Dữ liệu quý như vàng, liệu đường giữ kỹ

Trong nền kinh tế số, dữ liệu là “tài sản vàng”, tiềm ẩn rủi ro lớn nếu không được bảo vệ đúng cách.

Mới đây, cả nước xôn xao vì một vụ xâm phạm dữ liệu (data breach) xảy ra tại Trung tâm Thông tin tín dụng quốc gia (CIC)(1). Kết quả xác minh ban đầu, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) cho biết có dấu hiệu hoạt động tấn công, xâm nhập của tội phạm mạng để đánh cắp dữ liệu cá nhân. Cục Công nghệ thông tin (Bộ Tư pháp) ước tính có khoảng 160 triệu thông tin tín dụng của người dùng Việt Nam có nguy cơ bị rò rỉ(2).

Vụ việc này một lần nữa gióng lên hồi chuông cảnh báo về bảo vệ thông tin cá nhân và bảo mật an ninh mạng ở nhiều tổ chức nước ta. Nó cho thấy, mọi tổ chức không phân biệt lớn, nhỏ đều khó có thể miễn nhiễm trước những mối đe dọa từ tội phạm công nghệ cao. Đứng trước nguy cơ trên, các tổ chức nhỏ và vừa, trong đó có nhiều doanh nghiệp trong nước, lại chỉ mới có khái niệm mù mờ về bảo vệ dữ liệu cá nhân.

Dữ liệu quý như vàng

Quý như vàng, dữ liệu hay thông tin, ngày nay người ta ví chúng như “tài sản” của các tổ chức trong nền kinh tế. Dữ liệu quý giá, vì nó tạo ra hiểu biết (knowledge) cho người nắm giữ. Hiểu biết này được tổng hợp từ từng mẩu thông tin nhỏ trong vô vàn các giao dịch, trao đổi. Tổ chức biết nhiều hơn, rõ hơn về khách hàng, có tầm nhìn đúng đắn hơn về thị phần, hiểu rõ các đối thủ cạnh tranh, từ đó hình thành chiến lược kinh doanh tốt hơn. Tổ chức nào sử dụng trực tiếp những thông tin ấy để kinh doanh, chẳng hạn như đánh giá tín dụng hay phân tích xu hướng tiêu dùng, thì còn lãi hơn nữa.

Cũng từ đây, nhiều ngành, nghề mới ra đời, cung cấp dịch vụ phân tích, xử lý dữ liệu, chuyển hóa chúng thành kiến thức cho tổ chức. Muôn hình vạn trạng các dịch vụ sinh ra chỉ từ nguồn “tài nguyên” là dữ liệu, phục vụ lợi ích của nhiều chủ thể kinh tế khác nhau. Trên cơ sở thỏa ước, hợp đồng, các tổ chức chia sẻ dữ liệu cho nhau để tạo thêm giá trị mới.

Của tin, gửi một chút này

Nếu ví dữ liệu như vàng, thì một tỷ trọng không nhỏ trong khối dữ liệu của các tổ chức kiểm soát, xử lý dữ liệu là... “vàng gửi”. Vàng luôn có sở hữu chủ, dữ liệu cũng vậy. Các cá nhân, với thông tin liên quan đến đời tư của họ, tin tưởng trao cho tổ chức nắm giữ để đổi lấy sự tiện nghi trong giao dịch. Nhà nước, thông qua các định chế pháp lý, ủy thác cho các tổ chức (kể cả doanh nghiệp) kiểm soát, xử lý những dữ liệu dân cư mà Nhà nước thực thi quyền quản lý chung.

Nhưng dữ liệu cá nhân đặc biệt hơn mọi loại dữ liệu khác. Là thông tin “xác định hoặc giúp xác định một con người cụ thể”, dữ liệu cá nhân là thông tin về người thực, việc thực. Một người, đi đâu, gặp ai, nghĩ gì trong đầu, xem gì trên mạng, nói gì với người thân, nhất nhất đều là dữ liệu cá nhân. Nhạy cảm hơn, thông tin về dân tộc, giới tính, xu hướng tính dục... nếu lộ ra sẽ ảnh hưởng nghiêm trọng đến sự an nguy và sức khỏe tinh thần của cá nhân.

Vì lý do trên, việc nắm giữ dữ liệu cá nhân của tổ chức về bản chất không phải là sở hữu hay tự do định đoạt. “Sở hữu chủ” tối thượng của dữ liệu cá nhân là chính bản thân cá nhân đó. Đối với một số loại dữ liệu cá nhân đặc biệt, chẳng hạn dữ liệu về dân cư hay tín dụng, Nhà nước còn tuyên bố quyền quản lý và chi phối khả năng hành xử của tổ chức trên chúng.

Được tin tưởng “gửi giữ”, tổ chức phải làm gì để không phụ lòng tin của người dân. Mấy dòng sau đây gợi vài ý rất mỏng, xem như những bước chuyển về tư duy cho nhà quản lý để giữ uy tín trước các chủ nhân của dữ liệu cá nhân.

Công an cảnh báo các thủ đoạn lừa đảo sau vụ lộ dữ liệu của CIC. Ảnh minh họa: Minh Thảo

Để không phụ lòng tin

Bảo quản “vàng gửi”, trách nhiệm lớn lao, tổ chức luôn phải tỉnh táo để phân biệt dữ liệu nào thuộc quyền định đoạt của mình, dữ liệu nào phải hỏi ý “người gửi”. Bất kỳ sự khai thác, sử dụng nào của tổ chức đối với dữ liệu của cá nhân, kể cả cách thức “bảo quản” - tức bảo mật, tùy loại dữ liệu phải được cá nhân hoặc cơ quan chức năng đồng ý.

Để làm được điều đó, trước tiên tổ chức phải xác định rõ cụ thể “người gửi” dữ liệu cá nhân cho mình là ai, để từ đó có cách ứng xử phù hợp. Nếu được cá nhân trực tiếp trao dữ liệu, tổ chức cần có những bước phù hợp để thông báo, giải trình, cam kết với cá nhân về mục đích sử dụng, thời gian sử dụng, giới hạn sử dụng, và cách thức bảo mật. Ngoài ra, đối với các dữ liệu cá nhân nào mà Nhà nước tuyên bố xác lập quyền quản lý thông qua luật, tổ chức khi nắm giữ còn phải tuân thủ các quy định của Nhà nước.

Không thể có một giải pháp duy nhất nào đủ sức ngăn chặn tình trạng lộ, lọt dữ liệu do tấn công mạng, vì vấn đề mang tính hệ thống đòi hỏi giải pháp mang tính hệ thống. Hiện tại, cơ quan nhà nước đã xây dựng một tuyển tập các văn bản pháp lý chặt chẽ, với những nghĩa vụ tuân thủ rõ ràng, mức độ sánh ngang các tiêu chuẩn quốc tế. Nhưng là một phần của hệ thống, các tổ chức cũng có thể hành động để ngăn ngừa rủi ro. Từ góc độ quản lý, một số việc tổ chức có thể làm ngay là:

Phân loại rõ các dữ liệu đang xử lý. Điều đơn giản nhất có thể làm ngay là rà soát, phân loại các dữ liệu mà mình đang và sẽ sở hữu. Không chỉ dừng lại ở các phép phân loại theo Luật Dữ liệu 2024 và Luật Bảo vệ dữ liệu cá nhân 2025, các tổ chức nên phân loại thêm và liên tục cập nhật theo các tiêu chí như: (i) nguồn gốc có được dữ liệu, (ii) trạng thái theo vòng đời của dữ liệu từ lúc có được tới lúc xóa bỏ, và (iii) mục đích sử dụng dữ liệu.

Phân loại biện pháp bảo vệ: Dựa trên việc phân loại ban đầu, tổ chức có thể lựa chọn biện pháp bảo vệ với cấp độ bảo mật tương ứng. Nếu phân loại dựa trên nguồn gốc dữ liệu, đối với các dữ liệu có được một cách trực tiếp, cần rà soát các điều khoản cam kết giữa tổ chức với người cung cấp để bố trí các lớp phòng thủ phù hợp với yêu cầu của người cung cấp. Đối với các dữ liệu có được gián tiếp (thông qua các thỏa thuận xử lý), tổ chức cần hiểu rõ và thực hiện đúng những cam kết, nghĩa vụ mà mình đã thỏa thuận.

Thường xuyên kiểm tra và khắc phục lỗ hổng bảo mật. Các hệ thống thông tin được cập nhật liên tục, công nghệ thì không ngừng tiến hóa. Vì vậy, rào chắn bảo mật cũng không thể đứng yên. Thường xuyên kiểm tra và khắc phục lỗ hổng bảo mật sẽ giúp tăng cường sức đề kháng của tổ chức trước những mối đe dọa mới.

Rà soát dữ liệu định kỳ: Để phòng ngừa rủi ro, nhiều hiệp hội nghề nghiệp trên thế giới đã khuyến cáo tổ chức nên xóa những dữ liệu nào không còn sử dụng nữa. Điều này cũng phù hợp với nguyên tắc “sử dụng dữ liệu đúng mục đích đã thông báo cho người dùng” trong nhiều đạo luật về bảo vệ dữ liệu cá nhân trên thế giới và kể cả Việt Nam.

Chỉ định nhân sự hoặc bộ phận chuyên trách. Nhân sự chuyên trách (hoặc ban chuyên môn) không những là đầu mối tuân thủ pháp lý, mà còn là chuyên viên về bảo mật có khả năng rà soát và thấy trước được những rủi ro tiềm ẩn trong hệ thống thông tin của tổ chức. Bổ nhiệm nhân sự chuyên trách không chỉ là tuân thủ theo quy định đã có, mà còn là bổ sung một “quân sư” giúp các tổ chức chủ động phòng ngừa rủi ro có thể xảy ra trong tương lai.

(*) Đại học Kinh tế TPHCM. Tác giả xin cảm ơn chị Vương Phụng đã đọc và góp ý cho bản thảo bài viết này.
(1) Theo báo Công an Nhân dân ngày 11-9-2025, https://cand.com.vn/Cong-nghe/vncert-khuyen-cao-nguoi-dan-nang-cao-canh-giac-sau-su-co-lo-du-lieu-tin-dung-i781095/
(2) Cục Công nghệ thông tin (Bộ Tư pháp), https://dx.moj.gov.vn/nguy-co-ro-ri-hon-160-trieu-thong-tin-tin-dung-nguoi-dung-viet-nam-1017.htm-1017.htm

Huỳnh Thiên Tứ (*)