Bảo vệ dữ liệu cá nhânTừ hành lang pháp lý đến bài toán triển khai

Cần nâng cao hiệu quả thực thi luật

Theo đánh giá các chuyên gia tại Hội thảo "Tuân thủ luật bảo vệ dữ liệu cá nhân - Những thách thức, rủi ro và giải pháp công nghệ" do Sở Khoa học và Công nghệ Hà Nội, Tạp chí Một Thế Giới và FSI tổ chức ngày 20/3, một trong những vấn đề nổi lên là việc nhiều doanh nghiệp chưa nhận diện đầy đủ các rủi ro pháp lý trong quá trình thu thập, lưu trữ và xử lý dữ liệu cá nhân. Không ít đơn vị còn thiếu quy trình quản trị dữ liệu đạt chuẩn, trong khi các giải pháp công nghệ phục vụ tuân thủ vẫn chưa được đầu tư bài bản. Điều này dẫn đến nguy cơ vi phạm pháp luật mà chính doanh nghiệp cũng khó kiểm soát.

Chủ tịch Hội Thông tin Khoa học và Công nghệ Việt Nam Trần Văn Tùng nhấn mạnh rằng, việc tiết lộ thông tin cá nhân trái phép để bôi nhọ hoặc làm ảnh hưởng đến uy tín của người khác là hành vi vi phạm nghiêm trọng. Đây không còn là vấn đề cá biệt mà đang diễn ra hàng ngày trong đời sống xã hội, đòi hỏi phải có cách tiếp cận thẳng thắn, không né tránh những điểm nghẽn trong quá trình áp dụng pháp luật. Do đó, cần tập trung vào các vấn đề thiết thực, cụ thể, qua đó nâng cao hiệu quả thực thi luật.

Từ góc độ cơ quan quản lý, Trung tá Phạm Bảo Nguyên, Phó Trưởng phòng 5, Trung tâm Dữ liệu Quốc gia, Bộ Công an cho rằng, dữ liệu cá nhân ngày càng trở thành loại tài sản có giá trị đặc biệt, gắn trực tiếp với quyền con người, quyền công dân và niềm tin của xã hội trong môi trường số. Luật Bảo vệ dữ liệu cá nhân đã thiết lập hệ thống quy định tương đối toàn diện, bao gồm các nguyên tắc xử lý dữ liệu, yêu cầu về sự đồng ý của chủ thể, giới hạn phạm vi thu thập và trách nhiệm giải trình của các bên liên quan. Đáng chú ý, luật quy định rõ dữ liệu cá nhân chỉ được thu thập trong phạm vi cần thiết, phục vụ mục đích cụ thể và không được sử dụng sai mục đích. Việc xử lý dữ liệu phải dựa trên cơ sở pháp lý hợp lệ, trong đó sự đồng ý của chủ thể dữ liệu là nguyên tắc cốt lõi. Đồng thời, chủ thể dữ liệu có đầy đủ quyền như được biết, truy cập, chỉnh sửa, hạn chế xử lý hoặc khiếu nại khi quyền lợi bị xâm phạm. Các yêu cầu về bảo đảm an toàn, an ninh dữ liệu cũng được đặt ra ở mức nghiêm ngặt hơn trước.

Ở góc độ an ninh mạng, Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng An ninh thông tin mạng, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an cảnh báo tình trạng mua bán dữ liệu cá nhân trên không gian mạng đang ở mức báo động. Từ năm 2023 đến 2025, cơ quan chức năng đã xử lý hơn 30 vụ việc với hơn 160 triệu bản ghi dữ liệu bị xâm phạm. Dữ liệu cá nhân đang bị các đối tượng tội phạm coi là “mỏ vàng” để xây dựng các kịch bản lừa đảo tinh vi, gây thiệt hại lớn về kinh tế và ảnh hưởng nghiêm trọng đến xã hội. Không chỉ vậy, sự phổ biến của các thiết bị thông minh như camera và các thiết bị IoT cũng tiềm ẩn nhiều rủi ro. Thực tế đã ghi nhận nhiều trường hợp lộ lọt dữ liệu từ chính các thiết bị này do không được bảo mật đúng cách, tạo điều kiện cho các đối tượng xấu xâm nhập, theo dõi và khai thác thông tin nhạy cảm.

Một vấn đề đáng chú ý khác được ông Nguyễn Quang Đồng, Viện trưởng Viện Nghiên cứu chính sách và phát triển truyền thông nêu ra là khoảng cách lớn giữa nhận thức và thực thi pháp luật về bảo vệ dữ liệu cá nhân. Đặc biệt, khu vực công hiện đang nắm giữ khối lượng dữ liệu rất lớn, bao gồm nhiều dữ liệu nhạy cảm, nhưng năng lực bảo vệ lại chưa tương xứng, trở thành “điểm nghẽn” cần sớm được tháo gỡ.

Nguy cơ rò rỉ dữ liệu gia tăng, yêu cầu giải pháp đồng bộ

Trong bối cảnh đó, Cục trưởng Cục Công nghiệp công nghệ thông tin, Bộ Khoa học và Công nghệ Nguyễn Khắc Lịch cho rằng, việc tuân thủ pháp luật về bảo vệ dữ liệu cá nhân không nên được nhìn nhận như một rào cản, mà cần coi là động lực phát triển mới. Việc tuân thủ sẽ góp phần hình thành thị trường dữ liệu số minh bạch, bảo vệ quyền lợi người dùng và thúc đẩy niềm tin số là yếu tố then chốt để phát triển kinh tế số. Đặc biệt, các công nghệ như phi cá nhân hóa dữ liệu cho phép khai thác giá trị dữ liệu mà vẫn bảo đảm quyền riêng tư.

Cũng theo ông Lịch việc tuân thủ cũng giúp doanh nghiệp nâng cao năng lực quản trị, tiếp cận các tiêu chuẩn quốc tế và tham gia sâu hơn vào chuỗi cung ứng toàn cầu, nhất là tại các thị trường có yêu cầu cao. Bên cạnh đó, việc thực thi luật cũng mở ra cơ hội phát triển thị trường công nghệ tuân thủ (RegTech), tạo dư địa cho các doanh nghiệp công nghệ số trong nước phát triển các giải pháp phục vụ tuân thủ pháp luật.

Ngoài ra, theo Trung tá Phạm Bảo Nguyên việc bảo vệ dữ liệu không chỉ là vấn đề kỹ thuật mà phải được triển khai đồng bộ trên cả ba trụ cột: con người, quy trình và hệ thống. Trong thực tế, dữ liệu cá nhân hiện đang được thu thập và lưu trữ trên nhiều nền tảng khác nhau, trong khi nhiều hệ thống chưa được thiết kế theo nguyên tắc bảo vệ dữ liệu ngay từ đầu. Điều này khiến việc kiểm soát mục đích sử dụng và quản lý vòng đời dữ liệu trở nên phức tạp. Một trong những thách thức lớn là quản lý sự đồng ý của chủ thể dữ liệu. Theo quy định, sự đồng ý phải được ghi nhận rõ ràng, có thể kiểm chứng và cho phép rút lại bất cứ lúc nào. Tuy nhiên, nếu thiếu hệ thống quản lý minh bạch và có khả năng truy vết, các tổ chức rất dễ rơi vào tình trạng vi phạm mà không nhận biết. Việc dữ liệu bị phân tán trên nhiều hệ thống cũng gây khó khăn trong bảo đảm quyền của chủ thể dữ liệu, như quyền truy cập, chỉnh sửa hoặc xóa thông tin.

Trước những thách thức đặt ra, các chuyên gia đề xuất cần xây dựng kiến trúc hệ thống theo nguyên tắc bảo mật ngay từ thiết kế, triển khai các nền tảng quản lý dữ liệu tập trung, phân loại dữ liệu theo mức độ nhạy cảm và kiểm soát vòng đời dữ liệu. Đồng thời, cần phát triển các nền tảng hỗ trợ thực thi quyền của chủ thể dữ liệu, giúp người dân dễ dàng kiểm soát thông tin cá nhân của mình. Về mặt kỹ thuật, các giải pháp như mã hóa dữ liệu, kiểm soát truy cập theo mô hình “không tin cậy”, giám sát liên tục và phát hiện sớm rủi ro cần được triển khai đồng bộ. Đối với dữ liệu xuyên biên giới, cần thiết lập cơ chế kiểm soát chặt chẽ nhằm ngăn chặn việc khai thác trái phép.

Vũ Quang