Cần 'lên lịch' sớm cho bảo vệ dữ liệu cá nhân

Gần một nửa doanh nghiệp đang bỏ ngỏ

Giữa tháng 12 vừa qua, Thường vụ Quốc hội đã đồng ý đề xuất của Chính phủ, bổ sung dự án Luật Bảo vệ dữ liệu cá nhân (BVDLCN) vào chương trình xây dựng luật và pháp lệnh năm 2025. Theo đó, dự kiến Luật này sẽ do Bộ Công an chủ trì xây dựng, lấy ý kiến hoàn thiện và Quốc hội sẽ cho ý kiến lần đầu tại Kỳ họp thứ 9 (tháng 5/2025), khả năng sẽ thông qua vào cuối năm 2025.

Theo dự thảo đang lấy ý kiến, Luật BVDLCN sẽ là văn bản pháp lý cao nhất, phát triển và hoàn thiện trên cơ sở Nghị định 13/2023/NĐ-CP. Trong đó, chính sách nổi bật là cụ thể hóa quyền và nghĩa vụ của chủ thể dữ liệu. Ngoài ra, Luật này cũng sẽ cụ thể hóa nhiều biện pháp, chế tài BVDLCN nhằm xử lý triệt để hành vi vi phạm.

Hầu hết các chuyên gia, luật sư đều cho rằng việc ban hành Luật BVDLCN trong thời điểm hiện nay là hết sức cần thiết, bởi Luật này sẽ tạo ra nền tảng pháp lý để triển khai, quản lý, hướng dẫn thực hiện cũng như xử lý các vi phạm khi thực hiện nhiều Luật và Nghị định khác liên quan đến các lĩnh vực lớn như: an ninh mạng, thương mại điện tử, tài chính ngân hàng, phòng chống rửa tiền, bảo vệ người tiêu dùng…

Yêu cầu về tuân thủ các quy định pháp lý đối với BVDLCN đặt ra thách thức cho nhiều doanh nghiệp, tổ chức kinh tế

Tuy nhiên, các chuyên gia cũng cho rằng với thực tiễn thị trường hiện nay, lộ trình triển khai Luật BVDLCN dự kiến bắt đầu từ năm 2026 là một thách thức không nhỏ. Bởi cho đến hiện tại, theo những cập nhật mới nhất của Hiệp hội An ninh mạng Quốc gia (NCA) từ khảo sát trên gần 5.000 đơn vị, tổ chức vào giữa tháng 12/2024, có tới hơn 20% đơn vị chưa có nhân sự chuyên trách về an ninh mạng; hơn 35,5% cơ quan, doanh nghiệp chỉ bố trí dưới 5 người phụ trách mảng này. Trong khi đó, có tới 43,47% đơn vị không có nhân sự chuyên trách về BVDLCN.

Theo NCA, để đảm bảo an ninh mạng, mỗi tổ chức, đơn vị, doanh nghiệp cần tối thiểu từ 8–10 vị trí chuyên trách. Việc thiếu vắng nhân sự sẽ dẫn đến tình trạng quá tải trong quản lý các nguy cơ, làm giảm hiệu quả phản ứng và đối phó khi xảy ra sự cố. Tình trạng này khiến các tổ chức dễ bị tổn thương trước các cuộc tấn công mạng, dẫn đến những thiệt hại nặng nề về tài chính và uy tín.

Việc thiếu nhân sự chuyên trách cũng là nguyên nhân khiến tình trạng lộ lọt dữ liệu cá nhân tại Việt Nam hiện nay rất phổ biến. Thống kê sơ bộ của Tòa án Nhân dân Tối cao cho thấy trong các năm 2018–2023, tội phạm trong lĩnh vực công nghệ thông tin và mạng viễn thông chủ yếu bị xét xử liên quan đến BVDLCN. Trong đó, các hành vi bao gồm: sử dụng mạng máy tính, mạng viễn thông để chiếm đoạt tài sản (377 vụ); thu thập, tàng trữ, trao đổi, mua bán trái phép thông tin tài khoản ngân hàng (61 vụ); xâm nhập trái phép mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác (33 vụ)…

Theo NCA, ngoài việc thiếu hụt trầm trọng nhân sự chuyên trách trong lĩnh vực BVDLCN, vướng mắc lớn nhất các cơ quan, doanh nghiệp gặp phải khi triển khai các quy định về BVDLCN là thủ tục, quy trình pháp lý. Bên cạnh đó, nhiều doanh nghiệp cũng thiếu các biện pháp kỹ thuật để bảo vệ dữ liệu, đồng thời gặp khó khăn về cơ chế và tài chính để đầu tư vào các giải pháp công nghệ bảo mật.

Chủ động tuân thủ các quy định hiện hữu

Theo nhận định của các luật sư, hiện nay với hiệu lực của Nghị định 13/2023/NĐ-CP (từ 1/7/2023), các nội dung như định nghĩa về dữ liệu cá nhân, các hành vi bị nghiêm cấm nhằm bảo vệ dữ liệu cá nhân, cũng như các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể… đã được pháp luật quy định rõ ràng.

Về phía doanh nghiệp, các quy định bắt buộc phải thực hiện để bảo vệ dữ liệu cá nhân cũng đã khá cụ thể, bao gồm: bổ sung quy định về thu thập, xử lý thông tin người lao động; cập nhật biểu mẫu cho phép xử lý dữ liệu cá nhân; cập nhật quy định về cấm mua bán, chia sẻ thông tin dữ liệu cá nhân; chỉ định bộ phận bảo vệ dữ liệu cá nhân nhạy cảm…

Vì thế, trong thời gian chờ đợi Luật BVDLCN được hoàn thiện và ban hành, các chuyên gia cho rằng doanh nghiệp cần nhanh chóng đáp ứng các yêu cầu pháp lý hiện hữu. Đối với từng loại hình tổ chức, doanh nghiệp, và lĩnh vực ngành nghề, lãnh đạo cần nghiên cứu kỹ lưỡng các quy định pháp luật, đồng thời có chính sách đầu tư tài chính và nhân sự thỏa đáng cho lĩnh vực BVDLCN để kịp thời triển khai, tránh bị xử phạt vi phạm hoặc lúng túng khi áp dụng các quy định mới trong 1–2 năm tới.

Theo TS. Nguyễn Thị Ánh Hồng (Trường Đại học Luật TP. Hồ Chí Minh), những điểm yếu của doanh nghiệp hiện nay trong BVDLCN chủ yếu xuất phát từ nhận thức chưa đầy đủ. Nhiều doanh nghiệp chỉ xem đây là một yêu cầu pháp lý mang tính đối phó, do đó chưa thiết lập quy trình chuẩn trong việc xử lý hoặc chỉ đáp ứng yêu cầu tối thiểu mà không đảm bảo tính hiệu quả và toàn diện.

Theo bà Hồng, cùng với sự ra đời của Luật BVDLCN, các chế tài dân sự, hành chính và hình sự cũng sẽ được luật hóa theo hướng thắt chặt. Đơn cử, các quy định của Bộ luật Dân sự 2015 liên quan đến bảo vệ, kiểm soát, và xử lý dữ liệu có thể sẽ được sửa đổi để tiệm cận với các quy định quốc tế.

Do đó, các doanh nghiệp cần sớm xây dựng lộ trình để đáp ứng các yêu cầu pháp lý mới trong lĩnh vực BVDLCN. Khi Luật này được ban hành, những doanh nghiệp chưa tuân thủ sẽ không chỉ đối mặt với nguy cơ bị xử phạt mà còn có nguy cơ chịu khủng hoảng thương hiệu do phản ứng tiêu cực từ khách hàng và người tiêu dùng.

“Một khi khách hàng nhận thấy dữ liệu cá nhân của họ bị xử lý không an toàn hoặc bị xâm phạm, họ có thể ngừng sử dụng sản phẩm, dịch vụ của doanh nghiệp. Đây là những ‘chế tài mềm’ có mức độ tác động rất lớn đến doanh thu, lợi nhuận, thậm chí đến sự thành bại của doanh nghiệp và thương hiệu”, bà Hồng nhận định.

Thạch Bình