Bảo vệ dữ liệu cá nhân: Từ một 'lỗ hổng' đến thảm họa tài chính

"Pháo đài" lỏng lẻo của doanh nghiệp

Ngày 1.1.2026 đánh dấu một bước ngoặt lịch sử của kỷ nguyên số tại Việt Nam khi Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực. Tuy nhiên, đằng sau sự hối hả chuyển mình của các doanh nghiệp là một thực trạng đáng báo động: Hàng ngàn đơn vị vẫn đang vi phạm nghiêm trọng mà không hề hay biết. Từ một dòng thông báo "cookie" hời hợt trên website đến việc lưu trữ hồ sơ nhân viên cũ quá thời hạn, tất cả đều có thể trở thành mồi lửa thiêu rụi uy tín và tài chính của doanh nghiệp.

Trong bối cảnh Nghị định 13/2023/NĐ-CP và nay là Luật Bảo vệ dữ liệu cá nhân 2025 đã định hình rõ khung pháp lý, dữ liệu không còn là "tài sản riêng" của doanh nghiệp mà là "quyền nhân thân" của khách hàng. Nhiều lãnh đạo doanh nghiệp vẫn giữ tư duy cũ: "Dữ liệu tôi thu thập được là của tôi, tôi dùng thế nào là quyền của tôi". Đây chính là sai lầm cốt tử.

Đa số website bán lẻ và ứng dụng tại Việt Nam hiện nay vẫn sử dụng cơ chế "ngầm định đồng ý". Nghĩa là, khi người dùng truy cập, một bảng thông báo hiện ra với nội dung: "Bằng việc tiếp tục sử dụng trang web, bạn đồng ý với chính sách quyền riêng tư của chúng tôi".

Theo Luật mới, sự đồng ý phải được thể hiện qua một hành động khẳng định tự nguyện (như tích vào ô trống). Việc im lặng hoặc tiếp tục sử dụng không được coi là đồng ý.

Bên cạnh đó, các bộ phận Marketing thường có xu hướng thu thập càng nhiều thông tin càng tốt (từ ngày sinh, sở thích đến vị trí địa lý) để chạy quảng cáo. Tuy nhiên, nguyên tắc "Tối thiểu hóa dữ liệu" quy định doanh nghiệp chỉ được thu thập những gì thực sự cần thiết cho mục đích cụ thể.

Vào đầu năm 2024 và kéo dài đến năm 2025, cộng đồng mạng xôn xao khi các báo cáo bảo mật quốc tế (CyberNews) và hồ sơ của Bộ Công an Việt Nam nhắc lại con số 163 triệu tài khoản khách hàng của VNG bị rò rỉ. Mặc dù phía VNG phản hồi rằng đây là dữ liệu cũ từ năm 2018 liên quan đến ZingID (chủ yếu là tài khoản game), nhưng việc con số này liên tục bị "xới lại" trên các diễn đàn hacker (như RaidForums hay BreachForums) cho thấy dữ liệu cá nhân không bao giờ thực sự mất đi – nó chỉ nằm chờ để bị khai thác.

Thông tin bị lộ là Username, mật khẩu, email, số điện thoại, họ tên, ngày sinh, địa chỉ và cả số CMND/CCCD (trong một số tệp dữ liệu liên quan). Những dữ liệu này được dùng để chạy quảng cáo rác, lừa đảo tài chính qua Zalo/SMS và tấn công chiếm đoạt tài khoản.

Năm 2025, cơ quan quản lý dữ liệu Pháp (CNIL) đã ra quyết định xử phạt nghiêm khắc đối với sàn thương mại điện tử Shein do cài đặt "cookie" mà không có sự đồng ý hợp lệ; không cho phép người dùng rút lại sự đồng ý một cách dễ dàng. Hậu quả không chỉ là khoản phạt tài chính khổng lồ, mà còn là làn sóng tẩy chay từ người tiêu dùng EU – những người coi trọng quyền riêng tư như quyền con người.

Theo đó, các doanh nghiệp thương mại điện tử Việt Nam đang chuyển hướng xuất khẩu cần đặc biệt lưu ý lỗi này nếu không muốn bị "cấm cửa" tại các thị trường khó tính.

Hay năm 2023, Học viện Y khoa Singapore đã bị phạt vì để lộ dữ liệu tài chính nhạy cảm của khách hàng. Đơn vị này lưu trữ thông tin thẻ tín dụng dưới dạng văn bản thuần túy, không mã hóa. Đặc biệt, doanh nghiệp không quy định rõ trách nhiệm bảo mật trong hợp đồng với bên thứ ba cung cấp dịch vụ IT.

Tại Việt Nam, nhiều doanh nghiệp thuê ngoài quản lý website hoặc lưu trữ đám mây nhưng lại "quên" ký cam kết bảo mật dữ liệu (DPA). Khi sự cố xảy ra, doanh nghiệp chủ quản vẫn là bên chịu trách nhiệm pháp lý đầu tiên trước pháp luật Việt Nam.

Giai đoạn 2024-2025, nhiều ngân hàng tại Việt Nam "kêu trời" vì xung đột giữa Luật Các tổ chức tín dụng (phải lưu giữ hồ sơ khách hàng lâu dài) và Nghị định 13 (phải xóa dữ liệu khi hết mục đích). Nhiều đơn vị vẫn lưu trữ dữ liệu của khách hàng đã tất toán tài khoản từ 10 năm trước mà không có cơ sở pháp lý cụ thể hoặc không thông báo lại cho khách hàng. Với Luật Bảo vệ dữ liệu cá nhân 2025, việc "quên" xóa dữ liệu này chính là một hành vi vi phạm về thời hạn lưu trữ.

Qua những sự việc trên có thể thấy, trong kỷ nguyên AI, việc bảo vệ dữ liệu không thể làm bằng tay hay bằng những văn bản hành chính đơn thuần. Doanh nghiệp cần áp dụng các giải pháp mã hóa dữ liệu ngay từ khi thu thập. Nếu dữ liệu bị đánh cắp nhưng đã được mã hóa chuẩn, rủi ro pháp lý và thiệt hại thực tế sẽ giảm đi đáng kể.

Luật Bảo vệ dữ liệu cá nhân 2025 không sinh ra để làm khó doanh nghiệp, mà để tạo ra một thị trường minh bạch, nơi niềm tin của khách hàng được bảo chứng bằng công nghệ và pháp lý.

Giải pháp "sinh tồn" trong kỷ nguyên Luật 2025

Nếu ví dữ liệu là mạch máu của doanh nghiệp số, thì Luật Bảo vệ dữ liệu cá nhân (DLCN) 2025 chính là khung pháp lý đảm bảo mạch máu đó không bị "nhiễm độc" hay "thất thoát". Khi luật có hiệu lực, tuân thủ không còn là việc đối phó với cơ quan chức năng, mà là cuộc đua sinh tồn để giữ chân khách hàng.

Để không rơi vào vết xe đổ như vụ việc trên và đối mặt với các án phạt lên tới hàng tỷ đồng, cộng đồng doanh nghiệp cần một tư duy quản trị mới: Coi bảo vệ dữ liệu là năng lực cốt lõi chứ không phải là chi phí tuân thủ.

Ông Tạ Bá Hưng – Nguyên Cục trưởng Cục Thông tin KH-CN Quốc gia (nay là Cục Thông tin – Thống kê thuộc Bộ KH-CN) đã đưa ra một lộ trình "sinh tồn" mang tính thực tiễn cao cho doanh nghiệp thực thi luật trong bối cảnh hiện nay.

Ông cho rằng đầu tiên là phân loại dữ liệu. Bước đi đầu tiên và quan trọng nhất không phải là mua phần mềm triệu đô, mà là việc trả lời câu hỏi: Chúng ta đang nắm giữ cái gì? Nhiều doanh nghiệp hiện nay đang lưu trữ dữ liệu theo kiểu "tích trữ đồ cổ", dẫn đến việc số thẻ ngân hàng hay dữ liệu y tế nhạy cảm nằm chung một hàng rào bảo vệ lỏng lẻo với danh mục sản phẩm công khai.

Theo Luật 2025, trách nhiệm pháp lý đối với "dữ liệu cá nhân nhạy cảm" (như đặc điểm sinh trắc học, vị trí thực tế, tình trạng sức khỏe) là cực kỳ nặng nề. Doanh nghiệp cần triển khai các hệ thống Data Discovery tự động để gắn nhãn dữ liệu. Việc biết rõ đâu là "vàng" (dữ liệu mang lại giá trị kinh doanh) và đâu là "bom" (dữ liệu nhạy cảm tiềm ẩn rủi ro pháp lý) sẽ giúp tối ưu hóa nguồn lực bảo vệ, tập trung "tường lửa" vào đúng những nơi dễ tổn thương nhất.

Thứ hai, trong một thế giới mà không hệ thống nào là bất khả xâm phạm, mã hóa chính là "tấm khiên" cuối cùng. Một lỗi phổ biến của các doanh nghiệp Việt là chỉ mã hóa dữ liệu khi lưu trữ mà bỏ quên dữ liệu khi đang truyền tải qua các tầng ứng dụng hoặc đám mây quốc tế.

Chiến lược mã hóa chuẩn 2026 đòi hỏi sự thực thi xuyên suốt: từ lúc dữ liệu được người dùng nhập vào cho đến khi nằm trong cơ sở dữ liệu sao lưu. Việc sử dụng các thuật toán mạnh như AES-256 hay cơ chế quản lý khóa độc lập đảm bảo rằng, ngay cả khi dữ liệu bị đánh cắp, những gì hacker thu được chỉ là những dãy ký tự vô nghĩa. Đây cũng là bằng chứng quan trọng để doanh nghiệp chứng minh với cơ quan chức năng rằng mình đã nỗ lực tối đa trong việc bảo mật kỹ thuật.

Thứ ba là quy trình ứng phó 72 giờ. Luật Bảo vệ dữ liệu cá nhân 2025 đặt ra một "đồng hồ cát" khắt khe: Doanh nghiệp chỉ có tối đa 72 giờ để báo cáo sự cố với Bộ Công an và thông báo cho khách hàng kể từ khi phát hiện rò rỉ. Nếu không có một kịch bản ứng phó sự cố chi tiết, 72 giờ này sẽ biến thành cơn hỗn loạn về pháp lý và truyền thông.

"Một quy trình sinh tồn chuyên nghiệp cần xác định rõ: Ai là người phát ngôn? Bộ phận nào chịu trách nhiệm kỹ thuật? Và quan trọng nhất là quy trình phối hợp với các cơ quan quản lý. Việc minh bạch thông tin một cách có kiểm soát không chỉ giúp giảm nhẹ án phạt mà còn là cách duy nhất để cứu vãn niềm tin của khách hàng trong lúc nguy cấp nhất", ông Hưng nhấn mạnh.

Cuối cùng, một công cụ tài chính đang dần trở thành tiêu chuẩn tại Việt Nam vào năm 2026 chính là bảo hiểm an ninh mạng. Khi mọi biện pháp kỹ thuật và con người đều có xác suất sai số, bảo hiểm giúp doanh nghiệp chuyển giao rủi ro tài chính.

Các gói bảo hiểm hiện đại không chỉ bồi thường thiệt hại trực tiếp mà còn chi trả phí thuê luật sư, phí xử lý khủng hoảng truyền thông và các khoản phạt vi phạm hành chính. Đây là yếu tố then chốt giúp doanh nghiệp đảm bảo tính liên tục của hoạt động kinh doanh sau khi gặp sự cố, tránh kịch bản bị "nhấn chìm" bởi những khoản bồi thường khổng lồ từ các vụ kiện tập thể của người dùng.