Dữ liệu cá nhân: Từ khoảng trống pháp lý đến 'gông cùm' chế tài 3 tỉ đồng

Những "vết xe đổ" triệu đô từ bản đồ số thế giới

Tại phiên tham luận tại Hội thảo "Tuân thủ luật bảo vệ dữ liệu cá nhân - Những thách thức, rủi ro và giải pháp công nghệ" ngày 20.3, Th.S - Luật sư Lưu Xuân Vĩnh đã đưa ra những cảnh báo đanh thép về sự chuyển dịch từ Nghị định 13 đến Luật Bảo vệ dữ liệu cá nhân 2025, nơi mà những sai lầm sơ đẳng về bảo mật có thể khiến doanh nghiệp trả giá bằng 5% doanh thu hoặc những khoản phạt hàng tỷ đồng.

Trước khi soi chiếu vào thực trạng Việt Nam, Luật sư Lưu Xuân Vĩnh dẫn chứng những "đại án" lộ lọt dữ liệu toàn cầu như một lời cảnh tỉnh về cái giá của sự lơ là. Năm 2019, Facebook gây chấn động khi để lộ 419 triệu số điện thoại người dùng (trong đó có 50 triệu dữ liệu từ Việt Nam). Hệ quả là Tòa án Liên bang Đức đã ra phán quyết lịch sử: Người dùng bị ảnh hưởng được bồi thường mặc định mà không cần chứng minh thiệt hại. Với 6 triệu người dùng tại Đức, "gã khổng lồ" này đã phải nộp phạt hơn 600 triệu Euro.

Câu chuyện của Uber năm 2016 còn ly kỳ hơn khi Giám đốc bảo mật chọn cách "đi đêm", trả 100 nghìn Euro cho hacker để giấu kín việc lộ dữ liệu 57 triệu người dùng. Khi sự việc vỡ lở, Uber không chỉ mất uy tín mà còn bị phạt 148 triệu Euro. Thậm chí, thương vụ mua bán giữa Verizon và Yahoo đã bốc hơi 345 triệu Euro chỉ vì những lỗ hổng bảo mật từ hàng tỷ tài khoản bị rò rỉ. Những con số "biết nói" này khẳng định một chân lý: Dữ liệu là tài sản, và mất dữ liệu là mất tiền đồ doanh nghiệp.

Tại Việt Nam, bức tranh an ninh mạng đang ở mức báo động đỏ. Theo thống kê, năm 2023 ghi nhận lượng dữ liệu cá nhân bị rao bán trái phép lên tới 1.300 GB. Luật sư Vĩnh nhấn mạnh một con số đáng suy ngẫm: 32,6% nguyên nhân rò rỉ đến từ yếu tố con người. Thói quen chia sẻ thông tin "vô tội vạ" trên mạng xã hội đã biến người dùng thành mục tiêu béo bở cho các hacker.

Hàng loạt tên tuổi lớn như VNG (lộ 163 triệu tài khoản) hay Vietnam Airlines (dữ liệu khách hàng Bông Sen Vàng) đã trở thành tâm điểm của dư luận. Đáng chú ý, trong vụ việc của Vietnam Airlines, lập luận "lỗi do bên thứ ba xử lý" đã bị giới pháp lý bác bỏ. Luật sư Vĩnh khẳng định: "Khi doanh nghiệp thu thập dữ liệu, anh là bên kiểm soát. Việc chuyển giao cho bên nào là quan hệ hợp đồng, nhưng trách nhiệm bảo mật cuối cùng vẫn thuộc về anh". Ngay cả những dữ liệu nhạy cảm nhất như lịch sử tín dụng, nợ xấu tại CIC cũng không đứng ngoài vòng xoáy lộ lọt, đe dọa trực tiếp đến an ninh tài chính quốc gia.

Bước ngoặt Luật Bảo vệ dữ liệu cá nhân 2025: Xóa bỏ "Nghị định không đầu"

Sự ra đời của Luật Bảo vệ dữ liệu cá nhân 2025 (có hiệu lực từ 1.1.2026) và Nghị định 356 được coi là lời giải cho những hạn chế của Nghị định 13 trước đây. Luật sư Vĩnh gọi Nghị định 13 là một "văn bản không đầu" vì thiếu nền tảng Luật tương ứng, dẫn đến chế tài lỏng lẻo và phạm vi điều chỉnh hạn hẹp.

Luật mới đã thực hiện một cuộc "tổng tiến công" pháp lý khi định nghĩa lại toàn diện khái niệm dữ liệu, bao hàm cả thông tin số và dữ liệu môi trường số, xóa bỏ sự chồng chéo của hơn 300 văn bản liên quan. Đặc biệt, "cánh tay" pháp lý nay đã vươn dài tới các nền tảng xuyên biên giới như Google, Facebook hay Microsoft. Dù không có pháp nhân tại Việt Nam, các đơn vị này vẫn phải tuân thủ luật chơi nội địa nếu thu thập dữ liệu người Việt. Đây là bước đi quyết liệt để bảo vệ chủ quyền dữ liệu quốc gia.

Điểm mới quan trọng nhất của Luật 2025 chính là sự phân loại khắt khe giữa dữ liệu cá nhân cơ bản và nhạy cảm. Luật sư Vĩnh chỉ ra sai lầm phổ biến hiện nay: "Nhiều công ty có 100 nhân sự thì cả 100 người đều có quyền truy cập kho dữ liệu chung. Đây là kẽ hở chí mạng để nội bộ mua bán dữ liệu". Theo quy định mới, doanh nghiệp bắt buộc phải thiết lập hệ thống phân quyền và các biện pháp bảo mật kỹ thuật nghiêm ngặt.

Bên cạnh đó, quy trình Đánh giá tác động xử lý dữ liệu (DPIA) và chuyển dữ liệu xuyên biên giới sẽ là "cơn ác mộng" về thủ tục hành chính đối với các doanh nghiệp vừa và nhỏ (SME). Nếu không có nhân sự chuyên trách hoặc tư vấn luật chuyên sâu, doanh nghiệp rất dễ sa lầy vào các sai phạm định kỳ.

Tuy nhiên, điều khiến cộng đồng doanh nghiệp "mất ăn mất ngủ" nhất chính là khung hình phạt. Luật sư Vĩnh dẫn chứng dự thảo Nghị định xử phạt dài 99 trang với những mức phạt "cắt thịt”: Phạt 5% doanh thu năm liền kề nếu vi phạm chuyển dữ liệu xuyên biên giới, phạt gấp 10 lần số tiền thu lợi bất chính từ việc mua bán dữ liệu trái phép, mức phạt tiền mặt trực tiếp lên tới 3 tỷ đồng cho các hành vi vi phạm khác.

Kết thúc phiên tham luận, Luật sư Lưu Xuân Vĩnh gửi đi thông điệp mạnh mẽ: Việc thực thi Luật Bảo vệ dữ liệu cá nhân 2025 không còn là câu chuyện của tương lai mà là nhiệm vụ khẩn thiết ngay từ bây giờ. Doanh nghiệp cần chủ động rà soát lại toàn bộ quy trình thu thập, xử lý và lưu trữ dữ liệu. Trong cuộc chơi này, sự minh bạch và tính tuân thủ không chỉ giúp doanh nghiệp tránh được án phạt hàng tỷ đồng, mà còn là nền tảng để xây dựng lòng tin với khách hàng – tài sản quý giá nhất trong nền kinh tế số.