Lộ trình cho doanh nghiệp khi phân loại dữ liệu trở thành nghĩa vụ

Lộ trình cho doanh nghiệp khi phân loại dữ liệu trở thành nghĩa vụ. Ảnh: TL

Trước năm 2024, phân loại dữ liệu chỉ được xem là thông lệ tốt. Từ khi Luật Dữ liệu 2024 có hiệu lực, mọi dữ liệu phải phân loại theo mức độ quan trọng, với tiêu chí chi tiết sẽ được hướng dẫn tại Quyết định 20/2025/QĐ-TTg.

Nghị định 165/2024/NĐ-CP cụ thể hóa nghĩa vụ này bằng các tiêu chuẩn kỹ thuật nghiêm ngặt. Dữ liệu “quan trọng” hoặc “cốt lõi” phải được lưu nhật ký xử lý ít nhất sáu tháng, diễn tập phương án dự phòng sáu tháng/lần, và cập nhật hồ sơ, kế hoạch khi hệ thống hoặc môi trường thay đổi.

Các quy định áp dụng trên mọi lĩnh vực - từ tài chính, công nghệ, y tế đến sản xuất, bán lẻ - đối với mọi doanh nghiệp xử lý dữ liệu công dân Việt Nam. Đây là bước chuyển lớn, buộc doanh nghiệp nhìn dữ liệu không chỉ như tài sản mà còn là nghĩa vụ pháp lý cần tuân thủ chặt chẽ.

Mô hình đa chiều trong phân loại dữ liệu

Khung pháp lý mới chuyển yêu cầu phân loại dữ liệu từ mô hình một tiêu chí do doanh nghiệp tự xác định (mức độ nhạy cảm nội bộ) sang mô hình đa chiều. Doanh nghiệp phải đánh giá mỗi tập dữ liệu đồng thời trên nhiều khía cạnh pháp lý và quản trị.

Chiều 1 - Mức độ quan trọng theo Luật Dữ liệu 2024 (bắt buộc): tập trung vào quy mô và tác động xã hội. Dữ liệu được chia thành ba mức gồm dữ liệu cốt lõi (ví dụ chứa thông tin nhạy cảm của từ 100.000 công dân trở lên), dữ liệu quan trọng (ví dụ từ 10.000 công dân trở lên) và dữ liệu khác. Việc xếp loại không chỉ dựa vào số lượng mà còn dựa vào bản chất, chẳng hạn dữ liệu sinh trắc học hoặc thông tin tài chính có thể được coi là “quan trọng” dù chưa đạt ngưỡng số lượng.

Chiều 2 - Loại dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 2025: tập trung vào quyền riêng tư. Phân tách dữ liệu cá nhân nhạy cảm (y tế, tài chính, sinh trắc học...) và dữ liệu cá nhân cơ bản (họ tên, số điện thoại, giới tính, nơi cư trú, tình trạng hôn nhân...). Sự phân biệt này là căn cứ để xác định yêu cầu đồng ý của chủ thể dữ liệu và các biện pháp bảo vệ đi kèm.

Chiều 3 - Phân loại theo mức độ bảo mật nội bộ: Doanh nghiệp tự thiết lập theo nhu cầu quản trị (ví dụ như các cấp độ bí mật - nội bộ - công khai). Điểm cốt lõi của mô hình đa chiều là sự tương tác giữa các chiều phân loại này. Doanh nghiệp cần xây dựng một “bảng đối chiếu” (mapping matrix) để liên kết các yêu cầu pháp lý (chiều 1 và 2) với các cấp độ bảo vệ nội bộ (chiều 3). Theo đó, các yêu cầu pháp lý sẽ quyết định mức bảo vệ nội bộ tối thiểu. Ví dụ, dữ liệu được xác định là “cốt lõi” theo chiều phân loại 1 thì bắt buộc phải được gán mức bảo vệ “bí mật” hoặc “nội bộ” theo chiều phân loại 3 trong hệ thống nội bộ và không thể thấp hơn.

Mô hình “tam giác bảo mật CIA” là chưa đủ

Nhiều doanh nghiệp Việt Nam quen dùng tam giác bảo mật CIA, viết tắt của confidentiality (bảo mật) - integrity (toàn vẹn) - availability (sẵn sàng), làm nền tảng quản trị dữ liệu. Nhưng trong bối cảnh pháp lý mới, CIA cần nhưng chưa đủ, doanh nghiệp phải bổ sung trụ cột thứ tư - compliance (tuân thủ).

Vì sao CIA là chưa đủ? CIA chỉ bảo vệ dữ liệu trước rủi ro kỹ thuật, không bảo đảm tính hợp pháp của xử lý dữ liệu. Một hệ thống đạt chuẩn CIA vẫn có thể vi phạm nếu lưu dữ liệu khách hàng quá thời hạn luật cho phép, hoặc không có cơ chế xóa theo yêu cầu của chủ thể dữ liệu.

Nguyên tắc tuân thủ không chỉ là việc thực thi quy định mà còn đòi hỏi doanh nghiệp phải xây dựng hệ thống mà trong đó các yêu cầu pháp lý được tích hợp ngay từ khâu thiết kế. Điều này có nghĩa là khi thiết kế quy trình xử lý dữ liệu, doanh nghiệp phải xem xét đồng thời cả rủi ro kỹ thuật và rủi ro pháp lý.

Việc áp dụng nguyên tắc tuân thủ còn giúp doanh nghiệp chủ động chứng minh trách nhiệm giải trình. Đây là một yêu cầu quan trọng trong các cuộc thanh tra, kiểm tra của cơ quan quản lý. Khi có sự cố xảy ra, doanh nghiệp có thể nhanh chóng chứng minh đã thực hiện đầy đủ các biện pháp theo quy định.

Lộ trình bốn bước - từ kiểm kê tài sản đến văn hóa dữ liệu

Chuyển sang hệ thống phân loại dữ liệu mới cần lộ trình rõ ràng, có cấu trúc.

Giai đoạn 1: Kiểm kê và đánh giá hiện trạng. Doanh nghiệp cần thực hiện một cuộc kiểm kê toàn diện về dữ liệu đang nắm giữ. Quá trình này phải xác định rõ loại dữ liệu, số lượng, mục đích thu thập và cơ sở pháp lý của việc xử lý. Thực tế cho thấy, nhiều tổ chức thường phát hiện dữ liệu nhạy cảm đang được lưu trữ ở những nơi không được kiểm soát như như các tệp tin excel trên máy tính cá nhân...

Giai đoạn 2: Lập bảng phân loại và phân định trách nhiệm. Dựa trên kết quả đánh giá, doanh nghiệp cần xây dựng một ma trận liên hệ (mapping matrix) giữa các chiều phân loại đã đề cập. Đồng thời, cần xác định rõ vai trò và trách nhiệm của chủ sở hữu dữ liệu, thường là các bộ phận nghiệp vụ; người giám hộ dữ liệu, thường là bộ phận công nghệ thông tin và cán bộ bảo vệ dữ liệu (DPO) trong việc phê duyệt phân loại và giám sát thực thi.

Giai đoạn 3: Triển khai các biện pháp kỹ thuật và tổ chức. Doanh nghiệp cần ban hành các biện pháp kiểm soát an ninh tương ứng với cấp độ phân loại dữ liệu. Cụ thể, đối với dữ liệu cốt lõi và dữ liệu quan trọng, doanh nghiệp phải triển khai các biện pháp bảo vệ tăng cường, bao gồm việc mã hóa dữ liệu cả khi lưu trữ và truyền tải, kết hợp với kiểm soát truy cập nghiêm ngặt thông qua xác thực đa yếu tố. Đồng thời, hệ thống giám sát an ninh phải được vận hành liên tục. Đặc biệt, một quy trình phê duyệt đa cấp phải được thiết lập và thực thi nghiêm ngặt đối với mọi hoạt động truy cập và chia sẻ các loại dữ liệu nhạy cảm này.

Giai đoạn 4: Đào tạo và xây dựng văn hóa dữ liệu. Hiệu quả của các hệ thống kỹ thuật và quy trình, dù được thiết kế tối ưu nhất, cũng sẽ bị vô hiệu hóa nếu đội ngũ nhân sự không thấu hiểu và tuân thủ chính xác các quy định. Do đó, doanh nghiệp bắt buộc phải tổ chức các chương trình đào tạo định kỳ, biên soạn hệ thống tài liệu hướng dẫn chi tiết và minh bạch. Đồng thời, cần thiết lập một cơ chế tương tác hiệu quả, cho phép nhân viên chủ động nêu câu hỏi và yêu cầu làm rõ các vướng mắc khi chưa chắc chắn về quy định phân loại dữ liệu.

việc rà soát và phân loại lại dữ liệu cũ là một yêu cầu bắt buộc, dù có thể tốn kém nguồn lực. Ảnh: TL

Cảnh báo về dữ liệu cũ và hiệu ứng tích lũy

Trong quá trình triển khai, doanh nghiệp cần nhận diện và quản lý một số rủi ro phổ biến. Lỗi thường gặp là chỉ tập trung vào dữ liệu mới mà bỏ qua kho dữ liệu hiện có. Quy định pháp luật áp dụng cho toàn bộ dữ liệu doanh nghiệp đang xử lý, bao gồm cả dữ liệu đã thu thập từ trước. Do đó, việc rà soát và phân loại lại dữ liệu cũ là một yêu cầu bắt buộc, dù có thể tốn kém nguồn lực.

Doanh nghiệp cũng cần đặc biệt chú ý đến hiệu ứng tích lũy quy mô dữ liệu. Cấp độ phân loại dữ liệu có thể thay đổi dựa trên sự gia tăng về quy mô. Một doanh nghiệp có thể ban đầu chỉ xử lý dữ liệu của vài ngàn khách hàng nhưng khi phát triển và đạt ngưỡng 10.000 hoặc 100.000 chủ thể, loại dữ liệu sẽ tự động nâng cấp lên mức quan trọng hoặc cốt lõi. Vì vậy, cần thiết lập các cơ chế giám sát và cảnh báo chủ động khi sắp đạt các ngưỡng này.

Chia sẻ dữ liệu với bên thứ ba (đối tác, nhà cung cấp) phải được kiểm soát chặt chẽ. Mọi thỏa thuận hợp đồng phải có điều khoản rõ ràng về trách nhiệm bảo vệ dữ liệu và tuân thủ pháp luật của bên tiếp nhận. Doanh nghiệp cần lưu ý rằng họ vẫn phải chịu trách nhiệm pháp lý ngay cả khi vi phạm xảy ra từ phía đối tác.

Bên cạnh đó, rủi ro từ các thiết bị đầu cuối cũng gia tăng đáng kể với xu hướng làm việc từ xa và BYOD (bring your own device - mang theo thiết bị cá nhân). Doanh nghiệp phải kiểm soát chặt chẽ việc lưu trữ dữ liệu trên các thiết bị cá nhân. Việc để dữ liệu nhạy cảm tồn tại trên các thiết bị không được quản lý có thể tạo ra rủi ro nghiêm trọng về an ninh và tuân thủ.

Cuối cùng, việc dán nhãn dữ liệu phải được thực thi một cách nhất quán. Việc dán nhãn cần được thực hiện trên cả tài liệu vật lý và trong siêu dữ liệu (metadata) của tệp kỹ thuật số. Hệ thống công nghệ thông tin phải có khả năng hỗ trợ việc gắn nhiều nhãn đồng thời theo khung đa chiều, ví dụ như (quan trọng; nhạy cảm; riêng tư...). Điều này là nền tảng để tự động hóa việc áp dụng các biện pháp kiểm soát an ninh tương ứng.

Mặc dù việc triển khai hệ thống phân loại dữ liệu đa chiều đòi hỏi đầu tư đáng kể về nguồn lực nhưng lợi ích mang lại vượt xa mục tiêu tuân thủ pháp luật. Một hệ thống phân loại hiệu quả giúp tối ưu hóa chi phí lưu trữ, tăng tốc độ và độ chính xác của quá trình ra quyết định, đồng thời tạo lợi thế cạnh tranh khi làm việc với các đối tác quốc tế. Phân loại dữ liệu không còn là một lựa chọn mà đã trở thành một yêu cầu bắt buộc. Doanh nghiệp nên xem đây là cơ hội để chuyên nghiệp hóa hoạt động quản trị, tăng cường niềm tin của khách hàng và đối tác, qua đó xây dựng nền tảng vững chắc cho hoạt động trong bối cảnh nền kinh tế số.

Trịnh Ngọc Nam - Lưu Minh Sang