Theo Bộ Công an, hiện nay, tình trạng lộ, lọt, hoạt động đánh cắp, mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng, gây hậu quả nghiêm trọng. Bộ Công an cũng cho rằng chế tài hiện hành chưa đủ sức răn đe việc đánh cắp, kinh doanh dữ liệu cá nhân trên mạng.
Việc mua bán dữ liệu cá nhân đang được thực hiện theo hai hình thức chính. Thứ nhất, các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán. Thứ hai, các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.
Các gói dữ liệu thô được rao bán liên quan tới nhiều lĩnh vực như: danh sách cán bộ, danh sách nội bộ (bao gồm cả các đơn vị công an, quốc phòng, thuế...); điện lực; thuê bao Internet; ngân hàng (chi tiết tới cả số dư tài khoản); bảo hiểm; hồ sơ đăng ký kinh doanh; giáo dục (phụ huynh, giáo viên, học sinh, sinh viên); bất động sản (kèm theo khả năng tài chính); nhân sự có chọn lọc (mức thu nhập, chức vụ); danh sách khách hàng sử dụng các dịch vụ Internet (danh sách thành viên đăng ký Facebook, fpt, vnn.com, yahoo.com, gmail.com, gov.vn, hopthu.com, hotmail.com, saigonnet.vn). Các loại dữ liệu được mua bán trong thời gian dài, có cam kết về độ chính xác, cam kết cập nhật dữ liệu, hỗ trợ xuất dữ liệu theo yêu cầu người mua.
Qua rà soát sơ bộ, Bộ Công an phát hiện hơn 60 tổ chức, cá nhân liên quan hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng, bao gồm: các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện... Nhiều khả năng, nguồn của các dữ liệu thô xuất phát từ hệ thống nội bộ của cơ quan, nhà nước hoặc từ hệ thống hành chính điện tử.
Do quy định của pháp luật chưa chặt chẽ, chế tài chưa bao trùm được các hành vi vi phạm, chưa đủ sức răn đe nên việc xử lý hiện chưa đáp ứng yêu cầu. Hai tội danh quy định tại Bộ luật Hình sự 2015 là Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác (điều 159), Đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông (điều 288) lại chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới dữ liệu cá nhân.
Trong khi đó các quy định xử phạt hành chính một số hành vi liên quan bảo vệ dữ liệu cá nhân lại chưa bảo đảm đầy đủ, toàn diện. Tại Nghị định 174/2013/NĐ-CP ngày 13/11/2013, mức phạt cao nhất là 70 triệu đồng.
Với các phân tích trên, Bộ Công an đề xuất xây dựng riêng Nghị định bảo vệ dữ liệu cá nhân gồm 27 điều về các nội dung chính: Xây dựng các quy định mới của pháp luật về bảo vệ dữ liệu cá nhân; Xây dựng các khái niệm thống nhất công tác bảo vệ dữ liệu cá nhân; Xây dựng quy định về cấp phép chuyển giao dữ liệu cá nhân của công dân Việt Nam ra nước ngoài; Xây dựng quy định về đăng ký xử lý dữ liệu cá nhân nhạy cảm; Sửa đổi, thống nhất một số quy định của pháp luật về bảo vệ dữ liệu cá nhân; Xây dựng các quy định mới của pháp luật về quyền hạn, trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân. Sửa đổi, thống nhất một số quy định của pháp luật về quyền hạn, trách nhiệm của cơ quan, tổ chức, cá nhân trong bảo vệ dữ liệu cá nhân.
Theo dự thảo nghị định, dữ liệu cá nhân là dữ liệu về thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự thuộc về cá nhân.
Dữ liệu cá nhân nhạy cảm bao gồm: quan điểm chính trị, tôn giáo; dân tộc hoặc chủng tộc; tình trạng sức khỏe; thông tin di truyền; dữ liệu sinh trắc học; giới tính, đời sống tình dục; dữ liệu tội phạm; vân tay, dấu bàn tay, hình ảnh mống mắt và dữ liệu di truyền. Dữ liệu này không được phép tiết lộ.
Dữ liệu cá nhân có thể được tiết lộ trên phương tiện truyền thông cho mục đích báo chí mà không có sự đồng ý của chủ thể dữ liệu, nếu có lợi ích công cộng lớn và điều này phù hợp với các nguyên tắc đạo đức báo chí. Việc tiết lộ dữ liệu sẽ không gây ra thiệt hại quá lớn đối với quyền của chủ thể dữ liệu. Bất kì lúc nào, chủ thể dữ liệu luôn có quyền yêu cầu người xử lý dữ liệu cá nhân ngừng tiết lộ trừ khi có quy định khác của pháp luật và việc này phù hợp về mặt kỹ thuật và không gây ra phí tổn cao bất hợp lý.