Tại hội thảo “Hướng thực thi pháp luật” do NCA tổ chức ngày 26/03 vừa qua, các chuyên gia nhận định dữ liệu ngày nay không chỉ là “tài sản số” mà còn là mục tiêu bị khai thác trước mỗi cuộc tấn công mạng.

Trên thực tế, trước khi thực hiện các hành vi như lừa đảo, chiếm đoạt tài khoản hay tấn công hệ thống, kẻ xấu thường thu thập thông tin cá nhân như số điện thoại, email, tài khoản… để tăng khả năng thành công.

Trong bối cảnh chuyển đổi số, dữ liệu ngày càng phân tán trên nhiều hệ thống, khiến việc kiểm soát trở nên khó khăn hơn. Điều này đặt ra yêu cầu bảo vệ dữ liệu không còn là lựa chọn, mà là yếu tố bắt buộc trong vận hành doanh nghiệp. Cần thực hiện phân loại dữ liệu cá nhân, bóc tách rõ ràng giữa dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm để có biện pháp bảo vệ tương ứng.

4 nội dung doanh nghiệp cần đặc biệt lưu ý

1. Quyền dữ liệu phải được thực hiện trên thực tế

Pháp luật quy định rõ người dùng có quyền truy cập, chỉnh sửa hoặc yêu cầu xóa dữ liệu cá nhân. Tuy nhiên, nhiều doanh nghiệp mới chỉ dừng ở việc ban hành chính sách, mà chưa thể thực hiện đầy đủ trong thực tế.

Hiểu đơn giản, khi khách hàng yêu cầu xóa dữ liệu, doanh nghiệp cần xóa toàn bộ thông tin trên tất cả hệ thống liên quan, không chỉ ở một phần. Điều này đòi hỏi phải biết dữ liệu đang nằm ở đâu và được sử dụng ra sao.

Theo ghi nhận, nhiều tổ chức vẫn thiếu quy trình và công cụ để thực hiện các yêu cầu này một cách đồng bộ.

2. Vi phạm dữ liệu là rủi ro tài chính, không chỉ là kỹ thuật

Các quy định xử lý vi phạm trong lĩnh vực bảo vệ dữ liệu cá nhân tại Việt Nam đang ngày càng siết chặt. Theo Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP có hiệu lực từ 01/01/2026, doanh nghiệp vi phạm có thể bị xử phạt với mức cao, lên tới khoảng 3 tỷ đồng đối với vi phạm thông thường, tới 5% doanh thu năm với hành vi chuyển dữ liệu xuyên biên giới sai quy định, hoặc gấp 10 lần khoản thu bất hợp pháp nếu mua bán dữ liệu cá nhân (theo luatvietnam.vn)

Ngoài tiền phạt, doanh nghiệp còn có thể bị đình chỉ hoạt động, thu hồi giấy phép và buộc khắc phục hậu quả. Trong thực tế, các sự cố rò rỉ dữ liệu còn gây gián đoạn vận hành, mất uy tín và phát sinh chi phí xử lý khủng hoảng, cho thấy bảo vệ dữ liệu không chỉ là vấn đề kỹ thuật mà ảnh hưởng trực tiếp đến hiệu quả kinh doanh.

3. Doanh nghiệp cần biết dữ liệu đang ở đâu và đi đâu

Để tuân thủ quy định và xử lý hiệu quả các yêu cầu liên quan đến dữ liệu, doanh nghiệp cần hiểu rõ toàn bộ dòng chảy dữ liệu trong hệ thống. Điều này đồng nghĩa với việc phải xác định được dữ liệu đang được lưu trữ ở đâu, ai đang truy cập và sử dụng, cũng như dữ liệu di chuyển qua những hệ thống nào trong quá trình vận hành. Theo khuyến nghị của các chuyên gia, doanh nghiệp nên xây dựng các công cụ quản lý như sơ đồ luồng dữ liệu – giúp mô tả cách dữ liệu di chuyển – và danh mục dữ liệu để hệ thống hóa các loại dữ liệu đang lưu trữ. Đây là nền tảng quan trọng để doanh nghiệp có thể phản ứng nhanh khi xảy ra sự cố, đồng thời đáp ứng kịp thời các yêu cầu xử lý dữ liệu từ phía người dùng.

4. Kiểm soát rủi ro cần được thực hiện thường xuyên

Rủi ro dữ liệu không chỉ đến từ các cuộc tấn công bên ngoài mà còn xuất phát từ chính nội bộ doanh nghiệp, như phân quyền chưa hợp lý hoặc chia sẻ dữ liệu thiếu kiểm soát. Vì vậy, doanh nghiệp cần chủ động nhận diện các điểm có nguy cơ rò rỉ, đánh giá mức độ ảnh hưởng nếu xảy ra sự cố, đồng thời áp dụng các biện pháp bảo vệ phù hợp như phân quyền truy cập, mã hóa và thiết lập cơ chế giám sát liên tục. Đáng chú ý, các quy định mới cũng yêu cầu thực hiện đánh giá tác động khi xử lý dữ liệu hoặc chuyển dữ liệu ra nước ngoài – một yêu cầu mà nhiều tổ chức hiện vẫn còn lúng túng.

Theo đại diện khối An toàn Thông tin của CMC Telecom, thách thức lớn nhất hiện nay không nằm ở việc thiếu giải pháp, mà là thiếu khả năng kiểm soát dữ liệu một cách tổng thể và xuyên suốt. Nhiều doanh nghiệp vẫn chưa hình thành tư duy bảo vệ dữ liệu ở cấp hệ thống, thiếu cơ chế đảm bảo quyền của chủ thể dữ liệu, gặp khó khăn trong việc hoàn thiện hồ sơ đánh giá tác động đối với hoạt động chuyển dữ liệu xuyên biên giới, cũng như thiếu nguồn nhân lực chuyên môn phù hợp. Do đó, doanh nghiệp cần sớm chỉ định bộ phận hoặc nhân sự phụ trách bảo vệ dữ liệu, đồng thời đẩy mạnh đào tạo để nâng cao nhận thức trong toàn tổ chức.

Trong kỷ nguyên số, dữ liệu không chỉ là tài sản mà còn là trách nhiệm. Việc kiểm soát hiệu quả dữ liệu không chỉ giúp doanh nghiệp tuân thủ quy định mà còn tạo dựng niềm tin với khách hàng, từ đó hướng tới phát triển bền vững.