Lan tỏa thông tin thiết yếu cho người dân, doanh nghiệp trong bảo vệ dữ liệu cá nhân
Diễn ra ngay trước thời điểm Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực (1/1/2026), Tọa đàm “Bảo vệ dữ liệu cá nhân - Quyền và trách nhiệm” do Hiệp hội An ninh mạng quốc gia tổ chức có ý nghĩa quan trọng trong việc lan tỏa thông tin thiết yếu, giúp người dân và doanh nghiệp hiểu rõ các điểm mới của Luật, cũng như quyền, trách nhiệm và yêu cầu tuân thủ việc bảo vệ dữ liệu cá nhân trong bối cảnh hiện nay.
Bảo vệ dữ liệu cá nhân là nhu cầu thiết yếu
Tại buổi tọa đàm, Đại tá Nguyễn Hồng Quân, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), Trưởng Ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân (Hiệp hội An ninh mạng quốc gia), khẳng định: trong bối cảnh công nghệ thông tin và không gian mạng phát triển mạnh mẽ, các hoạt động của con người trên môi trường số ngày càng mở rộng, kéo theo việc hình thành, thu thập, xử lý và chia sẻ khối lượng dữ liệu khổng lồ liên quan trực tiếp đến mỗi cá nhân. Do đó, bảo vệ dữ liệu cá nhân đã trở thành nhu cầu thiết yếu và cấp bách.
Theo Đại tá Nguyễn Hồng Quân, thực tiễn thời gian qua cho thấy tình trạng xâm phạm, mua bán, khai thác trái phép dữ liệu cá nhân diễn ra ngày càng phức tạp với nhiều phương thức, thủ đoạn tinh vi. Trong khi đó, việc thực thi các biện pháp bảo vệ dữ liệu cá nhân ở một số nơi chưa thực sự hiệu quả, nhận thức của người dân và doanh nghiệp về vấn đề này còn hạn chế.
“Trước đây, chúng ta chủ yếu đề cập đến quyền riêng tư, nhưng hiện nay, bảo vệ dữ liệu cá nhân đã trở thành một quyền độc lập, được pháp luật bảo vệ bằng những quy định cụ thể. Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP và Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân, tạo hành lang pháp lý quan trọng cho công tác này”, Đại tá Nguyễn Hồng Quân nhấn mạnh.
Ông cũng dẫn thống kê cho biết, hiện khoảng 80% dân số thế giới đang sinh sống tại các quốc gia, vùng lãnh thổ đã ban hành luật về bảo vệ dữ liệu cá nhân, cho thấy đây là xu hướng tất yếu trong tiến trình phát triển kinh tế số, xã hội số.
Từ đó, Đại tá Nguyễn Hồng Quân khẳng định việc người dân hiểu rõ quyền của mình, đặc biệt là quyền được bảo vệ dữ liệu cá nhân; đồng thời các cơ quan, tổ chức, doanh nghiệp nhận thức đầy đủ trách nhiệm trong thu thập, xử lý và bảo vệ dữ liệu cá nhân là yếu tố then chốt. Với vai trò là cơ quan thực thi pháp luật, lực lượng công an sẽ triển khai các biện pháp quyết liệt, nghiêm minh nhằm bảo vệ quyền và lợi ích hợp pháp của người dân, tổ chức và doanh nghiệp theo đúng quy định của pháp luật.
Trao đổi làm rõ thêm một số vấn đề về tính cấp bách trong bảo vệ dữ liệu, dữ liệu cá nhân hiện nay, Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng Tham mưu, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) cho rằng, dữ liệu cá nhân là tài nguyên vô cùng quý giá của mỗi quốc gia. Trong bối cảnh chuyển đổi số là một trong những định hướng chiến lược quan trọng để Việt Nam phát triển, dữ liệu được xác định là yếu tố trung tâm. Việt Nam hiện là một trong những quốc gia có tốc độ tăng trưởng Internet cao hàng đầu thế giới, với số lượng người dùng các nền tảng xuyên biên giới như Facebook, Google, YouTube rất lớn.
Tuy nhiên, tình hình vi phạm dữ liệu cá nhân tại Việt Nam đang diễn biến phức tạp. Các cuộc tấn công mạng nhằm đánh cắp thông tin, dữ liệu tiếp tục gia tăng, trong đó lĩnh vực ngân hàng là một trong những mục tiêu thường xuyên. Nhiều kho dữ liệu của các bộ, ngành trở thành mục tiêu của tin tặc; tình trạng lộ, mất bí mật nhà nước, dữ liệu quan trọng, dữ liệu cốt lõi vẫn tiềm ẩn nguy cơ cao.
Đáng chú ý, việc mua bán, khai thác trái phép dữ liệu cá nhân diễn ra tràn lan trên không gian mạng, đặc biệt trên các mạng xã hội, diễn đàn ngầm, hội nhóm kín. Dữ liệu của hàng chục triệu người Việt Nam bị phân loại chi tiết để giao dịch trái phép. Một số công ty, tập đoàn công nghệ còn sử dụng các phần mềm, công cụ chuyên dụng để thu thập, khai thác trái phép thông tin người dùng.
Thượng tá Nguyễn Đình Đỗ Thi cũng cảnh báo nguy cơ xâm phạm đời sống riêng tư thông qua các thiết bị IoTs, đồng thời cho biết lực lượng công an đã phát hiện, xử lý nhiều vụ việc, bắt giữ các đối tượng sử dụng dữ liệu cá nhân bị chiếm đoạt để thực hiện hành vi phạm pháp.
Xử phạt nghiêm khắc đối với hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân
Tại tọa đàm, các đại biểu tập trung thảo luận về những điểm mới quan trọng trong Luật Bảo vệ dữ liệu cá nhân, trong đó có những so sánh cụ thể với Nghị định 13 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân. Bên cạnh đó, các đại biểu cũng đưa ra những khuyến nghị về việc nâng cao năng lực của doanh nghiệp, người dân trong bảo vệ dữ liệu, dữ liệu cá nhân.
Theo Thượng tá Nguyễn Đình Đỗ Thi, Luật Bảo vệ dữ liệu cá nhân gồm 5 chương, 39 điều và sẽ chính thức có hiệu lực từ ngày 1/1/2026. Một trong những điểm mới đáng chú ý là mở rộng đối tượng áp dụng đối với các cơ quan, tổ chức, cá nhân nước ngoài trực tiếp hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam, kể cả trường hợp không đăng ký kinh doanh tại Việt Nam.
Luật cũng quy định rõ về sự đồng ý của chủ thể dữ liệu cá nhân, quyền và nghĩa vụ của các bên liên quan, cũng như trách nhiệm của các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến trong việc thu thập, xử lý dữ liệu cá nhân, bảo đảm quyền “không theo dõi” của người sử dụng và nghiêm cấm các hành vi nghe lén, ghi âm, đọc tin nhắn trái phép.
Đối với xử lý vi phạm, Luật quy định mức phạt rất nghiêm khắc, trong đó mức phạt tối đa đối với hành vi mua bán dữ liệu cá nhân có thể lên tới 10 lần khoản thu bất hợp pháp; vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới có thể bị phạt tới 5% doanh thu của năm trước liền kề; các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân có thể bị xử phạt đến 3 tỷ đồng.
Phó Trưởng Ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân (Hiệp hội An ninh mạng quốc gia) Ngô Tuấn Anh, Nghị định số 13/2023/NĐ-CP trước đây chưa có cơ chế xử phạt đủ rõ ràng, trong khi Luật Bảo vệ dữ liệu cá nhân mới đã quy định chế tài cụ thể, minh bạch hơn, đồng thời thu gọn và làm rõ các điều khoản, tạo thuận lợi cho việc triển khai và áp dụng trong thực tế. Đây được xem là bước điều chỉnh quan trọng giúp các đơn vị dễ tiếp cận, dễ thực hiện và nâng cao hiệu quả tuân thủ pháp luật.
Ông Ngô Tuấn Anh nhấn mạnh, các doanh nghiệp cần chú trọng công tác đào tạo, nâng cao nhận thức cho toàn thể cán bộ, nhân viên về quyền, nghĩa vụ và trách nhiệm trong bảo vệ dữ liệu cá nhân. Cùng với đó là việc triển khai đồng bộ các hoạt động tuân thủ như: phân tích, rà soát các văn bản pháp luật liên quan; tổ chức tập huấn nâng cao nhận thức về nghĩa vụ tuân thủ; đào tạo chuyên sâu cho bộ phận chuyên trách; xây dựng khung bảo vệ dữ liệu cá nhân; quản trị và thực thi chương trình bảo vệ dữ liệu cá nhân trong toàn bộ hoạt động của tổ chức.
Ngoài ra, việc rà soát, đánh giá hiện trạng trước và sau triển khai, theo dõi liên tục quá trình tuân thủ, cũng như thực hiện đánh giá định kỳ nội bộ hoặc thông qua bên thứ ba là yêu cầu cần thiết nhằm bảo đảm hoạt động bảo vệ dữ liệu cá nhân được thực hiện một cách liên tục, hiệu quả và thực chất.
Doanh nghiệp có vai trò “trung tâm” trong bảo vệ dữ liệu cá nhân
Bên cạnh việc hoàn thiện khung pháp lý, nhiều ý kiến tại tọa đàm cho rằng doanh nghiệp giữ vai trò “trung tâm” trong hệ sinh thái bảo vệ dữ liệu cá nhân, bởi đây là chủ thể trực tiếp thu thập, xử lý và khai thác dữ liệu của người dùng trong môi trường số.
Tiếp nối các tham luận về chính sách và thực tiễn, Viện trưởng Viện Nghiên cứu Chính sách và Phát triển truyền thông Nguyễn Quang Đồng, đã phân tích mối quan hệ giữa người dùng - doanh nghiệp - nền tảng số trong tham luận “Năng lực bảo vệ dữ liệu cá nhân cho người dùng”. Theo ông, trong bối cảnh dữ liệu cá nhân ngày càng bị khai thác sâu bởi các nền tảng và dịch vụ trực tuyến, việc bảo vệ dữ liệu không thể chỉ trông chờ vào cơ quan quản lý nhà nước mà đòi hỏi sự thay đổi từ chính các doanh nghiệp cung cấp dịch vụ.
Ông Nguyễn Quang Đồng cho rằng, người dùng cần thận trọng hơn khi sử dụng các dịch vụ số, chủ động kiểm tra các tùy chọn bảo vệ quyền riêng tư thay vì mặc định chấp nhận mọi điều khoản. Đồng thời, cần nhận thức rõ rằng sự thuận tiện của dịch vụ số luôn đi kèm với “chi phí riêng tư”, từ đó cân nhắc mức độ chia sẻ dữ liệu cá nhân phù hợp. Tuy nhiên, để người dùng có thể thực hiện được điều này, doanh nghiệp phải minh bạch, dễ hiểu và có trách nhiệm hơn trong thiết kế các cơ chế bảo vệ dữ liệu.
Ở góc độ hoàn thiện hệ sinh thái, ông cũng nhấn mạnh vai trò của các hiệp hội, tổ chức xã hội và cơ quan truyền thông trong việc hỗ trợ, hướng dẫn người dùng theo hướng “cầm tay chỉ việc”, đồng thời đề xuất cho phép cơ chế kiện tập thể nhằm bảo vệ lợi ích của số đông trong các vụ việc xâm phạm dữ liệu cá nhân. Bên cạnh đó, cần đánh giá đầy đủ tác động của các công nghệ mới, đặc biệt là trí tuệ nhân tạo, đối với quyền riêng tư và dữ liệu cá nhân – lĩnh vực mà doanh nghiệp đang đóng vai trò chủ đạo trong triển khai và ứng dụng.
Từ góc nhìn pháp lý và thực tiễn triển khai trong doanh nghiệp, Giám đốc Công ty Luật Inteco Hà Huy Phong, khẳng định rằng kể từ khi Nghị định số 13/2023/NĐ-CP được ban hành và Luật Bảo vệ dữ liệu cá nhân chuẩn bị có hiệu lực, trách nhiệm của các tổ chức, doanh nghiệp trong bảo vệ dữ liệu cá nhân đã trở nên rõ ràng và mang tính bắt buộc.
Theo luật sư Hà Huy Phong, để thực hiện nghĩa vụ này, doanh nghiệp cần đặc biệt chú trọng tuân thủ nội bộ - yếu tố mang tính quyết định. “Bảo vệ dữ liệu cá nhân không phải là đối phó với Nhà nước, mà là bảo vệ chính doanh nghiệp, bảo vệ đối tác và uy tín của mình”, ông Phong nhấn mạnh. Khi doanh nghiệp chưa nhận thức đầy đủ về vai trò và trách nhiệm của mình, việc triển khai các yêu cầu bảo vệ dữ liệu sẽ khó tránh khỏi lúng túng và hình thức.
Luật sư Hà Huy Phong cho rằng, bước đi đầu tiên và quan trọng nhất là doanh nghiệp phải khảo sát, đánh giá tổng thể hiện trạng thu thập, sử dụng dữ liệu cá nhân trong nội bộ. Trên cơ sở đó, phân loại các nhóm dữ liệu và xác định rõ nghĩa vụ tương ứng với từng hoạt động xử lý dữ liệu. Đặc biệt, đối với các doanh nghiệp có hoạt động chuyển dữ liệu cá nhân xuyên biên giới, Luật Bảo vệ dữ liệu cá nhân đã quy định chế tài xử phạt rất nghiêm khắc, buộc doanh nghiệp phải xây dựng hồ sơ đánh giá tác động của việc chuyển dữ liệu theo đúng quy định.
Bên cạnh các yêu cầu chặt chẽ, luật cũng có những quy định linh hoạt, nhân văn đối với doanh nghiệp nhỏ và siêu nhỏ, nhằm tạo điều kiện cho các chủ thể này từng bước nâng cao năng lực tuân thủ. Tuy nhiên, các ý kiến tại tọa đàm đều thống nhất rằng, dù ở quy mô nào, doanh nghiệp vẫn là “mắt xích trung tâm” quyết định hiệu quả bảo vệ dữ liệu cá nhân trong thực tiễn, góp phần xây dựng môi trường số an toàn, minh bạch và bền vững.
