Dữ liệu cá nhân trở thành 'tài sản': Doanh nghiệp phải thay đổi cách quản trị

Từ câu chuyện pháp lý đến áp lực tuân thủ toàn diện

Phát biểu tại hội thảo, luật sư Lưu Xuân Vĩnh, Giám đốc điều hành Công ty Luật TNHH Asia Legal cho biết, việc bảo vệ dữ liệu cá nhân tại Việt Nam không phải là câu chuyện mới. Trước khi Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 1/1/2026, Nghị định số 13/2023/NĐ-CP đã đóng vai trò nâng cao nhận thức cho doanh nghiệp và thị trường, tương tự cách Liên minh châu Âu triển khai Quy định Bảo vệ Dữ liệu Chung (GDPR) với giai đoạn chuyển tiếp nhằm nâng cao nhận thức cho doanh nghiệp.

Tuy nhiên, theo luật sư Lưu Xuân Vĩnh, một trong những hạn chế của Nghị định 13/2023 là chế tài xử phạt chưa rõ ràng. Điều này dẫn tới thực tế nhiều doanh nghiệp đặt câu hỏi về mức xử phạt cụ thể khi vi phạm nhưng không có câu trả lời rõ ràng, khiến việc tuân thủ chưa thực sự nghiêm túc.

Các chuyên gia tại Hội thảo “Tuân thủ luật bảo vệ dữ liệu cá nhân - Những thách thức, rủi ro và giải pháp công nghệ”

Trong khi đó, các sự cố rò rỉ dữ liệu trên thế giới và tại Việt Nam đã cho thấy hậu quả nghiêm trọng. Từ vụ Facebook lộ 419 triệu số điện thoại, Uber bị phạt 148 triệu USD, đến các vụ việc trong nước như lộ hàng trăm triệu tài khoản người dùng, dữ liệu tín dụng hay thông tin khách hàng hàng không… tất cả đều cho thấy dữ liệu cá nhân đã trở thành tài sản có giá trị kinh tế lớn, đồng thời là mục tiêu tấn công của tội phạm công nghệ cao.

Đáng chú ý, yếu tố con người chiếm tới 32,6% nguyên nhân gây rò rỉ dữ liệu tại Việt Nam – một con số cho thấy rủi ro không chỉ đến từ công nghệ mà còn bắt nguồn từ thói quen và nhận thức của người dùng cũng như nhân sự trong doanh nghiệp.

Chính những rủi ro này đặt ra yêu cầu phải hoàn thiện khung pháp lý theo hướng chặt chẽ và toàn diện hơn. Theo bà Phạm Ngọc Hoa, chuyên gia Pháp chế Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05), việc nâng cấp từ Nghị định lên Luật là kết quả của quá trình 4 năm nghiên cứu, nhằm lấp đầy các khoảng trống pháp lý và tiệm cận chuẩn mực quốc tế.

Một điểm thay đổi quan trọng là chuyển từ tư duy “quy định rời rạc” sang “quản trị dữ liệu toàn diện”, bao gồm cả quyền và nghĩa vụ của chủ thể dữ liệu, mở rộng phạm vi điều chỉnh tới các nền tảng xuyên biên giới, cũng như chính thức hóa các hoạt động xử lý dữ liệu như một ngành nghề kinh doanh có điều kiện.

Đặc biệt, chế tài xử phạt được quy định rõ ràng và nghiêm khắc hơn. Mức phạt có thể lên tới 5% doanh thu đối với vi phạm chuyển dữ liệu xuyên biên giới, hoặc hàng tỷ đồng đối với các hành vi khác. Theo luật sư Lưu Xuân Vĩnh, mức phạt này tương đương chuẩn quốc tế, tạo áp lực buộc doanh nghiệp phải thay đổi cách tiếp cận đối với dữ liệu cá nhân.

Bảo vệ dữ liệu góp phần có được niềm tin của khách hàng

Dù hành lang pháp lý ngày càng hoàn thiện, thách thức lớn nhất đối với doanh nghiệp lại nằm ở chính nội tại. Luật sư Lưu Xuân Vĩnh đánh giá, phần lớn doanh nghiệp hiện nay chưa nắm rõ mình đang sở hữu những loại dữ liệu nào, được lưu trữ ở đâu và ai có quyền truy cập.

Thực trạng này dẫn đến một nghịch lý: dữ liệu ngày càng nhiều nhưng năng lực kiểm soát lại hạn chế. Trong nhiều doanh nghiệp, toàn bộ nhân sự có thể truy cập chung vào hệ thống dữ liệu mà không có phân quyền rõ ràng, làm gia tăng nguy cơ rò rỉ hoặc bị khai thác trái phép.

Doanh nghiệp cần đặt vấn đề bảo vệ dữ liệu làm trọng tâm

Không chỉ vậy, việc phụ thuộc vào cá nhân cũng là rủi ro đáng kể. Ông Lê Minh Quốc, đại diện Tập đoàn MK, nêu thực tế rằng trong một số tổ chức, dữ liệu quan trọng có thể “nằm” trong tay một cá nhân lãnh đạo. Khi người này rời đi, nguy cơ mất dữ liệu hoặc thất thoát là hoàn toàn có thể xảy ra.

Từ thực tế này, vấn đề đặt ra không chỉ là bảo vệ dữ liệu trước các cuộc tấn công bên ngoài, mà còn là kiểm soát dữ liệu ngay trong nội bộ doanh nghiệp. Nếu dữ liệu không được xác định rõ quyền sở hữu, không có cơ chế phân quyền truy cập và giám sát chặt chẽ, thì việc “cá nhân hóa dữ liệu” sẽ khiến doanh nghiệp đối mặt với rủi ro mất kiểm soát, thậm chí gián đoạn hoạt động.

Đại diện Tập đoàn MK cũng đặt vấn đề về việc cần có các giải pháp quản trị và kỹ thuật để bảo đảm dữ liệu thuộc về tổ chức, không phụ thuộc vào cá nhân nắm giữ. Điều này đặc biệt quan trọng trong các lĩnh vực như tài chính – ngân hàng, nơi dữ liệu không chỉ mang giá trị kinh tế mà còn liên quan trực tiếp đến an toàn hệ thống và quyền lợi của khách hàng.

Cùng bàn về vấn đề này, ông Nguyễn Hùng Sơn, Phó Chủ tịch HĐQT FSI, cho rằng thách thức lớn nhất không nằm ở giải pháp kỹ thuật mà ở nhận thức của lãnh đạo. Nếu lãnh đạo không coi trọng bảo vệ dữ liệu, mọi chính sách sẽ khó được triển khai hiệu quả.

Đại diện FSI cũng cảnh báo một rủi ro mới từ việc sử dụng trí tuệ nhân tạo. Trong quá trình vận hành, doanh nghiệp có thể vô tình đưa dữ liệu nhạy cảm vào các hệ thống AI mà không kiểm soát đầy đủ, dẫn đến nguy cơ lộ lọt thông tin. Theo ông Sơn, để giải quyết vấn đề này, các giải pháp công nghệ như hệ thống DLP (Data Loss Prevention) được đề xuất nhằm kiểm soát dòng chảy dữ liệu, từ việc phân loại, giám sát đến ngăn chặn hành vi sao chép trái phép. Đồng thời, công nghệ điều tra truy vết dữ liệu (Data Forensic) có thể giúp phát hiện và xử lý các hành vi vi phạm ngay cả khi đã bị xóa dấu vết.

Tuy nhiên, công nghệ chỉ là một phần của bài toán. Ông Nguyễn Huy Du - Đồng sáng lập SinoBridge Việt Nam nhìn nhận, tuân thủ pháp luật về dữ liệu cần được hình thành từ ý thức, nhận thức, kiến thức và công thức. Thực tế, trong các cuộc làm việc với đối tác quốc tế, việc ký thỏa thuận bảo mật và kiểm soát thông tin là quy trình bắt buộc, cho thấy mức độ nghiêm ngặt trong quản trị dữ liệu.

Một điểm đáng chú ý khác được nhiều chuyên gia nhấn mạnh là bảo vệ dữ liệu không nên được nhìn nhận đơn thuần như nghĩa vụ pháp lý. Trong bối cảnh hội nhập sâu rộng, đây còn là yếu tố quyết định khả năng hợp tác quốc tế và xây dựng niềm tin với khách hàng.

Theo chuyên gia Phạm Ngọc Hoa, dữ liệu vị trí và dữ liệu sinh trắc học được xem là nhóm dữ liệu nhạy cảm có rủi ro cao, gắn với cả quyền riêng tư và an ninh quốc gia. Việc xây dựng các tiêu chuẩn khử nhận dạng dữ liệu và phát triển nền tảng nội địa là hướng đi nhằm nâng cao chủ quyền dữ liệu.

Điều này cũng đặt ra yêu cầu mới đối với doanh nghiệp: không chỉ bảo vệ dữ liệu mà còn phải hiểu rõ bản chất của dữ liệu mình đang xử lý. Nếu không xác định đúng, doanh nghiệp có thể bỏ sót các nghĩa vụ pháp lý và đối mặt với rủi ro lớn.

Từ góc độ thực tiễn, luật sư Lưu Xuân Vĩnh khuyến nghị doanh nghiệp cần chuyển từ tư duy vận hành sang tư duy quản trị dữ liệu chiến lược. Điều này bao gồm việc rà soát toàn bộ dữ liệu, xây dựng quy trình xử lý, đào tạo nhân sự và hoàn thiện hồ sơ pháp lý, đặc biệt trong các hoạt động chuyển dữ liệu ra nước ngoài.

Trong bối cảnh chi phí công nghệ ngày càng giảm, việc triển khai các hệ thống bảo vệ dữ liệu không còn là rào cản lớn đối với doanh nghiệp, kể cả doanh nghiệp vừa và nhỏ. Tuy nhiên, yếu tố quyết định vẫn là sự chủ động và cam kết từ phía doanh nghiệp.

Hồng Sơn