Mức phạt 5% doanh thu: Áp lực thay đổi cách quản trị dữ liệu cá nhân

Mức phạt 5% doanh thu trong Luật Bảo vệ dữ liệu cá nhân là “vũ khí răn đe” chưa từng có

Một trong những điểm đáng chú ý nhất của Luật Bảo vệ dữ liệu cá nhân là việc áp dụng cơ chế xử phạt dựa trên tỷ lệ doanh thu, thay vì các mức phạt cố định như trước đây.

Trao đổi với Một Thế giới về vấn đề này, Luật sư Lưu Xuân Vĩnh (Giám đốc điều hành Công ty Asia Legal), quy định này đánh dấu một bước chuyển quan trọng trong tư duy quản lý dữ liệu tại Việt Nam. “Việc áp dụng mức phạt lên tới 5% tổng doanh thu không còn là những khoản phạt hành chính mang tính tượng trưng. Đây là công cụ kinh tế có thể tác động trực tiếp đến hoạt động kinh doanh và thậm chí sự sống còn của doanh nghiệp”, ông Vĩnh nhận định.

Theo Luật sư Vĩnh, quy định này có thể tạo ra bước ngoặt lớn trong cách doanh nghiệp nhìn nhận về dữ liệu cá nhân.

Trước đây, nhiều doanh nghiệp, đặc biệt là các tập đoàn lớn, thường coi các mức phạt hành chính vài trăm triệu đồng chỉ như một “chi phí vận hành”. Trong một số trường hợp, họ sẵn sàng chấp nhận khoản phạt này để đổi lấy lợi ích kinh tế từ việc khai thác dữ liệu. Tuy nhiên, với quy định mới, rủi ro pháp lý đã chuyển hóa thành rủi ro tài chính thực sự.

Luật sư Vĩnh đưa ra ví dụ: một doanh nghiệp có doanh thu 1.000 tỷ đồng nếu vi phạm có thể đối mặt với khoản phạt lên tới 50 tỷ đồng. “Con số này đủ sức làm lung lay cả báo cáo tài chính năm và ảnh hưởng trực tiếp đến giá trị cổ phiếu của doanh nghiệp”, ông Vĩnh cho biết.

Luật sư Lưu Xuân Vĩnh, Giám đốc điều hành Công ty Asia Legal. Ảnh: Mai Trần

Không chỉ dừng lại ở tiền phạt, các chế tài bổ sung cũng có thể tác động mạnh đến hoạt động của doanh nghiệp. Chẳng hạn, cơ quan quản lý có thể đình chỉ hoạt động xử lý dữ liệu cá nhân từ 1 đến 3 tháng. Trong nền kinh tế số, khi dữ liệu là nền tảng của nhiều mô hình kinh doanh, việc bị “ngắt kết nối” khỏi hệ thống dữ liệu trong thời gian dài có thể khiến doanh nghiệp gần như tê liệt.

Ngoài ra, doanh nghiệp vi phạm còn có thể bị buộc xóa toàn bộ dữ liệu thu thập trái phép, vốn được xem là tài sản quan trọng của nhiều doanh nghiệp trong lĩnh vực công nghệ, tài chính hay bảo hiểm. Điều này buộc Hội đồng quản trị và ban lãnh đạo doanh nghiệp phải trực tiếp giám sát vấn đề bảo vệ dữ liệu, thay vì chỉ coi đó là nhiệm vụ của bộ phận công nghệ thông tin.

Thiệt hại không thể đo đếm bằng tiền

Theo Luật sư Lưu Xuân Vĩnh, tiền phạt dù lớn nhưng vẫn chỉ là phần có thể nhìn thấy. Trong nhiều trường hợp, tổn thất lớn hơn lại nằm ở uy tín và niềm tin của thị trường.

Ông cho biết với các doanh nghiệp hoạt động trong lĩnh vực công nghệ hoặc cung cấp dịch vụ dữ liệu, niềm tin của khách hàng là yếu tố sống còn. “Nếu một doanh nghiệp cung cấp nền tảng điện toán đám mây bị phát hiện vi phạm quy định bảo vệ dữ liệu cá nhân, rất khó để khách hàng tiếp tục tin tưởng sử dụng dịch vụ của họ”, Luật sư Vĩnh cho biết.

Đối với các doanh nghiệp niêm yết hoặc có hoạt động quốc tế, tác động còn có thể lan rộng hơn. Một vụ vi phạm dữ liệu tại Việt Nam có thể khiến các nhà đầu tư hoặc đối tác nước ngoài đặt câu hỏi về hệ thống quản trị rủi ro của doanh nghiệp.

Theo đó, các cơ quan quản lý hoặc đối tác tại những thị trường khác có thể tiến hành kiểm tra tuân thủ, tạo ra hiệu ứng dây chuyền đối với hoạt động kinh doanh toàn cầu của doanh nghiệp.

Nhiều doanh nghiệp vẫn hiểu chưa đúng về nghĩa vụ pháp lý

Từ kinh nghiệm tư vấn cho nhiều doanh nghiệp, Luật sư Lưu Xuân Vĩnh cho biết phần lớn các sai phạm về dữ liệu cá nhân hiện nay không phải do cố ý, mà từ việc doanh nghiệp chưa hiểu đầy đủ nghĩa vụ pháp lý của mình.

Một trong những lỗi phổ biến là thu thập dữ liệu nhưng không có cơ chế xin sự đồng ý rõ ràng và minh bạch từ khách hàng. Trong một số trường hợp, doanh nghiệp thu thập dữ liệu cho một mục đích ban đầu nhưng sau đó lại sử dụng cho mục đích khác như quảng cáo, tiếp thị hoặc chia sẻ cho đối tác mà không thông báo lại cho khách hàng.

Bên cạnh đó, nhiều doanh nghiệp vẫn chưa có hệ thống quản trị dữ liệu nội bộ chặt chẽ. Dữ liệu khách hàng có thể được lưu trữ chung trong một kho dữ liệu mà nhiều phòng ban cùng truy cập.

Theo Luật sư Vĩnh, việc phân quyền truy cập lỏng lẻo khiến dữ liệu dễ bị trích xuất hoặc sao chép mà doanh nghiệp không kiểm soát được.

Một hiểu lầm khá phổ biến khác liên quan đến việc lưu trữ dữ liệu trên các nền tảng điện toán đám mây. “Nhiều doanh nghiệp cho rằng lưu dữ liệu trên Google Drive hay OneDrive không phải là chuyển dữ liệu ra nước ngoài. Nhưng thực tế, phần lớn các nền tảng này đặt máy chủ ở nước ngoài, đồng nghĩa với việc dữ liệu đang được lưu trữ ngoài lãnh thổ Việt Nam”, Luật sư Vĩnh cho biết. Trong trường hợp xảy ra sự cố, doanh nghiệp vẫn phải chịu trách nhiệm pháp lý đối với dữ liệu đó.

Doanh nghiệp cần chuẩn bị gì để tránh rủi ro?

Theo Luật sư Lưu Xuân Vĩnh, để hạn chế rủi ro pháp lý, doanh nghiệp cần thay đổi cách tiếp cận: bảo vệ dữ liệu cá nhân không chỉ là nghĩa vụ pháp lý mà còn là một phần trong chiến lược quản trị rủi ro dài hạn.

Bước đầu tiên là kiểm kê và “bản đồ hóa” dữ liệu (data mapping), tức xác định rõ dữ liệu được thu thập từ đâu, ai đang quản lý và được lưu trữ ở đâu.

Sau đó, doanh nghiệp cần thiết lập ma trận phân quyền truy cập, áp dụng nguyên tắc quyền truy cập tối thiểu - nghĩa là nhân viên chỉ được tiếp cận đúng phần dữ liệu cần thiết cho công việc.

Đối với dữ liệu nhạy cảm, doanh nghiệp cần triển khai các biện pháp bảo mật và mã hóa nhằm giảm nguy cơ lộ lọt thông tin.

Ngoài ra, các doanh nghiệp cũng cần chuẩn hóa quy trình xin sự đồng ý và xử lý yêu cầu của chủ thể dữ liệu, bảo đảm người dùng có thể chỉnh sửa, xóa hoặc rút lại sự đồng ý đối với dữ liệu cá nhân của mình.

Song song với đó là việc hoàn thiện hồ sơ pháp lý liên quan đến đánh giá tác động xử lý dữ liệu cá nhân và đánh giá chuyển dữ liệu xuyên biên giới theo quy định của pháp luật.

Sau cùng, theo Luật sư Vĩnh, yếu tố quyết định vẫn nằm ở con người: “Nhiều doanh nghiệp xây dựng quy trình tuân thủ nhưng không đào tạo nhân viên hoặc không rà soát định kỳ. Khi đó, quy trình chỉ tồn tại trên giấy chứ không thực sự vận hành trong thực tế”.

Ở góc độ chính sách, Luật sư Lưu Xuân Vĩnh cho rằng khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam hiện nay đã tương đối đầy đủ. Tuy nhiên, trong quá trình triển khai thực tế, một số lĩnh vực đặc thù như tài chính, ngân hàng, bảo hiểm hay các ngành liên quan đến dữ liệu lớn và trí tuệ nhân tạo có thể cần thêm hướng dẫn chi tiết. Ngoài ra, một số quy định kỹ thuật như việc khử nhận dạng dữ liệu cá nhân hiện vẫn chưa có hướng dẫn cụ thể. Theo ông, sự phối hợp giữa các cơ quan quản lý chuyên ngành sẽ đóng vai trò quan trọng để bảo đảm các quy định pháp luật được áp dụng hiệu quả trong thực tế.

Trong bối cảnh dữ liệu đang trở thành nguồn tài sản quan trọng của nền kinh tế số, việc siết chặt các quy định về bảo vệ dữ liệu cá nhân được xem là xu hướng tất yếu. Với những chế tài mạnh mẽ như hiện nay, thông điệp của luật đối với cộng đồng doanh nghiệp là rõ ràng: tuân thủ bảo vệ dữ liệu cá nhân không còn là lựa chọn, mà là điều kiện để tồn tại và phát triển trong môi trường kinh doanh số.

Trang Trần - Mai Trần