Tuân thủ Luật Bảo vệ dữ liệu cá nhân:Doanh nghiệp trước bài toán lớn về công nghệ và quản trị

Trong bối cảnh các cuộc tấn công mạng và tình trạng rò rỉ dữ liệu đang gia tăng mạnh, câu chuyện bảo vệ dữ liệu cá nhân không còn là vấn đề riêng của cơ quan quản lý mà đã trở thành thách thức trực tiếp đối với cộng đồng doanh nghiệp.

Khi dữ liệu trở thành mục tiêu tấn công

Những con số mới nhất từ báo cáo của Viettel Cyber Security cho thấy bức tranh an ninh mạng tại Việt Nam đang ngày càng đáng lo ngại. Theo báo cáo tình hình nguy cơ an toàn thông tin quý III/2025, Việt Nam ghi nhận hơn 502 triệu bản ghi dữ liệu của tổ chức, doanh nghiệp bị rò rỉ, cùng với 6,5 triệu tài khoản cá nhân bị đánh cắp, tăng 64% so với quý trước. Không chỉ vậy, gần 4.000 tên miền lừa đảo và 877 website giả mạo thương hiệu cũng được phát hiện, tăng lần lượt 325% và 264% so với cùng kỳ năm 2024.

Các cuộc tấn công mạng hiện nay không còn mang tính chất đơn lẻ mà ngày càng chuyên nghiệp, có tổ chức và nhắm đến những mục tiêu cụ thể. Nhiều chiến dịch lừa đảo mạo danh ngân hàng, cơ quan công quyền hoặc các nền tảng thương mại điện tử nhằm đánh cắp thông tin tài khoản và mã OTP của người dùng.

Ở cấp độ hạ tầng, các hệ thống trọng yếu cũng liên tục trở thành mục tiêu. Trong quý III/2025, các chuyên gia an ninh mạng ghi nhận 547.000 cuộc tấn công DDoS, gấp đôi so với cùng kỳ năm trước.

Đáng chú ý, nhiều cuộc tấn công hiện nay được thực hiện với sự hỗ trợ của trí tuệ nhân tạo. AI được sử dụng để tự động hóa quá trình trinh sát, tìm lỗ hổng bảo mật, tạo nội dung lừa đảo hoặc thậm chí sinh mã độc.

Một xu hướng đáng lo ngại khác là sự bùng nổ của mô hình Malware-as-a-Service, cho phép những người không có nhiều kiến thức kỹ thuật cũng có thể thực hiện các cuộc tấn công mạng chỉ với chi phí vài chục USD. Trong bối cảnh đó, dữ liệu cá nhân trở thành “tài nguyên” có giá trị cao và là mục tiêu chính của nhiều nhóm tội phạm mạng.

Doanh nghiệp đối mặt thách thức lớn khi Luật Bảo vệ dữ liệu cá nhân có hiệu lực

Theo ông Nguyễn Hùng Sơn, Phó Chủ tịch HĐQT Công ty Cổ phần Đầu tư Thương mại và Phát triển Công nghệ FSI, việc tuân thủ Luật Bảo vệ dữ liệu cá nhân sẽ đặt ra nhiều thách thức đối với các tổ chức, doanh nghiệp trong giai đoạn đầu triển khai.

Thách thức đầu tiên đến từ nhận thức. Ông Sơn cho rằng tại Việt Nam, nhận thức của cả doanh nghiệp và người dân về bảo vệ dữ liệu cá nhân vẫn còn hạn chế. Trong nhiều năm qua, không ít doanh nghiệp có xu hướng thu thập rất nhiều thông tin của khách hàng và chia sẻ cho các bên thứ ba mà chưa thực sự chú trọng đến quyền riêng tư của người dùng. “Doanh nghiệp và người dân vẫn chưa quen với các quyền dữ liệu cá nhân như quyền yêu cầu xóa dữ liệu, quyền hạn chế xử lý dữ liệu hay quyền rút lại sự đồng ý”, ông Sơn cho biết. Chính điều này khiến quá trình triển khai luật trong thực tế có thể gặp không ít vướng mắc trong giai đoạn đầu.

Thách thức thứ hai liên quan đến quy trình và hệ thống quản trị dữ liệu. Theo ông Sơn, phần lớn doanh nghiệp Việt Nam hiện nay chưa có hệ thống quản trị dữ liệu cá nhân chuyên nghiệp. Trong khi đó, Luật Bảo vệ dữ liệu cá nhân và Nghị định 356 yêu cầu doanh nghiệp phải quản lý toàn bộ vòng đời dữ liệu - từ khâu thu thập, xử lý, lưu trữ đến chia sẻ. Quan trọng hơn, doanh nghiệp phải có khả năng chứng minh rằng việc xử lý dữ liệu của mình là hợp pháp và tuân thủ các quy định của pháp luật. Điều này buộc nhiều doanh nghiệp phải xây dựng lại toàn bộ khung quản trị dữ liệu, từ quy trình nội bộ đến hệ thống công nghệ, một công việc không hề đơn giản.

Thách thức thứ ba mà các doanh nghiệp phải đối mặt là yêu cầu về công nghệ. Theo đại diện FSI, việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân không chỉ là vấn đề pháp lý mà còn là vấn đề công nghệ. Doanh nghiệp cần đầu tư vào các hệ thống quản trị dữ liệu, các giải pháp bảo mật, cũng như những công cụ đánh giá tác động của việc xử lý dữ liệu.

Ngoài ra, việc phòng chống rò rỉ và thất thoát dữ liệu cũng đòi hỏi doanh nghiệp phải xây dựng hạ tầng công nghệ đủ mạnh. “Doanh nghiệp cũng cần có đội ngũ nhân sự chuyên trách về bảo vệ dữ liệu cá nhân. Trong trường hợp chưa có nguồn lực, họ có thể phải sử dụng các dịch vụ thuê ngoài”, ông Sơn cho biết.

Đối với nhiều doanh nghiệp vừa và nhỏ, đây thực sự là một thách thức lớn về chi phí. Tuy nhiên, theo các chuyên gia, việc đầu tư cho bảo mật dữ liệu là xu hướng tất yếu trong kỷ nguyên số. Thực tế cho thấy chi phí khắc phục hậu quả của các vụ rò rỉ dữ liệu thường cao hơn rất nhiều so với chi phí đầu tư ban đầu cho hệ thống bảo mật.

Biến tuân thủ pháp luật thành lợi thế cạnh tranh

Ở góc nhìn khác, ông Nguyễn Hùng Sơn cho rằng doanh nghiệp không nên chỉ coi việc tuân thủ Luật Bảo vệ dữ liệu cá nhân là nghĩa vụ pháp lý. Nếu được triển khai đúng cách, bảo vệ dữ liệu cá nhân hoàn toàn có thể trở thành một lợi thế cạnh tranh quan trọng.

Theo ông, trước hết doanh nghiệp cần xây dựng chiến lược quản trị dữ liệu từ cấp lãnh đạo. Bảo vệ dữ liệu cá nhân cần được xem là một vấn đề quản trị chiến lược, tương tự như quản trị tài chính hay quản trị rủi ro. Điều này đồng nghĩa với việc lãnh đạo doanh nghiệp phải trực tiếp định hướng và chịu trách nhiệm về chiến lược dữ liệu. “Đối với các doanh nghiệp vừa và nhỏ, thay đổi nhận thức nên bắt đầu từ chính người lãnh đạo”, ông Sơn nhấn mạnh.

Bên cạnh đó, doanh nghiệp cần áp dụng nguyên tắc “privacy by design” và “privacy by default” - tức là tích hợp yêu cầu bảo vệ dữ liệu ngay từ giai đoạn thiết kế sản phẩm hoặc dịch vụ. Khi các quy trình xử lý dữ liệu được chuẩn hóa ngay từ đầu, chi phí tuân thủ trong dài hạn sẽ giảm đáng kể.

Một yếu tố quan trọng khác là đầu tư vào con người và văn hóa bảo vệ dữ liệu. Theo ông Sơn, tuân thủ dữ liệu không chỉ là vấn đề công nghệ hay pháp lý mà còn là văn hóa doanh nghiệp. Doanh nghiệp cần đào tạo nhân viên về nhận thức bảo mật, xây dựng quy trình kiểm soát nội bộ và, khi cần thiết, bổ nhiệm các vị trí chuyên trách như Data Protection Officer.

Trong bối cảnh hội nhập sâu rộng, bảo vệ dữ liệu cá nhân cũng đang trở thành một “tấm vé thông hành” giúp doanh nghiệp tiếp cận thị trường quốc tế. Nhiều thị trường phát triển, đặc biệt là châu Âu, áp dụng các tiêu chuẩn rất nghiêm ngặt về bảo vệ dữ liệu.

Do đó, các doanh nghiệp Việt Nam có hệ thống bảo mật dữ liệu tốt sẽ dễ dàng tham gia chuỗi cung ứng toàn cầu và hợp tác với các tập đoàn quốc tế. “Việc tuân thủ pháp luật về bảo vệ dữ liệu cá nhân không chỉ giúp doanh nghiệp giảm thiểu rủi ro pháp lý mà còn tạo ra lợi thế cạnh tranh dựa trên niềm tin và uy tín”, ông Sơn nhận định.

Theo ông, trong nền kinh tế số, niềm tin của khách hàng đối với việc bảo vệ dữ liệu cá nhân sẽ ngày càng trở thành yếu tố quyết định.

Từ phòng thủ bị động sang phòng thủ chủ động

Các chuyên gia an ninh mạng cho rằng trước làn sóng tấn công ngày càng tinh vi, doanh nghiệp cần thay đổi tư duy từ phản ứng bị động sang phòng thủ chủ động. Điều này bao gồm việc giám sát hệ thống an toàn thông tin 24/7, sử dụng các nền tảng phân tích mối đe dọa để phát hiện sớm dấu hiệu xâm nhập, đồng thời thường xuyên rà soát và vá lỗi hệ thống.

Doanh nghiệp cũng cần chú trọng quản lý rủi ro từ chuỗi cung ứng, bảo đảm các đối tác và nhà thầu tuân thủ các tiêu chuẩn bảo mật. Tuy nhiên, theo các chuyên gia, yếu tố con người vẫn là tuyến phòng thủ quan trọng nhất. Việc xây dựng văn hóa an toàn thông tin, đào tạo nhận thức cho nhân viên và kiểm soát quyền truy cập theo nguyên tắc “quyền tối thiểu” có thể giúp giảm đáng kể nguy cơ rò rỉ dữ liệu từ bên trong.

Việc Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực từ năm 2026 được xem là một bước ngoặt quan trọng trong quá trình xây dựng nền kinh tế số tại Việt Nam. Đối với doanh nghiệp, đây không chỉ là thách thức mà còn là cơ hội để tái cấu trúc hệ thống quản trị dữ liệu, nâng cao năng lực bảo mật và xây dựng niềm tin với khách hàng.

Trong kỷ nguyên dữ liệu, doanh nghiệp nào bảo vệ được dữ liệu tốt hơn sẽ có lợi thế lớn hơn trên thị trường. Và trong cuộc đua mới này, bảo mật dữ liệu không còn là lựa chọn - mà đã trở thành điều kiện sống còn cho sự phát triển bền vững.