(KTSG) - Trong những năm gần đây, hàng loạt vụ rò rỉ dữ liệu cá nhân (DLCN) lớn đã xảy ra tại Việt Nam, phản ánh thực trạng báo động về an toàn thông tin và ý thức tuân thủ pháp lý của các doanh nghiệp.
Ngày 23-11-2022, Bộ Công an triệt phá một đường dây thu thập và rao bán trái phép hơn 17 triệu thông tin cá nhân. Dữ liệu bao gồm họ tên, địa chỉ, số điện thoại, CMND/CCCD, số tài khoản ngân hàng... Một thời gian sau, Tập đoàn VNG bị phát hiện rò rỉ hơn 163 triệu tài khoản, trong đó có e-mail, số điện thoại và mật khẩu được mã hóa. Tiếp đến, Thế Giới Di Động và Điện Máy Xanh cũng để lộ hơn 5 triệu e-mail và hàng chục ngàn thông tin thẻ thanh toán, gây hoang mang trong cộng đồng người dùng. Năm 2024, theo báo cáo của Công ty An ninh mạng Viettel, 14,5 triệu tài khoản người Việt tiếp tục bị rò rỉ, chiếm khoảng 12% tổng số dữ liệu cá nhân bị lộ trên toàn cầu. Những vụ việc này không chỉ gây thiệt hại lớn về tài chính và uy tín, mà còn đặt ra câu hỏi về mức độ nghiêm túc trong việc thực hiện nghĩa vụ pháp lý của các doanh nghiệp tại Việt Nam.
Luật An ninh mạng có hiệu lực 1-1-2019 là nền tảng pháp lý đầu tiên của Việt Nam đề cập trực tiếp đến việc bảo vệ dữ liệu cá nhân trong môi trường mạng. Luật này quy định rõ rằng các doanh nghiệp cung cấp dịch vụ viễn thông, Internet và các dịch vụ gia tăng trên mạng có nghĩa vụ lưu trữ dữ liệu người dùng tại Việt Nam, bảo đảm an toàn hệ thống thông tin và có trách nhiệm phối hợp với cơ quan nhà nước có thẩm quyền trong việc bảo vệ an ninh mạng. Dù quy định này đã được ban hành cách đây sáu năm, nhưng đến nay việc triển khai thực thi vẫn còn khá mơ hồ, nhất là trong bối cảnh thiếu hướng dẫn cụ thể về cách thức lưu trữ, tiêu chuẩn bảo mật cũng như cơ chế kiểm tra, giám sát. Chính điều này đã tạo ra một khoảng trống pháp lý khiến nhiều doanh nghiệp hoặc không hiểu đúng, hoặc cố tình xem nhẹ nghĩa vụ bảo vệ dữ liệu cá nhân.
Nhằm lấp đầy khoảng trống đó, Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 1-7-2023, được kỳ vọng như một bước tiến lớn trong hệ thống pháp luật Việt Nam. Nghị định này là văn bản pháp quy đầu tiên xác lập hệ thống nguyên tắc xử lý dữ liệu cá nhân, trong đó nhấn mạnh dữ liệu cá nhân là bất khả xâm phạm và chỉ được xử lý khi có sự đồng ý rõ ràng của chủ thể dữ liệu. Theo nghị định này, trong vòng 72 giờ kể từ khi phát hiện sự cố rò rỉ dữ liệu, tổ chức, cá nhân xử lý dữ liệu phải báo cáo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an. Tuy nhiên, theo nhiều chuyên gia trong ngành công nghệ và luật pháp, quy định này hiện mới chỉ dừng ở mức “nguyên tắc đạo đức”, khi mà các biện pháp chế tài cho hành vi không thông báo hoặc trì hoãn thông báo còn rất nhẹ so với hậu quả mà rò rỉ dữ liệu có thể gây ra.
Dự thảo Luật Bảo vệ dữ liệu cá nhân (Dự thảo) do Bộ Công an soạn thảo và đang trình Quốc hội kỳ này được kỳ vọng sẽ giải quyết những tồn tại nêu trên bằng cách thiết lập một hành lang pháp lý có tính ràng buộc cao và đồng bộ. Theo nội dung Dự thảo, các doanh nghiệp muốn xử lý dữ liệu cá nhân với quy mô lớn sẽ phải thực hiện đánh giá tác động bảo vệ dữ liệu (DPIA), đăng ký xử lý với cơ quan quản lý và chịu sự kiểm tra định kỳ. Một điểm đột phá khác là Dự thảo đề xuất mức phạt hành chính có thể lên đến 5% tổng doanh thu trong trường hợp vi phạm nghiêm trọng, thay vì chỉ định lượng bằng tiền tuyệt đối như hiện nay. Đây là hướng tiếp cận rất gần với mô hình chế tài của GDPR - Quy định bảo vệ dữ liệu chung của Liên minh châu Âu.
GDPR, có hiệu lực từ tháng 5-2018, là một trong những chuẩn mực cao nhất thế giới về bảo vệ dữ liệu cá nhân. Được áp dụng cho tất cả tổ chức xử lý dữ liệu của công dân Liên minh châu Âu (EU), kể cả tổ chức đặt ngoài lãnh thổ EU, GDPR quy định nghiêm ngặt về minh bạch, mục đích xử lý, tối thiểu hóa dữ liệu cá nhân, thời gian lưu trữ và trách nhiệm kỹ thuật. Một trong những điều khoản quan trọng nhất của GDPR là quyền “được lãng quên” - cho phép người dùng yêu cầu xóa bỏ toàn bộ dữ liệu cá nhân của mình khi không còn mục đích sử dụng, hoặc bị xử lý sai phạm. GDPR bắt buộc tổ chức phải báo cáo sự cố rò rỉ dữ liệu trong vòng 72 giờ cho cơ quan bảo vệ dữ liệu quốc gia, đồng thời phải thông báo cho người dùng nếu sự cố có thể gây rủi ro đến quyền và tự do của họ. Mức phạt theo GDPR có thể lên đến 20 triệu euro hoặc 4% doanh thu toàn cầu - mức răn đe mà nhiều tập đoàn lớn như Amazon, Google, Meta đã từng phải hứng chịu.
So với GDPR, pháp luật Việt Nam hiện nay vẫn còn tương đối “nhẹ tay” cả về nghĩa vụ lẫn chế tài. Điều này tạo ra một hệ quả tất yếu: doanh nghiệp dễ coi nhẹ trách nhiệm pháp lý, thậm chí chọn cách im lặng khi xảy ra rò rỉ, và không hề có bất kỳ hành động minh bạch hay xin lỗi công khai nào. Đây không chỉ là biểu hiện của sự yếu kém trong tuân thủ pháp luật, mà còn cho thấy doanh nghiệp chưa xem dữ liệu người dùng là một phần trong giá trị cốt lõi của mình.
Thực tế, một số doanh nghiệp có vốn đầu tư nước ngoài đang hoạt động tại Việt Nam đã là công ty con hoặc chi nhánh của các tập đoàn đa quốc gia, vì vậy họ cũng phải tuân thủ theo GDPR. Nghĩa là, dù đóng trụ sở tại Việt Nam và hoạt động theo luật quốc gia, nhưng khi xử lý dữ liệu cá nhân có liên quan đến công dân EU hoặc thị trường EU, doanh nghiệp vẫn có nguy cơ bị xử phạt rất nặng nếu vi phạm quy định GDPR. Điều này đặt ra yêu cầu cấp thiết cho doanh nghiệp FDI tại Việt Nam phải hiểu và áp dụng đầy đủ các chuẩn mực bảo vệ dữ liệu mang tính toàn cầu.
Với các doanh nghiệp tại Việt Nam, đặc biệt là khối doanh nghiệp tư nhân, việc giảm thiểu rủi ro rò rỉ dữ liệu đòi hỏi sự chủ động và nghiêm túc trong xây dựng chính sách nội bộ. Trước tiên, dữ liệu cá nhân cần tiến hành đánh giá hiện trạng dữ liệu mà mình đang thu thập và lưu trữ, xác định rõ những loại dữ liệu nhạy cảm và xây dựng quy trình bảo mật tương ứng. Tiếp theo, cần đào tạo nhân viên, đặc biệt là bộ phận công nghệ thông tin và bộ phận pháp chế, về các quy định pháp luật hiện hành cũng như kỹ năng nhận diện và ứng phó sự cố dữ liệu cá nhân. Doanh nghiệp cũng nên hợp tác với chuyên gia an ninh mạng, đơn vị kiểm toán hệ thống và tư vấn pháp lý để đảm bảo có một hệ thống phòng ngừa và xử lý rủi ro dữ liệu cá nhân một cách bài bản.
Bên cạnh nỗ lực của doanh nghiệp, vai trò của Nhà nước là vô cùng quan trọng. Chính phủ cần đẩy nhanh tiến độ hoàn thiện và ban hành Luật Bảo vệ dữ liệu cá nhân, đồng thời ban hành các văn bản hướng dẫn thi hành Luật Bảo vệ dữ liệu cá nhân cụ thể, rõ ràng để doanh nghiệp có cơ sở tuân thủ. Cần thiết lập một cơ quan giám sát độc lập về dữ liệu cá nhân, tương tự các mô hình cơ quan bảo vệ dữ liệu của châu Âu, nhằm xử lý các khiếu nại, kiểm tra định kỳ và minh bạch hóa quy trình xử phạt. Đồng thời, Nhà nước cũng nên hỗ trợ doanh nghiệp nhỏ và vừa trong chuyển đổi số an toàn, thông qua các gói tư vấn miễn phí, chương trình đào tạo nhân lực công nghệ - pháp lý và hỗ trợ tài chính cho việc nâng cấp hệ thống bảo mật.
Khi Chính phủ và doanh nghiệp cùng hành động, môi trường số tại Việt Nam mới thực sự trở thành một không gian an toàn, nơi quyền riêng tư được tôn trọng và bảo vệ đúng nghĩa. Đó là tài sản sống còn, là trách nhiệm pháp lý, là niềm tin thị trường và là điểm tựa cho phát triển bền vững. Khi Luật Bảo vệ dữ liệu cá nhân chính thức được Quốc hội thông qua trong thời gian tới đây, doanh nghiệp Việt sẽ không còn lý do để trì hoãn. Và nếu không thay đổi từ bây giờ, ngày mai họ có thể phải trả giá không chỉ bằng tiền, mà bằng cả sự sống còn của thương hiệu.
(*) Công ty Luật TNHH Phuoc & Partners
 lớn đã xảy ra tại Việt Nam, phản ánh thực trạng báo động về an toàn thông tin và ý thức tuân thủ pháp lý của các doanh nghiệp.){kind=link}