Bảo mật dữ liệu khách hàng: Thực trạng lộ lọt tạo nên khoảng cách niềm tin số
Trong nền kinh tế số Việt Nam, dữ liệu cá nhân được ví như dòng chảy huyết mạch của mọi giao dịch và là tài sản chiến lược của doanh nghiệp. Tuy nhiên, sự phát triển nóng của thị trường số đã kéo theo những hệ lụy nghiêm trọng về an ninh thông tin.
Các bộ tiêu chí "Doanh nghiệp vì người tiêu dùng" được Ủy ban Cạnh tranh Quốc gia (Bộ Công Thương) xây dựng, đặc biệt là trong lĩnh vực thương mại điện tử, đã xác lập một chuẩn mực đạo đức kinh doanh cao về bảo mật. Song, sự đối lập giữa những cam kết này và thực tế lộ lọt dữ liệu diễn ra như một "cơn bão mạng" đã tạo ra một khoảng cách niềm tin lớn, đe dọa sự phát triển bền vững của thị trường.
Có chính sách nhưng chưa đủ mạnh
Trong các văn bản nền tảng như dự thảo bộ tiêu chí "Doanh nghiệp vì người tiêu dùng" chung và chi tiết hơn là bộ tiêu chí "Doanh nghiệp vì người tiêu dùng" trong lĩnh vực thương mại điện tử, trách nhiệm bảo vệ thông tin khách hàng được đặt ở vị trí quan trọng. Các tiêu chí này yêu cầu doanh nghiệp phải "xây dựng và duy trì quy trình bảo vệ dữ liệu cá nhân chặt chẽ", "có chính sách công khai về mục đích thu thập, sử dụng dữ liệu" và cam kết "không chia sẻ thông tin cá nhân của người tiêu dùng với bên thứ ba khi chưa có sự đồng ý rõ ràng".
Về bản chất, đây là nỗ lực chuyển hóa quyền được bảo vệ thông tin cá nhân của người tiêu dùng (được củng cố trong Luật Bảo vệ quyền lợi người tiêu dùng năm 2023) thành hành động cụ thể, khuyến khích doanh nghiệp coi bảo mật không phải là chi phí mà là giá trị cạnh tranh. Doanh nghiệp đạt chuẩn "Doanh nghiệp vì người tiêu dùng" phải là doanh nghiệp có tư duy phòng thủ chủ động, đặt lợi ích và sự an toàn của khách hàng lên hàng đầu.
Mặc dù có những cam kết rõ ràng, việc bảo vệ dữ liệu trên thực tế lại bộc lộ nhiều điểm yếu. Các tiêu chí "Doanh nghiệp vì người tiêu dùng" chỉ đánh giá việc doanh nghiệp "có" chính sách, nhưng chưa đủ mạnh để thẩm định khả năng phòng thủ kỹ thuật và hiệu quả bảo mật thực tế. Đây là "điểm mù" khiến các vụ lộ lọt dữ liệu vẫn xảy ra thường xuyên.
(Ảnh minh họa - KT)
Thực trạng này được minh chứng bằng những số liệu đáng báo động. Hiệp hội An ninh mạng Quốc gia (NCA) đã chỉ ra rằng, tổng thiệt hại do lừa đảo trực tuyến tại Việt Nam trong năm 2024 ước tính lên đến hàng 18.900 tỷ đồng. Một phần lớn thiệt hại này bắt nguồn từ việc dữ liệu cá nhân bị đánh cắp từ các hệ thống kinh doanh và bị sử dụng để thực hiện các hành vi lừa đảo, tấn công mạng xã hội hoặc quấy rối.
Ví dụ thực tiễn được báo chí công khai là các vụ việc liên quan đến hiện tượng các tập dữ liệu cá nhân, bao gồm cả lịch sử giao dịch chi tiết, được rao bán công khai trên các nhóm kín. Nguồn gốc của những dữ liệu này thường là từ các lỗ hổng bảo mật trong hệ thống của sàn thương mại điện tử, ứng dụng dịch vụ hoặc các công ty cung cấp dịch vụ thứ ba.
Các doanh nghiệp này đã thất bại trong việc thực hiện các biện pháp mã hóa dữ liệu nghiêm ngặt hoặc không áp dụng mô hình bảo mật "Zero Trust" (không tin tưởng ai), dẫn đến việc hàng triệu khách hàng trở thành nạn nhân của tin nhắn rác và cuộc gọi quấy rối có thông tin chi tiết chính xác về giao dịch trước đó.
Áp lực chuyển hóa, từ tuân thủ đến tiêu chuẩn quốc tế
Có thể thấy, khoảng cách giữa cam kết đạo đức và hành động kỹ thuật đã khiến người tiêu dùng mất đi sự an tâm trong môi trường số, làm xói mòn nghiêm trọng niềm tin vào cả nền tảng số lẫn sản phẩm dịch vụ. Để vượt qua khủng hoảng niềm tin này, các doanh nghiệp vì người tiêu dùng phải có sự chuyển hóa mạnh mẽ, dựa trên trách nhiệm pháp lý và chuẩn mực kỹ thuật cao cấp.
Việc Nghị định số 13/2023/NĐ-CP của Chính phủ về Bảo vệ dữ liệu cá nhân có hiệu lực đã tạo ra một hành lang pháp lý bắt buộc. Nghị định này không chỉ yêu cầu doanh nghiệp phải có sự đồng ý của khách hàng mà còn quy định chi tiết về xử lý dữ liệu cá nhân nhạy cảm, nghĩa vụ thông báo vi phạm, và chế tài xử phạt nghiêm minh. Đây là công cụ pháp lý mạnh mẽ, đòn bẩy pháp lý buộc doanh nghiệp phải thiết lập hệ thống bảo vệ dữ liệu theo tiêu chuẩn bắt buộc của Nhà nước.
Đối với các doanh nghiệp muốn trở thành "Doanh nghiệp vì người tiêu dùng" tiên phong, việc tuân thủ pháp luật Việt Nam là chưa đủ. Giải pháp nằm ở việc áp dụng các tiêu chuẩn quản lý an ninh thông tin quốc tế như ISO/IEC 27001. Việc đạt được chứng nhận này đồng nghĩa với việc doanh nghiệp đã thiết lập một hệ thống quản lý rủi ro và an ninh thông tin toàn diện, liên tục được kiểm toán độc lập. Việc đầu tư vào công nghệ mã hóa, tường lửa và quy trình xử lý sự cố theo chuẩn quốc tế là minh chứng rõ ràng nhất cho cam kết vì người tiêu dùng, vượt xa khuôn khổ của một văn bản cam kết đơn thuần.
Bảo vệ dữ liệu cá nhân không phải là một "chi phí tuân thủ" mà là yếu tố cốt lõi để doanh nghiệp tồn tại trong kỷ nguyên số. Chỉ khi các tiêu chí "Doanh nghiệp vì người tiêu dùng" được thẩm định sâu hơn vào hiệu quả kỹ thuật thực tế và được doanh nghiệp chủ động liên kết với các chuẩn mực quốc tế, niềm tin số mới có thể được tái thiết và củng cố vững chắc.
