẩm hoặc tài sản, nên cơ chế thông báo và khắc phục vi phạm phải được thiết kế rõ trong quy trình tiếp nhận, xử lý nguồn tin.
Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 01/01/2026 (Chính phủ, 2025). Đây là cơ sở để cụ thể hóa yêu cầu quản trị dữ liệu ở cấp cơ quan, đơn vị: ai là chủ thể quyết định mục đích xử lý dữ liệu, ai là người xử lý, dữ liệu nào cần đánh giá tác động, trường hợp nào cần cập nhật hồ sơ, cách thức thông báo vi phạm và các biện pháp kỹ thuật tối thiểu. Trong khu vực công, điểm mấu chốt không phải chỉ là ban hành thêm mẫu biểu, mà là chuyển từ tư duy “giữ hồ sơ” sang tư duy “quản trị vòng đời dữ liệu”: thu thập có mục đích, phân loại, lưu giữ, khai thác, chia sẻ, kết thúc xử lý và hủy hoặc lưu trữ theo thời hạn pháp luật.
Bên cạnh pháp luật dữ liệu, Luật Tố cáo năm 2018 ghi nhận quyền của người tố cáo được bảo đảm bí mật họ tên, địa chỉ, bút tích và thông tin cá nhân khác; đồng thời dành một chương về bảo vệ người tố cáo, bao gồm bảo vệ bí mật thông tin, vị trí công tác, việc làm, tính mạng, sức khỏe, tài sản, danh dự và nhân phẩm. Quy định này có giá trị nền tảng, nhưng chủ yếu được xây dựng trên hình dung về quy trình tố cáo hành chính, tố cáo hành vi vi phạm pháp luật trong thực hiện nhiệm vụ, công vụ hoặc các hành vi vi phạm pháp luật nói chung. Trong các vụ cho vay nặng lãi trực tuyến, người cung cấp tin thường nằm trong không gian tố tụng hình sự, do đó cần kết nối Luật Tố cáo với Bộ luật Tố tụng hình sự.
Bộ luật Tố tụng hình sự năm 2015 quy định cá nhân đã tố giác, báo tin về tội phạm là người tham gia tố tụng và có quyền yêu cầu cơ quan có thẩm quyền bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản, quyền và lợi ích hợp pháp khi bị đe dọa. Bộ luật này cũng quy định trách nhiệm tiếp nhận, giải quyết tố giác, tin báo về tội phạm, kiến nghị khởi tố và cơ chế bảo vệ người tố giác, người làm chứng, bị hại, người thân thích của họ. Đối với tội phạm cho vay nặng lãi trực tuyến, đây là khung pháp lý trực tiếp hơn Luật Tố cáo, bởi phần lớn nguồn tin hướng đến việc khởi tố, điều tra hành vi phạm tội theo Điều 201 Bộ luật Hình sự.
Về nội dung tội phạm, Điều 201 Bộ luật Hình sự quy định tội cho vay lãi nặng trong giao dịch dân sự, trong đó yếu tố lãi suất được xác định theo mức gấp năm lần trở lên mức lãi suất cao nhất quy định trong Bộ luật Dân sự và có điều kiện về thu lợi bất chính hoặc tái phạm. Điều 468 Bộ luật Dân sự năm 2015 quy định lãi suất theo thỏa thuận không được vượt quá 20%/năm của khoản tiền vay, trừ trường hợp luật khác có liên quan quy định khác. Nghị quyết số 01/2021/NQ-HĐTP của Hội đồng Thẩm phán TANDTC hướng dẫn áp dụng Điều 201, trong đó giải thích “cho vay lãi nặng” là trường hợp lãi suất gấp năm lần trở lên mức cao nhất theo Bộ luật Dân sự (Hội đồng Thẩm phán TANDTC, 2021). Vì vậy, dữ liệu người tố cáo cung cấp về lãi, phí, phạt, dòng tiền, kỳ hạn và số lần vay có ý nghĩa then chốt trong chứng minh hành vi phạm tội.
4. Rủi ro lộ lọt dữ liệu trong chu trình tiếp nhận và xử lý nguồn tin
Rủi ro đầu tiên phát sinh ngay tại khâu tiếp nhận. Người dân có thể tố giác qua trực tiếp, điện thoại, thư điện tử, cổng dịch vụ công, ứng dụng, đường dây nóng hoặc mạng xã hội chính thức của cơ quan chức năng. Sự đa dạng kênh tiếp nhận là cần thiết, vì tội phạm trực tuyến diễn biến nhanh và người dân cần kênh báo tin thuận tiện. Tuy nhiên, mỗi kênh lại có mức độ bảo mật khác nhau. Một tài khoản mạng xã hội tiếp nhận tin báo mà không có quy trình phân quyền, xác thực người quản trị và lưu trữ riêng có thể làm phát sinh nguy cơ lộ nội dung nhạy cảm. Một thư điện tử dùng chung nhiều người có thể dẫn đến việc người không trực tiếp xử lý vụ việc vẫn đọc được thông tin. Một cuộc gọi không ghi nhận đầy đủ mã hồ sơ có thể khiến việc theo dõi yêu cầu bảo vệ bị rơi rớt.
Rủi ro thứ hai là thu thập quá nhiều dữ liệu so với nhu cầu ban đầu. Trong tâm lý muốn “cho chắc”, người tiếp nhận có thể yêu cầu người tố cáo nộp toàn bộ ảnh chụp, sao kê, tin nhắn, danh bạ bị quấy rối, đường dẫn tài khoản và dữ liệu thiết bị. Ở giai đoạn đầu, việc này có thể tạo thuận lợi cho xác minh, nhưng cũng làm hồ sơ phình to và tăng diện lộ lọt. Nguyên tắc đúng đắn là thu thập theo từng lớp: đầu tiên chỉ cần dữ liệu định danh, nội dung tố giác cốt lõi, kênh liên hệ an toàn và bằng chứng sơ bộ; sau đó, khi có căn cứ, mới yêu cầu bổ sung tài liệu chuyên sâu. Cách làm này không cản trở điều tra mà còn giúp quản lý hồ sơ tốt hơn, tránh biến cơ quan tiếp nhận thành nơi lưu trữ không cần thiết các dữ liệu đời tư.
Rủi ro thứ ba là chuyển giao hồ sơ giữa các đơn vị. Một vụ cho vay nặng lãi trực tuyến có thể liên quan đến công an cấp xã, công an cấp tỉnh, lực lượng an ninh mạng, cảnh sát hình sự, viện kiểm sát, ngân hàng, nhà mạng, đơn vị trung gian thanh toán và cơ quan quản lý nền tảng. Nếu hồ sơ được chuyển qua văn bản giấy, email, thiết bị lưu trữ di động hoặc ứng dụng nhắn tin không chuyên dụng, nguy cơ sao chép và mất kiểm soát tăng rất cao. Điều đáng lo không chỉ là lộ dữ liệu ra bên ngoài, mà còn là lộ “nội bộ mở rộng”: quá nhiều người biết danh tính người tố cáo dù không có nhu cầu nghiệp vụ trực tiếp. Bảo mật tốt đòi hỏi nguyên tắc “cần biết mới được biết”, không phải “cùng cơ quan thì đều được biết”.
Rủi ro thứ tư là công bố thông tin vụ án. Khi triệt phá một đường dây lớn, cơ quan chức năng cần truyền thông để cảnh báo người dân, khẳng định hiệu quả đấu tranh và răn đe đối tượng. Nhưng nếu thông tin truyền thông mô tả quá chi tiết hoàn cảnh người tố cáo, địa bàn, số tiền vay, thời điểm, nghề nghiệp, quan hệ gia đình hoặc hình ảnh che mờ chưa kỹ, người có liên quan vẫn có thể nhận diện. Trong thời đại dữ liệu mở, chỉ cần một mảnh thông tin nhỏ cũng có thể được ghép với dữ liệu trên mạng xã hội để truy ra danh tính. Vì vậy, truyền thông phòng, chống tội phạm phải đi kèm kỹ thuật ẩn danh và kiểm duyệt dữ liệu cá nhân, nhất là khi vụ việc có người tố cáo đang tiếp tục sinh sống, học tập, làm việc tại địa phương.
Rủi ro thứ năm là yếu tố con người. Công nghệ mã hóa không thể thay thế kỷ luật công vụ. Một cán bộ vô tình gửi nhầm tệp, in hồ sơ rồi để lộ trên bàn, trao đổi vụ việc trong nhóm không chính thức, dùng thiết bị cá nhân để lưu ảnh chụp màn hình, hoặc kể chi tiết vụ việc cho người không liên quan đều có thể phá vỡ toàn bộ hệ thống bảo mật. Trong đấu tranh với tội phạm cho vay nặng lãi trực tuyến, đối tượng có thể chủ động tìm cách tiếp cận người biết thông tin, mua chuộc người trong mạng lưới cộng tác, hoặc lợi dụng quan hệ xã hội ở địa phương để lần ra người tố cáo. Vì thế, bảo vệ dữ liệu phải được xem là nghĩa vụ kỷ luật, không chỉ là khuyến cáo đạo đức.
5. Yêu cầu bảo mật dữ liệu theo hướng phòng ngừa từ đầu
Yêu cầu thứ nhất là phân loại dữ liệu người tố cáo thành nhóm bảo mật cao. Không nên xếp thông tin người tố cáo chung với thông tin hành chính thông thường. Trong vụ cho vay nặng lãi trực tuyến, dữ liệu định danh, kênh liên hệ, địa chỉ cư trú, nơi làm việc, tài khoản mạng xã hội, tài khoản ngân hàng và dữ liệu người thân đều cần được đánh dấu là thông tin hạn chế truy cập. Việc phân loại phải được thực hiện ngay khi tiếp nhận, bởi nếu để đến giai đoạn điều tra mới bảo mật thì có thể đã muộn. Một khi dữ liệu đã được gửi qua nhiều kênh và nhiều người đã biết, việc “thu hồi bí mật” gần như không thể. Bảo mật tốt là bảo mật từ phút đầu tiên.
Yêu cầu thứ hai là giảm thiểu dữ liệu. Cơ quan tiếp nhận cần xây dựng danh mục dữ liệu tối thiểu cho từng giai đoạn. Giai đoạn tiếp nhận ban đầu cần thông tin liên hệ an toàn, mô tả hành vi, bằng chứng sơ bộ, dấu hiệu lãi nặng, dấu hiệu đe dọa và thông tin đối tượng. Giai đoạn xác minh mới cần dữ liệu giao dịch chi tiết, sao kê, tin nhắn, bản ghi cuộc gọi, đường dẫn tài khoản và thông tin kỹ thuật. Giai đoạn điều tra chuyên sâu mới cần trưng cầu hoặc yêu cầu dữ liệu từ ngân hàng, nhà mạng, nền tảng. Cách phân tầng này giúp hạn chế thu thập tràn lan, đồng thời tạo cơ sở giải trình nếu có khiếu nại về việc xử lý dữ liệu cá nhân. Nói thẳng: hồ sơ càng gọn, bảo mật càng dễ; hồ sơ phình to không kiểm soát là bạn đồng hành của rủi ro.
Yêu cầu thứ ba là ẩn danh có kiểm soát. Ẩn danh tuyệt đối không phải lúc nào cũng khả thi trong tố tụng hình sự, vì cơ quan điều tra cần biết người cung cấp tin để xác minh, đối chất hoặc làm rõ chứng cứ khi cần. Tuy nhiên, không phải mọi văn bản, báo cáo, phiếu chuyển, trích yếu, tài liệu họp án đều cần ghi đầy đủ thông tin người tố cáo. Có thể sử dụng mã hồ sơ, mã người cung cấp tin, hoặc ký hiệu nội bộ; thông tin định danh đầy đủ được lưu trong một phần riêng, chỉ người được phân quyền mới truy cập. Khi chuyển tài liệu cho đơn vị phối hợp, dữ liệu định danh không cần thiết phải được che, thay bằng đầu mối liên hệ bảo mật. Đây là sự cân bằng giữa yêu cầu điều tra và quyền riêng tư.
Yêu cầu thứ tư là kiểm soát truy cập theo vai trò. Mỗi cán bộ, đơn vị chỉ nên được xem phần dữ liệu cần cho nhiệm vụ. Người phân loại nguồn tin không nhất thiết được xem toàn bộ sao kê; người làm thống kê không cần biết địa chỉ người tố cáo; người truyền thông không cần biết danh tính; đơn vị kỹ thuật có thể cần dữ liệu thiết bị nhưng không cần thông tin đời tư ngoài phạm vi phân tích. Hệ thống số cần có cơ chế tài khoản cá nhân, xác thực mạnh, phân quyền theo vai trò, nhật ký truy cập, cảnh báo truy cập bất thường và định kỳ rà soát quyền. Nếu vẫn dùng tài khoản chung, mật khẩu chung hoặc thư mục dùng chung không phân quyền, thì mọi khẩu hiệu bảo mật đều chỉ là trang trí.
Yêu cầu thứ năm là bảo mật kênh liên hệ với người tố cáo. Nhiều người bị các app cho vay hoặc nhóm đòi nợ kiểm soát thông tin qua điện thoại, danh bạ và tài khoản mạng xã hội. Nếu cơ quan chức năng liên hệ bằng số điện thoại thông thường, nhắn tin lộ nội dung hoặc gửi giấy mời không kín đáo, người tố cáo có thể bị phát hiện. Cần cho phép người tố cáo đăng ký kênh liên hệ an toàn: số phụ, thời điểm liên hệ, hình thức nhận thông báo, người được ủy quyền, hoặc gặp trực tiếp tại địa điểm phù hợp. Trong trường hợp nguy cơ cao, mọi thông tin liên hệ nên ghi nhận trong phụ lục bảo mật, không đưa vào các văn bản luân chuyển rộng.
6. Những hạn chế hiện nay
Hạn chế thứ nhất là thiếu một quy trình liên thông chuyên biệt cho nguồn tin về cho vay nặng lãi trực tuyến. Các quy định về tiếp nhận tố giác, bảo vệ người tố giác, bảo vệ dữ liệu cá nhân, an ninh mạng và xử lý tội cho vay lãi nặng đều tồn tại, nhưng khi một người dân gửi tố giác qua kênh số, không phải lúc nào cơ quan tiếp nhận cũng có cùng chuẩn về phân loại dữ liệu, yêu cầu bổ sung tài liệu, xác minh tài khoản, chuyển đơn vị chuyên trách và đề xuất biện pháp bảo vệ. Sự không thống nhất này khiến người tố cáo phải trình bày nhiều lần, nộp lại tài liệu nhiều lần, đồng nghĩa với việc dữ liệu cá nhân bị nhân rộng qua nhiều hồ sơ.
Hạn chế thứ hai là chưa có cơ chế đánh giá rủi ro dữ liệu ở cấp vụ việc. Trong các vụ án lớn, cơ quan điều tra thường đánh giá tính chất nghiêm trọng của tội phạm, số lượng người vay, số tiền thu lợi, số đối tượng, địa bàn và mức độ tổ chức. Tuy nhiên, cần bổ sung tiêu chí đánh giá rủi ro đối với người tố cáo: đối tượng có đang biết danh tính người tố cáo không; dữ liệu nào của người tố cáo đã bị nhóm cho vay nắm giữ; người tố cáo có bị đe dọa trên mạng không; có người thân bị quấy rối không; nơi làm việc có bị gọi điện không; có nguy cơ lộ thêm thông tin do quá trình giải quyết vụ việc không. Khi không có bảng đánh giá rủi ro, biện pháp bảo vệ thường phụ thuộc nhiều vào kinh nghiệm cá nhân.
Hạn chế thứ ba là thiếu chế tài nội bộ đủ sức răn đe đối với hành vi làm lộ dữ liệu người tố cáo. Pháp luật đã quy định trách nhiệm xử lý vi phạm dữ liệu cá nhân, trách nhiệm bảo vệ bí mật thông tin người tố cáo và trách nhiệm công vụ. Nhưng trên thực tế, để răn đe hiệu quả cần quy định rõ hơn: hành vi truy cập trái thẩm quyền vào hồ sơ tố cáo là vi phạm; hành vi chụp, chuyển, lưu dữ liệu người tố cáo trên thiết bị cá nhân là vi phạm; hành vi tiết lộ thông tin người tố cáo cho người không có nhiệm vụ là vi phạm nghiêm trọng; hành vi để lộ dữ liệu gây nguy hiểm cho người tố cáo phải bị xem xét trách nhiệm tương xứng. Bảo mật mà không có trách nhiệm cá nhân thì dễ biến thành lời nhắc nhở lịch sự.
7. Kiến nghị hoàn thiện
Thứ nhất, cần ban hành quy trình liên ngành về bảo mật dữ liệu người tố cáo, người tố giác trong các vụ án sử dụng công nghệ số, trong đó có cho vay nặng lãi trực tuyến. Quy trình này nên thống nhất từ tiếp nhận, phân loại, thu thập chứng cứ số, chuyển giao, lưu trữ, truy cập, truyền thông vụ án đến kết thúc bảo vệ. Nội dung cốt lõi gồm: danh mục dữ liệu tối thiểu; mức phân loại bảo mật; cơ chế mã hóa, ẩn danh; phân quyền truy cập; biên bản giao nhận dữ liệu; xử lý bản sao; hướng dẫn che mờ dữ liệu người thứ ba; cơ chế thông báo sự cố; trách nhiệm người đứng đầu. Không nên để mỗi địa phương tự “mò đường” trong một loại tội phạm vốn không có biên giới địa phương.
Thứ hai, cần xây dựng mẫu đánh giá rủi ro dữ liệu đối với người tố cáo. Mẫu này có thể gồm các nhóm tiêu chí: dữ liệu đã bị đối tượng nắm giữ; mức độ phụ thuộc của người tố cáo vào thiết bị bị xâm phạm; số lượng người thân bị quấy rối; mức độ đe dọa danh dự, nhân phẩm; nguy cơ bị nhận diện qua truyền thông; nguy cơ bị lộ do chuyển hồ sơ; nhu cầu liên hệ an toàn; khả năng phải làm chứng hoặc đối chất. Dựa trên kết quả đánh giá, cơ quan có thẩm quyền lựa chọn biện pháp phù hợp: ẩn danh trong hồ sơ luân chuyển, hạn chế tiếp xúc, thay đổi kênh liên hệ, cảnh báo ngân hàng hoặc nhà mạng, đề nghị nền tảng gỡ nội dung bôi nhọ, hoặc áp dụng biện pháp bảo vệ theo tố tụng hình sự.
Thứ ba, cần gắn bảo vệ dữ liệu người tố cáo với trách nhiệm của ngân hàng, trung gian thanh toán, nhà mạng và nền tảng số. Trong nhiều vụ việc, dòng tiền và tài khoản nhận tiền là chứng cứ quan trọng; số điện thoại, tài khoản mạng xã hội và nhóm kín là dấu vết tổ chức tội phạm. Khi phối hợp xác minh, các chủ thể này phải bảo vệ thông tin người yêu cầu, thông tin người tố cáo và phạm vi yêu cầu của cơ quan chức năng. Cần hạn chế tối đa việc trao đổi bằng kênh không chính thức; mọi yêu cầu, phản hồi, tệp dữ liệu phải có đầu mối, mã hồ sơ, thời hạn và trách nhiệm bảo mật. Phối hợp nhanh là tốt, nhưng phối hợp nhanh mà lộ dữ liệu thì khác nào vá áo bằng kéo.
Thứ tư, cần chuẩn hóa truyền thông vụ án. Cơ quan chức năng nên có bộ tiêu chí trước khi công bố thông tin về các vụ cho vay nặng lãi trực tuyến: không công bố dữ liệu định danh người tố cáo; không mô tả hoàn cảnh quá đặc thù có thể dẫn đến nhận diện; che mờ ảnh, biển số, địa chỉ, số tài khoản, số điện thoại; rà soát metadata của ảnh, video; không để lộ tài liệu hồ sơ trong hình ảnh minh họa; không dùng lời lẽ khiến người vay hoặc người tố cáo bị kỳ thị. Mục tiêu truyền thông là cảnh báo thủ đoạn và củng cố niềm tin, không phải phơi bày người đã dũng cảm cung cấp tin.
Thứ năm, cần tăng chế tài và cơ chế khắc phục khi dữ liệu người tố cáo bị lộ. Ngoài xử lý người vi phạm, phải có cơ chế hỗ trợ người bị lộ dữ liệu: cảnh báo kịp thời, hướng dẫn thay đổi kênh liên hệ, đề nghị gỡ bỏ nội dung bôi nhọ, phối hợp nhà mạng chặn quấy rối, hỗ trợ lập hồ sơ về thiệt hại danh dự, nhân phẩm hoặc tài sản, và xem xét biện pháp bảo vệ theo Bộ luật Tố tụng hình sự. Nếu cơ quan nhà nước gây lộ dữ liệu, cần có cơ chế xin lỗi, bồi thường, phục hồi quyền lợi theo quy định. Niềm tin của người dân chỉ được bảo vệ bằng hành động có trách nhiệm, không phải bằng câu “rút kinh nghiệm”.
8. Kết luận
Bảo mật dữ liệu cá nhân của người tố cáo trong đấu tranh với tội phạm cho vay nặng lãi trực tuyến là vấn đề vừa pháp lý, vừa nghiệp vụ, vừa công nghệ. Loại tội phạm này sống nhờ dữ liệu: dữ liệu để mời chào, xét duyệt, giải ngân, đòi nợ, bôi nhọ và khống chế. Vì vậy, cơ quan chức năng muốn phá vỡ hệ sinh thái “tín dụng đen” trực tuyến thì phải bảo vệ được dữ liệu của những người dám cung cấp tin. Không có bảo mật, không có niềm tin; không có niềm tin, nguồn tin từ nhân dân sẽ khô cạn; nguồn tin khô cạn thì tội phạm chỉ cần đổi tên ứng dụng, đổi nhóm chat, đổi tài khoản nhận tiền là lại tiếp tục hoạt động.
Pháp luật Việt Nam đã có những nền tảng quan trọng: Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định 356/2025/NĐ-CP đặt ra chuẩn mực mới về xử lý dữ liệu; Luật Dữ liệu năm 2024 tạo khung quản trị dữ liệu; Luật Tố cáo bảo vệ bí mật thông tin người tố cáo; Bộ luật Tố tụng hình sự bảo vệ người tố giác và người thân thích; Bộ luật Hình sự cùng Nghị quyết 01/2021/NQ-HĐTP làm rõ căn cứ xử lý tội cho vay lãi nặng. Tuy nhiên, thách thức nằm ở chỗ kết nối các nền tảng này thành quy trình cụ thể, dễ áp dụng, có trách nhiệm cá nhân và có năng lực kỹ thuật tương xứng. Cần đi theo hướng bảo mật từ đầu, giảm thiểu dữ liệu, ẩn danh có kiểm soát, phân quyền nghiêm, lưu vết truy cập, bảo mật kênh liên hệ và chuẩn hóa truyền thông vụ án. Đó không chỉ là yêu cầu pháp lý của thời chuyển đổi số, mà còn là thái độ tôn trọng người dân - những người đã góp phần giữ gìn trật tự xã hội bằng lòng can đảm của mình.
Tài liệu tham khảo
- Bộ Công an. (2022, July 21). Triệt phá đường dây cho vay lãi nặng xuyên quốc gia qua ứng dụng điện thoại di động với lãi suất 2.090%/năm [Thông cáo báo chí].
- Bộ Công an. (2025, December 25). Cảnh báo hoạt động tín dụng đen cho vay lãi nặng trên không gian mạng [Thông cáo báo chí].
- Chính phủ. (2025). Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
- Cục An toàn thông tin, Bộ Công an. (2024). Cảnh báo về các ứng dụng vay tiền trực tuyến yêu cầu cung cấp thông tin cá nhân, danh bạ, tài khoản mạng xã hội và giấy tờ tùy thân [Thông cáo báo chí].
- Hội đồng Thẩm phán TANDTC. (2021, December 20). Nghị quyết số 01/2021/NQ-HĐTP hướng dẫn áp dụng Điều 201 Bộ luật Hình sự và xét xử vụ án cho vay lãi nặng trong giao dịch dân sự.
- Quốc hội. (2025). Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (ban hành ngày 26/6/2025, có hiệu lực từ ngày 01/01/2026).
PHẠM THÁI HÙNG
UBND xã Ninh Phước, tỉnh Khánh Hòa
